"Hurricane Panda" Hacker nutzten Microsoft Zero-Day, sagt CrowdStrike

CEO Dmitri Alperovitch sagte, dass sein CrowdStrike seit Anfang des Jahres mit der Gruppe, die das Unternehmen täglich "Hurricane Panda" getauft hat, gekämpft habe.

"Sie waren sehr hartnäckige Schauspieler", sagte Alperovitch am Dienstag in einem Telefoninterview . "Wir sind zuversichtlich, dass sie in ihren Zielen tatsächlich an die chinesische Regierung gebunden sind."

[Weitere Informationen: Entfernen von Malware von Ihrem Windows-PC]

Hurricane Panda hat gezielte Technologie-Infrastrukturunternehmen, sagte Alperovitch. Er sagte, er könne die Unternehmen, die CrowdStrikes Dienste nutzen, nicht identifizieren.

CrowdStrike-Analysten sehen oft Angriffe in Aktion und arbeiten daran, die Hacker aus Netzwerken zu booten. Es führt zu einer schnell spielenden Offensive und Verteidigung, die laut Alperovitch zu Fehlern bei den Hackern führen kann.

"Wir können buchstäblich jeden Befehl aufzeichnen, den sie versuchen und sofort verstehen, was sie tun, "Er sagte.

Zum Beispiel sehen die Analysten häufig, dass Hacker Befehle wie" hsotname "anstelle von" hostname "und" romote "für" remote "falsch eingeben, da sie hastig versuchen, ihren Zugriff aufrechtzuerhalten.

Hurricane Panda ist bemerkenswert für die Verwendung des eng geschriebenen Exploit-Codes "win64.exe", der es der Gruppe ermöglichte, sich durch Netzwerksysteme zu bewegen, sobald ein Computer gehackt wurde. Dieses Tool würde mit einer Webshell namens "ChinaChopper" hochgeladen werden, die die Angreifer auf den Servern einer Firma platziert haben, sagte Alperovitch.

Win64.exe, das auf 64-Bit-Windows-Systemen läuft, nutzt eine Privilegien-Eskalations-Schwachstelle, die Angreifer können über das Konto eines Benutzers, der diese Berechtigungen nicht besitzt, Administratorrechte für andere Programme erlangen.

Microsoft hat am Dienstag die Sicherheitsanfälligkeit CVE-2014-4113 gepatcht, aber Hurricane Panda hat es bereits für eine solche Anwendung verwendet während. CrowdStrike informierte Microsoft über den Fehler, als es entdeckte, dass die Angreifer es nutzten, so Alperovitch.

Wenn der Fehler erfolgreich ausgenutzt wird, kann beliebiger Code im Kernel-Modus ausgeführt werden, so dass ein Angreifer Programme installieren, Daten anzeigen oder ändern kann neue Accounts mit vollen Administratorrechten, heißt es in einem Blogbeitrag von Symantec am Dienstag.

Eskalationsfehler sind nicht selten, aber es ist ungewöhnlich, dass ein Benutzer so lange von einer Gruppe benutzt wird, was darauf hindeutet, dass die Angreifer " Wissen über nicht-öffentliche, ausnutzbare Sicherheits-Bugs, was normalerweise bedeutet, dass der Exploit entweder von einem Lieferanten gekauft oder intern entwickelt wurde ", schrieb Alperovitch in einem Beitrag im Blog des Unternehmens.

Win64.exe enthielt eine interessante eingebettete Zeichenkette "Woqunimalegebi", was zu einem chinesischen Schimpfwort führt, sagte Alperovitch. Das Wort wird oft auf Chinesisch falsch geschrieben, um nicht von der Filterausrüstung des Landes blockiert zu werden, und dieser vorsätzliche Fehler ändert laut Crowd Strike die Bedeutung der Vulgarität zu "fruchtbarem Gras-Schlammpferd in der Wüste Mahler Gobi".

Alperowitsch sagte, es sei schwer zu sagen, warum Programmierer solche Nachrichten einfügen, aber "vielleicht haben sie versucht, eine Nachricht an jeden zu senden, der den Code reverse engineering."