Hurricane Panda, un attacco di origine cinese che sfrutta una vulnerabilità Zero Day nei sistemi Windows X64

Table Of Contents

• Cos’è Hurricane Panda?
• CrowdStrike
• Ecco come funziona :

Cos’è Hurricane Panda?

I ricercatori di sicurezza di CrowdStrike hanno scoperto un attacco altamente sofisticato che utilizza la vulnerabilità Zero-day (CVE-2014-4113) che hanno chiamato Hurricane Panda. I ricercatori di CrowdStrike credono che l’attacco provenga da criminali informatici cinesi e stia prendendo di mira grandi aziende infrastrutturali con uno sfruttamento zero-day nei sistemi Windows basati su X64 fino a Windows 7. Inoltre, sottolineano che Hurricane Panda è stato attivamente utilizzato per lanciare attacchi e sfruttare attivamente la vulnerabilità nel mondo reale per almeno cinque mesi.

CrowdStrike

CrowdStrike ha rilevato per la prima volta attività sospette su una macchina Windows Server 2008 R2 a 64 bit che è stata attribuita a una compromissione da parte di una terza parte. Ulteriori indagini hanno rivelato che gli attacchi iniziano compromettendo i server web e distribuendo webshell Chopper, e poi elevando i privilegi utilizzando il nuovo strumento di Elevazione dei Privilegi Locali, che sfrutta una vulnerabilità precedentemente sconosciuta (ora corretta da Microsoft).

Questo eleva i privilegi dell’intruso a quelli dell’utente SYSTEM, e poi crea un nuovo processo con questi diritti di accesso per eseguire comandi, tipicamente attività di raccolta di informazioni.

Ecco come funziona :

Un’analisi successiva del file Win64.exe da parte di CrowdStrike ha rivelato che sfrutta una vulnerabilità precedentemente sconosciuta per elevare i suoi privilegi a quelli dell’utente SYSTEM e poi creare un nuovo processo con questi diritti di accesso per eseguire il comando passato come argomento. Il file stesso è di soli 55 kilobyte e contiene solo poche funzioni. Ecco una descrizione ad alto livello della sua funzionalità:

• Creare una sezione di memoria e memorizzare un puntatore a una funzione che sarà chiamata dal kernel quando la vulnerabilità viene attivata
• Utilizzare una vulnerabilità di corruzione della memoria nel gestore delle finestre, simulando l’interazione dell’utente per invocare una funzione di callback
• Sostituire il puntatore del token di accesso nella struttura EPROCESS con quello del processo SYSTEM
• Eseguire il comando dal primo argomento come un nuovo processo con privilegi SYSTEM

CrowdStrike crede che gli hacker non siano criminali informatici comuni, ma un gruppo di criminali informatici altamente sofisticati con qualche aiuto statale. Il loro motivo per affermare ciò è che, gli hacker normali non richiedono accesso privilegiato ai sistemi poiché normalmente sono alla ricerca di file che contengono informazioni personali/finanziarie. Nell’attacco Hurricane Panda, CrowdStrike ha osservato che i criminali informatici cercavano di eseguire azioni di cyber-spionaggio più avanzate, come caricare un driver del kernel che funge da rootkit o condurre il dumping delle password. Questo richiede accesso ai privilegi amministrativi per muoversi all’interno e attraverso la rete.

“Gli avversari spesso utilizzano vulnerabilità di elevazione dei privilegi note per ottenere accesso a livello di amministratore, ma i veri exploit zero-day sono rari e quindi particolarmente interessanti quando osservati nel mondo reale. Dimostrano che un attaccante ha conoscenza di bug di sicurezza sfruttabili non pubblici, il che di solito significa che l’exploit è stato acquistato da un fornitore o sviluppato internamente.”

CrowdStrike ha anche notato che la mente criminale dietro Hurricane Panda ha scritto il codice di sfruttamento in modo estremamente accurato e che ha un tasso di successo del 100%. Il blog nota anche che gli hacker potrebbero aver fatto notevoli sforzi per ridurre al minimo la possibilità della sua scoperta.

Uno degli esempi dello sforzo compiuto dai creatori del kit di sfruttamento Hurricane Panda è che, lo strumento di elevazione viene distribuito solo quando assolutamente necessario durante le operazioni di intrusione, e viene eliminato immediatamente dopo l’uso.

CrowdStrike ha anche scoperto che il RAT di scelta di Hurricane Panda è stato PlugX. Questo è un altro motivo per cui credono che l’exploit sia originato dalla Cina continentale. Questo particolare RAT è stato configurato per utilizzare la tecnica di caricamento DLL che è stata recentemente popolarizzata tra gli avversari cinesi.

Hurricane Panda colpisce quotidianamente, secondo CrowdStrike, e la superficie di attacco è ampia: il bug colpisce tutte le varianti Windows x64 fino a e compreso Windows 7 e Windows Server 2008 R2. Nei sistemi con Windows 8 e versioni successive con processori Intel Ivy Bridge o generazioni successive, SMEP (Supervisor Mode Execution Prevention) bloccherà i tentativi di sfruttare il bug e risulterà in uno schermo blu.

Se sei soggetto a questo particolare attacco, Microsoft ha affrontato questo exploit nel bollettino di sicurezza MS14-058 e ha emesso una patch che corregge la vulnerabilità. Puoi scaricare la correzione da qui e aggiornare immediatamente i tuoi sistemi.

Risorsa : CrowdStrike