Platinum Nugget. Image Source: Wikipedia
Er zijn in principe twee soorten hackteams:. Het eerste type is na de snelle winst, oogsten creditcardnummers en bankgegevens. Het tweede type is gevaarlijker, ook al heeft het misschien geen directe invloed op de financiële toestand van slachtoffers, omdat het gericht is op langdurige spionage.
Bovendien, de doelen van dergelijke hackteams zijn meestal overheidsorganisaties, inlichtingen- en defensiediensten, of zelfs ISP's.
Verwante Verhalen:
Hot Potato Exploit bedreigt recente Windows-versies
Problemen met Windows Update oplossen
De Windows User Security Bijbel op Updates en gebreken
Nu, stel je voor dat er een bepaald hackteam is dat al het bovenstaande heeft aangevallen, en is zo hardnekkig geweest dat zelfs het Windows Defender Advanced Threat Hunting-team van Microsoft niet in de buurt komt van het identificeren van het team.
Een kijkje in de aanvallen van het PLATINUM-hackteam
Dit hackteam is gelabeld met PLATINUM, volgens de traditie van Microsoft om bedreigingsgroepen te noemen naar chemische verbindingen.
De leden van PLATINUM hebben in de loop van de tijd talloze technieken toegepast, en hebben veel zero-day-kwetsbaarheden uitgebuit om in te breken in het systeem van slachtoffers en hun netwerken te infecteren. Microsoft heeft zojuist een gedetailleerd rapport uitgebracht waarin de wapens van PLATINUM worden beschreven, en het is gepubliceerd op Microsoft TechNet.
Een van de technieken is bijzonder interessant – het maakt gebruik van de mogelijkheden van Windows tegen… Windows. Het heet hotpatching:
Hotpatching is een eerder ondersteunde OS-functie voor het installeren van updates zonder een proces opnieuw op te starten of opnieuw te starten. Het vereist machtigingen op beheerdersniveau, en op hoog niveau, een hotpatcher kan op transparante wijze patches toepassen op uitvoerbare bestanden en DLL's in actief lopende processen.
Hotpatching van Microsoft benut
Hotpatching werd oorspronkelijk geïntroduceerd in Windows Server 2003. Het geavanceerde hackteam heeft hotpatching gebruikt tegen Windows Server 2003, Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista en Windows 7. Hotpatching is niet beschikbaar in Windows 8 meer, terwijl Windows 10 is helemaal niet vatbaar voor dergelijke aanvallen.
Uit het onderzoek van Microsoft blijkt dat PLATINUM sindsdien actief is 2009, voornamelijk gericht op overheidsorganisaties, inlichtingendiensten en telecommunicatieaanbieders in Zuid- en Zuidoost-Azië.
De groep heeft geavanceerde en, niet verrassend, heimelijke technieken die hen helpen onopgemerkt te blijven en succesvol te zijn bij alle aanvallen. Het ergste is dat 'stille' cyberspionagecampagnes over een langere periode kunnen plaatsvinden, zonder de minste verdenking.
Een van de voorbeelden die door het MS-team van professionals zijn onderzocht, ondersteunde niet alleen hotpatching, maar was ook in staat om meer algemene code-injectietechnieken toe te passen, inclusief de onderstaande:, in veelgebruikte Windows-processen zoals winlogon.exe, lsass.exe en svchost.exe:
MakenRemoteThread
NtQueueApcThread om een APC in een thread in het doelproces uit te voeren
RtlCreatUserThread
NtCreateThreadEx
Was Echt verrast?
Zoals opgemerkt door Arstechnica, de IT-gemeenschap werd gewaarschuwd voor het gebruik van hotpatching in kwaadaardige scenario's in 2013 bij SyScan. Dit is wanneer beveiligingsonderzoeker Alex Ionescu beschreef de manieren waarop hotpatching kan worden toegepast om systemen aan te passen om malware te injecteren zonder de noodzaak van het injecteren van DLL's. De onderzoekers twitterden onlangs dat “Mijn SyScan 2012 hotpatching-aanval nu in het wild gebruikt!", linken naar Microsoft's Technet-artikel over PLATINUM.
Microsoft graaft nog steeds naar platina. Duidelijk, ze hebben geen idee wie aan de touwtjes trekt van deze hardnekkige cyberspionageoperaties. Het blijft onduidelijk waarom het bedrijf niets heeft gedaan om hotpatching-aanvallen te voorkomen. Het Windows Defender Advanced Threat Hunting Team had dit zeker moeten zien aankomen.
Om nog maar te zwijgen over 2006, tijdens de Black Hat-conferentie, beveiligingsonderzoeker Alex Sotirov beschreef de innerlijke werking van hotpatching en vertelde ook hoe derden patches voor Windows-kwetsbaarheden hadden voorgesteld vóór de release van officiële fixes.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: