GhostEngine: Cryptominer schaltet Virenscanner ab

Der Vorfall

Im Mai 2024 entdeckten Sicherheitsforscher von Elastic Security Labs eine besonders aggressive Malware-Kampagne, die sie GhostEngine (auch als REF4578 bekannt) tauften. Das Besondere an GhostEngine war nicht das Endziel – ein simpler Kryptowährungs-Miner –, sondern der Weg dorthin: Die Malware nutzte die sogenannte BYOVD-Technik (Bring Your Own Vulnerable Driver), um sämtliche Sicherheitsprodukte auf dem Rechner auszuschalten, bevor sie ihren XMRig-Miner installierte.

BYOVD funktioniert so: Die Malware bringt einen legitimen, aber verwundbaren Windows-Treiber mit und installiert ihn. Da der Treiber von einem bekannten Hersteller signiert ist, akzeptiert Windows ihn klaglos. Über die bekannte Schwachstelle im Treiber verschafft sich die Malware dann Kernel-Zugriff – die höchste Berechtigungsstufe im Betriebssystem. Von dort aus kann sie jeden Virenscanner, jede EDR-Lösung (Endpoint Detection and Response) und jedes Sicherheitstool einfach abschalten.

GhostEngine war kein Einzelfall. Die BYOVD-Technik wurde 2023 und 2024 zunehmend populär und von verschiedenen Bedrohungsakteuren eingesetzt – von staatlich unterstützten Gruppen bis hin zu finanziell motivierten Kriminellen.

Wie der Angriff funktionierte

GhostEngine folgte einem hochkomplexen mehrstufigen Angriffsmuster, das selbst erfahrene Sicherheitsanalysten beeindruckte:

Stufe 1 – Der initiale Zugang: Der Angriff begann mit einer manipulierten Datei, die als erstes ein PowerShell-Skript ausführte. Dieses Skript war als harmlose Systemdatei getarnt und stellte eine Verbindung zu einem Command-and-Control-Server her, um die nächste Stufe herunterzuladen.

Stufe 2 – Der Orchestrator: Das PowerShell-Skript lud ein weiteres, deutlich umfangreicheres Skript herunter, das als Orchestrator fungierte. Dieses Skript hatte eine klare Aufgabe: Es bereitete den Rechner systematisch auf die Installation des Cryptominers vor. Dazu gehörte:

• Deaktivierung des Windows Defender über Registry-Änderungen
• Erstellung von geplanten Aufgaben (Scheduled Tasks) für Persistenz
• Download der verwundbaren Treiber

Stufe 3 – BYOVD-Angriff: Hier wurde es technisch besonders raffiniert. GhostEngine installierte zwei verwundbare Treiber:

• aswArPots.sys – ein veralteter Avast-Treiber, über dessen Schwachstelle Prozesse auf Kernel-Ebene beendet werden konnten
• IObitUnlockers.sys – ein Treiber von IObit, der das Löschen geschützter Dateien ermöglichte

Mit dem Avast-Treiber beendete GhostEngine systematisch die Prozesse aller erkannten Sicherheitsprodukte: Windows Defender, CrowdStrike, Carbon Black, ESET, Kaspersky – die Liste umfasste Dutzende Produkte. Mit dem IObit-Treiber löschte die Malware anschließend die zugehörigen Dateien von der Festplatte.

Stufe 4 – Der Miner: Erst nachdem alle Sicherheitsprodukte neutralisiert waren, installierte GhostEngine den eigentlichen XMRig-Miner. Dieser schürfte die Kryptowährung Monero und übertrug die Erträge an die Wallet-Adressen der Angreifer. Der Miner wurde so konfiguriert, dass er die CPU-Auslastung moderat hielt, um nicht durch übermäßige Systemlast aufzufallen.

Stufe 5 – Persistenz und Schutz: GhostEngine richtete mehrere Persistenzmechanismen ein: geplante Aufgaben, die den Miner nach einem Neustart erneut starteten, und ein Überwachungsskript, das regelmäßig prüfte, ob der Miner noch lief und ob Sicherheitsprodukte wieder aktiv geworden waren. Falls ja, wurden sie erneut abgeschaltet.

Warum Virenscanner versagten

GhostEngine demonstrierte auf brutale Weise die Grenzen von Sicherheitssoftware:

Der Virenscanner wurde abgeschaltet, bevor er reagieren konnte. Das ist der Kern des BYOVD-Problems: Wenn die Malware sich über einen signierten Treiber Kernel-Zugriff verschafft, steht sie auf einer höheren Berechtigungsstufe als jeder Virenscanner. Sie kann Sicherheitsprozesse einfach beenden – und die Software kann sich nicht dagegen wehren.

