Background
A família de malware Sykipot, como mencionado acima, expande suas atividades desde 2007, com associação de servidores de comando e controle (C & C) registrados em 2006. Ele funciona como um backdoor, que um invasor pode usar para executar comandos no sistema infectado. O malware também faz uploads e downloads de arquivos e pode iniciar comunicação SSL para servidores C & C.
Estes servidores tendem a usar Netbox, um servidor Windows que permite a implantação de aplicações ASP como executáveis independentes. O nível de sofisticação de Sykipot ao longo do tempo não tem necessariamente avançado, mas a exploração consistente dos ataques 0-day e o direcionamento específico, indica um certo nível de conhecimento e financiamento para esses operadores.
Indústrias Alvo
O malware Sykipot tem um longo histórico de atingir, principalmente, a US Defense Initial Base (DIB) e as indústrias-chave, tais como as que operam no ramo das telecomunicações, hardware de computador, fornecedores do governo e setor aeroespacial. Além disso, foi feito um review dos 15 maiores ataques ao longo dos últimos seis anos, que confirmam fortemente isso. Recentemente, encontramos um caso em que as variantes Sykipot estavam recolhendo informações relacionadas com o setor da aviação civil. A exploração ocorreu em um alvo consistente com a sua história, e as informações solicitadas levantaram um novo interesse. As intenções desta última rodada de metas não são claras, mas representa uma mudança na mudança de objetivos ou de missão.
Técnicas de Ataque
Como a maioria dos ataques direcionados, Sykipot usa anexos maliciosos para se espalhar. Esses exploits contidos visam diversas aplicações como o Adobe Reader e o Microsoft Office. No entanto, desde julho de 2012, essa tática particular tem vindo a diminuir. Os atacantes têm favorecido exploits drive-by que tem como alvo aplicações como navegadores Web e Java. Uma vez que Sykipot estiver sendo executado na máquina da vítima, que estabelece uma conexão SSL para um servidor C & C, onde mais arquivos maliciosos estiverem sendo baixados e instalados na máquina da vítima. As capacidades da estrutura do Sykipot permitem a execução de código arbitrário e comandos a serem executados.
Mudanças Notáveis
A mudança - a praga vai, lentamente se afastando de exploits baseados em arquivos .DLL ou processo de injeção - é uma observação notável sobre a evolução da campanha do malware. A inteligência de código dos ataques mais recentes, mostra a consistência da metodologia, das ferramentas e exploits utilizados, mas passa a examinar os dados do alvo sugerido pela campanha, que se expandiu para além do típico DIB EUA; ela também visou setores civis e de infra-estrutura.
Além disso, Sykipot ficou bastante conhecido por usar identificadores únicos em seu código, que corresponde a servidores C & C, como no exemplo a seguir:
- https://{C&C domain}/asp/kys_allow_get.asp?name=getkys.kys&hostname={computer name}-{IP address}-{unique identifier}
Em ataques mais tarde, o padrão acima não foi visto. Em vez disso, vimos a seguinte seqüência, que não fazia parte da URL e foi mais criptografado:
- {hardcoded string}-{computer name}-{IP address}
Além disso, fazendo uma análise do código, é possível mostrar os identificadores. Anteriormente, o formato[WXYZ] [yymmdd] foi processado. Agora, o código contém o seguinte trecho no endereço 0 × 10002050:
Neste caso particular, Y1 serve como string codificado que acreditamos que possa agir como um identificador. Outras amostras recolhidas a partir do VirusTotal este ano. utilizar os seguintes textos:
- Q1
- X1
- X5
- X6
Soluções e Conclusão
As variantes Sykipot relativas a estas últimas campanhas são detectadas como BKDR_SYKIPOT.AG. Um importante vetor na propagação de Sykipot, é a utilização de vários feitos através do uso frequente de ataques explorando a tal falha 0-day. Assim, mantendo sistemas atualizados e configurados de forma segura é a primeira defesa contra a técnica nesta campanha. No entanto, as organizações e os usuários podem ter requisitos de versão específica, que podem impedir atualizações.
Em tais casos, um patching virtual (ou virtual shielding) pode ser de extrema utilidade. Dessa forma, a Trend Micro oferece duas soluções que permitem aos administradores implantar essa solução: Deep Security e o Intrusion Defense Firewall.
Outros elementos da família de malware Sykipot relacionados ao seu C & C, também são detectados pelo Deep Discovery, com as seguintes regras:
- Rule 551 - DNS APT DOMAINS
- Rule 1045 - HTTP SYKIPOT RESQUEST
Desde o momento em que esse ataque, normalmente, chega através de mensagens de e-mail, é importante para que as organizações passem a implementar um bom programa de engenharia social. Isso pode ajudar as organizações, nomeadamente os funcionários, gerentes, executivos dos mais diversos níveis hierárquicos, etc, para que sejam cautelosos com e-mails, sendo portadores de campanhas de malware relacionadas a essa como a do Sykipot.
Esta campanha, que impressiona pelo seu nível de sofisticação, exerce apenas o suficiente para ser eficaz. Destina-se sistematicamente as entidades norte-americanas de alta relevância, usando métodos experimentados e verdadeiros para a exfiltração de dados. Dadas as suas metas, sucessos e missão, ele deve ser considerado uma séria ameaça não só para o DIB, porque muitos outros setores norte-americanos devem também ser conscientes e capazes de identificá-lo.
Exploração Massiva de Exploits 0-day
Os ataques Sykipot exploraram uma enorme quantidade de exploits 0-day durante os últimos anos, incluindo vulnerabilidades que afetam o Adobe Reader, Adobe Flash Player e Microsoft Internet Explorer.
"No passado, a maioria das campanhas que encontramos relacionadas com os cibercriminosos responsáveis pelo Sykipot foram baseadas em [spear-phishing] mails, com anexos de vulnerabilidades exploradas em softwares como o Microsoft Office, Adobe Flash, Adobe PDF e, por vezes, Internet Explorer, disse Jaime Blasco, diretor de AlienVault Labs.
"Durante os últimos 8-10 meses, temos visto uma mudança e o número de campanhas de [spear-phishing] que incluíram um link em vez de um anexo, e essa prática só aumentou. Uma vez que a vítima clica no link, os atacantes usam as vulnerabilidades em Internet Explorer, Java, etc para acessar o sistema. Além disso, as campanhas incluem um site malicioso onde foi criada uma tentativa de phishing contra funcionários do governo, que aparece como uma página Web sobre charge cards GSA SmartPay. A página também explorou a vulnerabilidade CVE-2012-1889, uma vulnerabilidade que afeta o Microsoft XML Core Services.
Em outra onda de ataques, os atacantes por trás do Sykipot registraram vários domínios, em setembro de 2012 com o objetivo final de explorar uma vulnerabilidade no Internet Explorer (CVE-2012-4969). Outra campanha que se propagou em agosto, explorou uma vulnerabilidade Java (CVE-2012-1723) para infectar sistemas vulneráveis, enquanto uma onda mais recente de ataques direcionados à vítimas japonesas usou um exploit no Adobe Acrobat (CVE-2013-0640).
Saiba Mais:
[1] Security Intelligence http://blog.trendmicro.com/trendlabs...r-information/