Huracán Panda, un ataque de origen chino que explota una vulnerabilidad de día cero en sistemas Windows X64

Tabla de Contenidos

• ¿Qué es Huracán Panda?
• CrowdStrike
• Así es como funciona:

¿Qué es Huracán Panda?

Los investigadores de seguridad de CrowdStrike han descubierto un ataque altamente sofisticado que utiliza la vulnerabilidad de día cero (CVE-2014-4113) que han denominado Huracán Panda. Los investigadores de CrowdStrike creen que el ataque proviene de criminales cibernéticos chinos y está dirigido a grandes empresas de infraestructura con un exploit de día cero en sistemas Windows basados en X64 hasta Windows 7. Además, señalan que Huracán Panda ha sido utilizado activamente para llevar a cabo ataques y explotar la vulnerabilidad en la naturaleza durante al menos cinco meses.

CrowdStrike

CrowdStrike detectó por primera vez actividad sospechosa en una máquina con Windows Server 2008 R2 de 64 bits que se atribuyó a un compromiso por parte de algún tercero externo. Investigaciones adicionales revelaron que los ataques comienzan comprometiendo servidores web y desplegando shells web Chopper, y luego escalando privilegios utilizando la nueva herramienta de Escalación de Privilegios Local, que explota una vulnerabilidad previamente desconocida (ahora parcheada por Microsoft).

Eleva los privilegios del intruso a los del usuario del SISTEMA, y luego crea un nuevo proceso con estos derechos de acceso para ejecutar comandos, típicamente actividades de recopilación de inteligencia.

Así es como funciona :

Un análisis posterior del binario Win64.exe por parte de CrowdStrike reveló que explota una vulnerabilidad previamente desconocida para elevar sus privilegios a los del usuario del SISTEMA y luego crear un nuevo proceso con estos derechos de acceso para ejecutar el comando que se pasó como argumento. El archivo en sí tiene solo 55 kilobytes de tamaño y contiene solo unas pocas funciones. Aquí hay una descripción general de su funcionalidad:

• Crear una sección de memoria y almacenar un puntero a una función que será llamada desde el núcleo cuando se active la vulnerabilidad

• Utilizar una vulnerabilidad de corrupción de memoria en el administrador de ventanas, simulando la interacción del usuario para invocar una función de retorno de llamada

• Reemplazar el puntero del token de acceso en la estructura EPROCESS con el de el proceso del SISTEMA

• Ejecutar el comando del primer argumento como un nuevo proceso con privilegios de SISTEMA

CrowdStrike cree que los hackers no son criminales cibernéticos comunes, sino un grupo de criminales cibernéticos altamente sofisticados con alguna ayuda estatal. Su razón para afirmar esto es que los hackers normales no requieren acceso privilegiado a los sistemas, ya que normalmente buscan archivos que contienen información personal/financiera. En el ataque de Huracán Panda, CrowdStrike observó que los criminales cibernéticos buscaban realizar acciones más avanzadas relacionadas con la ciberespionaje, como cargar un controlador de núcleo que actúa como un rootkit o realizar volcado de contraseñas. Esto requiere acceso de privilegios administrativos para moverse por la red.

“Los adversarios a menudo utilizan vulnerabilidades de escalación de privilegios conocidas para obtener acceso a nivel de administrador, pero los verdaderos exploits de día cero son raros y, por lo tanto, particularmente interesantes cuando se observan en la naturaleza. Demuestran que un atacante tiene conocimiento sobre errores de seguridad explotables no públicos, lo que generalmente significa que el exploit fue comprado a un proveedor o desarrollado internamente.”

CrowdStrike también señaló que la mente criminal detrás de Huracán Panda ha escrito el código de exploit de manera extremadamente bien y que tiene una tasa de éxito del 100%. El blog también señala que los hackers pueden haber realizado un esfuerzo considerable para minimizar la posibilidad de su descubrimiento.

Uno de los ejemplos del esfuerzo realizado por los creadores del kit de exploits de Huracán Panda es que la herramienta de escalación solo se despliega cuando es absolutamente necesario durante las operaciones de intrusión y se elimina inmediatamente después de su uso.

CrowdStrike también descubrió que el RAT de elección de Huracán Panda ha sido PlugX. Esta es otra razón para que crean que el exploit se originó en la China continental. Este RAT en particular ha sido configurado para utilizar la técnica de carga lateral de DLL que ha sido recientemente popularizada entre los adversarios chinos.

Huracán Panda está atacando a diario, según CrowdStrike, y la superficie objetivo es grande: el error afecta a todas las variantes de Windows x64 hasta e incluyendo Windows 7 y Windows Server 2008 R2. En sistemas con Windows 8 y variantes posteriores con procesadores Intel Ivy Bridge o de generaciones posteriores, SMEP (Prevención de Ejecución en Modo Supervisor) bloqueará los intentos de explotar el error y resultará en una pantalla azul.

Si estás sujeto a este ataque en particular, Microsoft ha abordado este exploit en el boletín de seguridad MS14-058 y ha emitido un parche que corrige la vulnerabilidad. Puedes descargar la solución desde aquí y actualizar tus sistemas de inmediato.

Recurso: CrowdStrike