{"id":4897,"date":"2021-11-30T15:27:03","date_gmt":"2021-11-30T18:27:03","guid":{"rendered":"https:\/\/netdeep.com.br\/novo\/?p=4897"},"modified":"2025-01-29T17:31:14","modified_gmt":"2025-01-29T20:31:14","slug":"bypass-no-antivirus-com-um-winrar-ransomware","status":"publish","type":"post","link":"https:\/\/netdeep.com.br\/novo\/bypass-no-antivirus-com-um-winrar-ransomware\/","title":{"rendered":"Bypass no antivirus com um WINRAR RANSOMWARE"},"content":{"rendered":"

Na \u00faltima semana a empresa de seguran\u00e7a Sophos\u00a0detectou<\/a>\u00a0um Ransomware at\u00e9 ent\u00e3o in\u00e9dito no mercado. Trata-se do\u00a0Memento<\/strong>, uma software malicioso que \u00e9 capaz de burlar mecanismos tradicionais de seguran\u00e7a pois utiliza uma abordagem que normalmente n\u00e3o \u00e9 usada para fins nocivos.<\/p>\n

O Memento come\u00e7a agindo como um malware comum, invadindo sistemas e roubando arquivos. Depois ele pede um resgate alto: o equivalente a\u00a0US$ 1 milh\u00e3o em Bitcoins\u00a0<\/strong>para liberar os dados e a m\u00e1quina infectada.<\/p>\n

Ele explora um sistema de seguran\u00e7a desatualizado e, para piorar, deixa de lado o m\u00e9todo de criptografia de arquivos para utilizar uma abordagem que parece igualmente perigosa.<\/p>\n

Desenvolvido em Python, ele explora uma falha na plataforma de virtualiza\u00e7\u00e3o para computa\u00e7\u00e3o em nuvem vSphere, da VMWare. Os criminosos violam servidores vulner\u00e1veis e roubam senhas do Windows.<\/p>\n

Mas a segunda fase do ataque s\u00f3 foi detectada agora em Outubro.<\/p>\n

Para \u201csequestrar\u201d os dados, o Memento utiliza um servi\u00e7o modificado baseado no\u00a0WinRAR<\/strong>, o popular programa de compacta\u00e7\u00e3o de arquivos, para travar os dados por uma senha e envi\u00e1-los a um servidor pr\u00f3prio.<\/p>\n

Essa etapa burla eventuais sistemas de prote\u00e7\u00e3o pois utiliza um mecanismo rudimentar, mas igualmente eficiente.<\/p>\n

Reflex\u00e3o e Prova de Conceito<\/strong><\/h2>\n

Refletindo sobre esta pr\u00e1tica, fiquei intrigado de como as ferramentas de antiv\u00edrus lidariam com isso. Fiz uma prova de conceito (PoC) e escrevi um script tosco de 12 linhas de c\u00f3digo (em uma linguagem obsoleta) para criptografar os arquivos usando o WinRAR e para a surpresa:\u00a0Nenhum dos fabricantes detectou a atividade maliciosa.<\/strong><\/p>\n

Isso nos mostra que estamos diante de um cen\u00e1rio desafiador, pois compactar arquivos \u00e9 uma atividade leg\u00edtima, mesmo que seja criptografado. Os criminosos podem fazer o mesmo, sequestrar nossos dados e ficarmos ref\u00e9m se n\u00e3o contarmos com um plano adequado de recupera\u00e7\u00e3o.<\/p>\n

Mas precisamos ir al\u00e9m\u2026. Precisamos pensar que criminosos podem fazer algo melhor e n\u00e3o precisam mais se preocupar com mecanismos avan\u00e7ados de criptografia e podem contar com algum software que j\u00e1 est\u00e1 instalado em muitas m\u00e1quinas, como \u00e9 o caso do WinRar. Podem tamb\u00e9m escrever em Powershell (ou outra linguagem) e utilizar as pr\u00f3prias instru\u00e7\u00f5es do sistema operacional para criptografia zip ou outros compactadores e isso talvez passaria despercebido. Podem tamb\u00e9m aplicar outras camadas de compacta\u00e7\u00e3o e depois criptografar. Ao terminar podem alterar o bin\u00e1rio criptografado gerado para dificultar a detec\u00e7\u00e3o.<\/p>\n

Pesquisadores de seguran\u00e7a passariam um bom tempo para descobrir esta perip\u00e9cia, mas o criminoso n\u00e3o criou nada de novo\u2026 Apenas usou uma ferramenta l\u00edcita (j\u00e1 dispon\u00edvel no ambiente) para uma atividade il\u00edcita. \u00c9 como pensar em uma faca, que serve para cortar a carne e os legumes, mas que nas m\u00e3os erradas pode matar.<\/p>\n

Portanto, penso que para prote\u00e7\u00e3o de Ransomware, os sistemas operacionais precisam mudar sua abordagem de entrega de aplica\u00e7\u00f5es aos usu\u00e1rios. Enquanto isso n\u00e3o acontece,\u00a0 a \u00fanica solu\u00e7\u00e3o para proteger os dados \u00e9 implantar diretivas eficientes de Hardening voltadas para cada sistema operacional utilizado em nossas plataformas de tecnologia. Se n\u00e3o teremos que contar com o BACKUP!<\/p>\n

Como diz aquela velha frase feita do mundo da seguran\u00e7a\u2026 N\u00e3o existe bala de\u00a0 prata! Seguran\u00e7a vai al\u00e9m das tecnologias de detec\u00e7\u00e3o como Antiv\u00edrus, Firewalls, etc.<\/p>\n

\u00c9 necess\u00e1rio sempre investir na conscientiza\u00e7\u00e3o dos usu\u00e1rios e realizar o trabalho duro de implantar controles de acessos, homologa\u00e7\u00e3o e autoriza\u00e7\u00e3o de aplicativos e o hardening em todos os sistemas.<\/p>\n

Para ver isso na pr\u00e1tica funcionando veja o v\u00eddeo abaixo:<\/p>\n