Hoje a Kaspersky divulgou um relatório descrevendo uma campanha de ataque persistente e avançada (APT) utilizando métodos relativamente sofisticados, denominada "Careto" / "The Mask" - as análises preliminares indicam que a autoria possívelmente foi de um país e não de um grupo criminoso, hactivistas ou hobistas. O Brasil é um dos países atacados.
Antes de mais nada, sobre os "Advanced Persistent Threats": prefiro definí-los como ataques continuados, utilizando amplos recursos (tempo e dinheiro), e claramente direcionados. O direcionamento somado aos amplos recursos de tempo resulta na persistência, e o direcionamento somado a muito dinheiro permite ao atacante desenvolver (ou adquirir) métodos diferenciados de infecção, bypass, delivery, comando e controle e roubo de informações. Por isto os atores por trás deste tipo de ataque são normalmente considerados países. Neste tipo de situação, as defesas tradicionais - configuradas de forma a evitar ameaças genéricas - são inúteis.
Vale a pena lembrar que não se trata de algo inédito, ou mesmo incomum. Nos últimos 10 anos (com clara intensificação nos últimos 5), cerca de 30 (TRINTA) longas campanhas de Ameaças Persistentes e Avançadas (APTs) foram analisadas e divulgadas, entre elas: Byzantine Haydes, Titan Rain, Rep Wolf, Ghost Net, Aurora, Shadow Net, Stuxnet, Shady RAT, Duqu, Gauss, Nitro, Flame, Taidoor, Shamoon, Elderwood, RedOctober, Icefog, APT1, Beebus, etc.. E estou listando apenas as campanhas conhecidas e "nomeadas", fora as que ainda não foram descobertas e/ou divulgadas..
Voltando ao "Careto" ou "The Mask" (ativo desde 2007):
Além da possível detecção dos binários utilizados, várias mitigações e detecções em outros "domínios", como no Backbone, na Rede, no Email, nos Gateways, em servidores DNS, Proxies e também Endpoints são possíveis e precisam ser desenvolvidas e implementadas.
Na Apura nós acreditamos nisto e buscamos desenvolver tecnologias e capacidades, além de buscar parcerias - idealmente com transferência de tecnologia - para tornar este objetivo uma realidade palpável às empresas públicas e privadas do Brasil.
A tarefa não é simples, especialmente porque além de desenvolver processos e técnicas de deetcção e reação a este tipo de ataque, é necessário aceitar que a forma como nos defendemos hoje não é suficiente. ou mesmo aceitável. Sobre este assunto, recomendo o material que o governo da Austrália preparaou sobre o assunto: Estratégias para mitigar intrusões direcionadas.
Caso você seja responsável pela segurança de uma organização que foi ou poderia ser alvo de uma campanha como estas, dê uma olhada na lista presente no link acima e perceba que a grande maioria não requer necessariamente grandes investimentos ou novas tecnologias, e sim um foco no que realmente importa ao invés de seguir fórmulas e receitas de investimento de recursos (novamente tempo e dinheiro) em tecnologias comoditizadas e ineficientes como Firewalls, IDS e Anti-vírus:
- Whitelisting de Aplicações
- Patching de Aplicações
- Patching de Sistemas Operacionais
- Minimizar os usuários com permissões administrativas locais ou de domínio
- Desabilitar contas de administrador locais
- Autenticação de múltiplos fatores
- Segmentação e segregação de redes
- Firewall de Aplicação em Estações de trabalho para negar tráfico 'entrante'
- Firewall de Aplicação em Estações de trabalho para negar tráfico 'sainte'
- Sistema Virtualizado não persistente para atividades arriscadas como leitura de email e navegação na internet.
Voltando para as informações divulgadas sobre o "Careto / The Mask" - seguem alguns trechos relevantes do paper lançado pela Kaspersky sobre o assunto (65 páginas):
http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf
' What makes “The Mask” special is the complexity of the toolset used by the
attackers. This includes an extremely sophisticated malware, a rootkit, a bootkit, 32-and 64-bit Windows versions, Mac OS X and Linux versions and possibly versions for Android and iPad/iPhone (Apple iOS).
The Mask also uses a customized attack against older versions of Kaspersky Lab products to hide in the system, putting them above Duqu in terms of sophistication and making it one of the most advanced threats at the moment. This and several other factors make us believe this could be a nation-state sponsored campaign.
When active in a victim system, The Mask can intercept network traffic, keystrokes,
Skype conversations, PGP keys, analyse WiFi traffic, fetch all information from Nokia devices, screen captures and monitor all file operations.
