spot_img
17.3 C
São Paulo
spot_img
HomeSecurityCRON#TRAP: Como Entender e Proteger-se Contra Este Malware

CRON#TRAP: Como Entender e Proteger-se Contra Este Malware

Quarto mal iluminado com um laptop brilhante exibindo alertas de malware
Uma representação das ameaças cibernéticas com um laptop de alta tecnologia em meio ao caos, simbolizando o perigo iminente do malware.
Alegon
By Alegon

CRON#TRAP: Como Entender e Proteger-se Contra Este Malware

Pesquisadores em cibersegurança alertaram sobre uma nova e perigosa campanha de malware que infecta sistemas Windows por meio de uma instância virtual do Linux, contendo um backdoor capaz de estabelecer acesso remoto aos hosts comprometidos.

A campanha intrigante, com o codinome CRON#TRAP, inicia-se com um arquivo de atalho malicioso do Windows (LNK), provavelmente distribuído na forma de um arquivo ZIP via e-mail de phishing.

O que torna a campanha CRON#TRAP especialmente preocupante é que a instância Linux emulada vem pré-configurada com um backdoor que se conecta automaticamente a um servidor de comando e controle (C2) controlado pelo atacante, conforme afirmado por pesquisadores da Securonix, Den Iuzvyk e Tim Peck (em uma análise).

Essa configuração possibilita que o atacante mantenha uma presença discreta na máquina da vítima, conduzindo atividades maliciosas em um ambiente oculto, o que torna a detecção desafiadora para soluções tradicionais de antivírus.

As mensagens de phishing se disfarçam como uma “pesquisa da OneAmerica”, anexando um grande arquivo ZIP de 285MB. Quando o arquivo é aberto, inicia-se o processo de infecção.

Como parte da campanha de ataque ainda sem atribuição, o arquivo LNK atua como um canal para extrair e iniciar um ambiente Linux leve e personalizado emulado, através do Quick Emulator (QEMU), uma ferramenta de virtualização legítima e de código aberto. A máquina virtual opera no Tiny Core Linux.

O atalho então lança comandos do PowerShell, responsáveis por re-extrair o arquivo ZIP e executar um script oculto chamado “start.bat”, que exibe uma mensagem de erro falsa para a vítima, dando a impressão de que o link da pesquisa não está mais funcionando.

Contudo, em segundo plano, esse script configura o ambiente virtual Linux denominado PivotBox, que já vem pré-carregado com a ferramenta de túnel Chisel, permitindo o acesso remoto ao host imediatamente após o início da instância do QEMU.

O binário parece ser um cliente Chisel pré-configurado, projetado para se conectar a um servidor de comando e controle remoto em 18.208.230.174 via websocket. Esse método efetivamente transforma esse cliente Chisel em um backdoor completo, possibilitando que o tráfego de comando e controle remoto flua para dentro e para fora do ambiente Linux.

Esse fenômeno é apenas uma das muitas táticas em evolução que os agentes de cybersecurity threats estão utilizando para atacar organizações e ocultar atividades maliciosas. Exemplos disso são as campanhas de spear-phishing que visam empresas de eletrônica, engenharia e indústrias em países europeus para distribuir o evasivo GuLoader.

Os e-mails geralmente incluem consultas de pedidos e contêm um anexo de arquivo compactado. De acordo com a pesquisadora da Cado Security, Tara Gould, “os e-mails são enviados de muitos endereços, incluindo empresas falsas e contas comprometidas. Frequentemente, eles sequestram uma conversa de e-mail existente ou solicitam informações sobre algum pedido”.

A atividade, que tem como alvo países como Romênia, Polônia, Alemanha e Cazaquistão, começa com um arquivo em lote que se encontra dentro do arquivo compactado. Este arquivo em lote embute um script PowerShell ofuscado, que posteriormente baixa outro script PowerShell de um servidor remoto.

O script PowerShell secundário inclui funcionalidades para alocar memória e, em última análise, executar o shellcode do GuLoader para buscar o próximo payload.

Segundo Gould, “o malware Guloader continua a adaptar suas técnicas para evitar a detecção e entregar RATs. Os agentes de ameaças estão continuamente mirando na indústria específica de certos países e sua persistência ressalta a necessidade de medidas proativas de segurança.”

