Sabemos que hoje estamos vivendo em uma época em que a informação está entre os bens mais valiosos de um indivíduo e/ou empresa.
Com isso em mente, criminosos virtuais, vem alimentando ainda mais sua criativa na tentativa de lucrar sobre suas vítimas. Afetando diretamente a informação.
Vou compartilhar a análise de um malware que vem causando muita dor de cabeça para empresários e analistas.
Estamos falando do Ransomware: Anti-Child Porn Spam Protection.
Inicialmente o que chama mais atenção é o “sequestro da informação” e o valor de recompensa solicitado.
Para entendermos como o malware atual, precisamos partir para o ponto de vista do criminoso.
Seu objetivo é atingir servidores vulneráveis expostos a internet por meio do RDP (Remote Desktop). Utilizando brute force para ganhar acesso ao server e assim instalar e manipular o malware, onde esse irá criptografar todos os arquivos encontrados, bloqueando seu acesso e assim cobrar um valor para que os mesmos possam ser acessados normalmente.
Esse é o pensamento inicial do criminoso para atingir servidores vulneráveis, agora quando o criminoso procura atacar um alvo especifico, tornando seu ataque persistente sobre um mesmo alvo. Ele utiliza de engenharia social para enviar um malware do tipo Downloader forçando que a própria vítima baixe e instale o ransomware.
Vamos analisar seu funcionamento.
Quando executamos o malware downloader ele instala na raiz do sistema dois arquivos. Sendo eles:
Onde também são criados os diretórios:
Sua execução é do tipo autoexec / autostart ou seja, é instalado como um serviço do Windows. Sendo assim toda vez que iniciado o sistema uma nova execução com uma nova criptografia é executada.
Por isso recomendo de imediato não reiniciar o servidor, pois isso faria com que o Ransomware criptografe ainda mais seus arquivos. #ficaadica
Continuando …
Para isso o malware manipula as seguintes chaves de registro:
E claro! O criminoso não deixaria de manipular a chave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENT VERSION\RUN\svchost.exe
Além de sua principal funcionalidade [Sair criptografando todo tipo de arquivo pelo server] ele é um malware parametrizado, aceitando entradas do tipo:
-i {Instala o malware como serviço do Windows}
-s {Executa o malware}
E por ai vai …
Agora que sabemos como o malware opera dentro do servidor infectado, vamos analisar o que é recomendado no caso de uma infecção.
Como mencionei anteriormente no #ficaadica o ideal é não reiniciarmos o server, pois isso fará com que o malware criptografe ainda mais seus arquivos.
Em pesquisa pela web a maioria recomenda desabilitar o modo System Restore do Sistema operacional e excluir manualmente os itens e chaves que analisamos anteriormente.
Como bom analista de segurança eu prefiro sempre evitar do que remediar. Para isso, podemos executar o seguinte Pentest em nossa rede corporativa.
Iniciar uma varredura com o nmap para a porta 3389 pela rede.
Após identificarmos todos os dispositivos com acesso ao RDP.
Será necessário carregar nossas melhores Wordlists ou se preferirem podemos criar uma utilizando o Crunch [Disponível no Backtrack e Kali Linux].
Não vou entrar em detalhes sobre o seu funcionamento, mas seu uso é simples, basta parametrizar o tamanho da string e os caracteres que a essa irá ter. Como números de 0 – 9 letras a – z / A – Z e alguns caracteres especiais.
Setando uma boa wordlist, tanto para usuários e senhas em mãos basta agora configurar seu brute force de preferência. No backtrack existe uma grande variedade. Sendo eles:
Hydra , NCrack, Gosh …
Caso algum dispositivo venha a ter sua senha revelada e consequentemente seu acesso, devemos imediatamente trocar e reforçar usuário e senha do servidor, tornando assim ainda mais complicada a vida de qualquer brute force.
Após trocarmos as senhas, é preciso agora aplicar todas as atualizações de segurança.
E policiar o uso e configurações referente a cada dispositivo encontrado e hackeado durante a execução do PenTest.
É isso! Espero ter ajudado a todos com esse artigo e sempre procurem pensar, as vezes é melhor se passar por um atacante para assim conhecer todos os seus ataques e principalmente todos os seus pontos fracos.