Malware Ave_Maria nutzt unegepatchte Sicherheitslücken zur Rechteausweitung

Anti-Phishing-Spezialist Cofense verzeichnet einen Anstieg von Phishing-Kampagnen, die auf die Verbreitung einer Art von Stealer-Malware namens Ave_Maria abzielen.

Die Malware nutzt mittels DLL-Hijacking eine ungepatchte Schwachstelle aus, um Administratorrechte zu erlangen und eine Erkennung zu vermeiden. Sie stiehlt Informationen und lädt zusätzliche Plugins herunter. Laut Cofense kann Ave_Maria zahlreiche Sicherheitslösungen umgehen.

Wie CERT Italia informiert, wurde Ave_Maria Ende 2018 für einen Phishing-Angriff auf eine italienische Firma aus dem Energiesektor verwendet. Der Angriff erfolgte über eine Excel-Datei, deren Inhalt die Schwachstelle CVE-2017-11882 ausgenutzt hat.

Die von Ave_Maria verwendeten Techniken zur Rechteausweitung stammen laut Cofense von dem öffentlich verfügbaren UACME-Dienstprogramm, das eine Form von DLL-Hijacking verwendet. Obwohl es sich um einen bekannten und dokumentierten Exploit handelt, gibt es keine eindeutigen Beweise dafür, dass ein Fix für DLL-Hijacking ausgegeben wird oder dass die Schwachstelle behoben wurde. Diese Methode der Rechteausweitung durch DLL-Hijacking nutzt pkgmgr.exe – einer legitimen Whitelist-Anwendung, die automatisch mit erhöhten Rechten ausgeführt wird.

Abbildung 1 – pkgmgr.exe API-Aufruf zur Ausführung von dism.exe (Screenshot: Cofense)

Wie in Abbildung 1 dargestellt, wird pkgmgr.exe verwendet, um DISM über dism.exe auszuführen. Dabei wird versucht, die normalerweise nicht vorhandene DismCore.dll aus C:\Windows\SysWOW64\ oder C:\Windows\System32\ unter 32-Bit-Versionen von Windows zu laden, bevor die korrekte .dll aus C:\Windows\SysWOW64\Dism\DismCore.dll geladen wird.

Obwohl die in Abbildung 1 gezeigte Datei ellocnak.xml Informationen enthält, die von dism.exe verwendet werden, wird der Inhalt der Datei nicht direkt vom Dienstprogramm zur Berechtigungserweiterung genutzt, sondern dient in erster Linie dazu, sicherzustellen, dass die korrekte .dll verwendet wird.

Das Dienstprogramm zur Rechteausweitung nutzt den Ladeversuch einer normalerweise nicht vorhandenen .dll aus, indem es C:\Windows\SysWOW64\dismcore.dll mit einer bösartigen Variante ausführt. Abbildung 2 zeigt, wie diese von dism.exe und pkgmgr.exe mit erhöhten Rechten geladen wird.

Abbildung 2 – Korrekter DLL-Speicherort im Vergleich zum bösartigen DLL-Speicherort (Screenshot: Cofense).

Dadurch kann die bösartige DLL mit erhöhten Rechten ausgeführt werden und startet schließlich eine Ave_Maria-Binary neu.

Sobald Ave_Maria sich ins System eingenistet hat und über erhöhte Berechtigungen verfügt, versucht es, einige grundlegende Aktivitäten zum Stehlen von Informationen durchzuführen, wobei es auf gespeicherte Anmeldeinformationen für Google Chrome, Thunderbird, Microsoft Outlook und andere Anwendungen abzielt. Es exfiltriert dann einige grundlegende Informationen, einschließlich des Benutzernamens, bevor es versucht, eine ausführbare Datei herunterzuladen, die für den Diebstahl weiterer Informationen verwendet wird.

Die Verwendung des Tools zur Rechteausweitung und mehrerer eingebetteter Binärdateien durch Ave_Maria ermöglicht es, Erkennungs- und Berechtigungsbeschränkungen für viele Endpunkte zu umgehen. Die Nutzung öffentlich zugänglicher Dienstprogramme durch Bedrohungsakteure, die bekannte, nicht gepatchte Schwachstellen ausnutzen, zeigt, wie sich die Sicherheitsherausforderungen ständig weiterentwickeln und wie vorbeugende Maßnahmen nicht immer Schritt halten können.