Anzeige

Anzeige

VERANSTALTUNGEN

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

Anzeige

Anzeige

Malware

ESET hat die erste Malware-Kampagne enttarnt, die die am 27. August auf GitHub und Twitter veröffentlichte Zero-Day Schwachstelle für Microsoft Windows-Betriebssysteme ausnutzt. Hinter der Attacke steht die Gruppe PowerPool.

Die untersuchten Telemetrie-Daten und manuelle Uploads bei VirusTotal legen nahe, dass bislang nur wenige Nutzer den Gangstern in die Falle gingen. Da die Kampagne aber in mindestens neun Ländern aktiv war, könnte es sich nur um einen ersten Probelauf für eine gezielte Spionagekampagne handeln.

Die Malware nutzt eine Zero-Day-Schwachstelle, die kürzlich unkontrolliert bekannt gemacht wurde. Sie betrifft die Windows Betriebssysteme 7 bis 10 und ist bislang herstellerseitig nicht gepatcht. Der vom Twitter- und GitHub Account SandboxEscaper veröffentlichte Exploit, samt Source-Code für eine Proof-of-Concept Malware, stellt daher eine bedeutende Gefahr dar - umso mehr, weil jeder Hacker diesen Code nehmen und verändern kann, um eigene, verbesserte Attacken zu starten oder die Entdeckung schwieriger zu gestalten. Die Sicherheitslücke betrifft die ALPC-Funktion (Advanced Local Procedure Call) des Betriebssystems. Über sie werden Attacken möglich, deren Ziel das Erlangen von Administrator-/Systemrechten an einem infizierten PC ist. Diese Methode wird als Local Privilege Escalation bezeichnet.

Malware mit Systemrechten - der GAU

Die erste Attacke, in der der veröffentlichte Source-Code in leicht veränderter Form als Malware verwendet wurde, hat ESET nun enttarnt. Es dauerte offenbar gerade mal zwei Tage, bis die Gruppe namens PowerPool den Zero-Day-Exploit-Code für ihre Zwecke anpasste. Die Malware zielt auf eine Schwachstelle in der SchRpcSetSecurity API Funktion durch die jeder Nutzer Schreibrechte in jeder Datei erlangen kann, die unter C:\Windows\Task liegt. Durch die Auswahl geeigneter Dateien können Nutzer Malware-Code mit Admin-Rechten ausstatten - PowerPool entschied sich für die GoogleUpdate.exe, den legitimen Updater für Google-Anwendungen, der regelmäßig ausgeführt wird. Diese Datei wird mit einer Kopie der Malware überschrieben, so dass beim nächsten Aufruf der nun veränderten Datei der Schadcode mit den zugewiesenen Systemrechten ausgeführt wird.

"Die entdeckte Schwachstelle ist schwerwiegender, als es auf den ersten Blick scheint. Schaffen es Kriminelle, ihre Malware mit Systemrechten auszustatten, ist das als GAU zu bezeichnen", sagt Thomas Uhlemann, Security Specialist bei ESET.

Mehrstufige Attacke lässt Schlimmeres erwarten

Die Attacke beginnt derzeit mit schädlichen E-Mail-Anhängen, die Rechner infizieren. Nach dem erfolgreichen Angriff nutzt PowerPool zwei Backdoors - eine First-Stage Backdoor, die eine grundlegende Erkundung anstellt und Informationen an den C&C-Server der Cyberkriminellen schickt. Bei Rechnern, die interessante Ziele abgeben, kommt dann eine Second-Stage Backdoor zum Einsatz. Die Malware erstellt Screenshots und schickt diese den Cyberkriminellen zu. "Der aktuelle Exploit-Code ist nicht sehr ausgefeilt. Zum jetzigen Zeitpunkt ist es noch zu früh, um fundierte Aussagen über den Hintergrund der Schadcode-Entwickler zu treffen", erklärt Uhlemann. "Es ist nicht auszuschließen, dass es sich auch um eine schlecht umgesetzten eSpionage-Kampagne handeln könnte. Bisher liegen uns hierfür jedoch keine weiteren Indizien vor. Das heißt aber auch, dass wenn Microsoft die Lücke nicht am kommenden Patchday schließt, ein Restrisiko für Privatanwender und Unternehmen besteht, wenn die Malware-Autoren ihren Code weiter verbessern."

Weitere Informationen:

Diese Malware-Kampagne illustriert die Gefahren, die von unkontrolliert veröffentlichten Zero-Day-Exploits ausgehen können. Wie der Angriff genau ablief und was die Malware auszeichnet, erfahren Sie im Blogpost PowerPool Malware:

Windows Zero-Day Exploit durchleuchtet: https://www.welivesecurity.com/deutsch/2018/09/05/powerpool-malware-windows-zero-day-exploit-durchleuchtet

ESET-Nutzer sind vor der aktuellen PowerPool Kampagne auch ohne Microsoft Patch geschützt: "Der bisherige Angriff wurde von uns aufgedeckt und entsprechende Schutzmaßnahmen innerhalb unserer Sicherheitslösungen zur Abwehr bereitgestellt", erklärt Uhlemann.

www.ESET.de
 

GRID LIST
Tb W190 H80 Crop Int 9ff97737597255e152b1076b779de151

Passwortsicherheit braucht eine starke Sicherheitskultur

Einer der Hauptgründe für Datenschutzverletzungen sind nach wie vor schwache oder…
Bäume auf Münzstapeln

Nachhaltige Cyber Resilience für IKT-Anbieter

Unternehmen aus dem IT- und Telekommunikationssektor sind die Top-Angriffsziele für…
Adware

Social-Media-Suchmaschine spioniert Internetnutzer aus

Wajam wurde 2008 ursprünglich als Suchmaschine für soziale Netzwerke wie Facebook oder…
Baltimore road sign

Baltimore ist „Smart City ready“ – wirklich?

Der aktuelle Hackerangriff auf die Stadtverwaltung Baltimore schlägt hohe Wellen. Wieder…
Backdoor

Lautlos durch die Hintertür

Computer gehören zum Unternehmensalltag dazu. Das gilt für alle Branchen. Doch in dieser…
Tb W190 H80 Crop Int 90e25f6371557cf2c6640a3a91f3d38a

Spam-Trend: Jobsuchende im Visier von Cyberkriminellen

Im ersten Quartal 2019 griffen Cyberkriminelle Jobsuchende mittels ausgefeilter…