{"id":19419,"date":"2022-05-08T17:29:21","date_gmt":"2022-05-08T20:29:21","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19419"},"modified":"2022-05-08T17:30:04","modified_gmt":"2022-05-08T20:30:04","slug":"malware-oculta-shellcode-nos-logs-do-windows","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/05\/basico\/malware-oculta-shellcode-nos-logs-do-windows\/","title":{"rendered":"Malware oculta Shellcode nos logs do Windows"},"content":{"rendered":"\n\n\n

Este novo malware sem arquivo oculta o Shellcode nos logs de eventos do Windows<\/span><\/span><\/h1>\n

\u00a0<\/p>\n

Uma nova campanha maliciosa foi vista aproveitando os logs de eventos do Windows para armazenar peda\u00e7os de shellcode pela primeira vez.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

“Ele permite que o trojan de \u00faltimo est\u00e1gio ‘sem arquivo’ seja oculto \u00e0 vista de todos no sistema de arquivos”, informou o pesquisador da Kaspersky, Denis Legezo <\/span>,<\/span><\/a> em um artigo t\u00e9cnico publicado esta semana.<\/span><\/p>\n

\u00a0<\/p>\n

Acredita-se que o processo de infec\u00e7\u00e3o furtivo, n\u00e3o atribu\u00eddo a um ator conhecido, tenha come\u00e7ado em setembro de 2021, quando os alvos pretendidos foram atra\u00eddos para baixar arquivos .RAR compactados contendo Cobalt Strike e <\/span>Silent Break<\/span> .<\/span><\/p>\n

\n
\u00a0<\/div>\n<\/div>\n
\n
\"Windows<\/a><\/div>\n<\/div>\n
\n
\u00a0<\/div>\n<\/center><\/div>\n

Os m\u00f3dulos de software de simula\u00e7\u00e3o de advers\u00e1rios s\u00e3o usados \u200b\u200bcomo uma barra de lan\u00e7amento para injetar c\u00f3digo em processos do sistema Windows ou aplicativos confi\u00e1veis.<\/span><\/p>\n

\u00a0<\/p>\n

Tamb\u00e9m \u00e9 not\u00e1vel o uso de inv\u00f3lucros antidetec\u00e7\u00e3o como parte do conjunto de ferramentas, sugerindo uma tentativa por parte dos operadores de voar sob o radar.<\/span><\/p>\n

\u00a0<\/p>\n

\"ShellCode<\/a><\/div>\n
\u00a0<\/div>\n
\u00a0<\/div>\n
Um dos principais m\u00e9todos \u00e9 manter o shellcode criptografado contendo o malware do pr\u00f3ximo est\u00e1gio como pe\u00e7as de 8 KB em logs de eventos, uma t\u00e9cnica nunca antes vista em ataques do mundo real, que \u00e9 ent\u00e3o combinada e executada.<\/span><\/span><\/div>\n
\u00a0<\/div>\n
\u00a0<\/div>\n
\n
\"ShellCode<\/a><\/div>\n<\/div>\n
\u00a0<\/div>\n
\u00a0<\/div>\n
\n

A carga final \u00e9 um conjunto de trojans que empregam dois mecanismos de comunica\u00e7\u00e3o diferentes,\u00a0 HTTP com criptografia RC4 e n\u00e3o criptografado com <\/span><\/span>pipes nomeados <\/span><\/span>que permitem executar comandos arbitr\u00e1rios, baixar arquivos de uma URL, escalar privil\u00e9gios e fazer capturas de tela.<\/span><\/span><\/p>\n

\n
\u00a0<\/div>\n<\/center><\/div>\n

Outro indicador das t\u00e1ticas de evas\u00e3o do agente da amea\u00e7a \u00e9 o uso de informa\u00e7\u00f5es coletadas do reconhecimento inicial para desenvolver est\u00e1gios sucessivos da cadeia de ataque, incluindo o uso de um servidor remoto que imita o software leg\u00edtimo usado pela v\u00edtima.<\/span><\/p>\n

\u00a0<\/p>\n

“O ator por tr\u00e1s desta campanha \u00e9 bastante capaz”, informou Legezo. “O c\u00f3digo \u00e9 bastante \u00fanico, sem semelhan\u00e7as com malware conhecido.”<\/span><\/p>\n

\u00a0<\/p>\n

A divulga\u00e7\u00e3o ocorre quando os pesquisadores do Sysdig <\/span>demonstraram<\/span> uma maneira de comprometer cont\u00eaineres, somente leitura com malware, sem arquivo que \u00e9 executado na mem\u00f3ria, aproveitando uma <\/span>falha cr\u00edtica<\/span> nos servidores Redis.<\/span><\/p>\n

\u00a0<\/p>\n<\/div>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/05\/this-new-fileless-malware-hides.html<\/a>\u00a0 (Autor: Ravie Lakshmanan<\/a><\/span>)<\/p>\n","protected":false},"excerpt":{"rendered":"

Este novo malware sem arquivo oculta o Shellcode nos logs de eventos do Windows \u00a0 Uma nova campanha maliciosa foi vista aproveitando os logs de eventos do Windows para armazenar peda\u00e7os de shellcode pela primeira vez. \u00a0 “Ele permite que o trojan de \u00faltimo est\u00e1gio ‘sem arquivo’ seja oculto \u00e0 vista de todos no sistema […]<\/p>\n","protected":false},"author":2,"featured_media":19423,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19419","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19419","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19419"}],"version-history":[{"count":5,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19419\/revisions"}],"predecessor-version":[{"id":19427,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19419\/revisions\/19427"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19423"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19419"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19419"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19419"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}