Malware de PowerPool explota vulnerabilidad zero‑day en Windows

El grupo descubrió recientemente que PowerPool ha estado explotando una vulnerabilidad de día cero, a dos días de su divulgación, que afecta a sistemas operativos como Windows 7 y Windows 10 y que permite Escalar Privilegios Localmente. Los investigadores de ESET analizaron la amenaza.

Un malware de un nuevo grupo descubierto llamado PowerPool ha estado explotando uno vulnerabilidad zero-day activa apenas dos días después de haber sido revelada. la vulnerabilidad afecta los sistemas operativos de Microsoft Windows que van desde Windows 7 a Windows 10, en particular la función ALPC, y permite Escalar Privilegios Localmente.

El pasado 27 de Agosto de 2018, una vulnerabilidad Día cero que afectó a Microsoft Windows fue publicado en GitHub y publicitado a través de Twitter.

Fuente: Gorjeo

Evidentemente, esto no formaba parte de la divulgación de una vulnerabilidad de forma coordinada y al momento de publicar este tuit (que fue eliminado) tampoco había parche disponible para reparar la vulnerabilidad.

La vulnerabilidad afecta a los sistemas operativos de Microsoft Windows, desde Windows 7 a Windows 10, en particular la función Llamada a procedimiento local avanzado (ALPC), y permite Escalar privilegios localmente (LPE, por sus siglas en inglés). LPE permite un proceso ejecutable o escalar privilegios. En este caso puntual, permite que un ejecutable lanzo por un usuario con restricciones obtenga permisos administrativos.

El tuit enlazaba a una Repositorio Github que contenía el código de una prueba de concepto para la explotación. No solo se trataba de la publicación de una versión compilada, sino también del código fuente. Por lo tanto, cualquiera podria modificar y recompilar el exploit pudiendo "mejorarlo", evadir detecciones e incluso incorporarlo en su propio código.

Como era previsible, solo hubo que esperar dos días para descubrir que alguien la había utilizado. Y ese alguien fue un grupo que hemos denominado PowerPool, quien aprovechó el exploit como parte de una campaña maliciosa. Según información de nuestra telemetría y subidas a VirusTotal (solo consideramos subidas manuales desde la interfaz web), podemos ver que este grupo tiene un número reducido de víctimas de países como Chile, Alemania, India, Filipinas, Polonia, Rusia , y el Reino Unido, Estados Unidos y Ucrania.

Arsenal de herramientas eléctricas

Este grupo nuevo y aislado tiene una amplia gama de herramientas a su disposición. A continuación, analizamos brevemente algunos de ellos.

Explotación de escalada de privilegios locales

Los desarrolladores de PowerTool no reutilizaron el binario que dio a conocer quien publicó la vulnerabilidad. Lo que hicieron fue modificar el código fuente ligeramente y luego recompilarlo.

La explotación ha sido documentada por su autor original y también cubierta tanto por investigadores de seguridad como por Equipos de Respuesta a Emergencias Informáticas (CERT's, por sus siglas en inglés).

Figura 1 – Descripción del exploit por su autor

El Fallo está en la función de la API SchRpcSetSeguridadla cual no corroborar los permisos de usuario de manera correcta. Como consecuencia de esto, un usuario puede tener permiso para escribir en cualquier archivo C:WindowsTarea independientemente de los permisos vigentes. Eso es todo permite a un usuario que solo tenga permisos de lectura reemplazar el contenido de un archivo protegido de escritura.

Como cualquier usuario puede escribir en C:WindowsTarea, es posible crear un archivo en esta carpeta que sea un enlace duro a cualquier archivo de destino. Por lo tanto, llamando a la función afectada SchRpcSetSeguridad es posible ganar acceso de escritura a ese archivo de destino. Para crear una escalada de privilegios locales, el atacante debe elegir el archivo de destino que se sobrescribirá. Esto debe hacerse con cuidado: es necesario que sea un archivo que se ejecute automáticamente con permisos administrativos. Por ejemplo, puede ser un archivo de sistema o el actualizador de un programa previamente instalado que se ejecuta regularmente por una tarea. El paso final es reemplazar el contenido de este archivo de destino protegido con código malicioso. Por lo tanto, en la próxima ejecución automática, el malware tendrá permisos de administración independientemente de los permisos que tenía originalmente el archivo legítimo.

Los desarrolladores de PowerPools optaron por modificar el contenido del archivo. C:Archivos de programa (x86)GoogleUpdateGoogleUpdate.exe. Este es el actualizador legítimo para las aplicaciones de Google y se ejecuta regularmente con privilegios de administrador para una tarea de Microsoft Windows.

Figura 2 – Creación de un enlace duro al actualizador de Google

Figura 3 – Abuso de SchRpcCreateFolder para modificar los permisos del archivo ejecutable que actualiza las aplicaciones de Google.

La secuencia de operaciones muestra en la figura anterior la accesibilidad de los operadores de PowerPool para obtener acceso de escritura al ejecutable GoogleUpdate.exe. Luego, lo sobrescriben con una copia del malware de la segunda fase, que se describe a continuación, con el objetivo de obtener privilegios de administrador la próxima vez que se llame al actualizador.

compromiso inicial

El grupo PowerPool utiliza diferentes métodos para comprometer a la víctima en primera instancia. Un método es enviar correos que contienen en un adjunto el malware de la primera etapa. Tal vez sea demasiado pronto para decirlo, pero hasta el momento hemos visto cas apariciones en nuestra telemetría, por lo que asumimos que los destinatarios son elegidos de manera cuidadosa.

