Хакеры начали использовать уязвимость нулевого дня в планировщике заданий Windows с помощью вредоносных программ

Хакеры создали вредоносное программное обеспечение с эксплойтом для уязвимости нулевого дня Microsoft, которая была обнаружена несколькими днями ранее исследователем безопасности в блоге в Twitter.

Операционные системы Microsoft Windows, от Windows 7 до Windows 10 и системы Windows Сервер 2016 были затронуты этой уязвимостью локальной эскалации прав доступа (Local Privilege Escalation).

Доказательство концепции этого эксплойта было выпущено в репозитории GitHub, который может быть модифицирован и перекомпилирован любым человеком для того, чтобы улучшить вектор атаки путем добавления методов обхода обнаружений.

Теперь неизвестная группа киберпреступников, названная PowerPool, начала использовать этот эксплойт для проведения злонамеренной кампании, целью которой является нападения на уязвимых жертв во многих странах, включая Чили, Германию, Индию, Филиппины, Польшу, Россию, Великобританию, США и Украину.

Злоумышленники модифицировали исходный код

Авторы вредоносных программ из PowerPool слегка изменили исходный код и перекомпилировали его, и они не использовали повторно двоичный файл, который был предоставлен оригинальным автором эксплойта.

Серьезный недостаток, обнаруженный в функции API SchRpcSetSecurity, позволяет пользователю иметь права на запись для любого файла в C:\Windows\Task в независимости от его реальных прав доступа, потому что функция API не проверяет права пользователя должным образом.

Этот недостаток позволяет пользователю, сделать любую запись на диске C:\Windows\Task, а также дает возможность создать файл в этой папке, который, в свою очередь будет являться жесткой ссылкой на любой целевой файл.

  blank                           

  Описание работы эксплойта его автором

Позже мы можем получить права доступа на запись к этому целевому файлу, вызвав взломанную функцию SchRpcSetSecurity.

В этом случае автор вредоносной программы PowerPool решил изменить содержимое файла C:\Program Files (x86)\Google\Update\GoogleUpdate.exe, что является одним из законных обновлений компании Google.

blank

Здесь атакующий злоупотребляет SchRpcCreateFolder для изменения разрешений исполняемого обновленного файла Google.

blank

Вышеупомянутые операторы PowerPool позволяют получить доступ на запись к исполняемому файлу GoogleUpdate.exe. 

Начальный этап атаки

Первый этап атаки начинается со спама с прикрепленным вредоносным файлом, что и является начальным этапом атаки с кодом PowerShell.

«Кроме того, группа PowerPool в основном использует два разных бэкдоры: бэкдор первого этапа, который используется сразу после первого взлома, а затем бэкдор второго этапа, который будет использован на самых интересных машинах».

Согласно исследованиям ESET, это базовое вредоносное программное обеспечение, которое используется для рекогносцировки на целевой машине. Оно включает в себя два исполняемых файла Windows, а бэкдор второго этапа загружается через первый этап, предположительно, когда операторы считают, что машина достаточно интересна для них для того, чтобы оставаться на ней в течение более длительного времени.

Как только злоумышленник успешно получит доступ к машине при помощи бэкдора второго этапа, он начнет использовать несколько инструментов с открытым исходным кодом для выполнения дальнейших атак.

Индикаторы взлома

Hashes

SHA-1 Тип Обнаруженное название
038f75dcf1e5277565c68d57fa1f4f7b3005f3f3 First stage backdoor Win32/Agent.SZS
247b542af23ad9c63697428c7b77348681aadc9a First stage backdoor Win32/Agent.TCH
0423672fe9201c325e33f296595fb70dcd81bcd9 Second stage backdoor Win32/Agent.TIA
b4ec4837d07ff64e34947296e73732171d1c1586 Second stage backdoor Win32/Agent.TIA
9dc173d4d4f74765b5fc1e1c9a2d188d5387beea ALPC LPE exploit Win64/Exploit.Agent.H

Источник: https://gbhackers.com/exploit-windows-task-scheduler-zero-day/

Оставьте комментарий