Hurricane Panda, ein Angriff chinesischer Herkunft, der eine Zero-Day-Sicherheitsanfälligkeit in X64-Windows-Systemen ausnutzt

Table Of Contents

• Was ist Hurricane Panda?
• CrowdStrike
• So funktioniert es :

Was ist Hurricane Panda?

Sicherheitsforscher von CrowdStrike haben einen hochgradig ausgeklügelten Angriff entdeckt, der die Zero-Day-Sicherheitsanfälligkeit (CVE-2014-4113) ausnutzt, die sie Hurricane Panda genannt haben. Die CrowdStrike-Forscher glauben, dass der Angriff von chinesischen Cyberkriminellen ausgeht und sich gegen große Infrastrukturunternehmen mit einem Zero-Day-Exploit in X64-basierten Windows-Systemen bis Windows 7 richtet. Darüber hinaus weisen sie darauf hin, dass Hurricane Panda aktiv genutzt wurde, um Angriffe durchzuführen und die Sicherheitsanfälligkeit seit mindestens fünf Monaten aktiv auszunutzen.

CrowdStrike

CrowdStrike entdeckte erstmals verdächtige Aktivitäten auf einem 64-Bit-Windows-Server 2008 R2, die einem Kompromiss durch eine externe Partei zugeschrieben wurden. Weitere Untersuchungen ergaben, dass die Angriffe mit der Kompromittierung von Webservern beginnen und Chopper-Webshells bereitstellen, und dann Privilegien mit dem neu entdeckten Tool zur lokalen Privilegieneskalation eskalieren, das eine zuvor unbekannte Sicherheitsanfälligkeit ausnutzt (die jetzt von Microsoft gepatcht wurde).

Es erhöht die Privilegien des Eindringlings auf die des SYSTEM-Benutzers und erstellt dann einen neuen Prozess mit diesen Zugriffsrechten, um Befehle auszuführen, typischerweise Aktivitäten zur Informationsbeschaffung.

So funktioniert es :

Eine nachfolgende Analyse der Win64.exe-Binärdatei durch CrowdStrike ergab, dass sie eine zuvor unbekannte Sicherheitsanfälligkeit ausnutzt, um ihre Privilegien auf die des SYSTEM-Benutzers zu erhöhen und dann einen neuen Prozess mit diesen Zugriffsrechten zu erstellen, um den als Argument übergebenen Befehl auszuführen. Die Datei selbst ist nur 55 Kilobyte groß und enthält nur wenige Funktionen. Hier ist eine hochrangige Beschreibung ihrer Funktionalität:

• Erstellen Sie einen Speicherbereich und speichern Sie einen Zeiger auf eine Funktion, die vom Kernel aufgerufen wird, wenn die Sicherheitsanfälligkeit ausgelöst wird
• Nutzen Sie eine Sicherheitsanfälligkeit in der Speicherverwaltung, um eine Benutzerinteraktion zu simulieren und eine Rückruffunktion aufzurufen
• Ersetzen Sie den Zeiger auf das Zugriffstoken in der EPROCESS-Struktur durch den aus dem SYSTEM-Prozess
• Führen Sie den Befehl aus dem ersten Argument als neuen Prozess mit SYSTEM-Privilegien aus

CrowdStrike glaubt, dass die Hacker keine gewöhnlichen Cyberkriminellen sind, sondern eine hochgradig ausgeklügelte Cyberkriminellegruppe mit staatlicher Unterstützung. Ihr Grund für diese Aussage ist, dass normale Hacker keinen privilegierten Zugriff auf Systeme benötigen, da sie normalerweise nach Dateien suchen, die persönliche/finanzielle Informationen enthalten. Im Angriff von Hurricane Panda beobachtete CrowdStrike, dass die Cyberkriminellen versuchten, fortgeschrittenere cyber-espionagebezogene Aktionen durchzuführen, wie das Laden eines Kernel-Treibers, der als Rootkit fungiert, oder das Durchführen von Passwortdumping. Dies erfordert administrativen Privilegienzugriff, um sich im Netzwerk zu bewegen.

„Gegner nutzen häufig bekannte Privilegieneskalationsanfälligkeiten, um Administratorzugriff zu erlangen, aber echte Zero-Day-Exploits sind selten und daher besonders interessant, wenn sie in der Wildnis beobachtet werden. Sie zeigen, dass ein Angreifer Kenntnisse über nicht-öffentliche ausnutzbare Sicherheitsfehler hat, was normalerweise bedeutet, dass der Exploit entweder von einem Anbieter gekauft oder intern entwickelt wurde.“

CrowdStrike stellte auch fest, dass der kriminelle Geist hinter Hurricane Panda den Exploit-Code extrem gut geschrieben hat und eine Erfolgsquote von 100 % aufweist. Der Blog weist auch darauf hin, dass die Hacker möglicherweise erhebliche Anstrengungen unternommen haben, um die Wahrscheinlichkeit ihrer Entdeckung zu minimieren.

Ein Beispiel für die Anstrengungen, die die Hersteller des Hurricane Panda-Exploit-Kits unternommen haben, ist, dass das Eskalationstool nur dann eingesetzt wird, wenn es während der Eindringoperationen unbedingt erforderlich ist, und sofort nach der Verwendung gelöscht wird.

CrowdStrike entdeckte auch, dass Hurricane Pandas RAT der Wahl PlugX ist. Dies ist ein weiterer Grund für sie zu glauben, dass der Exploit aus dem Festlandchina stammt. Dieses spezielle RAT wurde so konfiguriert, dass es die DLL-Seitenlade-Technik verwendet, die kürzlich unter chinesischen Gegnern populär geworden ist.

Hurricane Panda schlägt laut CrowdStrike täglich zu, und die Zieloberfläche ist groß: Der Fehler betrifft alle x64-Windows-Varianten bis einschließlich Windows 7 und Windows Server 2008 R2. Auf Systemen mit Windows 8 und späteren Varianten mit Intel Ivy Bridge oder späteren Prozessoren wird SMEP (Supervisor Mode Execution Prevention) versuchen, die Versuche, den Fehler auszunutzen, zu blockieren und zu einem blauen Bildschirm führen.

Wenn Sie diesem speziellen Angriff ausgesetzt sind, hat Microsoft diesen Exploit im Sicherheitsbulletin MS14-058 behandelt und einen Patch herausgegeben, der die Sicherheitsanfälligkeit behebt. Sie können den Fix hier herunterladen und Ihre Systeme sofort aktualisieren.

Ressource: CrowdStrike