2018年8月27日，影响Microsoft Windows的所谓0 day漏洞在GitHub上发布，并通过一条相当尖锐的推文进行宣传。

源: Twitter

很明显，这不是合理漏洞披露的一部分，并且在发布此推文（自已删除）时，漏洞没有补丁。

它影响从Windows 7到Windows 10的Microsoft Windows操作系统，特别是高级本地过程调用（ALPC）功能，并允许本地权限提升（LPE）。LPE允许可执行文件或进程提升权限。在特定情况下，它允许受限用户启动的可执行文件获得管理权限。

该推文链接到GitHub存储库，该存储库包含该漏洞利用的概念验证代码。不仅发布了编译版本——也包括源代码。因此，任何人都可以修改和重新编译漏洞利用程序，以“改进它”，逃避检测，甚至将其合并到代码中。

正如预测的那样，在第一次确定在我们称之为PowerPool组织的恶意行动中，仅在两天后就使用了此漏洞利用。该组织的受害者数量很少，根据我们的遥测和上传到VirusTotal（我们只考虑从网络界面手动上传），目标国家包括智利，德国，印度，菲律宾，波兰，俄罗斯，英国，美国和乌克兰。

一、PowerPool 武器库

这个新近独立的组织已经拥有相当多的工具供其使用。在这里我们简要分析其中一部分。

ALPC 本地权限提升利用

PowerPool开发人员没有重用漏洞披露者提供的二进制文件。他们稍微修改了源代码并重新编译它。

该漏洞已被其原作者记录，并已被security researchers安全研究人员和CERTs所涵盖。

图1 – 作者关于漏洞利用的描述

该漏洞位于SchRpcSetSecurity API函数中，该函数未正确检查用户的权限。因此，用户可以对C:\Windows\Task中的任何文件具有写入权限，而不管其实际权限。这允许仅具有读取权限的用户替换写保护文件的内容。

由于任何用户在C:\Windows\Task都具备写权限，因此可以在此文件夹中创建一个文件，该文件是指向任何目标文件的硬链接。然后，通过调用问题函数SchRpcSetSecurity，就可以获得对该目标文件的写访问权。要创建本地权限提升，攻击者需要选择将被覆盖的目标文件。这需要仔细完成：它需要是一个使用管理权限自动执行的文件。例如，它可以是系统文件，也可以是由任务定期执行的先前安装的软件的更新程序。最后一步是用恶意代码替换此受保护目标文件的内容。因此，在下次自动执行时，恶意软件将具有管理权限，而不管其原始权限如何。

PowerPool的开发人员选择更改文件C:\Program Files (x86)\Google\Update\GoogleUpdate.exe的内容。这是Google应用程序的合法更新程序，并且通常由Microsoft Windows任务在管理权限下运行。

图2 –创建到Google Updater的硬链接

图3 – 滥用SchRpcCreateFolder修改Google Updater权限

上图中显示的操作序列允许PowerPool操作人员获得对GoogleUpdate.exe的写访问权。然后，他们用下面描述的第二阶段恶意软件的副本覆盖它，以便在下次调用更新程序时获得SYSTEM权限。

二、首次入侵

PowerPool组织使用不同的方法来首次入侵受害者。一种是发送带有第一阶段恶意软件的电子邮件作为附件。现在说它可能还为时过早，但到目前为止我们在遥测中看到的事件很少，因此我们假设收件人是经过精心挑选而不是PowerPool进行大规模的垃圾邮件活动。

另一方面，我们知道他们的垃圾邮件过去曾被发现。根据2018年5月发布的SANS博客文章，他们使用Symbolic Link（.slk）文件的技巧来分发恶意软件。 Microsoft Excel可以加载这些更新单元格的文件，并强制Excel执行PowerShell代码。这些.slk文件也在分发垃圾邮件。从SANS博文中提到的第一个文件（SHA-1：b2dc703d3af1d015f4d53b6dbbeb624f5ade5553），在VirusTotal上可以找到相关的垃圾邮件样本(SHA-1: e0882e234cba94b5cf3df2c05949e2e228bedd2b):

图4 – PowerPool 垃圾邮件

三、Windows后门

PowerPool组织主要使用两个不同的后门：第一阶段后门在首次攻击之后使用，然后是第二阶段后门，可能用在最感兴趣的机器上。

（一）第一阶段后门

这是用于在机器上进行侦察的基本恶意软件。它包含两个Windows可执行文件。

第一个是主后门，通过服务建立持久性。它还会创建一个名为MyDemonMutex％d的互斥体，其中%d从0到10，可以收集代理信息，并且C＆C服务器的地址被硬编码到此二进制文件中。它可以执行命令并对机器进行一些基本的侦察，然后将其发送到C＆C服务器。

图5 – 收集代理信息

第二个可执行文件只有一个目的。它会截取受害者的显示屏并将其写入MyScreen.jpg。然后，该文件可以被主后门上传。

（二）第二阶段后门

这个恶意软件是通过第一阶段下载的，当操作员认为机器足够有吸引力时，可以长时间驻留。然而，它显然不是最先进的APT后门。

同样，C＆C服务器地址在二进制文件中是硬编码的，并且没有机制来更新这个关键配置项。此后门从http://[C&C domain]/cmdpooland搜索命令，从http://[C&C domain]/upload下载其他文件。这些附加文件主要是下面提到的横向移动工具。

支持的命令是：

· 执行命令

· 终止进程

· 上传文件

· 下载文件

· 列出文件夹内清单

它们以JSON格式发送。以下示例是执行命令和列出文件夹的说明：

图6 – 后门命令示例

四、横向移动工具

一旦PowerPool操作人员具备对第二阶段后门的机器的持久访问权限，他们就会使用几个开源工具（主要是用PowerShell编写）在网络上横向移动。

· PowerDump: 这是一个Metasploit模块，可以从安全帐户管理器（SAM）获取用户名和哈希值。

· PowerSploit: 这是PowerShell中的开发利用框架，类似于Metasploit。

· SMBExec: 用于执行传递哈希的SMB连接的PowerShell工具。

· Quarks PwDump: 可以获取Windows凭据的Windows可执行文件。

· FireMaster: 一个Windows可执行文件，可以从Outlook，Web浏览器等获取存储的密码。

五、总结

在合理的披露流程之外披露漏洞通常会使许多用户面临风险。在此情况下，即使是最新版本的Windows也可能会受到影响，因为在发布漏洞时没有发布补丁。 CERT-CC提供了一些缓解措施，但微软尚未正式批准它们。

这个特定的行动针对的是有限数量的用户，但不要被这样的愚弄：它表明网络犯罪分子也会关注新闻，并在公开发布后立即使用漏洞利用程序。

ESET研究人员将继续跟踪此新漏洞的所有恶意使用情况。IOC也可以在GitHub上找到。

IoC

Hashes