Legitime Treiber werden nicht blockiert. Die verwundbaren Treiber von Avast und IObit waren ordnungsgemäß signiert. Windows akzeptierte ihre Installation, weil sie von vertrauenswürdigen Herstellern stammten. Die Tatsache, dass sie bekannte Schwachstellen enthielten, war für den Signaturprüfungsprozess irrelevant.

Mehrstufiger Angriff mit Ablenkungsmanöver: Jede einzelne Stufe des Angriffs war für sich genommen schwer als bösartig zu erkennen. Ein PowerShell-Skript? Normal. Ein signierter Treiber? Normal. Die Installation eines Windows-Dienstes? Normal. Erst das Zusammenspiel aller Komponenten war bösartig – und bis ein Virenscanner das erkannt hätte, war er bereits deaktiviert.

Dateien wurden gelöscht, nicht nur versteckt. GhostEngine löschte die Dateien der Sicherheitsprodukte physisch von der Festplatte. Selbst wenn ein Produkt sich nach einem Neustart hätte reaktivieren wollen, fehlten die notwendigen Programmdateien.

So hätte Deep Freeze geschützt

Deep Freeze hätte GhostEngine auf mehreren Ebenen neutralisiert:

Alle Änderungen werden beim Neustart rückgängig gemacht. Die verwundbaren Treiber, die Registry-Änderungen, die geplanten Aufgaben, der XMRig-Miner – alles wird beim Reboot gelöscht. Die eingefrorene Systempartition kehrt in den Originalzustand zurück.

Gelöschte Sicherheitssoftware wird wiederhergestellt. Einer der cleversten Aspekte von GhostEngine war das Löschen der Antivirendateien. Auf einer eingefrorenen Systempartition ist das wirkungslos: Nach dem Neustart sind alle gelöschten Dateien zurück, und die Sicherheitssoftware funktioniert wieder normal.

Persistenz ist unmöglich. GhostEngine richtete geplante Aufgaben und Registry-Einträge ein, um den Miner dauerhaft am Laufen zu halten. Deep Freeze macht all diese Persistenzmechanismen zunichte. Der Miner muss bei jeder Sitzung neu installiert werden – was bedeutet, dass der gesamte mehrstufige Angriff jedes Mal von Stufe eins beginnen müsste.

Der BYOVD-Trick verliert seine Wirkung. Die Stärke von BYOVD ist, dass die Malware sich dauerhaft auf Kernel-Ebene einnistet. Ohne Persistenz wird der verwundbare Treiber beim Neustart entfernt, und die Sicherheitsprodukte starten wieder normal. Der aufwändige Angriff müsste bei jeder Sitzung komplett wiederholt werden – ein Aufwand, der den Ertrag eines Cryptominers bei Weitem übersteigt.

Kein Mining-Ertrag. Ein Cryptominer muss über Wochen und Monate laufen, um relevante Erträge zu erwirtschaften. Wenn Deep Freeze den Miner bei jedem Neustart entfernt, wird das gesamte Geschäftsmodell der Angreifer zerstört.

Die Lehre

• BYOVD ist eine der gefährlichsten aktuellen Angriffstechniken. Wenn Malware sich über signierte Treiber Kernel-Zugriff verschafft, sind alle Software-basierten Sicherheitslösungen machtlos.
• Signierte Treiber sind kein Sicherheitsmerkmal. Windows vertraut jedem ordnungsgemäß signierten Treiber – auch wenn er bekannte, ausnutzbare Schwachstellen enthält. Microsofts „Blocklist" für verwundbare Treiber wird zu selten aktualisiert.
• Sicherheitssoftware kann sich nicht selbst schützen. Wenn ein Angreifer auf Kernel-Ebene operiert, kann er jeden Sicherheitsprozess beenden. Kein Virenscanner kann sich gegen einen Gegner mit höheren Berechtigungen verteidigen.
• Cryptomining ist ein Langzeitangriff. Im Gegensatz zu Ransomware, die schnellen Profit anstrebt, muss ein Miner über lange Zeiträume laufen. Das macht Cryptominer besonders anfällig für Neustarts – und damit für Deep Freeze.
• Deep Freeze schützt, wo Virenscanner versagen: Statt sich auf die Erkennung der Malware zu verlassen, setzt eine eingefrorene Systempartition an der fundamentalen Schwachstelle aller Malware an – der Notwendigkeit, sich dauerhaft auf dem System einzunisten.