Técnica permite que malwares não sejam detectados por medidas tradicionais de segurança
São Paulo, agosto de 2016 – O Brasil é conhecido, no campo da segurança de informação e análise de malware, como um país que absorve tecnologias maliciosas “inovadoras” estrangeiras e as adapta para o ambiente local, principalmente para burlar as tecnologias tradicionais de proteção.
Por meio de um monitoramento do Laboratório de Pesquisas e Ameaças da Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem –, os especialistas em segurança descobriram um novo vetor de infecção usado por um ransomware para disseminar ameaças: por meio da extensão de arquivo Windows Script File (WSF).
A Trend Micro vem monitorando o comportamento dos atacantes brasileiros, e consequentemente, trabalhando na atualização das ferramentas de detecção comportamental baseadas em sandboxing customizado.
Por meio da execução de um HoneyPot, os pesquisadores da Trend Micro puderam rastrear três e-mails que chegaram ao laboratório para dois endereços distintos e cada um deles tinham remetentes únicos, o que demonstrou a existência de um ecossistema por trás do ataque.
Detecção inicial pelo Deep Discovery Inspector:
A geo-localização dos IPs de origem dos e-mails é diferente para cada um:
Sérvia (Leste Europeu)
Colômbia
As “ondas” de phishing seguiram o mesmo padrão e aconteceram nos dias 18 e 19 de Julho/2016, com e-mails originados também na Índia, Tailândia e Brasil (Goiânia).
Brasil
Um ponto que chamou a atenção da Trend Micro nesse ataque foi o uso de arquivos .wsf como ponto de entrada para evasão das tradicionais tecnologias de detecção do ransomware.
Em todos os casos foram empregadas técnicas de ofuscação de código no downloader, tornando o arquivo inicialmente ilegível, mesmo se tratando de um arquivo de texto.
Todos os arquivos .wsf, neste caso, os downloaders do ransomware, são arquivos diferentes, com uma técnica que é usada para burlar a detecção baseada em hash, e cada um dos executáveis baixados segue a mesma linha. Apesar de arquivos executáveis, cada um é único, utilizando como “propriedades do arquivo” informações relacionadas a um widget do Yahoo.
Também chamou a atenção da Trend Micro o fato do ransomware exibir a mensagem sobre a criptografia dos arquivos e o pedido de resgate em diferentes línguas, mostrando assim não se tratar de uma ameaça simples ou comum.
Tela de resgate do ransomware em português do Brasil (Idioma nativo do ambiente analisado)
Tela do resgate com mensagem em inglês (o que demonstra que o ransomware se adapta a região que está atacando)
O Deep Discovery da Trend Micro determinou que o tipo de ameaça é VAN_RANSOMWARE. A partir das novas versões do produto, a nomenclatura ransomware é adicionada sempre que algum comportamento relacionado a esse tipo de ameaça é encontrado. Se for desconhecido como neste caso, é adicionado o prefixo VAN (VirtualANalyzer).
O comportamento registrado foi o ato do ransomware em renomear cada um dos arquivos e o uso de técnicas de criptografia durante a execução do malware.
O primeiro destaque se dá pelo fato do arquivo “winword.doc”, passar a ter outro nome e a extensão. zepto. Essa extensão é uma pista sobre a família do ransomware analisado, que após pesquisa na base de dados do laboratório Trend Micro, mostrou tratar-se de uma variante do já bem conhecido Locky.
Boas práticas
Por meio da detecção de rede pelo monitoramento e visibilidade de 106 protocolos, simulação em sandboxing e constatação de maliciosidade, foram compartilhadas – tanto com o endpoint (OfficeScan) quanto com o firewall já existente na empresa – informações vitais para o bloqueio da ameaça, tais como:
– urls de C&C
– domínios/IPs
– hashes de arquivos
A Trend Micro gostaria de salientar a importância de se ter um laboratório local para proteção dinâmica de todo ambiente baseado em análise comportamental e sandboxing customizada para a empresa.
Outro fator importante é a constante atualização das tecnologias Deep Discovery, inclusive com detecção cada vez maior do uso de scripting (característica muito forte no Brasil) evoluindo de JS, VBS, JSE, VBE e agora WSF em downloaders para evasão de tecnologias de detecção tradicionais.
Sobre a Trend Micro
A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital. Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e terminais.
Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.
Todos os nossos produtos trabalham em conjunto para facilitar o compartilhamento de inteligência de ameaças e fornecimento de uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.
Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário de telecomunicações e petróleo.
Com mais de 5.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações garantam a sua jornada para a nuvem. Para mais informações, visite www.trendmicro.com.