Obs.: Todo o conteúdo do blog HTBRAZ é gratuito, ou seja, custo zero. Nosso conteúdo é escrito e desenvolvido com um único fim, ajudar com a promoção do conhecimento e divulgação de conteúdo.
Já não é de hoje que chamo a atenção para fatores humanos dentro das empresas e corporações como um todo. Vejo muitas empresas se dedicando aos prazos e metas operacionais, sem levar a sério questões específicas relacionadas a segurança dos dados e dos colaboradores. Este caso de ataque bem sucedido pode ser facilmente utilizado em empresas brasileiras pelo simples fato da ausência da prática da segurança e de uma cultura direcionada ao menor esforço. Ao concluir sua leitura, por favor, opine sobre o assunto.
Obs.: Aos meus alunos de curso superior... o que você faria para diminuir a chance de efetividade dentro da empresa que trabalha? Como você poderia proteger seu ambiente de trabalho e todos aqueles que dependem dos recursos informáticos? Leia o estudo e pense sobre o assunto.
Estudo de Caso
A FireEye, Inc. é na verdade uma empresa com foco em cibersegurança empresarial, possuindo em seu porrifólio produtos e serviços criados para proteger corporações contra ameaças avançadas, como por exemplo, ameaças persistentes e phishing.
Fundada em 2004, a empresa tem sede em Milpitas, Califórnia e sua plataformas de prevenção de ameaças incluem proteções desenhadas para rede, e-mails, endpoint, mobile, conteúdo, analytics e principalmente forensics. A empresa FireEye tem mais de 4.400 clientes em 67 países, incluindo mais de 650 do Forbes Global 2000 sendo a primeira empresa de segurança cibernética a receber a certificação pelo Departamento de Segurança Interna dos EUA.
Essa mesma empresa (FireEye), observou recentemente uma campanha sofisticada de ataques que alveja indivíduos dentro do governo da Mongólia. Os indivíduos direcionados que habilitaram macros em um documento malicioso do Microsoft Word podem ter sido infectados através de Poison Ivy, uma popular ferramenta de acesso remoto (RAT) que tem sido utilizada por quase uma década para registro de chaves, captura de tela e vídeo, transferências de arquivos, Administração de sistemas, retransmissão de tráfego e muito mais. Os autores da ameaça por trás desse ataque tão refinado, demonstraram técnicas interessantes, incluindo:
1. Evasão personalizada com base no perfil de vítima - A campanha usou uma técnica publicamente disponível para evitar a aplicação de lista de aplicativos AppLocker aplicada aos sistemas segmentados.
Mais sobre o AppLocker:
https://msdn.microsoft.com/pt-br/library/ee424367%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396
Mais sobre o AppLocker:
https://msdn.microsoft.com/pt-br/library/ee424367%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396
2. Execução e persistência de Fileless - Em campanhas segmentadas, os autores das ameaças muitas vezes tentam evitar escrever um arquivo executável no disco para evitar a detecção e o exame forense. A campanha que observamos utilizou quatro estágios de scripts do PowerShell sem gravar as cargas úteis em arquivos individuais.
3. Documentos de chamariz - Esta campanha usou o PowerShell para baixar documentos benignos da Internet e lançá-los em uma instância separada do Microsoft Word para minimizar a suspeita do usuário de atividade mal-intencionada.
O ciclo de ataque:
C1. Os autores da ameaça utilizaram um ataque de engenharia social para convencer os usuários a executar uma macro embutida em um documento do Microsoft Word que lançou uma carga maliciosa do PowerShell em suas estações de trabalho. Algo muito comum dentro das empresas pelo mundo (e incluo aqui as brasileiras), é exatamente uma grosseira quantidade de falhas dedicada ao fator humano (pessoas). Tais erros são uma clara ausência de Processos bem definidos, Políticas bem estruturadas e Pessoas bem treinadas e preparadas.
C2. Os autores de ameaça utilizaram duas técnicas publicamente disponíveis após seu sucesso com engenharia social, sendo uma delas o chamado um bypass de lista branca do AppLocker e em seguida um script para injetar shellcode maliciosos no processo userinit.exe. A carga maliciosa foi espalhada por vários scripts do PowerShell, tornando sua execução difícil de rastrear. Em vez de serem gravados no disco como arquivos de script individuais, as cargas do PowerShell foram armazenadas no registro.
Vamos entender um pouco o que é exatamente o AppLocker e o userinit.exe. Entendendo um pouco mais (de forma superficial) sobre estes dois itens, poderemos identificar o refinamento e precisão desse ataque, além de um amplo conhecimento da estrutura de funcionamento de servidores Windows por parte dos atacantes.
O AppLocker foi introduzido a partir do Windows Server 2008 R2 e Windows 7, promovendo excelentes recursos de controle de aplicativo e a funcionalidade de restrição de software través de políticas de grupo (GPO). É uma poderosa ferramenta de controle de aplicativos direcionada a ambientes Microsoft. Este conceito contém novos recursos e extensões que permitem criar regras para permitir ou impedir a execução de aplicativos com base nas identidades exclusivas dos arquivos e especificar quais usuários ou grupos podem executar esses aplicativos. É uma ferramenta avançada de permissionamento de aplicativos.
O userinit.exe é parte do sistema operacional Windows (arquivo de sistema) e está localizado na pasta C:\Windows\System32. Este arquivo costuma ter os seguintes tamanhos: 24,576 bytes (36% de todas as ocorrências), 104,960 bytes e 19 variantes no Windows 8/7/XP. Userinit.exe é capaz de grava entradas, portanto tem 29% de chance de ser perigoso. O processo Userinit Logon Application ou honey ou Aplicativo de logon Userinit ou hello ou love ou task pertence ao programa Microsoft Windows Operating System ou honey ou F YOU ou thanhminh ou Hav_online ou Sistema operacional Microsoft Windows ou THANHMINH ou Sistema Operacional Microsoft Windows da empresa Microsoft (www.microsoft.com).
Uma dica simples (e muito útil) é validar a posição do userinit.exe no Windows. Se o arquivo userinit.exe estiver localizado na pasta C:\Windows, ele tem 83% de chance de ser um arquivo perigoso. O tamanho do arquivo é 69,632 bytes (22% de todas as ocorrências), 82,432 bytes e 21 variantes mais.
Se userinit.exe estiver localizado em uma sub-pasta de "C:\Arquivos de Programas", ele tem 0% de chance de ser um arquivo perigoso. O tamanho do arquivo neste caso é de 24,576 bytes. É importante lembrar que o arquivo userinit.exe é um arquivo confiável da Microsoft e presente no Windows. Um alvo perfeito para programas maliciosos.
Importante: Diversos malwares se disfarçam como userinit.exe. Portanto verifique se o processo userinit.exe em seu pc não é uma "praga".
Vejam, os atacantes utilizaram diversas soluções distintas de ataque, iniciando com uma ação simples de engenharia social, que permitiu um ataque técnico bem mais efetivo e preciso.
C3. Os alvos da campanha receberam um documentos do Microsoft Word por e-mail que alegavam conter instruções para entrar no webmail ou informações sobre uma proposta de lei estadual.
C4. Quando um usuário segmentado abre o documento malicioso é requerido através de uma imagem solicitando a ativação de macros.
Abaixo você pode ler o artigo técnico completo, incluindo telas de código e o próprio powershell do ataque. O artigo veiculado pela própria empresa está com todos os passos (em ING), sobre o assunto.