Representação de um labirinto digital simbolizando evasão de malware

Técnicas de Evasão Utilizadas por Malware Moderno

Os malwares como CRON#TRAP utilizam um arsenal de técnicas sofisticadas para evitar a detecção por softwares de segurança e antivírus. Essas táticas são fundamentais para a execução completa de suas operações maliciosas, que muitas vezes incluem o estabelecimento de Persistent Backdoors e o controle remoto de sistemas. Neste artigo, vamos explorar as várias métodos que esses agentes malignos utilizam para contornar as defesas tradicionais.

Ofuscação de Código

A ofuscação de código é uma das técnicas mais comuns entre os cibercriminosos. Ao alterar o código do malware, eles dificultam que analistas de segurança consigam entendê-lo e analisá-lo. A ofuscação pode envolver a substituição de nomes de variáveis, a reorganização do fluxo de execução e a adição de código irrelevante, criando um labirinto digital que esconde as reais intenções do software malicioso.

Por exemplo, um código que originalmente poderia ser facilmente interpretado pode ser transformado em uma versão obscura, onde o nome de uma função que poderia significar ‘execução’ é alterado para algo irreconhecível, como ‘a1b2c3’. Essa técnica não apenas confunde, mas também prolonga o tempo que leva para os analistas inferirem as intenções do malware.

Criptografia de Código

A criptografia é outra técnica eficaz utilizada por malwares contemporâneos. Ao codificar seu código, o malware só se torna executável quando foi decifrado em tempo de execução. Isso dificulta a detecção por antivírus que analisam os arquivos antes de serem executados. Ferramentas como CryptExe e PolyCrypt são frequentemente utilizadas para este propósito, oferecendo uma camada adicional de segurança ao código malicioso.

Dessa forma, quando um arquivo criptografado é enviado para um sistema, os antivírus podem não conseguir identificá-lo como uma ameaça até que ele seja efetivamente decifrado e em execução, expondo assim a vítima a riscos sem que ela perceba.

Uso de Ambientes Virtuais e Processos Ocos

Malwares como o GuLoader se aproveitam de ambientes virtuais para mascarar sua presença. Eles podem reconhecer se estão sendo executados em um ambiente de teste ou dentro de um sistema operacional real. Ao utilizar processos ocos, ou injeções em memória, eles podem evitar a detecção, pois suas ações não deixam rastros evidentes no sistema de arquivos.

Essa técnica torna-se um grande desafio para profissionais de cibersegurança, uma vez que as ferramentas tradicionais de análise de malware empregadas para identificar atividades anômalas podem não ser suficientemente eficazes contra esses malwares furtivos.

Técnicas Furtivas e Rootkits

Os rootkits são uma das tecnologias mais poderosas usadas por cibercriminosos. Eles operam a um nível muito profundo do sistema operacional, permitindo que os malwares interceptem e substituam funções do kernel para se tornar invisíveis. Isso pode incluir a ocultação de arquivos e entradas no registro, tornando a detecção ainda mais complicada.

Com essa técnica, até mesmo as ferramentas de segurança mais avançadas podem falhar em identificar a presença do malware, já que ele manipula diretamente o funcionamento do sistema operacional para se esconder das análises em tempo real.

Mascaramento de Código em Sites

Os cibercriminosos também têm a habilidade de modificar páginas da web para evitar a detecção por sistemas de segurança. Em situações em que um antivírus requisita um arquivo, a versão sem o malware é baixada, enquanto o usuário final recebe o arquivo malicioso em suas mãos. Essa técnica torna a atualização de bancos de dados de assinaturas de antivírus um verdadeiro desafio, pois os arquivos maliciosos não aparecem nas varreduras convencionais.

Essa técnica sofisticada requer um conhecimento profundo sobre como os sistemas de detecção funcionam, permitindo que os criminosos manipulem suas táticas de forma eficaz e contínua.

Ataques de Quantidade e Ameaças de “Dia Zero”

Outra técnica astuta é a distribuição em massa de novas versões de malware em um curto espaço de tempo. Isso sobrecarrega as empresas de segurança com demandas por análises, o que pode causar atrasos no desenvolvimento de assinaturas para detecção. Além disso, as ameaças de “dia zero” exploram vulnerabilidades que ainda não têm correções disponíveis, permitindo que o malware seja disseminado rapidamente antes que qualquer defesa possa ser estabelecida.