The malware collects a large list of documents from the infected system, including encryption keys, VPN configurations, SSH keys and RDP files. There are also several extensions being monitored that we have not been able to identify and could be related to custom military/government-level encryption tools.
Based on artifacts found in the code, the authors of the Mask appear to be speaking the Spanish language.'
During our research, we observed the following exploit websites:
- linkconf.net
- redirserver.net
- swupdt.com
The malware is digitally signed with a valid certificate (since 2010) from an unknown or fake company, called TecSystem Ltd
Full list of stolen files extensions:
*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,*.PDF,*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,*.SSH,*.SXC,*.SXW,*.VSD,*.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX
Inside the main Careto binaries there is a CAB file with two modules - 32 and 64-bit.
shlink32.dll
shlink64.dll
The malware extracts one of them depending on the system architecture and installs it as "objframe.dll".
Inside the backdoor there are three executable files, once again, packed with CAB and having the .jpg extension:
dinner.jpg
waiter.jpg
chef.jpg.
The attackers call the more sophisticated malware SGH. We discovered the attackers trying to install multiple plugins for it.
Also we have found traces of lateral movement tools, such as a module for Metasploit with the “win7elevate” artifact. '
O Apêndice 1 do relatório da Kasperksy nos oferece uma lista de indicadores de comprometimento (IOCs) que podem ser utilizados para verificar se máquinas e redes foram afetadas pela campanha.
"
Filenames:
%system%\objframe.dll
%system%\shlink32.dll
%system%\shlink64.dll
cdllait32.dll
cdllait64.dll
cdlluninstallws32.dll
cdlluninstallws64.dll
cdlluninstallsgh32.dll
cdlluninstallsgh64.dll
%system%\c_50225.nls
%system%\c_50227.nls
%system%\c_50229.nls
%system%\c_51932.nls
%system%\c_51936.nls
%system%\c_51949.nls
%system%\c_51950.nls
%system%\c_57002.nls
%system%\c_57006.nls
%system%\c_57008.nls
%system%\c_57010.nls
%system%\cdgext32.dll
%system%\cfgbkmgrs.dll
%system%\cfgmgr64.dll
%system%\comsvrpcs.dll
%system%\d3dx8_20.dll
%system%\dllcomm.dll
%system%\drivers\wmimgr.sys
%system%\drvinfo.bin
%system%\FCache.bin
%system%\FFExtendedCommand.dll
%system%\gpktcsp32.dll
%system%\HPQueue.bin
%system%\LPQueue.bin
%system%\mdwmnsp.dll
%system%\rpcdist.dll
%system%\scsvrft.dll
%system%\sdptbw.dll
%system%\slbkbw.dll
%system%\skypeie6plugin.dll
%system%\wmspdmgr.dll
%temp%\~DF01AC74D8BE15EE01.tmp
%temp%\~DF23BF45A473C42B56.tmp
%temp%\~DFA0528CD81300F372.tmp
%temp%\~DF8471938479DA49221.tmp
%appdata%\microsoft\c_27803.nls
%appdata%\microsoft\objframe.dll
%appdata%\microsoft\shmgr.dll
Registry keys:
[HKLM\Software\Classes\CLSID\{E6BB64BE-0618-4353-9193-0AFE606D6F0C}\InprocServer32]
C&C and exploit staging server IPs:
190.10.9.209
190.105.232.46
196.40.84.94
200.122.160.25
202.150.211.102
202.150.214.50
202.75.56.123
202.75.56.231
202.75.58.153
210.48.153.236
223.25.232.161
37.235.63.127
75.126.146.114
81.0.233.15
82.208.40.11
62.149.227.3
75.126.146.114
Domains and hostnames:
nthost.shacknet.nu
tunga.homedns.org
prosoccer1.dyndns.info
prosoccer2.dyndns.info
nav1002.ath.cx
pininfarina.dynalias.com
wqq.dyndns.org
pl400.dyndns.org
services.serveftp.org
sv.serveftp.org
cherry1962.dyndns.org
carrus.gotdns.com
ricush.ath.cx
takami.podzone.net
dfup.selfip.org
wwnav.selfip.net
fast8.homeftp.org
ctronlinenews.dyndns.tv
mango66.dyndns.org
gx5639.dyndns.tv
services.serveftp.org
*.redirserver.net
*.swupdt.com
*.msupdt.com
*.appleupdt.com
*.linkconf.net
Muitos outros detalhes podem ser vistos no relatório original da Kaspersky (PDF)
Vale lembrar que apesar deste caso - especialmente no que tange o bypass de soluções de anti-vírus - o malware foi considerado mais "avançado" que o Flame e o Duqu, não significa - necessariamente - que todo ataque bem sucedido é sofisticado. A persistência e o direcionamento muitas vezes são mais importantes para o sucesso neste tipo de campanha que quantos "0days" ou novas técnicas de bypass de proteções de sandbox e memória foram utilizadas..
