Bypass no antivirus com um WINRAR RANSOMWARE

Na última semana a empresa de segurança Sophos detectou um Ransomware até então inédito no mercado. Trata-se do Memento, uma software malicioso que é capaz de burlar mecanismos tradicionais de segurança pois utiliza uma abordagem que normalmente não é usada para fins nocivos.

O Memento começa agindo como um malware comum, invadindo sistemas e roubando arquivos. Depois ele pede um resgate alto: o equivalente a US$ 1 milhão em Bitcoins para liberar os dados e a máquina infectada.

Ele explora um sistema de segurança desatualizado e, para piorar, deixa de lado o método de criptografia de arquivos para utilizar uma abordagem que parece igualmente perigosa.

Desenvolvido em Python, ele explora uma falha na plataforma de virtualização para computação em nuvem vSphere, da VMWare. Os criminosos violam servidores vulneráveis e roubam senhas do Windows.

Mas a segunda fase do ataque só foi detectada agora em Outubro.

Para “sequestrar” os dados, o Memento utiliza um serviço modificado baseado no WinRAR, o popular programa de compactação de arquivos, para travar os dados por uma senha e enviá-los a um servidor próprio.

Essa etapa burla eventuais sistemas de proteção pois utiliza um mecanismo rudimentar, mas igualmente eficiente.

Reflexão e Prova de Conceito

Refletindo sobre esta prática, fiquei intrigado de como as ferramentas de antivírus lidariam com isso. Fiz uma prova de conceito (PoC) e escrevi um script tosco de 12 linhas de código (em uma linguagem obsoleta) para criptografar os arquivos usando o WinRAR e para a surpresa: Nenhum dos fabricantes detectou a atividade maliciosa.

Isso nos mostra que estamos diante de um cenário desafiador, pois compactar arquivos é uma atividade legítima, mesmo que seja criptografado. Os criminosos podem fazer o mesmo, sequestrar nossos dados e ficarmos refém se não contarmos com um plano adequado de recuperação.

Mas precisamos ir além…. Precisamos pensar que criminosos podem fazer algo melhor e não precisam mais se preocupar com mecanismos avançados de criptografia e podem contar com algum software que já está instalado em muitas máquinas, como é o caso do WinRar. Podem também escrever em Powershell (ou outra linguagem) e utilizar as próprias instruções do sistema operacional para criptografia zip ou outros compactadores e isso talvez passaria despercebido. Podem também aplicar outras camadas de compactação e depois criptografar. Ao terminar podem alterar o binário criptografado gerado para dificultar a detecção.

Pesquisadores de segurança passariam um bom tempo para descobrir esta peripécia, mas o criminoso não criou nada de novo… Apenas usou uma ferramenta lícita (já disponível no ambiente) para uma atividade ilícita. É como pensar em uma faca, que serve para cortar a carne e os legumes, mas que nas mãos erradas pode matar.

Portanto, penso que para proteção de Ransomware, os sistemas operacionais precisam mudar sua abordagem de entrega de aplicações aos usuários. Enquanto isso não acontece,  a única solução para proteger os dados é implantar diretivas eficientes de Hardening voltadas para cada sistema operacional utilizado em nossas plataformas de tecnologia. Se não teremos que contar com o BACKUP!

Como diz aquela velha frase feita do mundo da segurança… Não existe bala de  prata! Segurança vai além das tecnologias de detecção como Antivírus, Firewalls, etc.

É necessário sempre investir na conscientização dos usuários e realizar o trabalho duro de implantar controles de acessos, homologação e autorização de aplicativos e o hardening em todos os sistemas.

Para ver isso na prática funcionando veja o vídeo abaixo:

Para saber mais e se prevenir

Escrito por André L.R.Ferreira

Diretor da NETDEEP. Atua há 20 anos no desenvolvimento de produtos e tecnologias de Segurança de Dados para instituições privadas e públicas.

Deixe o seu comentário

netdeep