Descrição do Incidente
Uma organização pediu, recentemente, para os profissionais de segurança da Kaspersky Lab investigarem um incidente que ocorreu em seu sistema bancário remoto corporativo: um representante do banco entrou em contato com o departamento de contabilidade da organização e pediu a confirmação de um pagamento no valor de 3 milhões de rublos (cerca de US$ 80.000). Neste contexto, verificou-se que ninguém na organização, nunca tinha ouvido falar deste pagamento. O contador estava certo de que ele não havia feito esse pagamento, e ainda afirmou que estava no seu intervalo para o almoço, no momento em que a transação foi feita.
O contador utilizava software bancário em seu ambiente de trabalho, para preparar os pedidos de pagamento e enviá-los para o banco. Os registros sobre este software gravaram dois pagamentos suspeitos, efetuados para o mesmo endereço. O primeiro deles, foi um pagamento relativamente pequeno, de 300.000 rublos. Isso não soou nenhum alarme, e foi processado sem que houvesse nenhum tipo de consulta antes de ser efetivada a transação. O segundo pagamento, foi no valor de 3 milhões de rublos. Essas informações foram divulgadas pela equipe do banco da empresa.
Levando em consideração essas ocorrências, ficou claro que o contador não tinha feito os pagamentos, e desse modo, a organização suspeitou de um ataque de malware. Mas, como isso era possível? Eles estavam usando software bancário especializado, com proteção de senha. Eles precisavam de um arquivo especial para acessar o sistema bancário remoto e o próprio banco, iria verificar o endereço IP do remetente de qualquer pagamento.
Investigação em Relação ao Incidente
O principal objetivo de uma investigação de incidentes que envolvem malware, é avaliar com precisão as conseqüências do ataque, identificar cada computador comprometido em decorrência dessas investidas e estabelecer exatamente como o malware penetrou o computador da vítima. A organização afetada pode então, usar esta informação para reduzir efetivamente o dano e corrigir as deficiências em seu sistema de segurança social para evitar que tais incidentes se repitam no futuro.
Durante a investigação, também é possível, por vezes, detectar espécies de malware até então desconhecidas e adicionar suas assinaturas para as bases de dados de segurança, protegendo outros usuários do seu impacto futuro. Neste caso abordado, uma imagem do disco rígido do computador do contador foi fornecida pelo Response Team Global Emergency (GERT) da Kaspersky Lab, para que pudessem realizar os processos de análise e de investigação.
Acesso Remoto à Área de Trabalho
Durante a análise first-pass de disco rígido do contador, foi possível identificar uma versão modificada do sistema manipulador remoto, que permite o acesso remoto ao computador. Este tipo de software é, muitas vezes, usado por contadores e administradores de sistema. No entanto, este programa foi localizado em um catálogo suspeito, tinha um nome suspeito (C:\windows\dotcom\wmiterm.exe é um path excessivamente "system-related"), e passou por duas modificações para esconder a sua operação:
O ícone na Windows Task Bar estava escondido;
A chave de registro onde o programa armazena sua configuração foi alterada: HKLM\SYSTEM\Remote Manipulator System\v4 foi alterada para HKLM\SYSTEM\System\System\Remote\Windows, que por sua vez é muito parecido com a chave de registro do sistema. Estas modificações são típicas de malware, por isso, foram adicionadas assinaturas para este programa, de antivírus databases da Kaspersky Lab - ele foi detectado como malicioso e identificado como Backdoor.Win32.RMS.
Ao analisar o funcionamento de Backdoor.Win32.RMS, foi possível descobrir que os cybercriminosos utilizaram para baixar um outro programa de malware para o computador da vítima, o Backdoor.Win32.Agent. (Esta detecção foi adicionada aos produtos da Kaspersky Lab imediatamente). Este backdoor oferece acesso VNC (Virtual Network Computing) ao computador da vítima. Curiosamente, o código desse programa de malware tem muito em comum com o módulo 'hVNC' do perigoso Carberp Trojan. Vale lembrar que o código-fonte do Carberp está disponível para acesso público.
Infectando um Desktop Corporativo
Na base de dados do Microsoft Outlook, armazenados no arquivo outlook.pst no disco rígido, foi encontrado um e-mail contendo um anexo chamado запрос ИФНС № АС-4-31339.doc ('Federal Tax Service request no. AC-4-31339.doc'). Dessa forma, o Kaspersky Lab Anti-Virus detectou o documento do Microsoft Office como malicioso, identificando-no como Exploit.MSWord.CVE-2012-0158.