*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,*.PDF,*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,*.SSH,*.SXC,*.SXW,*.VSD,*.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX
Inside the main Careto binaries there is a CAB file with two modules - 32 and 64-bit.
shlink32.dll
shlink64.dll
The malware extracts one of them depending on the system architecture and installs it as "objframe.dll".
Inside the backdoor there are three executable files, once again, packed with CAB and having the .jpg extension:
dinner.jpg
waiter.jpg
chef.jpg.
The attackers call the more sophisticated malware SGH. We discovered the attackers trying to install multiple plugins for it.
Also we have found traces of lateral movement tools, such as a module for Metasploit with the “win7elevate” artifact. '
O Apêndice 1 do relatório da Kasperksy nos oferece uma lista de indicadores de comprometimento (IOCs) que podem ser utilizados para verificar se máquinas e redes foram afetadas pela campanha.
"
Filenames:
%system%\objframe.dll
%system%\shlink32.dll
%system%\shlink64.dll
cdllait32.dll
cdllait64.dll
cdlluninstallws32.dll
cdlluninstallws64.dll
cdlluninstallsgh32.dll
cdlluninstallsgh64.dll
%system%\c_50225.nls
%system%\c_50227.nls
%system%\c_50229.nls
%system%\c_51932.nls
%system%\c_51936.nls
%system%\c_51949.nls
%system%\c_51950.nls
%system%\c_57002.nls
%system%\c_57006.nls
%system%\c_57008.nls
%system%\c_57010.nls
%system%\cdgext32.dll
%system%\cfgbkmgrs.dll
%system%\cfgmgr64.dll
%system%\comsvrpcs.dll
%system%\d3dx8_20.dll
%system%\dllcomm.dll
%system%\drivers\wmimgr.sys
%system%\drvinfo.bin
%system%\FCache.bin
%system%\FFExtendedCommand.dll
%system%\gpktcsp32.dll
%system%\HPQueue.bin
%system%\LPQueue.bin
%system%\mdwmnsp.dll
%system%\rpcdist.dll
%system%\scsvrft.dll
%system%\sdptbw.dll
%system%\slbkbw.dll
%system%\skypeie6plugin.dll
%system%\wmspdmgr.dll
%temp%\~DF01AC74D8BE15EE01.tmp
%temp%\~DF23BF45A473C42B56.tmp
%temp%\~DFA0528CD81300F372.tmp
%temp%\~DF8471938479DA49221.tmp
%appdata%\microsoft\c_27803.nls
%appdata%\microsoft\objframe.dll
%appdata%\microsoft\shmgr.dll
Registry keys:
[HKLM\Software\Classes\CLSID\{E6BB64BE-0618-4353-9193-0AFE606D6F0C}\InprocServer32]
C&C and exploit staging server IPs:
190.10.9.209
190.105.232.46
196.40.84.94
200.122.160.25
202.150.211.102
202.150.214.50
202.75.56.123
202.75.56.231
202.75.58.153
210.48.153.236
223.25.232.161
37.235.63.127
75.126.146.114
81.0.233.15
82.208.40.11
62.149.227.3
75.126.146.114
Domains and hostnames:
nthost.shacknet.nu
tunga.homedns.org
prosoccer1.dyndns.info
prosoccer2.dyndns.info
nav1002.ath.cx
pininfarina.dynalias.com
wqq.dyndns.org
pl400.dyndns.org
services.serveftp.org
sv.serveftp.org
cherry1962.dyndns.org
carrus.gotdns.com
ricush.ath.cx
takami.podzone.net
dfup.selfip.org
wwnav.selfip.net
fast8.homeftp.org
ctronlinenews.dyndns.tv
mango66.dyndns.org
gx5639.dyndns.tv
services.serveftp.org
*.redirserver.net
*.swupdt.com
*.msupdt.com
*.appleupdt.com
*.linkconf.net
"
Vale lembrar que apesar deste caso - especialmente no que tange o bypass de soluções de anti-vírus - o malware foi considerado mais "avançado" que o Flame e o Duqu, não significa - necessariamente - que todo ataque bem sucedido é sofisticado. A persistência e o direcionamento muitas vezes são mais importantes para o sucesso neste tipo de campanha que quantos "0days" ou novas técnicas de bypass de proteções de sandbox e memória foram utilizadas..
