+43 699 / 18199463
office@itexperst.at

Hacker-Gruppe Platinium missbraucht Windows HotPatching Funktion

Eine Hackergruppe, die seit 2009 unter dem Namen Platinum operiert, soll die Windows HotPatching Funktion genutzt haben, um über eine „Hintertür“ in Windowssysteme einzudringen. Die Gruppe ist bekannt für ihre politisch motivierten Hackerangriffe, insbesondere gegen asiatische Regierungen und sensible Industriezweige in Asien. Ihre Angriffe werden meistens durch betrügerische E-Mails oder Zero-Day-Exploits eingeleitet.

Sie legt großen Wert auf unerkannt zu bleiben und führen daher jedes Jahr nur eine kleine Anzahl von Angriffen durch. Ihre individuell hergestellte Malware verfügt über Selbstlöschfähigkeiten und ist stets so konzipiert, dass sie nur während der Arbeitszeit ihrer Opfer läuft, um sich im gewöhnlichen Anwenderverkehr versteckt halten zu können.

Das Microsoft Windows Defender Advanced Threat Hunting Team befasste sich nun in einem Bericht mit den Methoden dieser Gruppe. Demzufolge nutzte sie die HotPatching Systemfunktion, um zunächst Programmbibliotheken von Windowssystemen mit erweiterten Rechten auszustatten. Danach konnten sie die manipulierte Programmbibliothek als Backdoor in den svchost-Prozess injizieren mittels eben jener Windows HotPatching-Methode.

Interessanterweise lief der gesamte Angriff unter den Augen der laufenden Virenprogramme ab und blieb völlig unentdeckt. Die Microsoft-Sicherheitsforscher hatten eine bösartige Anwendung dieser Technik bisher noch nie festgestellt. Dabei wurde ein solches potentielles Angriffsszenario aber bereits 2013 auf der SyScan Sicherheitskonferenz vom Sicherheitsforscher Alex Ionescu beschrieben.

„HotPatching in einem böswilligen Kontext zu verwenden ist eine Technik, die ausgenutzt werden könnte, um die Entdeckung zu vermeiden, da viele Anti-Malware-Anwendungen Nicht-Systemprozesse auf normale Injektionsmethoden überwachen, wie CreateRemoteTread.“,

schrieben die Microsoft-Forscher in einem Blogartikel.

„Was dies in der Praxis bedeutet ist, dass Platinium in der Lage war, diese Funktion zu missbrauchen, um ihre Hintertür vor den Verhaltenssensoren vieler Host Sicherheitsprodukte zu verstecken.“

Die HotPatching-Technik funktioniert gegen Windows Server 2003 Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista und Windows 7. Laut den Sicherheitsexperten von Microsoft erfordert die HotPatching Technik Administratorberechtigungen.

Microsoft weist in seinem Bericht darauf hin, dass das Tool versucht den bösartigen Code über gängige Windowsprozesse einzuschleusen, wenn eine Injizierung mittels HotPatching fehlschlägt. In erster Linie werden dann gezielt winlogon.exe, lsass.exe und svchost.exe verwendet.

Hotpatching ist nur sehr wenigen Anwendern bekannt. Die Funktion wurde erstmals in die Windows Server 2003 eingebaut, jedoch ab Windows 8 weggelassen, da sie bis dahin nachweislich nur 10 Mal genutzt wurde. Hotpatching, auch bekannt als live-patching, macht eine Durchführung von dynamischen Software-Updates (sogenanntes Patches) zu laufenden Prozessen und auch von Programmbibliotheken ohne einen Neustart möglich.

Artikel von computerworld.com, 27.04.2016: Group uses Windows hotpatching method for malware

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen