Comentários Gerais

Me chamo Victor Hugo e sou um verdadeiro apaixonado por informática e especialmente por tudo o que diz respeito à segurança da informação. O objetivo deste blog e dos vídeos postados no You Tube é conscientizar a todos da importância de se ter um computador devidamente protegido utilizando as ferramentas mais adequadas para isto. Todos os dias estou buscando novas informações e novidades e aqueles que acessarem este espaço poderão saber de tudo em primeira mão.

Essa página do seu micro seguro tem por objetivo também de promover a troca de ideias entre os seus usuários, experiências e dicas. Além disso também deseja ser um canal para esclarecimento de dúvidas a todos aqueles que acessam nosso site.

46.396 Responses to Comentários Gerais

  1. Matheus says:

    Nworm: o novo módulo furtivo de disseminação de malware da gangue TrickBot

    hXXps: //www.bleepingcomputer.com/news/security/nworm-trickbot-gang-s-new-stealthy-malware-spreading-module/

    O Trojan bancário Trickbot evoluiu mais uma vez com um novo módulo de disseminação de malware que usa um modo furtivo para infectar silenciosamente os controladores de domínio do Windows sem ser detectado.

    Iniciado como um Trojan bancário, o malware TrickBot evoluiu com a adição constante de novos módulos que lhe permitem executar uma variedade de comportamentos maliciosos.

    Parte desse comportamento inclui a propagação lateral por uma rede, roubo de bancos de dados dos Serviços do Active Directory, roubo de cookies e chaves OpenSSH, roubo de credenciais RDP, VNC e PuTTY e muito mais.

    O TrickBot também faz parceria com operadores de ransomware, como o Ryuk, para obter acesso a uma rede comprometida, para que possam implantar o ransomware.
    Conheça o Nworm: módulo de propagação furtiva do malware TrickBot

    Em um novo relatório da Unidade 42 de Palo Alto, os pesquisadores descobriram que os desenvolvedores do TrickBot lançaram um módulo de disseminação de rede atualizado chamado ‘nworm’, que utiliza novas técnicas para evitar a detecção, pois infecta os controladores de domínio do Windows.

    Quando instalado, o TrickBot avalia o ambiente em que está sendo executado e baixa vários módulos para executar atividades maliciosas específicas no computador infectado e na rede.

    Se o TrickBot detectar que está sendo executado em um ambiente Windows Active Directory (AD), ele baixou historicamente os módulos chamados ‘mworm’ e ‘mshare’, usados ​​para espalhar a infecção pelo TrickBot para um controlador de domínio vulnerável.

    O módulo faz isso tentando explorar vulnerabilidades SMB no controlador de domínio.

    Desde setembro de 2019, quando o TrickBot começou a usar o Mworm, até março de 2020, o módulo mworm transferia o executável do TrickBot de forma não criptografada para um controlador de domínio vulnerável.

    Como o executável do malware não seria criptografado, o software de segurança instalado no controlador de domínio poderia detectá-lo e removê-lo logo após ser copiado.

    Para dificultar a detecção, em abril de 2020, os desenvolvedores do TrickBot lançaram um módulo de worm atualizado chamado ‘Nworm’,

    “Em abril de 2020, ao gerar uma infecção pelo TrickBot em um ambiente de laboratório, o TrickBot parou de usar o módulo mworm. Em seu lugar, um novo artefato chamado” nworm “apareceu em um cliente Windows 7 infectado”, explicam os pesquisadores em seu relatório.

    Esse novo módulo nworm não apenas criptografa o executável do TrickBot, para que ele não possa ser detectado pelo software de segurança, mas também inicia a infecção no controlador de domínio na memória.

    Usando esse método, o TrickBot pode ser introduzido em um controlador de domínio e executado sem ser detectado.

    Para aumentar ainda mais sua furtividade, ao infectar um controlador de domínio, o malware TrickBot não permanecerá persistente para iniciar novamente se o computador for reiniciado.

    Como os controladores de domínio raramente são reiniciados, isso não deve representar um problema, pois a infecção deve permanecer em execução na memória por um período prolongado.

    Geralmente, é tempo suficiente para que os atores da ameaça executem e concluam seu ataque.

  2. Matheus says:

    Esteganografia em ataques direcionados a empresas industriais no Japão e na Europa

    hXXps: //securityaffairs.co/wordpress/103971/hacking/industrial-enterprises-attacks-steganography.html

    Atores de ameaças atacaram fornecedores industriais no Japão e em vários países europeus em ataques sofisticados, informou a Kaspersky.