Em uma primeira leitura do relatório, percebe-se que o Brasil é o segundo país com mais "IPs infectados" pelo malware, atrás apenas do Marrocos. Esta análise foi feita a partir do registro de "debug" de vários servidores de comando e controle do malware. Quando o que foi avaliado foram as novas conexões únicas (por ID de máquina) a sinkholes recentes que receberam conexões direcionadas a servidores de C&C, da Kaspersky - o resultado é diferente: Cuba e Espanha são os países com mais "vítimas". Uma possível conclusão é que a infraestrutura de espionagem do "Careto" já foi muito utilizada para monitorar alvos no Brasil, mas não recentemente.
Dito isto, o que podemos fazer? Além da adoção de grande parte das estratégias citadas no início deste artigo, é fundamental que o governo brasileiro, com apoio da academia e da iniciativa privada, busque ATIVAMENTE entender a real extensão desta (e de outras) campanhas deste tipo. Até mesmo porque muito além do vazamento de informações sensíveis (inclusives secretas / estratégicas), a maior ameaça está na possível alteração e até mesmo destruição física - especialmente em infraestruturas críticas como usinas, hidrelétricas, aeroportos, etc.
Report e download de um dos samples "The Mask" disponíveis publicamente no momento (via Malwr):
https://malwr.com/analysis/MGZlYjQ0OTBjOGQ0NDBmYzgwODJiNTBhNzVkMGU2MGY/
Dropped File:
O binário listado acima possui uma taxa de detecção no Virustotal de apenas 4 anti-virus no dia 10/02/2014 Panda, Kaspersky, Bkav e Symantec.
Outros links relevantes sobre o assunto:
Dito isto, o que podemos fazer? Além da adoção de grande parte das estratégias citadas no início deste artigo, é fundamental que o governo brasileiro, com apoio da academia e da iniciativa privada, busque ATIVAMENTE entender a real extensão desta (e de outras) campanhas deste tipo. Até mesmo porque muito além do vazamento de informações sensíveis (inclusives secretas / estratégicas), a maior ameaça está na possível alteração e até mesmo destruição física - especialmente em infraestruturas críticas como usinas, hidrelétricas, aeroportos, etc.
Report e download de um dos samples "The Mask" disponíveis publicamente no momento (via Malwr):
https://malwr.com/analysis/MGZlYjQ0OTBjOGQ0NDBmYzgwODJiNTBhNzVkMGU2MGY/
FILE SIZE | 345480 bytes |
---|---|
FILE TYPE | PE32 executable (GUI) Intel 80386, for MS Windows |
MD5 | 5cfd31b1573461a381f5bffa49ea1ed6 |
SHA1 | 0081e20b4efb5e75f9ce51e03b2d2d2396e140d4 |
SHA256 | 19e818d0da361c4feedd456fca63d68d4b024fbbd3d9265f606076c7ee72e8f8 |
SHA512 | 06d45ebe50c20863edea5cd4879de48b2c3e27fbd9864dd816442246feb9c2327dda4306cec3ad63b16f6c2c9913282357f796e9984472f852fad39f1afa5b6b |
CRC32 | A210FDD8 |
SSDEEP | 6144:Szbcv49dLbVfOTAlsQrxvWGY5Kbt6FfrrkEoSdEBSkqFzDdj0lMGYk:d6/OTAlsQsGAKbt6hXkEoSgtqFzhj0lz |
Dropped File:
FILE NAME | shmgr.dll |
---|---|
FILE SIZE | 114688 bytes |
FILE TYPE | PE32 executable (DLL) (GUI) Intel 80386, for MS Windows |
MD5 | 96aee2389c325343f6db3be500a8a962 |
SHA1 | 7c30dc5d96023a1aa018921b4f01e98960992cb9 |
SHA256 | 02ae1226b817cf2a7022b2d5c934f26a46233d822f2bfe3a488c885ff1121c4e |
CRC32 | B3141A56 |
SSDEEP | 3072:60aBz3pbanFnyRc2A8DHjAQlZcmJ7IYXn1:60aBz3MFuc+HjA1y |
O binário listado acima possui uma taxa de detecção no Virustotal de apenas 4 anti-virus no dia 10/02/2014 Panda, Kaspersky, Bkav e Symantec.
Outros links relevantes sobre o assunto:
- Symantec: The Mask
- Kaspersky: The Careto/Mask APT: Frequently Asked Questions
- Wired: Sophisticated Spy Tool ‘The Mask’ Rages Undetected for 7 Years -
- DarkReading: Researchers Uncover 'The Mask' Global Cyberspying Operation
- SlashGear: Behind “The Mask”: Huge, sophisticated “Careto” malware discovered
- Mashable: The Mask Is Off: Cyber Spy Operation Uncovered After 7 Years