Os cybercriminosos utilizaram métodos de engenharia social: o e-mail foi enviado em nome da Receita Federal da Rússia, pedindo uma ação imediata, e forneceu detalhes de contato de funcionários do Tax Service.
Pelo que foi possível concluir, o contador, certamente, teria aberto o anexo, que explorava uma vulnerabilidade no Microsoft Word para baixar um arquivo de auto-descompactação a partir de um servidor remoto e, em seguida, iniciar o processo de descompactação. O arquivo continha dois arquivos: SYST.EXE, uma versão renomeada do compactador de arquivos 7zip e SYST.
Ao ser desembalado, o arquivo de origem lançou o programa de arquivo SYST.EXE com parâmetros de instrução para descompactar o arquivo protegido por senha, usando a senha incorporada. Este truque de usar uma senha protected-password, é bem sucedido para um bypass em relação a software de segurança, na descompactação do arquivo estático, impedindo a sua detecção.
Desempacotando SYST ocorreu o seguinte: o arquivo Backdoor.Win32.RMS (onde se verificou mais cedo) e o script INST.CMD, que instalou o backdoor no sistema. Este é o script que copiou os arquivos do programa malicioso para a pasta "C:\Windows\dotcom". Depois de detectados os backdoors, foi possível entender como os cybercriminosos poderiam roubar o dinheiro. Se eles tivessem acesso remoto ao computador, eles poderiam fazer a sua própria ordem de pagamento e em seguida, o arquivo de chave e endereço IP do remetente seriam legítimos. A dúvida que ainda existe, é em relação a esses criminosos terem conseguido a senha para acessar o software bancário. Em face disso, houve a procura por um programa keylogger.
Keylogger
O arquivo svchost.exe chamou a atenção da equipe da Kaspersky Lab, localizado no root do system disk. Ele acabou por ser um keylogger (detecção adicionada com a identificação Trojan-Spy.Win32.Delf); também continha funcionalidades para gerenciar a configuração de Backdoor.Win32.RMS. Esta capacidade incomum, foi aparentemente introduzida pelos cibercriminosos porque eles precisavam de uma ferramenta para controlar o sistema manipulador remoto: eles haviam escondido toda interface do usuário deste programa, e poderiam utilizá-lo para gerenciar a configuração.
Além disso, também houve a possibilidade para a descoberta de que este keylogger foi baixado com a ajuda de Backdoor.Win32.RMS. O keylogger enviou um log contendo todas as informações roubadas para o C & C, o que ocorreu em intervalos regulares, e manteve uma cópia up-to-date do log no disco rígido do computador infectado. Diante disso, foi possível também encontrar a senha bancária dentro das pilhas de informações roubadas pelo keylogger.
Reconstrução do Plano de Ação dos Cybercriminosos
Seguindo com a pesquisa, foi feita uma espécie de reconstrução do plano de ação dos cybercriminosos. Eles lançaram um ataque direcionado, usando técnica de engenharia social e uma vulnerabilidade do Microsoft Word para infectar o computador do contador com Backdoor.Win32.RMS. Com a ajuda do backdoor, os cybercriminosos carregaram mais dois programas maliciosos no computador da vítima: um keylogger (Trojan-Spy.Win32.Delf) e outro backdoor (Backdoor.Win32.Agent), que estabelece o acesso VNS remoto ao computador da vítima.
Na sequência, o keylogger interceptou a senha para a conta bancária remota. Enquanto o contador estava longe de seu computador, os cybercriminosos utilizaram o Backdoor.Win32.Agent e o acesso VNS para o computador, com o intuito de iniciar o software bancário em nome do contador. Além de tudo, os cybercriminosos usaram a senha interceptada pelo keylogger, para criar uma ordem de pagamento no valor de 300 mil rublos e enviá-la para o banco.
Um pouco mais tarde, eles criaram uma outra ordem de pagamento, desta vez no valor de 3 milhões de rublos, e enviaram-na para o banco.
Quando a equipe da Kaspersky chegou ao final da investigação, ainda houve a descoberta de um outro fato interessante: os endereços IP dos servidores C & C para todos os programas maliciosos utilizados no ataque, pertenciam à mesma sub-rede.
Saiba Mais:
[1] Secure List http://securelist.com/analysis/publi...nvestigations/
Mensagem do Sistema