👻 Как найти и обезвредить вредоносного призрака с помощью MaxPatrol EDR
GHOSTENGINE, или, как его еще называют, HIDDENSHOVEL, — новое вредоносное ПО, обнаруженное в мае этого года. Злоумышленники используют его для установки и запуска майнера XMRig на устройствах.
Примечательно то, какие техники используют атакующие на различных этапах доставки этого вредоносного ПО. Среди них — модуль kill.png, который может завершать процессы установленных средств защиты.
Вот, как начинается цепочка заражения:
1⃣ Пользователь запускает вредоносный файл с именем TiWorker.exe.
2⃣ Этот файл маскируется под легитимный системный процесс, отвечающий за установку модулей Windows и обновлений ОС.
3⃣ Вредоносный процесс TiWorker запускает PowerShell и скачивает с С2‑сервера модули для дальнейших стадий атаки. Один из них — kill.png.
🔦 Наш продукт MaxPatrol EDR для защиты конечных устройств обнаруживает Ghostengine на самом раннем этапе заражения и реагирует на него в автоматическом режиме, удаляя вредоносное ПО с устройств.
Детальный разбор «призрака» и подробности о том, как MaxPatrol EDR его детектирует, — на Хабре, в материале Виталия Самаля, старшего специалиста отдела обнаружения ВПО экспертного центра безопасности Positive Technologies (@ptescalator).
Внутри статьи — полный список из 1661 процесса в распакованном модуле kill.png, которые ВПО принудительно завершает для уклонения от обнаружения.
Читать статью на Хабре: https://vk.cc/cye5Lu
#MaxPatrolEDR