A última moda hacker são os ataques de superfície: uma onda retrô!

Podemos não querer, mas o malware e todo o ecossistema que os rodeia é uma indústria. Uma industria ilegal, mas com todas as características de uma organização: maximizar os lucros com o menor investimento, o mais rápido possível. Essa indústria tem seu próprio componente de Pesquisa & Desenvolvimento e, mesmo entre os grupos antagonistas, técnicas e recursos são copiados para competir pelo mesmo objetivo: infectar e capitalizar essa infecção. Existe toda uma taxonomia de técnicas e procedimentos para atingir esse objetivo. Desde os primeiros vírus primitivos que imitavam com grande precisão suas contrapartes biológicas, à sofisticadas armas digitais capazes de desativar ou neutralizar a infraestrutura industrial.

Pense, por exemplo, no STUXNET e na mudança de jogo causado por ele: não se trata mais de mineração de dados ou seqüestro de arquivos, agora sabemos que essas criações podem devolver uma cidade ou uma nação inteira ao século 19 sem disparar sequer uma única bala. As técnicas de infecção evoluem, assim como as técnicas de uso uma vez que a vítima é controlada e temos dois clássicos contemporâneos: mineração de criptomoeda e técnicas de ransomware. Nos últimos meses, vimos uma oscilação de crescimento ou se preferirem podemos chamar de um “boom” entre esses dois propósitos intimamente ligados ao preço do bitcoin. Ou seja, quanto mais o Bitcoin se depreciava, menos interessado em implantar clientes se mostraram os ataques, uma vez que era uma fonte relativamente baixa de retorno. Uma curiosidade: podemos ver esses dois gráficos, correspondentes ao preço do Bitcoin e à tendência de busca do termo «cryptominer».

Quanto maior o preço do Bitcoin, maior o ruído causado pelo termo associado ao malware. Intrigante observar o pico localizado no mesmo período que o pico de busca do termo se apresenta.

O outro lado do funil

Se tirarmos fora a motivação financeira dos atacantes, do ponto de vista da análise é muito interessante o estudo e a observação da evolução do vetor de entrada, o aríete contra o sistema do usuário; ou melhor, da vítima.

Sem um gateway que permita uma infecção rápida e maciça, você não obtém um grande retorno do investimento, deixando assim os esforços em dúvida se houve ou não uma vitória. É necessário, portanto, investir para se ter uma alavanca hábil que garanta um bom número de portas abertas durante uma campanha de infecção. É por isso que os analistas dão ênfase especialmente ao acompanhamento da evolução desses vetores.

Há alguns anos, o vetor de entrada favorito era formado por Java, Adobe Reader e Flash. Não havia um único kit de exploração de vulnerabilidade que não abrangesse várias explorações nesses. Pesquisadores de vulnerabilidade viveram uma idade de ouro autêntica, onde o anúncio de zero-daysnesses programas já era tão comuns que eles pararam de ser notícia e se transformaram em um fluxo contínuo de boletins que estavam se transformando em munição para alimentar a incansável maquinaria das campanhas de malware.

Foram dias de vinho e rosas para estes pesquisadores até que…  os navegadores se adiantaram e vetaram os plugins e assim tornaram impossível implementar complementos binários para conteúdo fora dos padrões web. O Java foi o primeiro a cair e, embora a morte dos applets estivesse em andamento desde muito antes (especialmente impulsionada pelo Flash), o peso dos exploits que estavam saindo para o Java acelerou a remoção dos navegadores.

Logo a mesma coisa aconteceu com o Flash, embora fosse preciso mais do que Java para ser condenado ao exílio. Curiosamente, até Steve Jobs rejeitou o uso do Flash no iOS pelas mesmas razões que ele foi criticado: é um código proprietário e tem sérios problemas de segurança, além de um consumo de recursos incompatível com a autonomia móvel. O Flash, que havia começado a tomar o terreno dos applets Java, acabou sendo substituído pela tecnologia nativa dos navegadores: a web. Tudo aponta para 2020 como a data de fim de vida da tecnologia que nasceu da Macromedia.

Por fim, o problema de facilitar a leitura de documentos PDF postados na web, foi resolvido com leitores específicos para este tipo de formato implementados em JavaScript, e, portanto, embutidos como outra funcionalidade do próprio navegador, o que fez a inclusão de um complemento desnecessário já que agora pode-se  chamar uma aplicação nativa. Mais uma vez, uma porta fechada.

E atacar o navegador diretamente? Sim, mas com nuances. O Pwn2Own é uma competição onde você pode explorar um navegador, dos principais conhecidos, com vulnerabilidades de zero-day, até então não conhecidas. Embora todos os anos tenha havido vencedores em todas as categorias, o Chrome tem sido impecável há dois anos.

As medidas de segurança vem dando bons frutos e tem conseguido endurecer as regras do jogo entre investigadores e programadores. Por exemplo, não é mais contado como válido uma falha crítica de um componente do navegador somente, agora você precisa encontrar uma combinação vencedora que permita ignorar a sandbox em que o processo em execução é executado.

