A realidade do mercado atual exige que as empresas realizem a avaliação de segurança de seus sistemas. Dessa forma, é possível avaliar qual é o nível de segurança da organização. Esse tipo de avaliação é denominado Penetration Test (teste de penetração).

O que é um Penetration Test?

Um teste de penetração consiste em provas de ataque contra os mecanismos de defesa existentes no ambiente que está sendo analisado. Essas provas compreendem desde a análise de dispositivos físicos e digitais, até a análise do fator humano utilizando engenharia social. O objetivo desses testes é verificar sob situações extremas qual é o comportamento dos mecanismos de defesa, especificamente, buscando encontrar vulnerabilidades. Além disso, são identificadas as faltas de controle e as brechas que podem existir entre a informação crítica e os controles existentes.

Por que é necessário realizar um Penetration Test?

Há muitos casos em que as organizações sofrem incidentes que poderiam ter evitado se os mecanismos de proteção fossem reforçados no devido momento. Os incidentes compreendem casos tais como fuga de informação, acessos não autorizados, perda de dados, entre muitos outros. A análise dos mecanismos de proteção deve ser uma tarefa proativa permitindo ao pentester (pessoa que realiza a auditoria) encontrar as vulnerabilidades e oferecer uma solução antes que um cibercriminoso se aproveite da deficiência.

Quais atividades fazem parte de um Penetration Test?

Um Penetration Test compreende múltiplas etapas com diferentes tipos de atividades em diferentes ambientes. A profundidade com que são feitas as atividades irá depender de certos fatores, dentre os quais se destaca os riscos que os métodos usados durante a avaliação podem gerar ao cliente.

É estabelecido um acordo prévio com o cliente para realizar as diferentes fases da análise, que são descritas a seguir:

• Fase de reconhecimento: Possivelmente, esta é uma das etapas que demanda mais tempo. Ainda assim, são definidos objetivos e são coletadas todas as informações possíveis que logo serão utilizadas ao longo das fases seguintes. A informação pela qual se busca abrange desde nomes e endereços de e-mail dos empregados da organização, até a topologia da rede, endereços IP, dentre outros. Vale destacar que o tipo de informação ou a profundidade da pesquisa irão depender dos objetivos definidos na auditoria.
• Fase de rastreamento: Utilizando a informação obtida no passo anterior, buscamos possíveis vetores de ataque. Essa etapa envolve o rastreamento de portas e serviços. Em seguida, é realizado o rastreamento de vulnerabilidades que permitirá definir os vetores de ataque.
• Fase de enumeração: O objetivo desta etapa é a obtenção dos dados referentes aos usuários, nomes dos computadores, serviços de rede, dentre outros. A esta altura da auditoria, são feitas conexões ativas com o sistema e executadas consultas dentro dele.
• Fase de acesso: Nesta etapa finalmente é feito o acesso ao sistema. Esta tarefa é feita a partir da exploração das vulnerabilidades detectadas que foram aproveitadas pelo auditor para comprometer o sistema.
• Fase de manutenção de acesso: Após ter obtido o acesso ao sistema, se busca uma maneira de manter o sistema comprometido à disposição de quem o tenha atacado. O objetivo é manter o acesso ao sistema durante a operação.

Ainda que as fases que compõem um Penetration Test sejam as mencionadas anteriormente, cabe destacar que a partir dos resultados obtidos é gerada a documentação correspondente com os detalhes que compreendem a auditoria. Esta documentação é a que o cliente irá ver, e a que servirá como guia para tomar futuras decisões pertinentes.

Finalmente, é importante tomar os cuidados necessários para evitar sofrer ataques e incidentes na organização. Ainda assim, a segurança deve ser gerenciada contemplando a necessidade de se fazer auditorias periodicamente. O mais aconselhável é contratar empresas especializadas em serviços de auditoria de segurança, para que identifiquem vulnerabilidades na infraestrutura da rede, para poder trabalhar com direção à melhoria da proteção das informações corporativas.

