• Anatomia de Ataque do Malware Control Panel (CPL) - Parte 2

    Na parte anterior desta postagem, os pesquisadores de segurança da Trend Micro abordaram o comportamento do malware Control Panel (CPL) antes de se propagar a infecção real. Nesta segunda parte, será abordado o que acontece depois que o malware atingir um sistema. Vale ressaltar que grande parte desta análise foi realizada com Deep Discovery Advisor, por isso, algumas das imagens terão sido extraídas a partir deste produto. Este malware CPL, detectado como TROJ_BANLOAD.ZAA, parece ser dirigido aos usuários do Windows 7 - especificamente, aqueles que utilizam a versão de 32-bits.

    Como os pesquisadores tomaram conhecimento sobre o comportamento do malware? Com base em pesquisas anteriores, ficou muito claro que o malware CPL é freqüentemente usado como um downloader para outros tipos de malware. Dessa forma, eles puderam ver este comportamento em sistemas de 32 bits do Windows 7:


    Comportamento em Sistemas de 32 bit do Windows 7

    No entanto, em outras plataformas (como sistemas de 64-bit do Windows 7), não foi presenciado esse tipo de comportamento.


    Comportamento em plataforma de 64 bit do Windows 7


    Então, os pesquisadores irão ficar atentos para o que este malware faz quando ele é executado em seu ambiente de destino "certo". Ele acessa quatro URLs, duas das quais são não-maliciosas e relacionadas com o Microsoft. Uma delas é a exibição de compatibilidade para o Internet Explorer 9; o outro é o ícone do navegador (favicon.ico) para Bing. Os dois são potencialmente malicioso, com Deep Discovery Adivisor sinalizando um como um elemento malicioso.


    URLs acessadas pelo malware CPL



    Propagação de Malware e Detecção de Comportamento Malicioso

    Levando em consideração todo o contexto de propagação do malware CPL, os pesquisadores dizem que é necessário olhar para o primeiro domínio potencialmente malicioso. É um domínio .com, e os registros de WHOIS também é identificado como um elemento espanhol, desempenhando a função tanto de requerente quanto o contato técnico para o domínio. E tal domínio foi registrado pela primeira vez, no ano de 2010. Todo este site faz retornar uma cadeia de texto simples: "NTFD". Dessa maneira, é possível que este pode ser utilizado para comando e controle, embora nenhuma evidência definitiva, de qualquer forma, esteja presente. No entanto, por si só, não há nada aqui que possa indicar comportamento malicioso, por isso não é sinalizado como tal.

    Há ainda um outro domínio que é bem mais interessante. Parece que é um site comprometido pertencente a uma empresa israelense - o domínio está sob o top-level co.il, hospedado em Israel, e o seu conteúdo claramente pertence à essa empresa também. No entanto, o malware baixou um arquivo executável, diretamente, a partir deste servidor.

    Embora tenha um nome diferente - 07-03.exe.exe ao invés de morph.exe - o executável tem o mesmo hash como os arquivos deixados e que foram identificados anteriormente. O próprio nome do arquivo também é intrigante, como se lê em um formato dia-mês, lê-se "07 de março"; e isso já intrigava, fortemente, apenas alguns dias antes de, realmente, este ataque ter passado por uma análise. Uma vez infiltrado no sistema, este malware específico libera múltiplas cópias de si mesmo e passa a desempenhar as suas rotinas de roubo de informação.


    Análise de payload

    A partir daí, as habituais rotinas de roubo de informação (como já foram discutidas em uma pesquisa anterior) prosseguem, visando as informações pessoais do usuário, conforme descrito no diagrama de ameaças abaixo. Nesse contexto, foi possível detectar este malware como TSPY_BANKER.ZAA.


    Diagrama de Ameaça do Malware CPL


    Detecção e Prevenção

    Ao fornecer detalhes sobre como esse ataque foi capaz de chegar a sistemas de usuários, os pesquisadores da Trend Labs esperam que isso possa ajudar outras pessoas, para que elas não se tornem vítimas dessa ameaça. A pesquisa anterior, indicou que os usuários da Internet no Brasil são as vítimas mais comuns do malware CPL, e isso não mudou por aqui. Além de melhores práticas comuns, este incidente nos permite ver algumas possíveis defesas contra ataques como estes. Para e-mails, verificar o endereço IP do remetente já é o comportamento padrão. No entanto, as defesas e políticas contra os anexos devem ser consideradas - estes devem ser verificados por conteúdo malicioso, e alguns tile types potencialmente arriscados podem ser bloqueados.

    Quanto às URLs maliciosas, pode valer a pena considerar o bloqueio relacionado a transferência de arquivos executáveis. Neste caso em particular, isso teria impedido a transferência da carga útil principal pelo downloader CPL inicial. Falhando isso, o software endpoint deve estar no local, com a finalidade de verificar a reputação de todos os arquivos baixados. Além do mais, as soluções da Trend Micro protegem contra todos os aspectos desse ataque, bem como outros incidentes semelhantes usando malware CPL.


    Saiba Mais:

    [1] Security Intelligence - Trend Labs http://blog.trendmicro.com/trendlabs...attack-part-2/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L