Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Malware

ESET hat die erste Malware-Kampagne enttarnt, die die am 27. August auf GitHub und Twitter veröffentlichte Zero-Day Schwachstelle für Microsoft Windows-Betriebssysteme ausnutzt. Hinter der Attacke steht die Gruppe PowerPool.

Die untersuchten Telemetrie-Daten und manuelle Uploads bei VirusTotal legen nahe, dass bislang nur wenige Nutzer den Gangstern in die Falle gingen. Da die Kampagne aber in mindestens neun Ländern aktiv war, könnte es sich nur um einen ersten Probelauf für eine gezielte Spionagekampagne handeln.

Die Malware nutzt eine Zero-Day-Schwachstelle, die kürzlich unkontrolliert bekannt gemacht wurde. Sie betrifft die Windows Betriebssysteme 7 bis 10 und ist bislang herstellerseitig nicht gepatcht. Der vom Twitter- und GitHub Account SandboxEscaper veröffentlichte Exploit, samt Source-Code für eine Proof-of-Concept Malware, stellt daher eine bedeutende Gefahr dar - umso mehr, weil jeder Hacker diesen Code nehmen und verändern kann, um eigene, verbesserte Attacken zu starten oder die Entdeckung schwieriger zu gestalten. Die Sicherheitslücke betrifft die ALPC-Funktion (Advanced Local Procedure Call) des Betriebssystems. Über sie werden Attacken möglich, deren Ziel das Erlangen von Administrator-/Systemrechten an einem infizierten PC ist. Diese Methode wird als Local Privilege Escalation bezeichnet.

Malware mit Systemrechten - der GAU

Die erste Attacke, in der der veröffentlichte Source-Code in leicht veränderter Form als Malware verwendet wurde, hat ESET nun enttarnt. Es dauerte offenbar gerade mal zwei Tage, bis die Gruppe namens PowerPool den Zero-Day-Exploit-Code für ihre Zwecke anpasste. Die Malware zielt auf eine Schwachstelle in der SchRpcSetSecurity API Funktion durch die jeder Nutzer Schreibrechte in jeder Datei erlangen kann, die unter C:\Windows\Task liegt. Durch die Auswahl geeigneter Dateien können Nutzer Malware-Code mit Admin-Rechten ausstatten - PowerPool entschied sich für die GoogleUpdate.exe, den legitimen Updater für Google-Anwendungen, der regelmäßig ausgeführt wird. Diese Datei wird mit einer Kopie der Malware überschrieben, so dass beim nächsten Aufruf der nun veränderten Datei der Schadcode mit den zugewiesenen Systemrechten ausgeführt wird.

"Die entdeckte Schwachstelle ist schwerwiegender, als es auf den ersten Blick scheint. Schaffen es Kriminelle, ihre Malware mit Systemrechten auszustatten, ist das als GAU zu bezeichnen", sagt Thomas Uhlemann, Security Specialist bei ESET.

Mehrstufige Attacke lässt Schlimmeres erwarten

Die Attacke beginnt derzeit mit schädlichen E-Mail-Anhängen, die Rechner infizieren. Nach dem erfolgreichen Angriff nutzt PowerPool zwei Backdoors - eine First-Stage Backdoor, die eine grundlegende Erkundung anstellt und Informationen an den C&C-Server der Cyberkriminellen schickt. Bei Rechnern, die interessante Ziele abgeben, kommt dann eine Second-Stage Backdoor zum Einsatz. Die Malware erstellt Screenshots und schickt diese den Cyberkriminellen zu. "Der aktuelle Exploit-Code ist nicht sehr ausgefeilt. Zum jetzigen Zeitpunkt ist es noch zu früh, um fundierte Aussagen über den Hintergrund der Schadcode-Entwickler zu treffen", erklärt Uhlemann. "Es ist nicht auszuschließen, dass es sich auch um eine schlecht umgesetzten eSpionage-Kampagne handeln könnte. Bisher liegen uns hierfür jedoch keine weiteren Indizien vor. Das heißt aber auch, dass wenn Microsoft die Lücke nicht am kommenden Patchday schließt, ein Restrisiko für Privatanwender und Unternehmen besteht, wenn die Malware-Autoren ihren Code weiter verbessern."

Weitere Informationen:

Diese Malware-Kampagne illustriert die Gefahren, die von unkontrolliert veröffentlichten Zero-Day-Exploits ausgehen können. Wie der Angriff genau ablief und was die Malware auszeichnet, erfahren Sie im Blogpost PowerPool Malware:

Windows Zero-Day Exploit durchleuchtet: https://www.welivesecurity.com/deutsch/2018/09/05/powerpool-malware-windows-zero-day-exploit-durchleuchtet

ESET-Nutzer sind vor der aktuellen PowerPool Kampagne auch ohne Microsoft Patch geschützt: "Der bisherige Angriff wurde von uns aufgedeckt und entsprechende Schutzmaßnahmen innerhalb unserer Sicherheitslösungen zur Abwehr bereitgestellt", erklärt Uhlemann.

www.ESET.de
 

GRID LIST
Weihnachtsmann Dieb

Weihnachten: Ein Fest für Datendiebe

Der Online-Handel floriert zur Weihnachtszeit und wird gleichzeitig zum Schauplatz für…
Malware

Emotet-Malware verursacht hohe Schäden in Unternehmensnetzen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und mehrere…
Trojaner

Neuer Mining-Trojaner für Linux entdeckt

Das verdeckte Schürfen von Kryptowährungen gehört heute zu den weltweit am meist…
Strommasten

US-Stromnetze weiter im Fokus von Hackern

In den letzten Jahren gab es weltweit immer wieder Cyberangriffe auf wichtige…
Robert Graf

Ransomware: Dreistufiger Schutz für Speichersysteme

CryptoSpike schützt Speichersysteme von Netapp wirksam und pro-aktiv auf der…
Marriott

Marriott-Datenleck: Was Betroffene zum Schutz wissen müssen

Rund 500 Millionen Menschen sind vom Hacking-Angriff auf die Marriott-Hotels betroffen.…
Smarte News aus der IT-Welt