Furacão Panda, um ataque de origem chinesa explorando vulnerabilidade Zero Day em sistemas Windows X64

Tabela de Conteúdos

• O que é o Furacão Panda?
• CrowdStrike
• Aqui está como funciona:

O que é o Furacão Panda?

Pesquisadores de segurança da CrowdStrike descobriram um ataque altamente sofisticado usando a vulnerabilidade Zero-day (CVE-2014-4113) que eles nomearam de Furacão Panda. Os pesquisadores da CrowdStrike acreditam que o ataque se origina de criminosos cibernéticos chineses e está visando grandes empresas de infraestrutura com um exploit de zero-day em sistemas Windows baseados em X64 até o Windows 7. Além disso, eles apontam que o Furacão Panda tem sido ativamente usado para montar ataques e explorar ativamente a vulnerabilidade na natureza por pelo menos cinco meses.

CrowdStrike

A CrowdStrike detectou pela primeira vez atividade suspeita em uma máquina Windows Server 2008 R2 de 64 bits que foi atribuída a um comprometimento por algum partido externo. Investigações adicionais revelaram que os ataques começam com o comprometimento de servidores web e a implantação de webshells Chopper, e então a escalada de privilégios usando a nova ferramenta de Escalada de Privilégios Locais, que explora uma vulnerabilidade anteriormente desconhecida (agora corrigida pela Microsoft).

Isso eleva os privilégios do intruso para os do usuário SYSTEM e, em seguida, cria um novo processo com esses direitos de acesso para executar comandos, tipicamente atividades de coleta de inteligência.

Aqui está como funciona:

Uma análise subsequente do binário Win64.exe pela CrowdStrike revelou que ele explora uma vulnerabilidade anteriormente desconhecida para elevar seus privilégios para os do usuário SYSTEM e, em seguida, criar um novo processo com esses direitos de acesso para executar o comando que foi passado como argumento. O arquivo em si tem apenas 55 kilobytes de tamanho e contém apenas algumas funções. Aqui está uma descrição de alto nível de sua funcionalidade:

• Criar uma seção de memória e armazenar um ponteiro para uma função que será chamada a partir do kernel quando a vulnerabilidade for acionada
• Utilizar uma vulnerabilidade de corrupção de memória no gerenciador de janelas, simulando interação do usuário para invocar uma função de retorno de chamada
• Substituir o ponteiro do token de acesso na estrutura EPROCESS pelo do processo SYSTEM
• Executar o comando do primeiro argumento como um novo processo com privilégios SYSTEM

A CrowdStrike acredita que os hackers não são criminosos cibernéticos comuns, mas um grupo de criminosos cibernéticos altamente sofisticados com alguma ajuda estatal. A razão para afirmar isso é que, hackers normais não requerem acesso privilegiado aos sistemas, pois normalmente estão atrás de arquivos que contêm informações pessoais/financeiras. No ataque do Furacão Panda, a CrowdStrike observou que os criminosos cibernéticos estavam buscando realizar ações mais avançadas relacionadas à ciberespionagem, como carregar um driver de kernel que atua como um rootkit ou realizar dumping de senhas. Isso requer acesso administrativo para se mover pela rede.

“Os adversários costumam usar vulnerabilidades conhecidas de escalada de privilégios para obter acesso ao nível de administrador, mas verdadeiros exploits de zero-day são raros e, portanto, particularmente interessantes quando observados na natureza. Eles demonstram que um atacante tem conhecimento sobre bugs de segurança exploráveis não públicos, o que geralmente significa que o exploit foi comprado de um fornecedor ou desenvolvido internamente.”

A CrowdStrike também observou que a mente criminosa por trás do Furacão Panda escreveu o código do exploit de forma extremamente bem e que ele tem uma taxa de sucesso de 100%. O blog também observa que os hackers podem ter feito um esforço considerável para minimizar a chance de sua descoberta.

Um dos exemplos do esforço feito pelos criadores do kit de exploits do Furacão Panda é que a ferramenta de escalada é implantada apenas quando absolutamente necessário durante as operações de intrusão e é deletada imediatamente após o uso.

A CrowdStrike também descobriu que o RAT de escolha do Furacão Panda tem sido o PlugX. Esta é outra razão para acreditarem que o exploit se originou da China continental. Este RAT em particular foi configurado para usar a técnica de side-loading de DLL que foi recentemente popularizada entre adversários chineses.

O Furacão Panda está atacando diariamente, de acordo com a CrowdStrike, e a superfície de alvo é grande: o bug afeta todas as variantes do Windows x64 até e incluindo Windows 7 e Windows Server 2008 R2. Em sistemas com Windows 8 e variantes posteriores com processadores Intel Ivy Bridge ou de gerações posteriores, o SMEP (Supervisor Mode Execution Prevention) bloqueará tentativas de explorar o bug e resultará em uma tela azul.

Se você for submetido a este ataque em particular, a Microsoft abordou este exploit no boletim de segurança MS14-058 e emitiu um patch que corrige a vulnerabilidade. Você pode baixar a correção daqui e atualizar seus sistemas imediatamente.

Fonte: CrowdStrike