O Renascimento dos Exploit Kits

No começo de junho a polícia Russa prendeu cinquenta pessoas acusadas de ligação com o cibercrime. De acordo com as autoridades, o grupo havia roubado mais de quarenta milhões de dólares de bancos e outras instituições financeiras.

O “desmonte” dessa quadrilha interrompeu a atividade de duas das ameaças mais ativas nesse ano: a botnet Necrus e o Exploit Kit Angler.

Os Exploit Kits (EKs) têm se tornando um dos métodos mais usados para entregar malware. Isso porque eles são flexíveis, podendo ser usados em ataques de banking trojans a ransonwares, ou serem incluídos em campanhas de phishing, spear phishing, watering hole e malvertising. Ou seja, o EK opera como um "estilingue" que é usado para "arremessar" outros malwares.

Outra forte vantagem dos EKs é a sua capacidade de ofuscação, podendo ser executados totalmente em memória (fileless), não deixando nenhum rastro na maquina infectada e ocultando a comunicação com o servidor de comando e controle.

Mas o uso de Exploit Kits não é novidade, há uma década foi identificada a primeira campanha em que um EK - vendido por vinte dólares - foi combinado a um malware que explorava uma vulnerabilidade do Internet Explorer .

O pesquisador Luis Rocha analisou o comportamento do Neutrino Exploit Kit, em um campanha em que esse EK era usado para infectar computadores com o ransonware CryptoWall. Todas as atividades descritas abaixo são executadas em poucos segundos:

Imagem: Luis Rocha

1. O usuário chega ao web server comprometido. Isso pode acontecer por meio de ataques de malvertising, phishing ou watering hole.

2. O web server redireciona a conexão para um servidor de backend sob controle do atacante e que contém um código JavaScript.

Esse pedaço de código tem o objetivo de fazer várias checagens antes do usuário chegar ao EK. São obtidas, por exemplo informações do sistema operacional, geolocalização, etc. Ele também se atualiza o tempo todo com novas URLs geradas dinamicamente, apontando para onde encontrar o EK e o malware.

3. O Browser processa e decodifica o código JavaScript. Se o computador tiver as especificações desejadas pelo atacante, o EK armazena um cookie na maquina e processa o código em um iframe.

4. Nesse momento o iframe chama uma das URLs e o EK é executado.

5. O EK está armazenado em diversos servidores e as URLs executadas a partir do iframe são geradas dinamicamente usando DGA.

6. Agora a vítima chega na página do EK. O browser lê um pequeno HTML que ativa o Flash Player e executa um arquivo Shockwave Flash (SWF) localizado em outra URL, sob controle do atacante. Se o usuário não tiver o Flash Player instalado o EK indica o caminho para a instalação.

7. O browser então faz o download do arquivo flash malicioso.

8. O Flash Player inicializa o arquivo SWF que está ofuscado e criptografado. Esse arquivo explora vulnerabilidades do Internet Explorer e do Adobe Flash player, que permitem acesso ao disco da máquina.

9. Agora é executado um shellcode que baixa, decripta e inicializa o malware. A partir desse momento o computador está infectado.

Conceitualmente a atividade dos Exploit Kits segue os passos descritos acima. No entanto, embora o Neutrino possua robustas características de proteção, usando a geração aleatória de domínios e criptografando o malware que é depositado no alvo, ele executa muitas funções que dependem da gravação em disco.

Para os atacantes, gravar em disco pode ser arriscado, pois deixa rastros. Esse problema foi resolvido com o desenvolvimento de Exploit Kits que operam totalmente em memória, como o HanJuan e o Angler .

Até a data da prisão feita pela polícia russa, o Angler era o EK mais usado no mundo, responsável por 60% de todo o tráfego de Exploit Kits no primeiro trimestre, de acordo com a Proofpoint.

Imagem:Proofpoint

A flexibilidade no uso de Exploit Kits os torna uma fácil escolha para cibercriminosos e uma séria tendência no horizonte. Nos últimos meses ocorreram ataques de malvertising contra sites muito visitados como o Perez Hilton, sobre celebridades, os sites das afiliadas da CBS News KMOV e WBTV e o EMOL, maior site de notícias chileno. Todos eles continham chamadas para o Angler EK.

Pesquisadores da empresa Talos puderam constatar, em 24 horas, a atividade de 60.000 endereços IPs distintos conectando ao servidor de um EK que estava associado a um site de conteúdo adulto.

Trata-se de uma seria ameaça que é parte integrante de ataques com malwares muito usados como o Dridex e o ransonware CryptXXX .

Manter sistemas atualizados é algo essencial para combater os EKs, pois a maioria deles dependem de vulnerabilidades no sistema operacional, browser ou plug-ins para funcionar.

A recomendação de manter sistemas atualizados é bastante antiga, assim como o descaso com este que é um dos temas mais relevantes em segurança da informação.

Em estudo conduzido pela Duo Security com dois milhões de dispositivos, a empresa pôde comprovar que um quarto de todos os equipamentos Windows estavam desatualizados, assim como 60% de todas as instalações do Flash e 72% dos plug-ins Java.

O cibercrime se adapta rapidamente. No entanto, combinar programas de conscientização a atividades básicas, como manter sistemas atualizados, pode ajudar a enfrentar esse problema.

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.