وقد اكتشف الباحثون الأمن في CrowdStrike هجوم متطورة للغاية باستخدام الضعف اليوم صفر (CVE-2014-4113) التي قد يدعى إعصار الباندا. ويعتقد الباحثون CrowdStrike الهجوم لتنشأ من مجرمي الإنترنت الصينيين وتستهدف شركات البنية التحتية الرئيسية في اليوم مع استغلال الصفر في أنظمة ويندوز X64 استنادا تصل يندوز 7. وعلاوة على ذلك، فإنها تشير إلى أن الإعصار الباندا وقد استخدمت بنشاط لشن هجمات وبنشاط استغلال الضعف في البرية لمدة خمسة أشهر على الأقل.
CrowdStrike
CrowdStrike الكشف عن أول نشاط مشبوه على جهاز R2 64 بت Windows Server 2008 الذي يعزى إلى حل وسط قبل بعض طرف خارجي. وكشفت التحقيقات كذلك أن الهجمات تبدأ المساومة على خوادم الشبكة ونشر webshells المروحية، ومن ثم تصاعد امتيازات باستخدام المكتشفة حديثا أداة امتياز التصعيد المحلية، الذي يستغل نقطة ضعف لم تكن معروفة سابقا (مصححة الآن من قبل مايكروسوفت).
فإنه يرفع امتيازات الدخيل لتلك المستخدم SYSTEM، ومن ثم يقوم بإنشاء عملية جديدة مع هذه الحقوق الوصول إلى تشغيل الأوامر، وعادة أنشطة جمع المعلومات الاستخباراتية.
هنا هو كيف يعمل:
وكشف التحليل اللاحق للثنائي Win64.exe بواسطة CrowdStrike أنه يستغل نقطة ضعف لم تكن معروفة سابقا لرفع امتيازاتها لتلك التي المستخدم SYSTEM ثم قم بإنشاء عملية جديدة مع هذه حقوق الوصول لتشغيل الأمر الذي تم تمريره كوسيطة. الملف نفسه هو فقط 55 كيلو بايت في الحجم ويحتوي على عدد قليل من الوظائف. هنا هو وصف رفيع المستوى من وظائفه:
- إنشاء قسم الذاكرة وتخزين مؤشر دالة التي سيتم استدعاؤها من نواة عندما يتم تشغيل الضعف
- الاستفادة من ضعف الذاكرة الفساد في إدارة النافذة، محاكاة تفاعل المستخدم لاستدعاء وظيفة رد الاتصال
- استبدال وصول مؤشر رمزي في هيكل EPROCESS مع واحد من عملية النظام
- تنفيذ الأمر من الوسيطة الأولى باعتبارها عملية جديدة مع امتيازات النظام
يعتقد CrowdStrike أن المتسللين لا يتم تشغيل المجرمين مطحنة الانترنت ولكن جماعة إجرامية الإنترنت متطورة للغاية مع بعض المساعدة للدولة. حجتهم في ذلك هو أن تفيد وقراصنة الكمبيوتر العادية لا أميل تتطلب امتياز الوصول إلى أنظمة كما هي عادة بعد الملفات التي تحمل المعلومات المالية / الشخصية. في هجوم إعصار الباندا، لاحظ CrowdStrike أن مجرمي الإنترنت يبحثون لأداء-السيبرانية المتعلقة بالتجسس إجراءات أكثر تقدما، مثل تحميل سائق النواة التي تعمل بمثابة الجذور الخفية أو إجراء إلقاء كلمة.هذا امتياز تتطلب الوصول الإداري إلى التحرك وعبر الشبكة.
"الخصوم غالبا ما تستخدم يعرف نقاط الضعف امتياز التصعيد للوصول على مستوى المسؤول، ولكن الحقيقية يستغل اليوم صفر نادرة وبالتالي مثيرة للاهتمام بشكل خاص عندما لاحظ في البرية. أنها تثبت أن مهاجم لديه المعرفة عن الخلل الأمني للاستغلال غير العامة، وهو ما يعني عادة أن استغلال وإما تم شراؤها من مورد أو وضعها في المنزل ".
وأشار CrowdStrike أيضا أن العقل الإجرامي وراء الباندا إعصار تمت كتابة استغلال الكود هو جيد للغاية وأنه يحتوي على نسبة نجاح 100٪. يشير بلوق أيضا أن القراصنة قد مرت جهدا كبيرا لتقليل فرصة اكتشافه.
أحد الأمثلة على الجهود التي اتخذها صناع إعصار الباندا استغلال عدة هي أنه الأداة التصعيد يتم نشرها إلا عند الضرورة القصوى خلال عمليات الاقتحام، وحذفها على الفور بعد الاستخدام.
كشفت CrowdStrike أيضا أن RAT إعصار الباندا في الاختيار كان PlugX. وهذا سبب آخر بالنسبة لهم للاعتقاد بأن استغلال قد نشأ من البر الرئيسى للصين. تم تكوين هذا RAT خاصا لاستخدام تقنية DLL الجانب التحميل الذي تم مؤخرا شعبية بين الخصوم الصينية.
إعصار الباندا اللافت على أساس يومي، وفقا لCrowdStrike، والسطح هو الهدف الكبير: يؤثر علة كل x64 ويندوز المتغيرات وبما يصل إلى ويندوز 7 و Windows Server 2008 R2. على أنظمة مع ويندوز 8 والمتغيرات في وقت لاحق مع إنتل آيفي بريدج أو معالجات الجيل احقة، SMEP (منع الوضع المشرف التنفيذ) ومنع محاولات استغلال الأخطاء ويؤدي إلى شاشة زرقاء.
إذا كنت تتعرض لهذا الهجوم بالتحديد، عالجت Microsoft هذا استغلال في MS14-058 نشرة الأمن وأصدر تصحيحا بإصلاح الضعف. يمكنك تحميل الإصلاح من هنا وتحديث النظم الخاصة بك على الفور.
الموارد: CrowdStrike