Hackers começaram a explorar a vulnerabilidade de escalação de privilégio no Windows sem patches usando malware
Hackers mal-intencionados criaram um malware com um exploit para uma falha sem patch Microsoft Zero-day que foi revelada alguns dias antes pelo pesquisador de segurança da Bélgica no Twitter.
O sistema operacional Microsoft Windows do Windows 7 para o Windows 10 e o Windows Server 2016 foi afetado por esse fluxo de escalonamento de privilégio local na função ALPC (Advanced Local Procedure Call).
O código de prova de conceito desta exploração foi lançado no repositório do GitHub, que pode ser modificado e recompilado por qualquer pessoa, a fim de melhorar o vetor de ataque, adicionando as técnicas de detecção de evasão.
Agora, um grupo de cibercrime desconhecido chamado PowerPool começou a usar essa exploração como uma campanha mal-intencionada para atacar as vítimas vulneráveis em muitos países, incluindo Chile, Alemanha, Índia, Filipinas, Polônia, Rússia, Reino Unido, Estados Unidos e Ucrânia.
Invasores modificaram o código fonte
Os autores de malware do PowerPool modificaram ligeiramente o código fonte e recompilaram-no e não reutilizaram o binário fornecido pelo autor da exploração original.
Um fluxo sério descoberto na função da API SchRpcSetSecurity permite que o usuário possa ter permissões de gravação em qualquer arquivo em C: \ Windows \ Task, independentemente de suas permissões reais, porque a função da API não verifica as permissões do usuário corretamente.
Essa falha permite que um usuário que esteja lendo uma permissão possa gravar em C: \ Windows \ Task e seja possível criar um arquivo nessa pasta que seja um link físico para qualquer arquivo de destino.
Mais tarde, podemos obter acesso de gravação a esse arquivo de destino chamando a função quebrada SchRpcSetSecurity.
Neste caso, o autor de malware do PowerPool escolheu alterar o conteúdo do arquivo C: \ Arquivos de Programas (x86) \ Google \ Update \ GoogleUpdate.exe,que é um dos atualizadores legítimos do Google.
Aqui, um invasor abusou do SchRpcCreateFolder para alterar as permissões do executável do Google Updater.
Operadores acima do PowerPool permitem acesso de gravação ao arquivo executável GoogleUpdate.exe.
Estágio Inicial de Ataque
O estágio inicial do ataque começou com um email de spam com um arquivo malicioso anexado que é o primeiro estágio do ataque com o código do PowerShell.
“O grupo PowerPool também usa dois backdoors diferentes: um backdoor de primeiro estágio usado logo após o primeiro compromisso e depois um backdoor de segundo estágio, provavelmente nas máquinas mais interessantes.”
De acordo com a pesquisa da ESET , este é um malware básico usado para reconhecimento na máquina. Ele é composto por dois executáveis do Windows e o backdoor do Segundo Estágio é baixado através do primeiro estágio, presumivelmente quando os operadores acreditam que a máquina é interessante o suficiente para que eles permaneçam nela por mais tempo.
Uma vez que o atacante obtenha acesso a uma máquina com o backdoor de segundo estágio, ele começará a usar as diversas ferramentas de código aberto para realizar novos ataques.
Indicadores de compromisso
Hashes
| SHA-1 | Tipo | Nome da detecção |
|---|---|---|
| 038f75dcf1e5277565c68d57fa1f4f7b3005f3f3 | Backdoor do primeiro estágio | Win32 / Agent.SZS |
| 247b542af23ad9c63697428c7b77348681aadc9a | Backdoor do primeiro estágio | Win32 / Agent.TCH |
| 0423672fe9201c325e33f296595fb70dcd81bcd9 | Backdoor do segundo estágio | Win32 / Agent.TIA |
| b4ec4837d07ff64e34947296e73732171d1c1586 | Backdoor do segundo estágio | Win32 / Agent.TIA |
| 9dc173d4d4f74765b5fc1e1c9a2d188d5387beea | Exploração ALPC LPE | Win64 / Exploit.Agent.H |
FONTE:GBHACKERS
Comentários
Postar um comentário