Essas táticas ressaltam a necessidade de vigilância constante no campo da cybersecurity, onde a proatividade pode fazer a diferença entre um ataque bem-sucedido e a neutralização da ameaça.

Remoção de Indicadores e Camuflagem

A maioria dos malwares contemporâneos é projetada para manipular ou remover os rastros que deixam no sistema após a execução. Isto pode incluir a exclusão de arquivos temporários que poderiam ser utilizados como indicadores de presença no sistema. Além disso, o uso de camuflagem ajuda o malware a se apresentar como um software legítimo, obscurecendo assim suas ações maliciosas.

Essas técnicas de camuflagem muitas vezes utilizam comportamentos legítimos ou padrões de uso normais, o que lhes confere uma aparência de autenticidade e aumenta a confiança de usuários e sistemas de detecção. Essa abordagem é extremamente eficaz e aumenta a dificuldade em detectar Remote Access Malware em ambientes corporativos.

Interação do Usuário e Conhecimento do Sistema

Malware moderno também pode ser astuto o suficiente para detectar a interação do usuário, como movimentos do mouse e cliques, o que os ajuda a distinguir entre um ambiente de teste e uma máquina real. Essa habilidade permite que os malwares adaptem suas táticas de evasão imediatamente, aumentando sua taxa de sucesso.

Além disso, os malwares que têm acesso ao conhecimento do sistema podem ajustar suas características e comportamento de acordo com as configurações do ambiente, aumentando a sutileza de sua operação.

Stegosploit e Técnicas Baseadas em Tempo

A técnica conhecida como Stegosploit envolve ocultar código malicioso ou trazer cargas úteis embutidas em arquivos aparentemente inofensivos, como imagens. Ao utilizar essa técnica, cibercriminosos podem transmitir malware através de canais que normalmente não seriam monitorados.

Técnicas baseadas em tempo são utilizadas onde o malware entra em ação em períodos específicos e permanece inativo em outros. Essa abordagem ajuda a evitar a detecção contínua, uma vez que o malware só se torna ativo em condições específicas, diminuindo assim as chances de ser descoberto.

Uso de Sites Legítimos como Infraestrutura

Por fim, malwares como o GuLoader frequentemente aproveitam os sites legítimos como sua infraestrutura de download. Usando criptografia para esconder suas operações maliciosas, eles conseguem baixar cargas úteis disfarçadas de arquivos normais, passando despercebidos pelos scanners de segurança em nuvem.

A habilidade de se camuflar em um ambiente de confiança como um serviço popular aumenta significativamente a longevidade do malware e complica a tarefa de organizações de segurança de detectá-los e neutralizá-los.

Visual representation of digital security and malware deployment using virtualization tools

Análise de Ferramentas de Virtualização e suas Vulnerabilidades

A crescente sofisticação dos ataques de malware, como evidenciado pela CRON#TRAP, ressalta a importância de entender o papel das ferramentas de virtualização na estratégia de invasão dos cibercriminosos. O uso de plataformas como o QEMU não apenas facilita a execução de ambientes seguros para o atacante, mas também introduz novas vulnerabilidades para as vítimas.

Uso de QEMU no Desenvolvimento de Malware

O QEMU, uma ferramenta de virtualização open-source, é amplamente utilizada por desenvolvedores de software para emular diferentes arquiteturas de hardware. No contexto da campanha CRON#TRAP, os atacantes aproveitam a legitimidade do QEMU para escapar da detecção por soluções de segurança convencionais. Esse fenômeno se dá porque a digitalização do QEMU permite que ele opere de maneira discreta no sistema hospedeiro, evitando levantar alarmes de segurança.

O uso do QEMU na CRON#TRAP manifesta-se através do deployment de uma instância leve de Tiny Core Linux em um ambiente Windows. Este ato, aparentemente inofensivo, libera o acesso do atacante ao sistema da vítima, possibilitando o controle total através de um backdoor pré-configurado. Como tal, a presença desse malware se torna quase indetectável.

