Error reading XSLT file: \xslt\SearchBox.xslt
Error reading XSLT file: \xslt\MenuPrincipal.xslt

Error reading XSLT file: \xslt\Breadcrumb.xslt

Quão Sofisticados São os Ataques Direcionados de Malware?

sexta-feira, 20 de maio de 2011 por Administrador

 

por Nart Villeneuve (Pesquisador Sênior de Ameaças)

Ataques de malware, que exploram vulnerabilidades em softwares populares para infectar alvos específicos, estão se tornando cada vez mais comuns. Mesmo antes dos ataques conhecidos como Aurora ao Google e a outras 20 empresas, ataques direcionados já ocorriam - e continuam ocorrendo - em redes governamentais, militares, corporativas e educacionais. Ataques como estes direcionados a redes do governo norte-americano são bem conhecidos, mas outros governos e empresas estão, cada vez mais, enfrentando ameaças parecidas.

No início deste ano, os governos canadense, sul-coreano e francês registraram casos sérios de segurança em redes importantes. Recentemente, a Comissão Europeia e o Serviço Europeu de Ação Externa também foram comprometidos. Foram também registrados casos envolvendo as empresas de segurança RSA e Comodo que, pelo menos em relação à RSA, parecem relacionados ao uso de ataques direcionados de malware.

Tecnicamente sofisticados ou somente bem executados?

Tais ataques são, quase sempre, descritos como sofisticados ou direcionados, adjetivos que se tornaram sinônimos de bem-sucedidos. As declarações feitas após os casos, geralmente sugerem que os criminosos sabiam exatamente como realizar os ataques e, em algumas ocasiões, o que procuravam. É difícil avaliar essas afirmações simplesmente pelos detalhes obscuros que são trazidos a público. Portanto, não estou sugerindo que essas declarações são incorretas. O que estou sugerindo é que o nível de precisão e sofisticação são resultados de conhecimentos adquiridos previamente pelos atacantes, e não necessariamente causados por uma técnica brilhante com relação aos métodos ou ferramentas utilizados.

A maioria dos usuários de Internet não será alvo de ataques direcionados e está mais sujeita a ameaças como programas falsos de segurança (FAKEAV) e cavalos-de-troia bancários (ZeuS, SpyEye). Apesar disso, continua existindo um fluxo constante de amostras de malware ligadas a ataques direcionados. No entanto, o nível de direcionamento varia de forma significativa. Alguns tipos de ataque geram mais "barulho" que outros. Apesar de enviarem documentos maliciosos, geralmente tirando proveito de assuntos específicos para engenharia social, eles são recebidos por um número relativamente grande de alvos em potencial. Eles, certamente, não são direcionados com precisão de um único indivíduo ou, até mesmo, uma organização. Porém, tais ataques podem ser somente os precursores de ataques direcionados muito mais específicos.

Preparando o terreno

Uma amostra recente, que recebi via contagiodump.blogspot.com, ilustra o nível de reconhecimento que atacantes "barulhentos" podem realizar. A amostra de malware era um arquivo .CHM que explora o Microsoft HTML Help. O malware, detectado pela Trend Micro como CHM_CODEBASE.AG, baixa o BKDR_SALITY.A e prossegue gerando tráfego de rede com os conhecidos servidores BKDR_SALITY.A.

No entanto, o malware realizou outras conexões de rede com win{BLOCKED}.dyndns.info. A página web acessada neste servidor contém um código JavaScript que utiliza o protocolo res:// para enumerar os softwares específicos nos computadores infectados e enviar a listagem para win{BLOCKED}.dyndns.info. Este método envolvendo a utilização do protocolo res:// para enumerar os softwares instalados foi documentado por Billy Rios{http://xs-sniper.com/blog/2007/07/20/more-uri-stuff-ies-resouce-uri/} em 2007. Rios explica que o protocolo res://, presente no Internet Explorer desde a versão 4.0, pode ser utilizado para detectar remotamente softwares específicos em um computador, simplesmente fazendo com que um usuário visite uma página web a partir de um navegador. Rios observa que esta técnica pode ser utilizada para identificar aplicações específicas, com o propósito de selecionar uma forma de invasão apropriada. Ela também pode ser usada para detectar a presença de drives específicos. Anos depois, esta técnica continua efetiva.

O script em win{BLOCKED}.dyndns.info detecta uma relação com vários softwares:

  • Microsoft Office (Word e Outlook) do Windows 97 até o 2010
  • Adobe Reader (7.0 a 9.3)
  • Adobe Flash Player
  • Java
  • Programas de mensagens instantâneas (Skype, Yahoo! Messenger, MSN, Google Talk e QQ)
  • Ferramentas gráficas e de programação (Delphi, .net, Photoshop e Dreamweaver)

Ele também busca programas de compartilhamento de arquivos, navegadores web, ferramentas de administração remota, programas de e-mail, gerenciadores de downloads e tocadores de mídias. Softwares de segurança também são detectados, inclusive os antivírus e firewalls mais utilizados, assim como softwares de criptografia PGP. Além disso, ele procura por softwares de máquinas virtuais e tenta verificar se ele está no Vmware. Por fim, ele identifica atualizações da Microsoft, desde KB842773 até KB981793.

Esta amostra de malware é realmente estranha, já que realiza essas verificações depois do computador do usuário ter sido infectado. Se o propósito era identificar o perfil, ela não deveria ser realizada antes do ataque? Uma possível explicação é que os atacantes estão deliberadamente enviando ataques "barulhentos" na esperança de que os administradores simplesmente limpem os sistemas infectados e prossigam com seu trabalho. No entanto, a esta altura os atacantes já terão obtido o perfil das máquinas dentro da organização. Eles saberão os produtos antivírus utilizados, as versões dos softwares instalados e outras informações que poderão ser muito úteis num futuro ataque direcionado. Quando os atacantes estiverem prontos, executarão um ataque visando obter informações bastante específicas. Os atacantes saberão exatamente que versões de quais softwares explorar para conseguir invadir o alvo. Tal ataque seria caracterizado como sofisticado e direcionado, graças à informação obtida anteriormente.

Error reading XSLT file: \xslt\BlogPostListComments.xslt

Deixe um comentário:

Nome:  
Email:  
Website:
Comentário:  
 
  • Error reading XSLT file: \xslt\BlogCategories.xslt
  • Error reading XSLT file: \xslt\BlogArchive.xslt

Copyright 1989-2009 Trend Micro, Inc. Todos os direitos reservados.             |       
|        Topo