Categories: Sicherheit

Malware Ave_Maria nutzt unegepatchte Sicherheitslücken zur Rechteausweitung

Anti-Phishing-Spezialist Cofense verzeichnet einen Anstieg von Phishing-Kampagnen, die auf die Verbreitung einer Art von Stealer-Malware namens Ave_Maria abzielen.

Die Malware nutzt mittels DLL-Hijacking eine ungepatchte Schwachstelle aus, um Administratorrechte zu erlangen und eine Erkennung zu vermeiden. Sie stiehlt Informationen und lädt zusätzliche Plugins herunter. Laut Cofense kann Ave_Maria zahlreiche Sicherheitslösungen umgehen.

Wie CERT Italia informiert, wurde Ave_Maria Ende 2018 für einen Phishing-Angriff auf eine italienische Firma aus dem Energiesektor verwendet. Der Angriff erfolgte über eine Excel-Datei, deren Inhalt die Schwachstelle CVE-2017-11882 ausgenutzt hat.

Die von Ave_Maria verwendeten Techniken zur Rechteausweitung stammen laut Cofense von dem öffentlich verfügbaren UACME-Dienstprogramm, das eine Form von DLL-Hijacking verwendet. Obwohl es sich um einen bekannten und dokumentierten Exploit handelt, gibt es keine eindeutigen Beweise dafür, dass ein Fix für DLL-Hijacking ausgegeben wird oder dass die Schwachstelle behoben wurde. Diese Methode der Rechteausweitung durch DLL-Hijacking nutzt pkgmgr.exe – einer legitimen Whitelist-Anwendung, die automatisch mit erhöhten Rechten ausgeführt wird.

Abbildung 1 – pkgmgr.exe API-Aufruf zur Ausführung von dism.exe (Screenshot: Cofense)

Wie in Abbildung 1 dargestellt, wird pkgmgr.exe verwendet, um DISM über dism.exe auszuführen. Dabei wird versucht, die normalerweise nicht vorhandene DismCore.dll aus C:\Windows\SysWOW64\ oder C:\Windows\System32\ unter 32-Bit-Versionen von Windows zu laden, bevor die korrekte .dll aus C:\Windows\SysWOW64\Dism\DismCore.dll geladen wird.

Obwohl die in Abbildung 1 gezeigte Datei ellocnak.xml Informationen enthält, die von dism.exe verwendet werden, wird der Inhalt der Datei nicht direkt vom Dienstprogramm zur Berechtigungserweiterung genutzt, sondern dient in erster Linie dazu, sicherzustellen, dass die korrekte .dll verwendet wird.

Das Dienstprogramm zur Rechteausweitung nutzt den Ladeversuch einer normalerweise nicht vorhandenen .dll aus, indem es C:\Windows\SysWOW64\dismcore.dll mit einer bösartigen Variante ausführt. Abbildung 2 zeigt, wie diese von dism.exe und pkgmgr.exe mit erhöhten Rechten geladen wird.

Abbildung 2 – Korrekter DLL-Speicherort im Vergleich zum bösartigen DLL-Speicherort (Screenshot: Cofense).

Dadurch kann die bösartige DLL mit erhöhten Rechten ausgeführt werden und startet schließlich eine Ave_Maria-Binary neu.

Sobald Ave_Maria sich ins System eingenistet hat und über erhöhte Berechtigungen verfügt, versucht es, einige grundlegende Aktivitäten zum Stehlen von Informationen durchzuführen, wobei es auf gespeicherte Anmeldeinformationen für Google Chrome, Thunderbird, Microsoft Outlook und andere Anwendungen abzielt. Es exfiltriert dann einige grundlegende Informationen, einschließlich des Benutzernamens, bevor es versucht, eine ausführbare Datei herunterzuladen, die für den Diebstahl weiterer Informationen verwendet wird.

Die Verwendung des Tools zur Rechteausweitung und mehrerer eingebetteter Binärdateien durch Ave_Maria ermöglicht es, Erkennungs- und Berechtigungsbeschränkungen für viele Endpunkte zu umgehen. Die Nutzung öffentlich zugänglicher Dienstprogramme durch Bedrohungsakteure, die bekannte, nicht gepatchte Schwachstellen ausnutzen, zeigt, wie sich die Sicherheitsherausforderungen ständig weiterentwickeln und wie vorbeugende Maßnahmen nicht immer Schritt halten können.

Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Blockchain führt zu branchenübergreifendem Wandel

Blockchain wird in den nächsten Jahren einen branchenübergreifenden Wandel bewirken. Das ist das Ergebnis einer aktuellen Gartner-Studie. Voraussetzung für die…

60 Minuten ago

Zombieland v2: Windows und Linux erhalten Option zur Abschaltung von Intel TSX

Die CPU-Erweiterung ist anfällig für Malware-Angriffe. Sie gibt unter Umständen vertrauliche Informationen preis. Unter Windows lässt sich die Erweiterung mittels…

5 Stunden ago

Rückkehr des Razr: Motorola stellt Clamshell-Smartphone mit Falt-Display vor

Zusammengeklappt ist es nur 7,2 mal 9,4 Zentimeter groß. Aufgeklappt bietet es trotzdem ein 6,2-Zoll-Display. Im inneren stecken ein Qualcomm…

8 Stunden ago

Saugroboter Roborock S5 Max ausprobiert

Durch einen größeren Wassertank und eine elektrisch gesteuerte Wasserabgabe soll der Roborock S5 Max besonders beim Wischen Vorteile bieten.

1 Tag ago

Intel warnt vor Sicherheitslücken in Firmware von Server-Produkten

Sie stecken in der Firmware der Baseboard Management Controller. Sie wiederum dienen der Verwaltung von Servern auf einer Ebene unterhalb…

1 Tag ago

Malware-Attacken auf Krankenhäuser nehmen rasant zu

In den ersten neun Monaten beträgt das Plus rund 60 Prozent. Am häufigsten setzen Cyberkriminelle Trojaner wie Emotet und Trickbot…

1 Tag ago