por Nart Villeneuve (Pesquisador
Sênior de Ameaças)
Ataques de malware, que exploram vulnerabilidades em softwares
populares para infectar alvos específicos, estão se tornando cada
vez mais comuns. Mesmo antes dos ataques conhecidos como Aurora ao Google e a
outras 20 empresas, ataques direcionados já ocorriam - e continuam
ocorrendo - em redes governamentais, militares, corporativas e
educacionais. Ataques como estes direcionados a redes do governo
norte-americano são bem conhecidos, mas outros governos e empresas
estão, cada vez mais, enfrentando ameaças parecidas.
No início deste ano, os governos canadense, sul-coreano e francês registraram casos sérios de segurança
em redes importantes. Recentemente, a Comissão
Europeia e o Serviço Europeu de Ação Externa também foram
comprometidos. Foram também registrados casos envolvendo as
empresas de segurança RSA e Comodo que, pelo menos em relação à RSA,
parecem relacionados ao uso de ataques direcionados de malware.
Tecnicamente sofisticados ou somente bem executados?
Tais ataques são, quase sempre, descritos como sofisticados ou
direcionados, adjetivos que se tornaram sinônimos de bem-sucedidos.
As declarações feitas após os casos, geralmente sugerem que os
criminosos sabiam exatamente como realizar os ataques e, em algumas
ocasiões, o que procuravam. É difícil avaliar essas afirmações
simplesmente pelos detalhes obscuros que são trazidos a público.
Portanto, não estou sugerindo que essas declarações são incorretas.
O que estou sugerindo é que o nível de precisão e sofisticação são
resultados de conhecimentos adquiridos previamente pelos atacantes,
e não necessariamente causados por uma técnica brilhante com
relação aos métodos ou ferramentas utilizados.
A maioria dos usuários de Internet não será alvo de ataques
direcionados e está mais sujeita a ameaças como programas falsos de segurança (FAKEAV) e cavalos-de-troia bancários (ZeuS, SpyEye).
Apesar disso, continua existindo um fluxo constante de amostras de
malware ligadas a ataques direcionados. No entanto, o nível de
direcionamento varia de forma significativa. Alguns tipos de ataque
geram mais "barulho" que outros. Apesar de enviarem documentos
maliciosos, geralmente tirando proveito de assuntos específicos
para engenharia social, eles são recebidos por um número
relativamente grande de alvos em potencial. Eles, certamente, não
são direcionados com precisão de um único indivíduo ou, até mesmo,
uma organização. Porém, tais ataques podem ser somente os
precursores de ataques direcionados muito mais específicos.
Preparando o terreno
Uma amostra recente, que recebi via contagiodump.blogspot.com, ilustra o nível de
reconhecimento que atacantes "barulhentos" podem realizar. A
amostra de malware era um arquivo .CHM que explora o Microsoft HTML
Help. O malware, detectado pela Trend Micro como CHM_CODEBASE.AG,
baixa o BKDR_SALITY.A e prossegue gerando tráfego de
rede com os conhecidos servidores BKDR_SALITY.A.
No entanto, o malware realizou outras conexões de rede com
win{BLOCKED}.dyndns.info. A página web acessada neste
servidor contém um código JavaScript que utiliza o protocolo res://
para enumerar os softwares específicos nos computadores infectados
e enviar a listagem para win{BLOCKED}.dyndns.info. Este
método envolvendo a utilização do protocolo res:// para enumerar os
softwares instalados foi documentado por Billy
Rios{http://xs-sniper.com/blog/2007/07/20/more-uri-stuff-ies-resouce-uri/}
em 2007. Rios explica que o protocolo res://, presente no Internet
Explorer desde a versão 4.0, pode ser utilizado para detectar
remotamente softwares específicos em um computador, simplesmente
fazendo com que um usuário visite uma página web a partir de um
navegador. Rios observa que esta técnica pode ser utilizada para
identificar aplicações específicas, com o propósito de selecionar
uma forma de invasão apropriada. Ela também pode ser usada para
detectar a presença de drives específicos. Anos depois, esta
técnica continua efetiva.
O script em win{BLOCKED}.dyndns.info detecta uma
relação com vários softwares:
- Microsoft Office (Word e Outlook) do Windows 97 até o 2010
- Adobe Reader (7.0 a 9.3)
- Adobe Flash Player
- Java
- Programas de mensagens instantâneas (Skype, Yahoo! Messenger,
MSN, Google Talk e QQ)
- Ferramentas gráficas e de programação (Delphi, .net, Photoshop
e Dreamweaver)
Ele também busca programas de compartilhamento de arquivos,
navegadores web, ferramentas de administração remota, programas de
e-mail, gerenciadores de downloads e tocadores de mídias. Softwares
de segurança também são detectados, inclusive os antivírus e
firewalls mais utilizados, assim como softwares de criptografia
PGP. Além disso, ele procura por softwares de máquinas virtuais e
tenta verificar se ele está no Vmware. Por fim, ele identifica
atualizações da Microsoft, desde KB842773 até KB981793.
Esta amostra de malware é realmente estranha, já que realiza
essas verificações depois do computador do usuário ter sido
infectado. Se o propósito era identificar o perfil, ela não deveria
ser realizada antes do ataque? Uma possível explicação é que os
atacantes estão deliberadamente enviando ataques "barulhentos" na
esperança de que os administradores simplesmente limpem os sistemas
infectados e prossigam com seu trabalho. No entanto, a esta altura
os atacantes já terão obtido o perfil das máquinas dentro da
organização. Eles saberão os produtos antivírus utilizados, as
versões dos softwares instalados e outras informações que poderão
ser muito úteis num futuro ataque direcionado. Quando os atacantes
estiverem prontos, executarão um ataque visando obter informações
bastante específicas. Os atacantes saberão exatamente que versões
de quais softwares explorar para conseguir invadir o alvo. Tal
ataque seria caracterizado como sofisticado e direcionado, graças à
informação obtida anteriormente.