PowerPool恶意软件利用ALPC LPE 0 day漏洞

TRex 漏洞 2018年9月8日发布
Favorite收藏

导语:Eset发现的新组织PowerPool的恶意软件在ALPC LPE 0 day漏洞披露后仅两天就在野利用。

2018年8月27日,影响Microsoft Windows的所谓0 day漏洞在GitHub上发布,并通过一条相当尖锐的推文进行宣传。

源: Twitter

很明显,这不是合理漏洞披露的一部分,并且在发布此推文(自已删除)时,漏洞没有补丁。

它影响从Windows 7到Windows 10的Microsoft Windows操作系统,特别是高级本地过程调用(ALPC)功能,并允许本地权限提升(LPE)。LPE允许可执行文件或进程提升权限。在特定情况下,它允许受限用户启动的可执行文件获得管理权限。

该推文链接到GitHub存储库,该存储库包含该漏洞利用的概念验证代码。不仅发布了编译版本——也包括源代码。因此,任何人都可以修改和重新编译漏洞利用程序,以“改进它”,逃避检测,甚至将其合并到代码中。

正如预测的那样,在第一次确定在我们称之为PowerPool组织的恶意行动中,仅在两天后就使用了此漏洞利用。该组织的受害者数量很少,根据我们的遥测和上传到VirusTotal(我们只考虑从网络界面手动上传),目标国家包括智利,德国,印度,菲律宾,波兰,俄罗斯,英国,美国和乌克兰。

一、PowerPool 武器库

这个新近独立的组织已经拥有相当多的工具供其使用。在这里我们简要分析其中一部分。

ALPC 本地权限提升利用

PowerPool开发人员没有重用漏洞披露者提供的二进制文件。他们稍微修改了源代码并重新编译它。

该漏洞已被其原作者记录,并已被security researchers安全研究人员和CERTs所涵盖。

图1 – 作者关于漏洞利用的描述

该漏洞位于SchRpcSetSecurity API函数中,该函数未正确检查用户的权限。因此,用户可以对C:\Windows\Task中的任何文件具有写入权限,而不管其实际权限。这允许仅具有读取权限的用户替换写保护文件的内容。

由于任何用户在C:\Windows\Task都具备写权限,因此可以在此文件夹中创建一个文件,该文件是指向任何目标文件的硬链接。然后,通过调用问题函数SchRpcSetSecurity,就可以获得对该目标文件的写访问权。要创建本地权限提升,攻击者需要选择将被覆盖的目标文件。这需要仔细完成:它需要是一个使用管理权限自动执行的文件。例如,它可以是系统文件,也可以是由任务定期执行的先前安装的软件的更新程序。最后一步是用恶意代码替换此受保护目标文件的内容。因此,在下次自动执行时,恶意软件将具有管理权限,而不管其原始权限如何。

PowerPool的开发人员选择更改文件C:\Program Files (x86)\Google\Update\GoogleUpdate.exe的内容。这是Google应用程序的合法更新程序,并且通常由Microsoft Windows任务在管理权限下运行。

图2 –创建到Google Updater的硬链接

图3 – 滥用SchRpcCreateFolder修改Google Updater权限

上图中显示的操作序列允许PowerPool操作人员获得对GoogleUpdate.exe的写访问权。然后,他们用下面描述的第二阶段恶意软件的副本覆盖它,以便在下次调用更新程序时获得SYSTEM权限。

二、首次入侵

PowerPool组织使用不同的方法来首次入侵受害者。一种是发送带有第一阶段恶意软件的电子邮件作为附件。现在说它可能还为时过早,但到目前为止我们在遥测中看到的事件很少,因此我们假设收件人是经过精心挑选而不是PowerPool进行大规模的垃圾邮件活动。

另一方面,我们知道他们的垃圾邮件过去曾被发现。根据2018年5月发布的SANS博客文章,他们使用Symbolic Link(.slk)文件的技巧来分发恶意软件。 Microsoft Excel可以加载这些更新单元格的文件,并强制Excel执行PowerShell代码。这些.slk文件也在分发垃圾邮件。从SANS博文中提到的第一个文件(SHA-1:b2dc703d3af1d015f4d53b6dbbeb624f5ade5553),在VirusTotal上可以找到相关的垃圾邮件样本(SHA-1: e0882e234cba94b5cf3df2c05949e2e228bedd2b):

图4 – PowerPool 垃圾邮件

三、Windows后门

PowerPool组织主要使用两个不同的后门:第一阶段后门在首次攻击之后使用,然后是第二阶段后门,可能用在最感兴趣的机器上。

(一)第一阶段后门

这是用于在机器上进行侦察的基本恶意软件。它包含两个Windows可执行文件。

第一个是主后门,通过服务建立持久性。它还会创建一个名为MyDemonMutex%d的互斥体,其中%d从0到10,可以收集代理信息,并且C&C服务器的地址被硬编码到此二进制文件中。它可以执行命令并对机器进行一些基本的侦察,然后将其发送到C&C服务器。

图5 – 收集代理信息

第二个可执行文件只有一个目的。它会截取受害者的显示屏并将其写入MyScreen.jpg。然后,该文件可以被主后门上传。

(二)第二阶段后门

这个恶意软件是通过第一阶段下载的,当操作员认为机器足够有吸引力时,可以长时间驻留。然而,它显然不是最先进的APT后门。

同样,C&C服务器地址在二进制文件中是硬编码的,并且没有机制来更新这个关键配置项。此后门从http://[C&C domain]/cmdpooland搜索命令,从http://[C&C domain]/upload下载其他文件。这些附加文件主要是下面提到的横向移动工具。

支持的命令是:

· 执行命令

· 终止进程

· 上传文件

· 下载文件

· 列出文件夹内清单

它们以JSON格式发送。以下示例是执行命令和列出文件夹的说明:

图6 – 后门命令示例

四、横向移动工具

一旦PowerPool操作人员具备对第二阶段后门的机器的持久访问权限,他们就会使用几个开源工具(主要是用PowerShell编写)在网络上横向移动。

· PowerDump: 这是一个Metasploit模块,可以从安全帐户管理器(SAM)获取用户名和哈希值。

· PowerSploit: 这是PowerShell中的开发利用框架,类似于Metasploit。

· SMBExec: 用于执行传递哈希的SMB连接的PowerShell工具。

· Quarks PwDump: 可以获取Windows凭据的Windows可执行文件。

· FireMaster: 一个Windows可执行文件,可以从Outlook,Web浏览器等获取存储的密码。

五、总结

在合理的披露流程之外披露漏洞通常会使许多用户面临风险。在此情况下,即使是最新版本的Windows也可能会受到影响,因为在发布漏洞时没有发布补丁。 CERT-CC提供了一些缓解措施,但微软尚未正式批准它们。

这个特定的行动针对的是有限数量的用户,但不要被这样的愚弄:它表明网络犯罪分子也会关注新闻,并在公开发布后立即使用漏洞利用程序。

ESET研究人员将继续跟踪此新漏洞的所有恶意使用情况。IOC也可以在GitHub上找到。

IoC

Hashes

1.png

2.png

3.png

本文翻译自:https://www.welivesecurity.com/2018/09/05/powerpool-malware-exploits-zero-day-vulnerability/如若转载,请注明原文地址: http://www.4hou.com/vulnerable/13470.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论