    Pesquisadores da unidade ICS CERT da Kaspersky relataram que os agentes de ameaças atacaram fornecedores industriais no Japão e em vários países europeus em ataques sofisticados.

    Os especialistas observaram os ataques pela primeira vez no início de 2020, enquanto no início de maio os atores de ameaças atingiram organizações no Japão, Itália, Alemanha e Reino Unido.

    Os hackers atacaram fornecedores de equipamentos e software para empresas industriais com mensagens de spear-phishing usando documentos maliciosos do Microsoft Office. Os invasores usavam scripts do PowerShell, além de várias técnicas para evitar a detecção e evitar a análise do malware.

    “Os e-mails de phishing, usados ​​como vetor de ataque inicial, foram adaptados e personalizados no idioma específico para cada vítima específica. O malware usado nesse ataque executava atividade destrutiva apenas se o sistema operacional tivesse uma localização que correspondesse ao idioma usado no email de phishing. ” lê o relatório publicado pela Kaspersky. “Por exemplo, no caso de um ataque a uma empresa do Japão, o texto de um email de phishing e um documento do Microsoft Office contendo uma macro maliciosa foram escritos em japonês. ”

    As mensagens de phishing são criadas para induzir as vítimas a abrir o documento em anexo e habilitar as macros. Os emails são escritos no idioma do destino e o malware só é iniciado se o idioma do sistema operacional na máquina corresponder ao idioma do email de phishing.

    Os hackers usaram a ferramenta Mimikatz para roubar os dados de autenticação das contas do Windows armazenadas em um sistema comprometido. Na época, o objetivo final dos atores de ameaças ainda é desconhecido.

    Os especialistas da Kaspersky observaram apenas atividades maliciosas nos sistemas de TI; as redes OT não foram afetadas pelos ataques.

    Ao executar o script de macro contido no documento de isca, um script do PowerShell é descriptografado e executado. Esse script baixa uma imagem de serviços de hospedagem de imagens como Imgur ou imgbox. Os especialistas notaram que o URL da imagem é selecionado aleatoriamente em uma lista.

    A imagem contém dados extraídos pelo malware para criar outro script do PowerShell, que por sua vez cria outro script do PowerShell que é uma versão ofuscada da ferramenta de pós-exploração do Mimikatz.

    “Os dados são ocultos na imagem usando técnicas esteganográficas e são extraídos pelo malware dos pixels definidos pelo algoritmo. O uso da esteganografia permite que os invasores evitem algumas ferramentas de segurança, incluindo os scanners de tráfego de rede. ” continua a análise.

    “Os dados extraídos da imagem são codificados consecutivamente usando o algoritmo Base64, criptografados com o algoritmo RSA e codificados usando o Base64 novamente. Curiosamente, o script tem um erro em seu código, incluído de propósito, com a mensagem de exceção usada como chave de descriptografia. ”

    Os invasores também usaram uma mensagem de exceção como chave de descriptografia para uma carga maliciosa, também neste caso, a técnica visa evitar a detecção.

    A Kaspersky confirmou que suas soluções bloquearam todos os ataques detectados.

    “Esse ataque chamou a atenção dos pesquisadores porque os atacantes usam várias soluções técnicas não convencionais”. conclui o Kaspersky.

    “O uso das técnicas acima, combinadas com a natureza exata das infecções, indica que foram ataques direcionados. É preocupante que as vítimas de ataque incluam empreiteiros de empresas industriais. Se os atacantes conseguirem coletar as credenciais dos funcionários de uma organização contratada, isso poderá levar a uma série de consequências negativas, desde o roubo de dados confidenciais até ataques a empresas industriais por meio de ferramentas de administração remota usadas pelo contratado. ”

  3. Matheus says:

    Sobre desvantagens na Configuração da Cruelsister, conforme prometi trazer aqui outro dia.

    1) Ela não instrui a ativar a “Detecção de Código” para todos os processos em “Análise de Script”.
    A Detecção de Código precisa estar ativada para TODOS os processos na lista padrão da Comodo para garantir boa cobertura contra Fileless Malware (Malware sem arquivo).

