Nul
To dage efter en sikkerhedsekspert frigivet detaljer og proof-of-concept kode om en ikke-opdateret Windows nul-dag, en malware-gruppen allerede havde indarbejdet en svaghed i deres udnytte kæde og var der forsøger at inficere brugere over hele verden.
Nul-dag anvendes i denne malware distribution kampagne er en (stadig-unpatched) sårbarhed i Windows Task Scheduler-funktionen, der påvirker den Avancerede (Local Procedure Call ALPC) funktion.
Nærmere oplysninger om denne svaghed blev udgivet den August 27, på Twitter og GitHub, sammen med en fuldt fungerende proof-of-concept exploit.
I OS-versioner, der er udgivet efter Windows 7, ALPC funktion virker ikke ordentligt ind brugertilladelser, når de vekselvirker med filer, der er gemt i Windows Task Scheduler mappe. En hacker ved hjælp af PoC udgivet på Twitter/GitHub kan løfte en normal brugerens tilladelse niveau fra BRUGER til SYSTEM.
Fordi den forsker, der viste denne zero-day udgivet både en kompileret, binær, men også udnytte kildekode, infosec eksperter, på det tidspunkt, forudsagde, at denne svaghed ville blive meget populære med malware forfattere.
Deres forudsigelser var opfyldt inden for to dage, om end ingen vidste på det tidspunkt.
I en rapport offentliggjort i dag, ESET security forsker Matthew Faou siger, at han har fulgt en gruppe, der har været løftestang for Windows ALPC nul-dagen for den sidste uge.
Gruppen –kodenavnet PowerPool– har været sende lav-volumen spam til udvalgte ofre over hele verden, Faou siger, med opdagelser, der kommer fra Chile, Tyskland, Indien, Filippinerne, Polen, Rusland, storbritannien, Usa og Ukraine.
Disse e-mails kan indeholde skadelig vedhæftede filer, der inficerer brugere med en første fase af bagdøren. Faou siger, at hvis angriberne bestemme, at den inficerede computer kan indeholde følsomme data, skal de hente en anden, mere kraftfulde bagdør. Den gruppe, så bruger Windows nul-dag for at få admin rettigheder for deres bagdøre.
Se også: Kritisk fjernkørsel af programkode fejl i Apache Stivere udsætter virksomheden for at angribe
I en e-mail interview med ZDNet, Faou siger, at gruppen har været aktiv siden i hvert fald begyndelsen af 2017, når hans selskab begyndte at spore aktivitet bag den to-bagdør for malware combo.
“Jeg var ikke i stand til klart at identificere det endelige mål for denne gruppe,” Faou fortalte ZDNet. “Men karakteren af deres værktøjer, og det lave antal af ofre, der tyder på, at det er en spionage kampagne. De gennemfører spam-kampagner, men på et relativt lavt volumen.”
Men Faou gjort det klart, i en rapport, som han offentliggjorde tidligere i dag, at de to bagdøre er ikke nær så kompleks som den malware, der anvendes af nationalstaten cyber-spionage grupper.
Se også: Mexicanere, der serveres med Mørk Tequila i spyware amok
Desuden forsker også fremhævet, at der, i modsætning til andre sager, når forskere afslører nul-dage online uden at vente på, patches, denne gang ting, der var værre.
“Når der kun er en kompileret version af Proof-of-Concept er til rådighed, det er sværere at genbruge, fordi malware udviklere først nødt til at foretage reverse engineering af programmet med henblik på at re-implementere det i deres malware,” Faou fortalte ZDNet.
“Forskellen mellem denne nul-dag, og de fleste af de tidligere, er frigivelsen af fuld source kode, der bruges til at udnytte sårbarheden. Således er det nemt kan genbruges af malware-udviklere,” tilføjede han.
Dette er grunden til, når sikkerhed forskere har offentliggjort oplysninger om en ny udnyttelse teknik involverer Windows 10 Indstillinger for Panel links (.SettingContent-ms-filer), det tog malware forfattere uger af forsøg, før at få tingene til højre, som er det tidspunkt, havde Microsoft patched spørgsmålet i August 2018 Patch tirsdag.
Men denne gang omkring, Faou sagde PowerPool gruppe fik det rigtige ved første forsøg.
“Ja, de var i stand til at løfte de privilegier af deres 2nd stage bagdør fra en begrænset bruger til SYSTEM,” Faou fortalte os, når vi spurgte om gruppens succesrate. “Jeg kunne ikke finde nogen spor af tidligere mislykkede forsøg,” sagde han.
En analyse af PowerPool koncernens bagdøre og andre oplysninger om deres modus operandi er inkluderet i Faou ‘s rapport, der blev offentliggjort på ESET’ s websted.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0