A FireEye, Inc. (NASDAQ: FEYE), atual líder em deter ciber-ataques avançados, analisou o caso da assinatura digital da CZ Solution utilizada para enganar sistemas de proteção tradicionais (relatório completo – em inglês). Invasores roubam certificados de assinatura digital rotineiramente. Estes certificados servem para manter agentes mal intencionados escondidos sob uma credencial legitima.
Recentemente, Trojans como Zeus usaram assinaturas autênticas para passar por defesas automáticas e humanas, com o intuito de roubar informações bancárias. Algumas amostras de malware chamaram a atenção da FireEye por causa da distribuição em massa de RATs (sigla em inglês para Ferramenta de Administração Remota) em uma região em particular. Também por causa do recente caso do malware XtremeRAT, publicado no blog da FireEye (em inglês) no inicio de 2014.
Os pesquisadores da FireEye encontraram um malware com assinatura digital enquanto investigavam um aumento nas campanhas de spam Spy-Net (um tipo de RAT). O Spy-Net permite ao invasor um grande controle da máquina da vítima via remote shell, com os recursos:
- Realizar downloads e uploads
- Alterar o registro
- Acesso aos processos em execução e serviços
- Capturar imagens da área de trabalho
- Gravações de áudio e vídeo por meio da webcam
- Extrair senhas salvas
- Tornar a vítima um servidor Proxy
Variações do malware ainda são capazes de se defender de processos de segurança que o identificam e se desligando automaticamente.
O malware em questão estava utilizando uma assinatura válida de uma empresa chamada CZ Solution Co. Ltd. Em análise, pesquisadores da FireEye perceberam que todos os seus detalhes estavam intactos e pareciam ser válidos. A amostra testada, o arquivo sc2.exe, apresentou comportamentos típicos do Spy-Net. A partir disso, os pesquisadores começaram a testar a assinatura da CZ Solution por meio de pivotação.
Em meio aos testes, a FireEye encontrou particularidades que provaram que a assinatura da CZ Solution não estava sendo utilizada apenas em binários Spy-Net, mas também com XtremeRAT, usado regularmente por ciber criminosos. O XtremeRAT tem as mesmas funcionalidades do Spy-Net e seu código é compartilhado com muitos outros projetos de RAT, incluindo o CyberGate e o Cerberus.
Ainda, foram encontradas várias amostras do Trojan Zeus utilizando a assinatura da CZ Solution. O Zeus pode ser modificado para roubar informações que normalmente envolvem logins de redes sociais, e-mail e internet banking. O trojan é largamente usado para lesar clientes de instituições financeiras.
A partir das amostras analisadas, constatou-se que a assinatura da CZ Solution foi utilizada para criar e assinar os malwares Spy-Net, XtremeRAT, Zeus e outros. As similaridades entre as amostras continuam a crescer como demonstrado neste gráfico:
Ainda foram utilizados outros RAT sob a assinatura da CZ Solution como o BozokRAT. Com tantos binários se interligando, a FireEye começou a traçar paralelos entre as amostras descobrindo suas tendências como a sobreposição de C2 (C2 Overlap) e vetores de invasão como o phishing.
Em um dos casos o malware chegou por meio de e-mail phishing de um suposto pedido da Armani:
O e-mail está em francês e os cabeçalhos foram identificados pela FireEye como um remetente usado em várias campanhas francesas de spam. O anexo no e-mail usa um truque para disfarçar um arquivo 7zip como um PDF contendo o malware.
Olhando para todas as amostras correlatadas e pivotadas, a FireEye notou que a maioria da linguagem e C2 usados giravam em torno do idioma francês. Os domínios que fazem parte da infra-estrutura C2 eram quase todos exclusivamente em francês, assim como as informações da pessoa que registrou os domínios em questão.
A conclusão tirada pelos técnicos da FireEye é de que uso de assinaturas não irá diminuir em breve – especialmente por agentes de ameaças. Estas assinaturas e certificados são uma maneira rápida e simples de passar por cima de controles tradicionais de segurança, visto que estes são considerados confiáveis por padrão. Os estudos publicados pela FireEye provam que o uso é uma tendência.
Os pesquisadores da FireEye podem dizer com segurança, baseados nas informações coletadas, que as assinaturas da CZ Solution foram utilizadas por um indivíduo ou um grupo usando infraestrutura e ativos franceses. Estes invasores em particular não mostraram um nível significante de expertise, mas mostraram recursos coletivos com conhecimento em pelo menos três malwares: Zeus, Spy-Net e XtremeRAT.
Para ajudar a proteger a sua empresa e outras contra ameaças usando assinaturas digitais válidas, você pode incluir a verificação do número de série da assinatura. Neste caso, o número de série: 6e 7b 63 95 ac 5b 5c 8a 2a ec c4 52 8d 9e 65 10 é o identificador para localizar a relação com este editor. Além disso, se você estiver executando sua própria certificação interna, garanta que certificados que podem ter sido comprometidos sejam revogados devidamente. Isso ajudará a garantir que certificados comprometidos não são utilizados em ataques.
Sobre a FireEye, Inc.
A FireEye inventou uma plataforma de segurança baseada em máquina virtual especialmente construída para fornecer proteção contra ameaças em tempo real para empresas e governos no mundo inteiro contra a próxima geração de ataques cibernéticos. Esses ataques altamente sofisticados podem facilmente contornar defesas tradicionais baseadas em assinatura, tais como firewalls de próxima geração, IPS, anti-vírus e gateways. A Plataforma de Prevenção de Ameaças da FireEye (FireEye Threat Prevention Platform) fornece, em tempo real, proteção contra ameaças dinâmicas sem o uso de assinaturas para proteger uma organização em todos os vetores de ameaças primárias e nas diferentes etapas do ciclo de vida de um ataque. O núcleo da plataforma FireEye é um engine de execução virtual, complementado pela inteligência de ameaça dinâmica, para identificar e bloquear ataques cibernéticos em tempo real. A FireEye tem mais de 2.200 clientes em mais de 60 países, incluindo mais de 130 no Fortune 500.