Embora seja verdade que alguns navegadores não possam seguir esse movimento, há uma certa tendência para migrar para o Chrome. Por exemplo, Edge, o navegador da Microsoft está mudando sua base para o Chromium, assim como o Opera. Inclusive, a Microsoft está reforçando a segurança dos processos isolando a execução destes em um ambiente quase completamente isolado do sistema. E a pergunta que fica é: como os hackers estão lidando com esta nova situação? A resposta já demos no início deste artigo, seus membros, equipes, setores destinados a pesquisa e desenvolvimento não somente tem se concentrado na busca de novas vias comuns de infecção, eles estão se reinventando para verificar o que pode ser mais rentável. Quando se fecham algumas portas, é necessário retornar ao início e examinar que acessos ou possíveis violações podem continuar sendo rentáveis, para investir neles tempo e recursos. Este novo meio de pensar tem seus frutos.

Agora é retro

O Office, o conjunto de escritório que venceu a guerra dos pacotes de escritório nos anos 90, incorporou uma tecnologia bastante poderosa para que seus usuários avançados pudessem ir além da já rica gama de funcionalidades à sua disposição: embutindo uma linguagem de programação forte com uma gama gigantesca de bibliotecas de funções e objetos à sua disposição.

Embora a ideia pareça ser ótima em um mundo ideal, muito rapidamente tivemos uma resposta das possibilidades «armamentistas» dos mecanismos de script que se tornaram visíveis. Como o «Melissa» de 1999, foi o nome com o qual um dos primeiros vírus de macro de mídia foi batizado, (que dava a permissão ao último e popular ILOVEYOU, que afetou o gerenciador de e-mail do Microsoft Outlook). Inaugurou-se um período de «vírus macro» que se estenderia até o fim do milênio …, alguns anos depois, o tivemos um “silêncio”.

Após um período em que os fabricantes de malware se concentraram nessas macros para difundir suas criações, tornou-se mais lucrativo investir em outros vetores mais frutíferos, como serviços de escuta, sem as proteções adequadas, ou o navegador e suas inúmeras conexões nativas que transbordaram aos seus contemporâneos. O malware baseado em macros não estava mais na moda.

Até que alguém percebeu quão relativamente fácil é aquele vetor esquecido, comparado a atual besta de sete cabeças e três caudas que é a exploração de um navegador.

As macros retornaram, mais uma vez, e as caixas de correio foram novamente preenchidas com e-mails com anexos voltados ao Office e com «fotos particulares de alguém», «folhas de pagamento de funcionários» e ou «informações que ninguém deseja publicar sobre o fato relevante do momento». Uma inadvertida segunda juventude das macros.

As macros no século XXI

A crescente popularidade das macros como um vetor de infecção é um sinal claro de que existe um movimento forte e real, impulsionado pela necessidade de expandir o parque de máquinas infectadas, uma operação cirúrgica e com um objetivo bem definido. Tanto a exploração de vulnerabilidades no Office como o uso de engenharia social ou uma combinação destes, serve para perfurar as defesas e assim abrir uma brecha. O que mais ajuda muito na credibilidade de uma campanha de malware é  o fato de que esses supostos documentos serem destinados e/ou conterem informações supostamente confidenciais, como por exemplo: «fatura para pagamento.xls» ou «lista de senhas.docx», são manchetes suculentas que atraem os curiosos para uma armadilha mortal, este tipo de manchete são iscas perfeitas  num anzol.

Mas técnicas adicionais de ofuscação e a popularidade do powershell também foram adicionadas a esta mistura, algo que não existia na primeira idade de ouro deste tipo de isca! Então fica-se uma pergunta, como se parece uma macro mal-intencionada dos dias de hoje?

Usamos o DIARIO (um detector de malware especializado em documentos que não precisa do conteúdo do documento para analisá-lo e, portanto, nos permite carregar informações que podem ser consideradas privadas) e analisamos uma amostra «típica».

Se for observado, uma das primeiras ações que a macro executa é levantar um processo no PowerShell, com uma cadeia de caracteres que tenta se ofuscar (novamente sem sucesso, já que é uma cadeia em base64 e compactada que é facilmente reversível). O uso desse tipo de ocultação não impede a análise, embora dificulte a detecção por cadeias.

Quanto à codificação da carga diretamente no PowerShell em vez de ser feita no VBA (Visual Basic for Applications) é devido, na maioria dos casos, ao uso de estruturas de exploração que usam o PowerShell, criando um stub ou wrapper mínima e funcional para se executar. Ou seja, o criador desse tipo de malware nem se importa em saber a linguagem das macros ou mesmo do PowerShell, pois a estrutura cria esse tipo de carga «sob demanda».

Existem muitos desses frameworks, conhecidos e populares pela comunidade de pentesters ou equipes de rede, para os quais foi projetado. Como o  Empire, PowerSploit ou Nishang, ao uso da suíte profissional Cobalt Strike. Embora sejam indispensáveis para avaliar a segurança das organizações, por outro lado é um impulso para a industrialização da cadeia de produção de malwares, que permite a entrada com um baixo nível de requisitos e experiência.

Em resumo, nada se vai completamente. No final, o atacante segue sua filosofia de passar pela vida mais fácil e não complicada. Agora é mais difícil de explorar um navegador? Tudo bem, apelamos para a ignorância e curiosidade do usuário. É relativamente fácil e tentador forçar um documento com malware. Apesar dos filtros estarem cada vez melhores, o spam continua se espalhando de tempos em tempos e geralmente vale a pena o fato de que apenas 1% em cem milhões ainda clicam… afinal é um milhão “fácil”. E um milhão já é um bom resultado.