    Vejam nesse PDF Linkado abaixo, da empresa Advanced Threat Analytics, página 2, descrevendo um ataque de RAT Fileless que se vale de múltiplos processos legítimos:
    hXXps://static1.squarespace.com/static/58650cbd20099e2bc424578a/t/589d47ce8419c25ff47f38e2/1486702545668/ATA+Catching+a+Rat+-+White+Paper.pdf

    “As consultas de detecção comportamental que acionaram o ATA para investigar esse incidente foram: • wscript.exe fazendo uma conexão de rede • powershell.exe com o argumento de linha de comando “oculto” • Processo mshta.exe com um nome de processo filho power-shell.exe • Processo de nome cmd.exe OU powershell.exe como um processo pai do mshta.exe • Nome do processo wscript.exe E modificações no arquivo appdata \ local \ temp \ * E subprocesso cmd.exe • Processo Explorer.exe com conexões de rede de saída correspondentes a Feeds de inteligência de ameaças do AlienVault • (Nome do processo powershell.exe AND (cmdline: {iex \ (\ (Novo Objeto OU cmdline: \ ”iex \ (Novo Objeto OU cmdline: \” iex \ (Novo Objeto OU cmdline: iex ou cmdline: \ ”iex))))”

    Notem que muitos dos processos aí citados fazem parte da Lista Padrão de Análise de Script da Comodo, porém a “Detecção de Código” vem desativada para muitos dos citados por padrão.

    2) Ela não instrui a desativar a opção “Detectar programas que requeiram elevação de privilégios, tais como instaladores ou atualizadores” em Opções de Contenção.

    hXXps://forums.comodo.com/news-announcements-feedback-cis/epic-fail-opera-has-trusted-intallers-privieges-t110946.0.html

    hXXps://forums.comodo.com/resolvedoutdated-issues-cis/some-portable-internet-browsers-are-granted-as-trusted-installers-m1368-t107943.0.html

    Ao contrário do que o nome dessa opção sugere, ela é uma opção permissiva, explicações presentes nos dois tópicos linkados acima. Vejam que o usuário até sugeriu que a Comodo criasse uma opção para desativar a detecção automática de Trusted Installers, o que já existe nas versões mais atuais do Comodo.

    O CIS/CFW é mais seguro com essa opção DESATIVADA – Somente o que estiver definido nas Regras de HIPS como Instalação/Atualização será tratado como Trusted Installer dessa maneira.

    Por padrão, só os arquivos/processos do Windows Update são tratados como Trusted Installer, caso essa opção esteja desativada. O ideal do ponto de vista da segurança é que somente o Windows Update ou programas que conflitam com o CIS/CFW recebam tratamento de Trusted Installer. Portanto é recomendável desativar essa detecção automática de instaladores confiáveis, que foi implementada pela Comodo visando tornar o CIS/CFW mais amigável para leigos.

    3) Ela orienta a desativar o HIPS, o que é prejudicial para a autoproteção do Comodo, que depende de técnicas do HIPS (Bloqueio de Acesso de memória interprocessual).

    O correto seria ela recomendar manter o HIPS em Modo Seguro, e marcar nas Configurações de HIPS: “Não exibir janelas de alerta: Bloquear Requisições”.

    Esse tópico abaixo descreve bem o funcionamento do mecanismo de autoproteção do Comodo:
    hXXps://forums.comodo.com/defense-sandbox-help-cis/blocked-applications-showing-cis-blocking-programs-by-hips-and-cannot-unblock-t124451.0.html

    Em suma: Quem estiver usando a configuração CS e quiser corrigir essas desvantagens, só seguir o recomendado aí. Na prática os itens 2 e 3 não fazem muita diferença, o item 1 é o único que considero problema grave, e acho que ela deveria fazer um vídeo atualizado sugerindo essa modificação.

    • Matheus says:

      OBS sobre o item 2:
      Quem segue o “Guia de Eliminação de Conflitos” que sugeri define os arquivos/pasta do Antivírus como Trusted Installer (passo 1 no CFW), no entanto não há nenhum risco nisso tendo em vista que o Antivírus possui mecanismo de autoproteção contra injeções e, além disso, para que qualquer arquivo desconhecido seja salvo/inserido na pasta do Antivírus, é necessário ter privilégios administrativos do Windows para tal (Geralmente recomendo a todos que usem a Conta Limitada com Senha).
      Desde que o UAC do Windows esteja ativado, nenhum navegador (ou qualquer outro vetor de contaminação) terá privilégios administrativos para salvar/inserir arquivos na pasta do Antivírus.
      Quem quiser testar, pode até remover a referida Regra de HIPS no Comodo Firewall e verificar se surgem conflitos entre o CFW e o AV instalado, se não surgir só manter removida, se surgir só adicionar de novo – Essa regra sozinha resolve 99% dos casos de conflitos do CFW com os Antivírus, pois instrui o CFW a não injetar código nos processos do AV.

