Hurricane Panda, une attaque d'origine chinoise exploitant une vulnérabilité Zero Day dans les systèmes Windows X64

Table des matières

• Qu’est-ce que Hurricane Panda ?
• CrowdStrike
• Voici comment cela fonctionne :

Qu’est-ce que Hurricane Panda ?

Les chercheurs en sécurité de CrowdStrike ont découvert une attaque hautement sophistiquée utilisant la vulnérabilité Zero-day (CVE-2014-4113) qu’ils ont nommée Hurricane Panda. Les chercheurs de CrowdStrike croient que l’attaque provient de cybercriminels chinois et cible les grandes entreprises d’infrastructure avec un exploit zero-day dans les systèmes Windows basés sur X64 jusqu’à Windows 7. De plus, ils soulignent que Hurricane Panda a été activement utilisé pour mener des attaques et exploiter activement la vulnérabilité dans la nature pendant au moins cinq mois.

CrowdStrike

CrowdStrike a d’abord détecté une activité suspecte sur une machine Windows Server 2008 R2 64 bits qui a été attribuée à un compromis par une partie extérieure. D’autres enquêtes ont révélé que les attaques commencent par le compromis de serveurs web et le déploiement de webshells Chopper, puis l’escalade des privilèges en utilisant le nouvel outil d’escalade de privilèges locaux, qui exploite une vulnérabilité auparavant inconnue (maintenant corrigée par Microsoft).

Il élève les privilèges de l’intrus à ceux de l’utilisateur SYSTEM, puis crée un nouveau processus avec ces droits d’accès pour exécuter des commandes, généralement des activités de collecte de renseignements.

Voici comment cela fonctionne :

Une analyse ultérieure du binaire Win64.exe par CrowdStrike a révélé qu’il exploite une vulnérabilité auparavant inconnue pour élever ses privilèges à ceux de l’utilisateur SYSTEM, puis créer un nouveau processus avec ces droits d’accès pour exécuter la commande qui a été passée en argument. Le fichier lui-même ne fait que 55 kilooctets et contient juste quelques fonctions. Voici une description de haut niveau de sa fonctionnalité :

• Créer une section de mémoire et stocker un pointeur vers une fonction qui sera appelée depuis le noyau lorsque la vulnérabilité est déclenchée

• Utiliser une vulnérabilité de corruption de mémoire dans le gestionnaire de fenêtres, simulant une interaction utilisateur pour invoquer une fonction de rappel

• Remplacer le pointeur de jeton d’accès dans la structure EPROCESS par celui du processus SYSTEM

• Exécuter la commande du premier argument en tant que nouveau processus avec des privilèges SYSTEM

CrowdStrike croit que les hackers ne sont pas des cybercriminels ordinaires mais un groupe de cybercriminels hautement sophistiqué avec une aide étatique. Leur raison de déclarer cela est que, les hackers normaux n’ont pas besoin d’accès privilégié aux systèmes car ils cherchent généralement des fichiers contenant des informations personnelles/financières. Dans l’attaque Hurricane Panda, CrowdStrike a observé que les cybercriminels cherchaient à effectuer des actions de cyber-espionnage plus avancées, telles que le chargement d’un pilote de noyau agissant comme un rootkit ou la réalisation de dumping de mots de passe. Cela nécessite un accès privilégié administratif pour se déplacer dans le réseau.

“Les adversaires utilisent souvent des vulnérabilités connues d’escalade de privilèges pour obtenir un accès de niveau administrateur, mais les véritables exploits zero-day sont rares et donc particulièrement intéressants lorsqu’ils sont observés dans la nature. Ils démontrent qu’un attaquant a des connaissances sur des bugs de sécurité exploitables non publics, ce qui signifie généralement que l’exploit a été soit acheté auprès d’un fournisseur, soit développé en interne.”

CrowdStrike a également noté que l’esprit criminel derrière Hurricane Panda a écrit le code d’exploitation de manière extrêmement bien et qu’il a un taux de réussite de 100 %. Le blog note également que les hackers ont peut-être déployé des efforts considérables pour minimiser les chances de sa découverte.

Un des exemples de l’effort fourni par les créateurs du kit d’exploitation Hurricane Panda est que l’outil d’escalade n’est déployé que lorsque cela est absolument nécessaire pendant les opérations d’intrusion, et est supprimé immédiatement après utilisation.

CrowdStrike a également découvert que le RAT de choix de Hurricane Panda a été PlugX. C’est une autre raison pour laquelle ils croient que l’exploit a originaire de la Chine continentale. Ce RAT particulier a été configuré pour utiliser la technique de chargement de DLL qui a été récemment popularisée parmi les adversaires chinois.

Hurricane Panda frappe quotidiennement, selon CrowdStrike, et la surface cible est grande : le bug affecte toutes les variantes Windows x64 jusqu’à et y compris Windows 7 et Windows Server 2008 R2. Sur les systèmes avec Windows 8 et des variantes ultérieures avec des processeurs Intel Ivy Bridge ou des générations ultérieures, SMEP (Supervisor Mode Execution Prevention) bloquera les tentatives d’exploiter le bug et entraînera un écran bleu.

Si vous êtes soumis à cette attaque particulière, Microsoft a abordé cet exploit dans le bulletin de sécurité MS14-058 et a publié un correctif qui corrige la vulnérabilité. Vous pouvez télécharger le correctif ici et mettre à jour vos systèmes immédiatement.

*Ressource : CrowdStrike