Dentro do ambiente Linux emulado, um módulo adicional, conhecido como Chisel, é instalado. Este componente estabelece conexões seguras com o servidor de comando e controle (C2) através de canais HTTP e SSH, permitindo aos cibercriminosos controlar a máquina da vítima e realizar ações maliciosas, como exfiltração de dados, sem suscitar suspeitas.

Vulnerabilidades Associadas

A execução de ambientes emulados utilizando ferramentas legítimas expõe organizações a uma variedade de vulnerabilidades. Em primeiro lugar, a capacidade do QEMU de evadir detecções tradicionais o torna destacado em um campo de ataque. Isso se deve à sua natureza como ferramenta amplamente aceita e utilizada em ambientes de desenvolvimento de software.

Além disso, a configuração de ambientes emulados para inicializar automaticamente com o sistema operacional hospedeiro assegura a persistência do malware, mesmo após um reboot. Scripts como bootlocal.sh garantem que o backdoor esteja ativo continuamente, permitindo uma continuidade da operação maliciosa sem interrupções.

Outro aspecto preocupante é a utilização de comunicações encriptadas. A dependência de WebSockets e SSH para interatividade entre o ambiente emulado e o servidor C2 dificulta a detecção de atividades maliciosas, pois a comunicação parece legítima e segura, ocultando as ações nefastas do atacante.

Implicações de Segurança

A identificação e monitoramento de processos associados à virtualização tornam-se cruciais frente a essas ameaças. É essencial observar a execução de processos como qemu.exe que não estejam localizados em diretórios administrativos. A presença desse arquivo em locais não comuns pode ser um indicador de comprometimento do sistema.

A implementação de uma política de whitelisting pode reduzir significativamente os riscos associados ao uso de ferramentas de virtualização em sistemas críticos. A restrição ou proibição das ferramentas de virtualização em ambientes onde não são necessárias pode minimizar a superfície de ataque, prevenindo a exploração de vulnerabilidades como as vistas na campanha CRON#TRAP.

Revisar as permissões associadas às funções de virtualização no BIOS da estação de trabalho é uma prática recomendada. Desabilitar recursos desnecessários pode ajudar a mitigar as ameaças que exploram a virtualização. A combinação de práticas de segurança de camada múltipla é vital para criar uma defesa robusta contra cybersecurity threats.

Proteção Contra Essas Ameaças

Para mitigar os riscos de ataques que empregam ferramentas de virtualização como QEMU, as organizações devem considerar uma combinação de estratégias. Primeiramente, a educação e conscientização dos usuários é fundamental. Informar sobre os riscos envolvidos em e-mails de phishing e a importância de evitar a execução de arquivos suspeitos pode significar a diferença entre uma rede segura e um sistema comprometido.

Outra estratégia é a implementação de uma segurança de camada múltipla. Um sistema robusto deve incluir firewalls, soluções de segurança em endpoints e um monitoramento contínuo de rede. Essa abordagem proporciona uma visão abrangente e habilita a detecção de comportamentos maliciosos antes que a situação se agrave.

A manutenção de atualizações e patches em todos os softwares utilizados pode fechar a porta para muitas vulnerabilidades exploradas pelos atacantes. Estar atento às atualizações recomendadas pelos desenvolvedores de software representa uma das melhores práticas no combate a ameaças emergentes, como as que utilizam o CRON#TRAP para unir ambientes Windows e Linux de maneira a facilitar o acesso remoto e a execução de operaciones maliciosas.

Considerações Finais

Os ataques como a campanha de malware CRON#TRAP nos ensinam sobre a complexidade e a evolução das ameaças cibernéticas. À medida que os atacantes se tornam cada vez mais habilidosos em usar ferramentas legítimas para fins maliciosos, as defesas devem igualmente evoluir. Conhecer as ameaças e a mecânica de como essas ferramentas são utilizadas ajudará as organizações não apenas a se protegerem, mas a também prever e mitigar potenciais ataques futuros.

Conheça mais sobre o assunto:

#CRONTRAP #Malware #CybersecurityThreats #PersistentBackdoors #RemoteAccessMalware #alegon #cryptoalch

Previous article
Segurança Cibernética: 5 Dicas para Avaliar Conselhos de Segurança
Next article
Ato de IA da UE: 7 Aspectos Importantes para 2023

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us