  4. Matheus says:

    Valak: um malware sofisticado que mudou completamente em 6 meses

    hXXps: //securityaffairs.co/wordpress/103911/malware/valak-malware.html

    O malware da Valak mudou rapidamente nos últimos seis meses, foi inicialmente projetado como um carregador, mas agora implementava recursos de infostealer.

    O malware Valak mudou completamente nos últimos seis meses, foi desenvolvido para funcionar como um carregador, mas agora também implementa recursos de infostealer.

    O punho do código malicioso apareceu no cenário de ameaças no final de 2019, nos últimos seis meses, especialistas observaram mais de 20 versões que finalmente mudaram o malware de um carregador para um infostealer usado em ataques contra indivíduos e empresas.

    “O Valak Malware é um malware sofisticado anteriormente classificado como um carregador de malware. Embora tenha sido observado pela primeira vez no final de 2019, a equipe do Cybereason Nocturnus investigou uma série de mudanças dramáticas, uma evolução de mais de 30 versões diferentes em menos de seis meses. ” lê a análise publicada pela Cybereason. “Esta pesquisa mostra que o Valak é mais do que apenas um carregador para outros malwares, e também pode ser usado independentemente como ladrão de informações para atingir indivíduos e empresas. ”

    O código malicioso foi empregado em ataques direcionados principalmente a entidades nos EUA e na Alemanha, nos quais foi previamente empacotado com ameaças Ursnif e IcedID.

    A cadeia de ataques começa com mensagens de phishing, usando documentos do Microsoft Word armados que contêm macros maliciosas. Ao ativar as macros, um arquivo .DLL chamado “U.tmp” é baixado e salvo em uma pasta temporária.

    Quando a DLL é executada, ela cai e é iniciada usando uma chamada da API WinExec. O malware Valak usa um arquivo JavaScript malicioso com um nome aleatório que muda toda vez que é executado.

    O código JavaScript estabelece as conexões com os servidores de comando e controle (C2). Os scripts também baixam arquivos adicionais, decodificam-nos usando Base64 e uma cifra XOR e, em seguida, implantam a carga útil principal.

    “Na primeira etapa, Valak lançou as bases para o ataque. No segundo estágio, ele baixa módulos adicionais para atividades de reconhecimento e rouba informações confidenciais. ” continua a postagem.

    A Valak usa duas cargas úteis principais, project.aspx e a.aspx, a primeira (o JS do segundo estágio) gerencia chaves de registro, agendamento de tarefas para atividades maliciosas e persistência, enquanto a última, chamada PluginHost.exe, denominada “PluginHost.exe” , é um arquivo executável usado para gerenciar componentes adicionais.

    A classe Program da Valak contém a função principal do arquivo main (), que executa a função GetPluginBytes () para baixar os componentes do módulo com o tipo “ManagedPlugin”. Esses componentes serão carregados de forma reflexiva na memória do executável e permitirão que o malware adicione recursos de plug-in.

    O PluginHost.exe implementa várias funções carregando os módulos específicos, abaixo de uma lista de módulos observada pelos especialistas:

    Systeminfo: responsável por amplo reconhecimento; tem como alvo administradores locais e de domínio
    Exchgrabber: visa roubar dados do Microsoft Exchange e se infiltrar no sistema de correio das empresas
    IPGeo: verifica a geolocalização do alvo
    Procinfo: coleta informações sobre os processos em execução da máquina infectada

    Netrecon: execute realiza reconhecimento de rede
    Screencap: captura capturas de tela da máquina infectada

    O módulo Systeminfo contém várias funções de reconhecimento que permitem coletar informações sobre o usuário, a máquina e os produtos antivírus existentes.

    As variantes recentes da Valak foram empregadas em ataques contra servidores Microsoft Exchange, provavelmente como parte de ataques contra empresas.

    “As versões mais recentes do Valak visam os servidores Microsoft Exchange para roubar informações e senhas de correspondência da empresa, juntamente com o certificado da empresa. Isso tem potencial para acessar contas críticas da empresa, causando danos às organizações, degradação da marca e, finalmente, uma perda de confiança do consumidor. ” conclui o post.

    “Os recursos estendidos de malware sugerem que o Valak pode ser usado independentemente, com ou sem parceria com outros malwares. Dito isto, parece que o ator de ameaças por trás da Valak está colaborando com outros atores de ameaças no ecossistema de E-Crime para criar um malware ainda mais perigoso. ”

Deixe uma resposta para Henrique - RJ Cancelar resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: