Platinum Nugget. Image Source: Wikipedia
Der er grundlæggende to typer af hacking hold. Den første type er efter hurtig profit, høst kreditkortnumre og bankoplysninger. Den anden type er mere farlig, selv om det måske ikke direkte påvirke den finansielle tilstand af ofre, som den koncentreres om langsigtet spionage.
Desuden, målene på sådanne hacking hold er som regel offentlige organisationer, intelligens og militære instanser, eller endda internetudbydere.
Relaterede historier:
Hot Potato Exploit fare Seneste Windows-versioner
Sådan foretages fejlfinding af problemer med Windows Update
Windows User Security bibel på Opdateringer og Mangler
Nu, forestille sig, at der er én bestemt hacking hold, der har været at angribe alle de ovennævnte, og har været så vedholdende, at selv Microsofts Windows Defender Advanced Threat Jagt hold er ikke nær tæt på at identificere holdet.
Et kig ind i PLATINUM Hacking Team angreb
Dette hacking hold er blevet mærket PLATINUM, følgende Microsoft tradition for navngivning trussel grupper efter kemiske forbindelser.
PLATINUM medlemmer har anvendt en lang række teknikker over tid, og har udnyttet mange zero-day sårbarheder til at bryde ind i ofrenes systemet og inficere deres netværk. Microsoft har netop frigivet en detaljeret rapport, der beskriver PLATINUM s våben, og det er offentliggjort på Microsoft TechNet.
En af de teknikker er særlig interessant – den beskæftiger Windows’ evner mod… Vinduer. Det kaldes hotpatching:
Hotpatching er en tidligere støttet OS funktion til installation af opdateringer uden at skulle genstarte eller genstarte en proces. Det kræver administrator-niveau tilladelser, og på et højt niveau, en hotpatcher kan gennemskueligt anvende patches til eksekverbare og DLL-filer i aktivt kørende processer.
Microsofts Hotpatching Leveraged
Hotpatching blev oprindeligt introduceret i Windows Server 2003. Den avancerede hacking team har brugt hotpatching mod Windows Server 2003, Service pakke 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista og Windows 7. Hotpatching er ikke tilgængelig i Windows 8 længere, mens Windows 10 er ikke tilbøjelige til sådanne angreb på alle.
Microsofts undersøgelse peger, at platin har været aktiv siden 2009, primært rettet mod statslige organisationer, efterretningstjenester og telekommunikation udbydere i Syd- og Sydøstasien.
Gruppen har udviklet en avanceret og, ikke overraskende, på hemmelig teknikker, der hjælper dem forblive uopdaget og succes i alle angreb. Det værste er, at ”tavse” cyber-spionage kampagner kan ske i en længere periode, uden den mindste mistanke.
En af de undersøgte af MS'S team af professionelle prøver ikke kun understøttes Hotpatching men var også i stand til at anvende mere almindelige kode-injektionsteknik, herunder den nedenfor anførte, i almindelige Windows processer såsom winlogon.exe, lsass.exe og svchost.exe:
CreateRemoteThread
NtQueueApcThread at køre en APC i en tråd i målet processen
RtlCreatUserThread
NtCreateThreadEx
var Virkelig Fanget af Surprise?
Som påpeget af Arstechnica, IT samfund blev advaret om ansættelse af hotpatching i ondsindede scenarier i 2013 på Syscan. Dette er, når sikkerhedsekspert Alex Ionescu beskrevet de måder hotpatching kan anvendes til at ændre systemer til at injicere malware uden behov for intravenøse DLL. Forskerne nylig tweetet, at ”min Syscan 2012 Hotpatching angreb nu bruges i naturen!", linker til Microsofts Technet artikel om PLATINUM.
Microsoft er stadig ”grave efter Platinum”. Naturligvis, de har ingen idé om, hvem der trækker i trådene i disse vedholdende cyber spionage. Det er fortsat uklart, hvorfor selskabet ikke gøre noget for at undgå Hotpatching angreb. Windows Defender Advanced Threat Jagt Team skulle have afgjort set det komme.
For ikke at nævne, at der i 2006, under Black Hat-konferencen, sikkerhed forsker Alex Sotirov beskrevet de indre funktioner i hotpatching og også talte om, hvordan tredje parter havde foreslået patches til Windows sårbarheder før udgivelsen af officielle rettelser.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: