ESET enttarnt erste Malware-Kampagne mit neuem Zero-Day-Exploit
Archivmeldung vom 07.09.2018
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 07.09.2018 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittESET hat die erste Malware-Kampagne enttarnt, die die am 27. August auf GitHub und Twitter veröffentlichte Zero-Day Schwachstelle für Microsoft Windows-Betriebssysteme ausnutzt. Hinter der Attacke steht die Gruppe PowerPool. Die untersuchten Telemetrie-Daten und manuelle Uploads bei VirusTotal legen nahe, dass bislang nur wenige Nutzer den Gangstern in die Falle gingen. Da die Kampagne aber in mindestens neun Ländern aktiv war, könnte es sich nur um einen ersten Probelauf für eine gezielte Spionagekampagne handeln.
Die Malware nutzt eine Zero-Day-Schwachstelle, die kürzlich unkontrolliert bekannt gemacht wurde. Sie betrifft die Windows Betriebssysteme 7 bis 10 und ist bislang herstellerseitig nicht gepatcht. Der vom Twitter- und GitHub Account SandboxEscaper veröffentlichte Exploit, samt Source-Code für eine Proof-of-Concept Malware, stellt daher eine bedeutende Gefahr dar - umso mehr, weil jeder Hacker diesen Code nehmen und verändern kann, um eigene, verbesserte Attacken zu starten oder die Entdeckung schwieriger zu gestalten. Die Sicherheitslücke betrifft die ALPC-Funktion (Advanced Local Procedure Call) des Betriebssystems. Über sie werden Attacken möglich, deren Ziel das Erlangen von Administrator-/Systemrechten an einem infizierten PC ist. Diese Methode wird als Local Privilege Escalation bezeichnet.
Malware mit Systemrechten - der GAU
Die erste Attacke, in der der veröffentlichte Source-Code in leicht veränderter Form als Malware verwendet wurde, hat ESET nun enttarnt. Es dauerte offenbar gerade mal zwei Tage, bis die Gruppe namens PowerPool den Zero-Day-Exploit-Code für ihre Zwecke anpasste. Die Malware zielt auf eine Schwachstelle in der SchRpcSetSecurity API Funktion durch die jeder Nutzer Schreibrechte in jeder Datei erlangen kann, die unter C:\Windows\Task liegt. Durch die Auswahl geeigneter Dateien können Nutzer Malware-Code mit Admin-Rechten ausstatten - PowerPool entschied sich für die GoogleUpdate.exe, den legitimen Updater für Google-Anwendungen, der regelmäßig ausgeführt wird. Diese Datei wird mit einer Kopie der Malware überschrieben, so dass beim nächsten Aufruf der nun veränderten Datei der Schadcode mit den zugewiesenen Systemrechten ausgeführt wird.
"Die entdeckte Schwachstelle ist schwerwiegender, als es auf den ersten Blick scheint. Schaffen es Kriminelle, ihre Malware mit Systemrechten auszustatten, ist das als GAU zu bezeichnen", sagt Thomas Uhlemann, Security Specialist bei ESET.
Mehrstufige Attacke lässt Schlimmeres erwarten
Die Attacke beginnt derzeit mit schädlichen E-Mail-Anhängen, die Rechner infizieren. Nach dem erfolgreichen Angriff nutzt PowerPool zwei Backdoors - eine First-Stage Backdoor, die eine grundlegende Erkundung anstellt und Informationen an den C&C-Server der Cyberkriminellen schickt. Bei Rechnern, die interessante Ziele abgeben, kommt dann eine Second-Stage Backdoor zum Einsatz. Die Malware erstellt Screenshots und schickt diese den Cyberkriminellen zu. "Der aktuelle Exploit-Code ist nicht sehr ausgefeilt. Zum jetzigen Zeitpunkt ist es noch zu früh, um fundierte Aussagen über den Hintergrund der Schadcode-Entwickler zu treffen", erklärt Uhlemann. "Es ist nicht auszuschließen, dass es sich auch um eine schlecht umgesetzten eSpionage-Kampagne handeln könnte. Bisher liegen uns hierfür jedoch keine weiteren Indizien vor. Das heißt aber auch, dass wenn Microsoft die Lücke nicht am kommenden Patchday schließt, ein Restrisiko für Privatanwender und Unternehmen besteht, wenn die Malware-Autoren ihren Code weiter verbessern."
Diese Malware-Kampagne illustriert die Gefahren, die von unkontrolliert veröffentlichten Zero-Day-Exploits ausgehen können. Wie der Angriff genau ablief und was die Malware auszeichnet, erfahren Sie im Blogpost PowerPool Malware: Windows Zero-Day Exploit durchleuchtet: https://www.welivesecurity.com/deutsch/2018/09/05/powerpool-malware-windows-zero-day-exploit-durchleuchtet
ESET-Nutzer sind vor der aktuellen PowerPool Kampagne auch ohne Microsoft Patch geschützt: "Der bisherige Angriff wurde von uns aufgedeckt und entsprechende Schutzmaßnahmen innerhalb unserer Sicherheitslösungen zur Abwehr bereitgestellt", erklärt Uhlemann.
Quelle: www.eset.com/Yannick Houdard