Fernando Catoira
Analista de Segurança

Categories: Corporativo, Vulnerabilidades
No Comments »

Conversores gratuitos de Youtube para mp3 – com malware como bônus

Quer tocar faixas de áudio do Youtube no seu iPod mas não deseja pagar pelo aplicativo? Você não está sozinho. Recentemente, surgiram alguns sites prometendo converter áudio de vídeos para arquivos mp3 que você pode baixar sem custo. Parece ótimo, não? O golpe: scammers estão tentando capturar o alto tráfego de usuários e direcioná-lo a sites de scam, onde você pode acabar sendo vítima de malware e outras coisas desagradáveis como bônus.

Então, o que acontece se você cair em um golpe deste tipo? Abaixo, demonstramos um caso que acompanhamos, com capturas de tela de todo o processo.

Neste exemplo, eu cliquei em um resultado de busca bem posicionado no Google, que direcionava a um vídeo no próprio Youtube dando supostas instruções para converter os vídeos do site para mp3s. Ao clicar, ele demonstrou uma captura de tela dentro do próprio player de vídeo, me instruindo a acessar um site diretamente. A descrição do vídeo veio completamente cheia de palavras-chave para impulsionar o posicionamento. Aqui está uma captura de tela do que me foi apresentado:

Quando digitei no browser a URL recomendada pelo “vídeo”, fui levado a um site altamente carregado de javascript (que meu browser bloqueou através de um plugin), conteúdo de terceiros e anúncios me dizendo para pegar meu “cartão presente de US$ 500” – o que também liberaria o download do conversor de vídeo para mp3. Como eu adoraria ganhar um cartão presente de US$ 500, cliquei no link.

E então uma tela mostra o suposto arquivo com download bloqueado, que eu teria que desbloquear.

Eu escolhi a oferta de cartão presente da Best Buy. Quando cliquei no link, fui direcionado a uma página que me mostrava que poderia ganhar um cartão de US$ 1.000 – melhor ainda!

Eu também notei que a página queria usar bastante javascript e conteúdo de terceiros, gerando uma notificação de segurança do ESET Smart Security, informando que o site foi bloqueado por tentar enviar cookies de rastreamento. Também notei que o site usava significativo tráfego de Internet ao tentar baixar todos seus componentes. Após ter respondido a última pergunta, eu fui sido solicitado a inserir meu e-mail para receber o cartão presente. Quando inseri um e-mail falso, eu fui levado a uma tela onde teria que inserir ainda mais informações pessoais, incluindo meu endereço físico, idade, sexo, e número de telefone. Eu também teria de concordar em ser contatado por empresas terceiras sobre assinaturas de revistas, etc.

Clicando em “Continue”, passamos para a seguinte tela:

Nesse ponto, eu notei que a senha original que seria liberada para que eu pudesse destravar o arquivo mp3 convertido do vídeo não foi mais mencionada. Parecia que a trilha que eu vinha seguindo não estava perto de terminar, e então eu fechei todos os sites e escrevi esse artigo, contando com que esse relato impeça outras pessoas de caírem em golpes semelhantes.

Mas qual é o prêmio dos scammers? Eles costumam adaptar continuamente suas plataformas de golpes para fazer novas vítimas, e esse caso não é exceção. Ao ganhar altos posicionamentos nas buscas através de técnicas de BlackHat SEO (BHSEO), sempre que um usuário clica nos links, seu posicionamento no ranking de popularidade, e o lucro associado, sobe. Mesmo que o usuário não caia na história do “conversor para mp3 gratuito” (recheado de malware), o site de scam ainda consegue gerar lucro simplesmente pelo tráfego.

E muitos usuários acreditam ter feito download de um player baseado em java, levando malware como bônus.

Recapitulando, esse scam (até o momento) tentou enviar conteúdo bloqueado pelo ESET Smart Security, executar ocultamente javascript em diversas páginas, coletar meu endereço de e-mail e dados pessoais, e me fazer confirmar que tenho mais de 18 anos, consentindo com todo o processo. Isso não soa muito como “gratuito”, e parece o começo de uma longa cadeia de atividade má intencionada. No final das contas, optei por adquirir uma música de uma loja virtual de mp3 confiável, deixando de lado a coleta de informações pessoais “gratuita”.

Cameron Camp
Security Researcher – ESET USA

Categories: Black Hat SEO, Engenharia Social, Phishing
1 Comment »

Há alguns dias, foram detectadas em diferentes sites da Internet novas variantes do ZITMO, versão do Zeus para dispositivos móveis que permite tomar o controle do dispositivo e executar comandos remotos. Essa versão do código malicioso, detectado pelo ESET Mobile Security para Android como Android/Spy.Zitmo, apresenta uma evolução considerável em comparação a outras ameaças detectadas anteriormente. Praticamente todo o código do trojan foi reescrito pelos cibercriminosos que o propagam como uma suposta aplicação de segurança, também conhecida como Rogue. Veremos a seguir alguns pontos importantes e a interação com o painel de controle.

Anteriormente, quando foram detectadas ou reportadas variantes do ZITMO para dispositivos móveis, suspeitava-se que eram aplicações para transações online. Desta vez, vemos que simula ser uma solução de segurança. Um dos principais motivos disso é o fato do Android ser um sistema baseado em permissões, que o usuário deve aceitar para instalar um aplicativo. No momento de executar o aplicativo pela primeira vez, o usuário observa uma tela com um código de ativação, mas ignora o que realmente acontece no seu dispositivo.

Esta nova variante do Android/Spy.Zitmo se trata da versão 1.2.7 do código malicioso e permite seu controle através de mensagens de texto. A ameaça armazena as mensagens recebidas em um banco de dados no diretório /data/data/com.android.security/secsuite.db e conta com três tabelas diferentes:

• android_metadata
• delay_data
• sqlite_sequence

Na tabela delay_data, são armazenados todos os dados referentes às mensagens de texto que não foram enviadas ao criminoso virtual. Esta informação é enviada de forma sincronizada em um número determinado de tempo. O primeiro relatório do código malicioso é feito aos 180 segundos após ter sido iniciada a aplicação e é atualizado aos 1500 segundos. Na tela a seguir podemos ver que a classe ValueProvider concentra toda a informação de administração do bot: o endereço URL a que o malware se reporta (UrlToReport), que está ofuscada, variáveis padrão, versão do malware, etc:

Todos esses dados são utilizados pelas diferentes seções do código malicioso. Além de que o AndroidManifest.xml conta com a definição de um BroadCastReceiver, com o nome SecurityProvider, que é disparado a uma recepção de uma mensagem de texto, a realização de uma chamada ou quando finaliza a inicialização do sistema. Toda essa informação fica detalhada no arquivo de permissões, porém não pode ser vista pelo usuário:

Através da utilização deste tipo de técnicas, que já reportamos anteriormente, o bot consegue obter a informação temporal, armazená-la na base de dados e em seguida enviar ao endereço URL. Outro ponto importante a levar em consideração é que o controle do computador infectado é feito através de mensagens SMS. Quando é iniciado o evento onReceive da classe Security Receiver, segundo o conteúdo da mensagem, podemos interpretar como um comando ou como uma mensagem a ser armazenada, com base nas opções da função AlternativeControl. Este último detalhe permite alterar as opções do bot segundo as necessidades do criminoso e estender suas funcionalidades:

As funcionalidades desta ameaça permitem ao criminoso tomar o controle do dispositivo e realizar ações distintas. A ação a ser executada varia segundo o caractere com o qual se inicia a mensagem de texto. Para prevenir a infecção dos dispositivos móveis com esse tipo de ameaças é recomendável contar com uma solução de segurança que detecte proativamente as ameaças.

Pablo Ramos
Security Researcher

Categories: Botnet, Malware
No Comments »

Os rogues são ameaças virtuais cuja finalidade é assustar o usuário, simulando falsas detecções de códigos maliciosos. Desta maneira, os criminosos amedrontam a vítima para que adquira uma licença que, supostamente, irá limpar seu computador. Mas o que acontece se uma pessoa, em uma tentativa desesperada, cai no golpe e acaba comprando uma licença?

É evidente que fazer isso não contribui somente para que os cibercriminosos continuem desenvolvendo esse tipo de ameaça, como também abre a possibilidade para que as informações fornecidas pelo usuário, como o número de seu cartão de crédito, sejam utilizadas com fins escusos. Para realizar este procedimento, utilizamos um rogue batizado por seus autores como Windows Custom Management, e que foi detectado de forma proativa pelo ESET NOD32 Antivirus como uma variante do Win32/Adware.WintionalityChecker.AF. Como na maioria dos casos desse tipo, o WintionalityChecker simula a detecção de códigos maliciosos, e alerta o usuário que certos aplicativos estão infectados, recomendando que compre o “produto” para realizar a remoção da ameaça.

