Categories: Sicherheit

Malware Ave_Maria nutzt unegepatchte Sicherheitslücken zur Rechteausweitung

Anti-Phishing-Spezialist Cofense verzeichnet einen Anstieg von Phishing-Kampagnen, die auf die Verbreitung einer Art von Stealer-Malware namens Ave_Maria abzielen.

Die Malware nutzt mittels DLL-Hijacking eine ungepatchte Schwachstelle aus, um Administratorrechte zu erlangen und eine Erkennung zu vermeiden. Sie stiehlt Informationen und lädt zusätzliche Plugins herunter. Laut Cofense kann Ave_Maria zahlreiche Sicherheitslösungen umgehen.

Wie CERT Italia informiert, wurde Ave_Maria Ende 2018 für einen Phishing-Angriff auf eine italienische Firma aus dem Energiesektor verwendet. Der Angriff erfolgte über eine Excel-Datei, deren Inhalt die Schwachstelle CVE-2017-11882 ausgenutzt hat.

Die von Ave_Maria verwendeten Techniken zur Rechteausweitung stammen laut Cofense von dem öffentlich verfügbaren UACME-Dienstprogramm, das eine Form von DLL-Hijacking verwendet. Obwohl es sich um einen bekannten und dokumentierten Exploit handelt, gibt es keine eindeutigen Beweise dafür, dass ein Fix für DLL-Hijacking ausgegeben wird oder dass die Schwachstelle behoben wurde. Diese Methode der Rechteausweitung durch DLL-Hijacking nutzt pkgmgr.exe – einer legitimen Whitelist-Anwendung, die automatisch mit erhöhten Rechten ausgeführt wird.

Abbildung 1 – pkgmgr.exe API-Aufruf zur Ausführung von dism.exe (Screenshot: Cofense)

Wie in Abbildung 1 dargestellt, wird pkgmgr.exe verwendet, um DISM über dism.exe auszuführen. Dabei wird versucht, die normalerweise nicht vorhandene DismCore.dll aus C:\Windows\SysWOW64\ oder C:\Windows\System32\ unter 32-Bit-Versionen von Windows zu laden, bevor die korrekte .dll aus C:\Windows\SysWOW64\Dism\DismCore.dll geladen wird.

Obwohl die in Abbildung 1 gezeigte Datei ellocnak.xml Informationen enthält, die von dism.exe verwendet werden, wird der Inhalt der Datei nicht direkt vom Dienstprogramm zur Berechtigungserweiterung genutzt, sondern dient in erster Linie dazu, sicherzustellen, dass die korrekte .dll verwendet wird.

Das Dienstprogramm zur Rechteausweitung nutzt den Ladeversuch einer normalerweise nicht vorhandenen .dll aus, indem es C:\Windows\SysWOW64\dismcore.dll mit einer bösartigen Variante ausführt. Abbildung 2 zeigt, wie diese von dism.exe und pkgmgr.exe mit erhöhten Rechten geladen wird.

Abbildung 2 – Korrekter DLL-Speicherort im Vergleich zum bösartigen DLL-Speicherort (Screenshot: Cofense).

Dadurch kann die bösartige DLL mit erhöhten Rechten ausgeführt werden und startet schließlich eine Ave_Maria-Binary neu.

Sobald Ave_Maria sich ins System eingenistet hat und über erhöhte Berechtigungen verfügt, versucht es, einige grundlegende Aktivitäten zum Stehlen von Informationen durchzuführen, wobei es auf gespeicherte Anmeldeinformationen für Google Chrome, Thunderbird, Microsoft Outlook und andere Anwendungen abzielt. Es exfiltriert dann einige grundlegende Informationen, einschließlich des Benutzernamens, bevor es versucht, eine ausführbare Datei herunterzuladen, die für den Diebstahl weiterer Informationen verwendet wird.

Die Verwendung des Tools zur Rechteausweitung und mehrerer eingebetteter Binärdateien durch Ave_Maria ermöglicht es, Erkennungs- und Berechtigungsbeschränkungen für viele Endpunkte zu umgehen. Die Nutzung öffentlich zugänglicher Dienstprogramme durch Bedrohungsakteure, die bekannte, nicht gepatchte Schwachstellen ausnutzen, zeigt, wie sich die Sicherheitsherausforderungen ständig weiterentwickeln und wie vorbeugende Maßnahmen nicht immer Schritt halten können.

Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Google erhöht Prämien für Sicherheitslücken deutlich

Die maximale Basisprämie für Schwachstellen in Chrome und Chrome OS steigt von 5000 auf 15.000 Dollar. Hochqualitative Fehlerberichte bringen Forschern…

13 Stunden ago

Cloudgeschäft beschert Microsoft Rekordquartal

Umsatz und Gewinn steigen um 12 beziehungsweise 49 Prozent. Die Cloud-Sparte meldet erstmals höhere Einnahmen als die Windows-Sparte. Der Kurs…

18 Stunden ago

Microsoft registriert fast 10.000 staatliche Hackerangriffe auf seine Nutzer

Die Opfer sind mehrheitlich Firmenkunden. Rund 16 Prozent der Attacken richten sich aber auch gegen Verbraucher. Die Urheber wiederum stammen…

20 Stunden ago

242 Millionen Euro: EU verhängt weitere Kartellstrafe gegen Qualcomm

Es geht erneut um einen Missbrauch einer marktbeherrschenden Stellung. Diesmal soll Qualcomm UTMS-Chipsätze zu Verdrängungspreisen verkauft haben. Das Bußgeld entspricht…

21 Stunden ago

Auch Firefox stuft künftig HTTP-Websites als unsicher ein

Ab Werk aktiv ist die Funktion in Firefox 70. Aktuell ist die Funktion im Nightly Channel erhältlich. Aber auch Firefox…

2 Tagen ago

Smartphones mit 12 GByte RAM: Samsung kündigt neue Low-Power-Speichermodule an

Sie ermöglichen Übertragungsraten von 5500 Mbit/s. 44 GByte Daten übertragen sie somit innerhalb einer Sekunde. Samsung fertigt die Chips mit…

2 Tagen ago