利用未修补漏洞,Ave_Maria恶意满满

Cofense最近发现旨在分发一种名为Ave_Maria的信息窃取恶意软件的网络钓鱼活动有所增加。Ave_Maria具有DLL劫持功能,利用没有修复的漏洞。由于源自公开可用的实用程序,DLL可以让Ave_Maria获得更高的管理员权限并避免检测,然后窃取信息、下载其他插件和有效载荷。此恶意软件可以绕过许多端点上的检测和权限限制。

全部细节

Ave_Maria信息窃取器是模块化信息窃取恶意软件系列中的一个,它通过DLL劫持和COM对象来提升其权限并避免检测。一旦Ave_Maria信息窃取器成功提升权限,它就会窃取储存在本地的信息并开始下载其他插件,并可能充当其他有效载荷的中间下载程序。

Windows使用权限级别来控制对其功能的访问,从本地系统操作到网络基础结构访问。权限升级后,进程就拥有了管理员访问权限,可以修改系统设置、收集有关本地系统的信息、以及访问其他隐藏或受保护的文件。具有足够权限的用户或进程也能够访问本地网络基础结构,并且在某些情况下还能够访问连接到同一网络上的其他计算机。这种对信息和文件的访问使权限升级成为所有黑客努力的目标。

Ave_Maria信息窃取器使用的权限提升技术源自使用DLL劫持形式的公开可用的UACME实用程序。尽管是一个众所周知且有文档记录的漏洞利用程序,但没有明确的证据表明已经针对DLL劫持发布了修复程序,或者已经解决了漏洞。这种通过DLL劫持进行权限提升的方法利用了pkgmgr.exe—-一个自动提升权限的合法应用程序。

如下图所示,通过dism.exe用pkgmgr.exe来运行DISM,从C:\Windows\SysWOW64\Dism\DismCore.dll加载正确的.dll之前,pkgmgr.exe从C:\Windows\SysWOW64\或等效的C:\Windows\System32\上加载一个通常不存在的DismCore.dll到32位版本的Windows上。虽然下图中显示的文件ellocnak.xml包含dism.exe使用的信息,但该文件的内容不由权限提升实用程序直接使用,主要用于确保使用正确的.dll。

利用未修补漏洞,Ave_Maria恶意满满

用于运行dism.exe的pkgmgr.exe API调用

权限提升实用程序会尝试加载通常不存在的.dll,方法是通过将恶意DLL 加载到C:\Windows\SysWOW64\dismcore.dll,如下图底部所示,先由dism.exe加载,然后由具有提升权限的pkgmgr.exe加载。

利用未修补漏洞,Ave_Maria恶意满满

恶意DLL与正确DLL位置

这使恶意DLL能够带着提升了的权限运行,并最终重新启动Ave_Maria 信息窃取器的二进制文件。

尽管使用了高级权限提升实用程序,但恶意软件的某些部分仍然处于测试阶段。当Ave_Maria 信息窃取器的权限提升实用程序部分以管理员身份运行时,会出现如下图所示的简单错误消息,当用户单击“确定”时,程序就会终止,也不会采取下一步操作。

利用未修补漏洞,Ave_Maria恶意满满

一旦Ave_Maria信息窃取器权限提升后,它就会尝试执行一些基本的信息窃取活动,针对Google Chrome、Thunderbird、Microsoft Outlook和其他应用程序保存的凭据。然后,在尝试下载用于进一步窃取信息的可执行文件之前,它会将包括用户名在内的一些基本信息泄露给攻击者。

由于使用权限提升实用程序和多个嵌入式二进制文件,Ave_Maria信息窃取器能够绕过许多端点上的检测和权限限制。攻击者利用已知未修补的漏洞表明了安全挑战如何不断发展,也表明了目前的预防措施还是跟不上威胁的发展。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134076.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code