Como você pode observar na tela acima, esta ameaça mostra quatro detecções falsas. Se o usuário inserir qualquer número de série, o rogue rejeita a licença:

Para poder determinar números de licença válidos, fizemos uma análise estática para evitar contribuir com este negócio ilícito. Desse modo, encontramos uma licença que funcionava:

Após clicar no botão “Registro”, a interface gráfica da ameaça muda para passar a ideia de que o usuário está supostamente protegido. Após essa etapa, é informado à vítima que as quatro ameaças anteriormente detectadas foram removidas satisfatoriamente do sistema. Para que essa ação pareça legítima, as detecções falsas são eliminadas lentamente e de forma individual. Por outro lado, todas as mensagens invasivas que alertavam o usuário sobre programas “infectados” são omitidas assim que a pessoa adquire a licença e cai na fraude.

Portanto, pudemos concluir que a única coisa que ocorre quando se adquire uma licença de um rogue são falsas animações que aparecem na tela e que buscam enganar o usuário para tranquiliza-lo sobre o estado de seu sistema. Como todas essas detecções são falsas, a remoção obviamente é uma montagem visual, e em caso algum é removido algum código malicioso. Contar com uma solução de segurança antivírus com capacidade de detecção proativa ajuda a evitar este tipo de malware e outras ameaças virtuais. Em casos de rogues mais persistentes cuja eliminação é difícil, recomendamos utilizar o ESET Rogue Applications Remover para sua remoção completa do sistema.

André Goujon
Especialista de Awareness & Research

Categories: Rogue
No Comments »

Tempos atrás surgiu uma ameaça conhecida sob a nomenclatura DNSChanger, que é detectada pelo ESET NOD32 Antivirus como Win32/DNSChanger. Este malware tem como finalidade redirecionar os usuários infectados a sites maliciosos. Os redirecionamentos são feitos com a modificação dos endereços IP dos DNS do sistema infectado. No último dia 9 de julho, o FBI tirou de funcionamento os servidores DNS maliciosos, sobre os quais a própria instituição havia tomado controle. Desta forma, todos os usuários que continuem infectados com o DNSCHanger estão sem acesso à Internet por não terem como converter os nomes em endereços IP.

Além da ESET e do FBI terem oferecido ferramentas para ajudar a informar os usuários que estiveram infectados, sendo que o Google também ofereceu ajuda nesse sentido. O buscador analisava os servidores dos endereços que faziam buscas no site, e no caso de identificar um servidor malicioso, alertava o usuário, indicando que seu sistema poderia estar infectado.

A equipe da ESET América Latina recompilou dados baseados nas detecções reportadas do DNSChanger. Desta forma, é possível considerar quais foram os países mais afetados da região latino-americana. O México conta com 42,4% das detecções. Na posição seguinte, com taxas de detecção similares, estão a Argentina com 10,9%; Peru com 10,7% e o Brasil com 10,1% do total de infecções na América Latina. A seguir, você pode observar um gráfico que reflete a situação na região:

Outro dado que vale a pena destacar é que essa porcentagem está baseada em detecções, e por isso o número de usuários que realmente ficaram sem acesso à Internet pode ser inferior, devido à possibilidade de muitos sistemas já terem sido limpos.É importante destacar que o México, juntamente com a Argentina, Peru e Brasil reflitam aproximadamente 80% do total das infecções na América Latina. Contudo, existem outros países dentro da região que, em menor medida, também foram afetados pelo DNSChanger.

Para os usuários que tenham ficado sem acesso à Internet devido a este malware, é recomendável que baixem o ESET NOD32 Antivirus em um computador que tenha acesso à Internet e utilizem algum dispositivo de armazenamento removível (USB, cartão SD, discos externos, dentre outros) para instalá-lo no computador infectado. Nesse momento será necessário executar uma análise para limpar o sistema infectado. É importante destacar que é importante, além disso, contar com um software antivírus com capacidade de detecção proativa para se proteger contra ameaças que circulam na rede, incluindo o DNSChanger.

Fernando Catoira
Analista de Segurança

Categories: Análise de malware, Educação
1 Comment »