個是什么進程,導致系統卡頓得不行,CPU一度達到100%,后來查了一下原來是系統更新程序,應該是后臺自動下載更新補丁包了,但是也奇怪,看了只是下載了,還沒安裝,系統提示可以安裝,為何就么卡頓。
就是這個更新,初版估計應該是win11的最新升級包,但是我的電腦配置現在也不支持呀,沒有2.0版本的安全模塊,不讓裝,為什么系統還要下載。
微軟更新的時候是不是可以自動識別,根據電腦的當前配置適合升級了再推薦,不適合了就可以跳過,這樣也可以避免不必要的資源占用。
不知道這算不算是系統的一個BUG,我還一度以為是某個應用程序壞了。
看微軟官網上也有同樣的問題,遇到的人還不少
TiWorker.exe 一般情況下不會運行,這個進程是Windows Modules Installer Worker,用于Windows Update,或安裝某些微軟發布的安裝包時,進行系統文件的修改或替換;如果進程占用率很高100%,可能是系統在安裝一些系統模塊,如Windows Update正在自動下載安裝安全更新。
給出了一個這樣的解釋,沒辦法。
已發現代號為“REF4578”的惡意加密貨幣挖掘活動部署了名為 GhostEngine 的惡意負載,該負載使用易受攻擊的驅動程序來關閉安全產品并部署 XMRig 挖礦程序。
Elastic 安全實驗室 和 安天的研究人員 在單獨的報告和共享的檢測規則中強調了這些加密挖掘攻擊的不同尋常的復雜性,以幫助防御者識別和阻止這些攻擊。
然而,兩份報告都沒有將該活動歸因于已知的威脅行為者,也沒有分享有關目標/受害者的詳細信息,因此該活動的起源和范圍仍然未知。
雖然尚不清楚服務器最初是如何被破壞的,但威脅行為者的攻擊從執行名為“Tiworker.exe”的文件開始,該文件偽裝成合法的 Windows 文件。
此可執行文件是 GhostEngine 的初始暫存有效負載,GhostEngine 是一個 PowerShell 腳本,可下載各種模塊以在受感染的設備上執行不同的行為。
當 Tiworker.exe 執行時,它會從攻擊者的命令和控制 (C2) 服務器下載名為“get.png”的 PowerShell 腳本,該服務器充當 GhostEngine 的主要加載程序。
該 PowerShell 腳本下載附加模塊及其配置、禁用 Windows Defender、啟用遠程服務并清除各種 Windows 事件日志。
接下來,get.png 會驗證系統是否至少有 10MB 的可用空間,這對于進一步感染是必要的,并創建名為“OneDriveCloudSync”、“DefaultBrowserUpdate”和“OneDriveCloudBackup”的計劃任務,以實現持久性。
添加計劃任務以實現持久性
來源:Elastic Security
PowerShell 腳本現在將下載并啟動名為 smartsscreen.exe 的可執行文件,該可執行文件充當 GhostEngine 的主要有效負載。
該惡意軟件負責終止和刪除 EDR 軟件,并下載和啟動 XMRig 以挖掘加密貨幣。
為了終止 EDR 軟件,GhostEngine 加載兩個易受攻擊的內核驅動程序:aswArPots.sys(Avast 驅動程序),用于終止 EDR 進程;IObitUnlockers.sys(Iobit 驅動程序),用于刪除關聯的可執行文件。
EDR 終止程序所針對的進程列表如下所示:
Kill.png 和 smartscreen.exe 使用的硬編碼 EDR 列表
來源:Elastic Security
為了持久性,名為“oci.dll”的 DLL 由名為“msdtc”的 Windows 服務加載。啟動時,該 DLL 將下載“get.png”的新副本,以在計算機上安裝最新版本的 GhostEngine。
盡管 Elastic 沒有從他們檢查的單個支付 ID 中看到令人印象深刻的數字,但每個受害者可能都有一個獨特的錢包,因此總體經濟收益可能是巨大的。
完整的 GhostEngine 攻擊鏈
來源:Elastic Security
Elastic 研究人員建議防御者留意可疑的 PowerShell 執行、異常的進程活動以及指向加密挖掘池的網絡流量。
此外,在任何環境中,部署易受攻擊的驅動程序和創建關聯的內核模式服務都應被視為危險信號。
一種積極的措施是阻止來自易受攻擊的驅動程序(如 aswArPots.sys 和 IobitUnlockers.sys)的文件創建。
Elastic Security還在報告中提供了YARA規則,以幫助防御者識別GhostEngine感染。