Chama a atenção as palavras que têm sido escolhidas na mensagem mostrada pelo malware: os arquivos não têm sido sequestrados, senão “protegidos”, e sua estrutura foi “modificada irrevogavelmente” mas com a ajuda dos atacantes podem ser restaurados. A mensagem também aconselha ao usuário “não perder tempo” porque não existem outras soluções. A única solução disponível seria pagar usando os endereços .onion da rede Tor proporcionados pelo CryptoWall.
Um ataque em etapas
Uma análise efetuada pelo Talos Group e postada no seu blog nos mostra detalhadamente o método de ação do malware. O malware começa cifrado e revisa se ele está em una máquina virtual ou em um ambiente emulado, e nesses casos ele não é instalado. Isto para evitar desvendar seu modus operandi em sistemas que possam estar analisando o comportamento do malware. Caso o malware considere estar em um sistema comum, ele começa uma série de etapas de decifrado para empreender seu cometido. Em uma primeira etapa ele cria um processo Explorer.exe falso que se copia à pasta de execução automática do Windows. Depois, ele desativa uma série de serviços do Windows. Logo após, o malware apaga o explorer falso e cria um executável svchost falso que continua sua operação. O rotina principal de infecção deste executável importa módulos importantes do Windows (ntdll, kernel32, wininet, etc). Depois ele tenta baixar um cliente TOR a partir de uma lista de sites, disponível no blog da Talos, e em outra lista de sites consulta o IP externo do sistema. Se o processo é bem sucedido, o malware se comunica diretamente com seu centro de comando e controle, o que leva diretamente ao cifrado dos arquivos do computador.
A identificação e a detenção destas novas variantes requerem um enfoque de segurança em capas. Quebrando qualquer etapa da cadeia de ataque evitará a infecção do malware.
Como EnCase Cybersecurity e EnCase Analytics podem ajudar a deter o CryptoWall 2.0
EnCase Cybersecurity e EnCase Analytics podem ser usados para verificar conexões aos sites usados pelo CryptoWall e para modificar os arquivos hosts dos usuários para evitar conexões a estes domínios. Além disto, se podem gerar as assinaturas MD5 ou SHA1 dos arquivos svchost e explorer dos computadores para que caso algum computador esteja executando uma versão que não seja a original, sua remoção possa ser efetuada em instantes. Tanto o EnCase Cybersecurity como o EnCase Analytics podem revisar todos os programas com portas abertas em um computador que não façam parte das ferramentas usadas dentro da empresa, facilitando enormemente a capacidade de encontrar o uso da rede Tor.
A principal questão é que malware como o CryptoWall 2.0 sempre deixa rastros nos dispositivos. Isto significa que a visibilidade dos dispositivos e a monitoração usando ferramentas como o EnCase Analytics ou o EnCase Cybersecurity é vital para a detecção destas ameaças antes que causem qualquer dano real.
TEMAS RELACIONADOS
Detectando e Mitigando um Ataque CryptoLocker com EnCase
Curta Nossa Página em Português no Facebook
Guidance Software reconhecida pela Gartner como líder do mercado de ferramentas de detecção e resposta em dispositivos
Faça Parte do Nosso Grupo de Usuários do EnCase em Português
Vice-presidente de Symantec: O Antivírus “Morreu”
No comments :
Post a Comment