Por otra parte, sabemos que sus spams han sido vistos en otras ocasiones. De acuerdo a la ONU post publicado en mayo de 2018 por SANS, utilizaron un truco con archivos SYmbolic Link (.slk) para distribuir su malware. Microsoft Excel puede cargar estos archivos que actualizan una celda y obligan a Excel a ejecutar el código PowerShell. Estos archivos .slk parecen haber sido distribuidos en mensajes de spam también. Pivotando el primer archivo mencionado en el blog de SANS blog (SHA-1: b2dc703d3af1d015f4d53b6dbbeb624f5ade5553), en VirusTotal es posible encontrar muestra del spam relacionado (SHA-1: e0882e234cba94b5cf3df2c05949e2e228bedd2b):

Figura 4 – Mensaje de spam de PowerPool

Puerta trasera de Windows

El grupo PowerPool usa principalmente dos puertas traseras diferentes: una puerta trasera de primera fase que se usa justo después del primer compromiso, y luego una puerta trasera de segunda fase que probablemente usa la mayoría de las máquinas interesantes.

Backdoor de primera fase

La puerta trasera de la primera fase es un malware básico que compromete dos ejecutables de Windows y se usa para reconocer la máquina.

El primero de ellos es la puerta trasera principal. Establece persistencia a través del servicio. También crea nombres mutex MiMutexDemon%d donde rangos %d de 0 a 10. Es capaz de recopilar información del proxy y la dirección del servidor C&C es hardcodeada en este binario. Puede ejecutar comandos y realizar cierto reconocimiento básico de la máquina, el cual es filtrado hacia el servidor C&C.

Figura 5: resumen de la información del proxy

El segundo de estos ejecutables tiene un único propósito. Tome una captura de pantalla de la pantalla de la víctima y anótela. Mi Pantalla.jpg. Este archivo luego puede ser filtrado por la puerta trasera principal.

Backdoor de segunda fase

Este malware se descarga en la primera fase; presumiblemente cuando los operadores consideran que la máquina es lo suficientemente interesante para ellos como para permanecer en ella durante un tiempo mayor.

Recientemente, la dirección del servidor C&C está codificada en binario y no hay mecanismos para actualizar este elemento de configuración. Este backdoor busca comandos de http://[C&C domain]/cmdpool y descargar archivos adicionales de http://[C&C domain]/subir. Estos archivos adicionales son principalmente las herramientas de movimiento lateral menciones más abajo.

Los comandos que soportan son:

  • Ejecutar un comando
  • Eliminar un proceso
  • Cargar un archivo
  • Descargar un archivo
  • Listar una carpeta

Se envían en formato JSON. Los ejemplos a continuación son instrucciones para ejecutar un comando y enumerar uno carpeta:

Figura 6 – Ejemplo de comandos de puerta trasera

Herramientas de movimiento lateral

  • Una vez que los operadores de PowerPool tienen acceso persistente a una máquina con una puerta trasera de segunda fase, utilizan varias herramientas de código abierto, en su mayoría escritas en PowerShell, para moverse lateralmente en la red.
    • PowerDump: Este es un módulo de Metasploit que puede recuperar nombres de usuario y hashes del administrador de cuentas de seguridad (SAM).
    • PowerSploit: Este es un framework post explotación en PowerShell en el Metasploit.
    • SMBExec: una herramienta de PowerShell para realizar conexiones SMB pass-the-hash.
    • Quarks PwDump: Un ejecutable de Windows que puede recuperar las credenciales de Windows.
    • Maestro de fuego: Un ejecutable de Windows que puede recuperar contraseñas almacenadas de Outlook, navegadores web, etc.

Conclusión

La divulgación de vulnerabilidades fuera de un proceso de divulgación coordinado pone en riesgo a muchos usuarios. En este caso, incluso las versiones más actualizadas de Windows podrían verse comprometidas si no hay un parche disponible en el momento en que se han publicado tanto el exploit como la vulnerabilidad. El CERT-CC provee algunas mitigaciones, pero Microsoft aún no las aprobó de manera oficial.

Estas campañas específicas apintan a un número limitado de usuarios, pero no se dejen engañar por eso: esto debe ser que los cibercriminales también están al tanto de las noticias y trabajan en emplear exploits ni bien están públicamente disponibles.

Los investigadores de ESET continuarán rastreando cualquier uso malicioso de estas nuevas vulnerabilidades. Indicadores de compromiso también pueden encontrarse en Github. Por cualquier consulta o para enviar una muestra relacionada con el tema, contáctanos a través de la siguiente dirección de correo: [email protected].

Indicadores de compromiso

Hachís

SHA-1 Tipo Nombre de detección
038f75dcf1e5277565c68d57fa1f4f7b3005f3f3 Puerta trasera de la primera etapa Win32/Agente.SZS
247b542af23ad9c63697428c7b77348681aadc9a Puerta trasera de la primera etapa Win32/Agente.TCH
0423672fe9201c325e33f296595fb70dcd81bcd9 Puerta trasera de la segunda etapa Win32/Agente.TIA
b4ec4837d07ff64e34947296e73732171d1c1586 Puerta trasera de la segunda etapa Win32/Agente.TIA
9dc173d4d4f74765b5fc1e1c9a2d188d5387beea Explotación de ALPC LPE Win64/Exploit.Agente.H
Nombres de detección
Win32/Agente.SZS
Win32/Agente.TCH
Win32/Agente.TEL
Win32/Agente.THT
Win32/Agente.TDK
Win32/Agente.TIA
Win32/Agente.TID
servidores C&C
alquiler de noticias[.]neto
rosanegocios[.]UE
afishaonline[.]UE
coleccionistas de deportes[.]com
27.102.106[.]149

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!