Ураган Панда, атака китайского происхождения, использующая уязвимость нулевого дня в системах Windows X64

Table Of Contents

• Что такое Ураган Панда?
• CrowdStrike
• Вот как это работает :

Что такое Ураган Панда?

Исследователи безопасности в CrowdStrike обнаружили высокоразвивающуюся атаку, использующую уязвимость нулевого дня (CVE-2014-4113), которую они назвали Ураган Панда. Исследователи CrowdStrike считают, что атака исходит от китайских киберпреступников и нацелена на крупные инфраструктурные компании с использованием эксплойта нулевого дня в системах Windows на базе X64 до Windows 7. Более того, они указывают на то, что Ураган Панда активно использовался для проведения атак и эксплуатации уязвимости в дикой природе в течение как минимум пяти месяцев.

CrowdStrike

CrowdStrike впервые обнаружила подозрительную активность на 64-битной машине Windows Server 2008 R2, которая была отнесена к компрометации со стороны какой-то внешней стороны. Дальнейшие расследования показали, что атаки начинаются с компрометации веб-серверов и развертывания веб-оболочек Chopper, а затем повышения привилегий с использованием недавно обнаруженного инструмента повышения локальных привилегий, который эксплуатирует ранее неизвестную уязвимость (в настоящее время исправленную Microsoft).

Это повышает привилегии злоумышленника до привилегий пользователя SYSTEM, а затем создает новый процесс с этими правами доступа для выполнения команд, обычно связанных с сбором разведывательной информации.

Вот как это работает :

Последующий анализ бинарного файла Win64.exe, проведенный CrowdStrike, показал, что он использует ранее неизвестную уязвимость для повышения своих привилегий до привилегий пользователя SYSTEM, а затем создает новый процесс с этими правами доступа для выполнения команды, переданной в качестве аргумента. Сам файл имеет всего 55 килобайт и содержит всего несколько функций. Вот высокоуровневое описание его функциональности:

• Создать секцию памяти и сохранить указатель на функцию, которая будет вызвана из ядра, когда уязвимость будет активирована
• Использовать уязвимость повреждения памяти в менеджере окон, имитируя взаимодействие пользователя для вызова функции обратного вызова
• Заменить указатель токена доступа в структуре EPROCESS на тот, который из процесса SYSTEM
• Выполнить команду из первого аргумента как новый процесс с привилегиями SYSTEM

CrowdStrike считает, что хакеры не являются обычными киберпреступниками, а представляют собой высокоразвивающуюся киберпреступную группу с некоторой государственной поддержкой. Их причина для утверждения этого заключается в том, что обычные хакеры не требуют привилегированного доступа к системам, так как они обычно ищут файлы, содержащие личную/финансовую информацию. В атаке Ураган Панда CrowdStrike наблюдала, что киберпреступники стремились выполнять более сложные действия, связанные с кибершпионажем, такие как загрузка драйвера ядра, который действует как руткит, или проведение сброса паролей. Это требует административного доступа для перемещения по сети.

“Противники часто используют известные уязвимости повышения привилегий для получения доступа на уровне администратора, но истинные эксплойты нулевого дня редки и, следовательно, особенно интересны, когда наблюдаются в дикой природе. Они демонстрируют, что злоумышленник имеет знания о непубличных уязвимостях безопасности, которые можно эксплуатировать, что обычно означает, что эксплойт был либо куплен у поставщика, либо разработан внутри компании.”

CrowdStrike также отметила, что преступный ум, стоящий за Ураганом Панда, написал код эксплойта крайне хорошо, и что у него есть процент успеха 100 %. Блог также отмечает, что хакеры, возможно, приложили значительные усилия, чтобы минимизировать вероятность его обнаружения.

Один из примеров усилий, предпринятых создателями набора эксплойтов Ураган Панда, заключается в том, что инструмент повышения привилегий развертывается только тогда, когда это абсолютно необходимо во время операций вторжения, и удаляется сразу после использования.

CrowdStrike также обнаружила, что RAT, выбранный Ураганом Панда, был PlugX. Это еще одна причина для них полагать, что эксплойт произошел из материкового Китая. Этот конкретный RAT был настроен на использование техники побочного загрузки DLL, которая недавно стала популярной среди китайских противников.

Ураган Панда наносит удары ежедневно, согласно CrowdStrike, и целевая поверхность велика: ошибка затрагивает все варианты x64 Windows до и включая Windows 7 и Windows Server 2008 R2. На системах с Windows 8 и более поздними версиями с процессорами Intel Ivy Bridge или более поздних поколений SMEP (Supervisor Mode Execution Prevention) блокирует попытки эксплуатации ошибки и приводит к синему экрану.

Если вы подверглись этой конкретной атаке, Microsoft устранила этот эксплойт в бюллетене безопасности MS14-058 и выпустила патч, который исправляет уязвимость. Вы можете скачать исправление отсюда и немедленно обновить свои системы.

Ресурс: CrowdStrike