Alerta nº 07/2017 – Ataques de Ransomware Bad Rabbit

Descrição do Problema

Recebemos relatórios de infecções de ransomware, conhecidos como Bad Rabbit, em alguns países. Aparentando ser variante de Petya, Bad Rabbit é um software malicioso ransomware que infecta um computador e restringe o acesso do usuário à máquina infectada até que um resgate seja pago para desbloqueá-lo.

Sempre desencorajamos o pagamento do resgate, pois não garante a restauração do acesso. O uso de software sem as atualizações de segurança e sem suporte aumenta o risco de proliferação de ameaças, como ataques de ransomware à segurança da informação.

O CTIR Gov RECOMENDA a revisão de seus alertas nº 02/2016 – Ataques de Ransomware através de campanhas de Phishing, nº 02/2017 – Ataques de Ransomware Wanna Decryptor, e nº 04/2017 – Ataques de Ransomware Petrwrap/Petya, disponíveis em www.ctir.gov.br, e que descrevem os recentes eventos de ransomware.

Notifique os incidentes do Ransomware no endereço ctir@ctir.gov.br. O CTIR Gov fornecerá informações atualizadas à medida que elas se tornem disponíveis.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.

Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de
métodos online, tipo “Bitcoins”.

Métodos de Ataques

Com base em análises realizadas, o Bad Rabbit se espalha para outros computadores na rede, tirando cópias de si mesmo na rede usando seu nome original e executando as cópias descartadas usando o Windows Management Instrumentation (WMI) e o Service Control Manager Remote Protocol. Quando o protocolo remoto do Service Control Manager é usado, ele usa ataques de força bruta para levantamento das credenciais.

Entre as ferramentas Bad Rabbit incorporadas, se encontra o utilitário de código aberto Mimikatz, para a extração de credenciais. Também existem evidências dele usando o DiskCryptor, uma ferramenta legítima de criptografia de disco, para criptografar os sistemas de destino.

É importante notar que Bad Rabbit não explora quaisquer vulnerabilidades, ao contrário de Petya que usou o EternalBlue como parte de sua rotina.

Sugestões para Mitigação do Problema

  • Mesmo não sendo comprovado o uso de vulnerabilidades, até o momento, mantenha seus sistemas atualizados para a versão mais recente ou aplique os patch conforme orientação do fabricante.
  • Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
  • Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
  • Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
  • Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
  • Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de e-mail atualizados;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e 
  • Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Referências

  • http://dsic.planalto.gov.br/legislacao/RequisitosMnimosSIparaAPF.pdf/view
  • http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
  • http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_02_RansomwareWNCRY.pdf
  • http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_04_RansomwarePetrwrap.pdf
  • http://blog.trendmicro.com/trendlabs-security-intelligence/bad-rabbit-ransomware-spreadsvia-network-hits-ukraine-russia/
  • https://www.us-cert.gov/ncas/current-activity/2017/10/24/Multiple-Ransomware-InfectionsReported

 

Fonte

Alerta de Vulnerabilidade – Adobe Flash Player – CVE-2017-11292

Alerta de Vulnerabilidade – Adobe Flash Player

TIPO: Vulnerabilidades
SISTEMAS AFETADOS: Adobe Flash Player (todas as versões até à 27.0.0.159)
ECOSSISTEMA: Windows, Mac OS, Linux
 
Descrição:Foi identificada uma vulnerabilidade no procedimento de verificação de bytecodes que permite a utilização de valores não confiáveis.

Impacto:Esta vulnerabilidade, se explorada corretamente, permite a execução de código arbitrário.

Resolução:Atualizar o Adobe Flash Player para uma versão posterior à 27.0.0.159.

 
Referências:CVE-2017-11292 Details:
https://nvd.nist.gov/vuln/detail/CVE-2017-11292

Alerta nº 04/2017 – Ataques de Ransomware Petrwrap/Petya

Descrição do Problema

Temos recebido dos órgãos e de nossos colaboradores, alertas sobre ataques de Ransomware Petwrap/Petya, tendo como alvo o Leste da Europa, Rússia, Ucrânia, França, Espanha e Holanda. Esta variação de Ransomware é conhecida por Petrwrap/Petya.
O atacante explora as mesmas vulnerabilidades do Ransonware Wanacry, vulnerabilidades do Microsoft Server Message Block 1.0 (SMBv1), alertado no Boletim MS17-010 da Microsoft, ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP), bloqueando o acesso aos arquivos e cobrando o “resgate” em bitcoins.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.
Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de métodos online, tipo “Bitcoins”.

Métodos de Ataques

Petwrap/Petya atua de forma um pouco diferente, em vez de criptografar arquivos individualmente, nega o acesso ao sistema atacando estruturas de baixo nível no disco, criando seu próprio Kernel com 32 setores.
O Ransomware atua no Master Boot Record (MBR) carregando o Kernel malicioso e criptografando o Master File Table (MFT) tornando o sistema inacessível.
Análise do arquivo petwrap.exe:  (https://www.hybridanalysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?envir
onmentId=100).

Recomendações

Manter os sistemas atualizados para a versão mais recente ou aplicar os patch conforme orientação do fabricante.
Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de email atualizados;
Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e
Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Sugestões para Mitigação do Problema

  • Isolar a rede infectada e aplicar o patch conforme Bolentim MS17-010 da Microsoft – Crítico;
  • Bloquear as portas UDP 137, 138 e TCP 139, 445 até solucionar o problema;
  • A recuperação dos arquivos infectados é quase impossível, sem a chave de encriptação, devido ao tipo de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda de dados; e
  • Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.

Referências:

https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-RansomwareInfections-Reported.
http://thehackernews.com/2017/06/petya-ransomware-attack.html?m=1
http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/
https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html
http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-deransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
https://www.us-cert.gov/ncas/alerts/TA16-091A
https://www.us-cert.gov/ncas/alerts/TA17-132A#revisions
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Fonte

Alerta nº 03/2017 – Vulnerabilidade no Software Samba – CVE-2016-7494

Descrição do Problema

O software Samba permite a interoperabilidade de compartilhamento de arquivos e de impressoras entre platarformas Microtsoft Windows e outras plataformas, sejam elas UNIX, GNU/Linux, IBM System 390 e outros sistemas operacionais.
Clientes maliciosos podem realizar upload e executar no Servidor Samba códigos por meio de compartilhamentos que permitam escrita. Faz-se necessário, dada a vulnerabilidade identificar nas organizações, os dispositivos embarcados que possuem o Samba instalado.
De acordo com o time que mantem o Samba a vulnerabilidade está presente em todas as versões desde a 3.5.0 (1º de Março de 2010) até as versões anteriores a atualização do dia 24 de Maio de 2017.

Possíveis Riscos

O software sem o patch de correção pode ser explorado para comprometer a confidencialidade, integridade e disponibilidade das informações da organização sem necessidade de permissionamento adequado. Em outras palavras, a vulnerabilidade permite:

  • Acesso às informações da organização;
  • Modificação não autorizada de qualquer ativo de informação;
  • Comprometimento de serviços;

Sugestão para Mitigação do Problema

Correção do software:

  • Instalar uma das versões mais atuais do Samba 4.6.4, 4.5.10 ou 4.4.14 que foram disponibilizados para corrigir a falha.
  • Como alternativa a instalação, aplicar o patch relacionado a esta falha também foi disponibilizado no sítio: http://www.samba.org/samba/security/

Mitigação:

  • Caso não seja possível atualizar o software de forma imediata, é recomendável como forma de mitigar o problema a inclusão do seguinte parâmetro, no arquivo de configuração do samba “smb.conf”, na seção “[global]”: nt pipe support = no
  • Após a mudança no arquivo, é necessário reiniciar o serviço “smbd”.

Recomenda-se ainda, analise por parte da organização, para cada ativo de informação a necessidade da utilização do Samba. Caso não seja pertinente:

  • Desativar o serviço “smbd”;
  • Bloquear as portas UDP 137, 138 e TCP 139, 445.

Referências:

http://www.samba.org/samba/security/CVE-2017-7494.html
https://access.redhat.com/security/cve/CVE-2017-7494

Fonte

Alerta n° 02/2017 – Ataques de Ransomware Wanna Decryptor

Descrição do Problema

Temos recebido dos órgãos e de nossos colaboradores, Alertas sobre ataques de Ransomware tendo como alvo os domínios do governo brasileiro. Esta variação de Ransomware é conhecida por Wanna Decryptor, WannaCry, WCry, WanaCrypt ou WanaCrypt0r. O atacante explora vulnerabilidades do Microsoft Server Message Block 1.0 (SMBv1), alertado no Boletim MS17-010 da Microsoft, ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP), bloqueando o acesso aos arquivos e cobrando o “resgate” em bitcoins.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão. Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de métodos online, tipo “Bitcoins”.

Métodos de Ataques

O Ransomware Wanna Decryptor explora a mais severa das vulnerabilidades informada através do Bolentim MS17-010 da Microsoft, permitindo ao atacante a execução remota de código através de envio de mensagens especialmente criadas para um servidor Microsoft Server Message Block 1.0 (SMBv1), ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP). O Atacante envia um loader contendo uma dll criptografada em algorítimo AES e chave de 128bits, sendo indetectável até então, aos anti-virus. Durante a execução um arquivo copiado no disco pelo malware se encarrega de descriptografar a dll enviada, que por sua vez, começa a criptografar os arquivos alvos. O Ransomware Wanna Decryptor também tenta utilizar informações sobre compartilhamentos ativos disponíveis na IPC$ (Inter Process Communication), para poder se propagar na rede através do protocolo SMBv1 (Server Message Block 1.0), infectando todos os sistemas vulneráveis. Os arquivos infectados passam a ter as seguintes extensões: .wnry, .wcry, .wncry e .wncrypt. Sendo necessária uma chave de 128bits-AES para restaurar os arquivos alvos. Análise do arquivo wannacry.exe (https://www.hybridanalysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?enviro nmentId=100)

Recomendações

  • Manter os sistemas atualizados para a versão mais recente ou aplicar os patch conforme orientação do fabricante.
  • Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
  • Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
  • Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
  • Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
  • Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de email atualizados;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e
  • Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Sugestões para Mitigação do Problema

  • Isolar a rede infectada e aplicar o patch conforme Bolentim MS17-010 da Microsoft – Crítico;
  • Bloquear as portas UDP 137, 138 e TCP 139, 445 até solucionar o problema;
  • Alguns usuários identificaram arquivos @Please_Read_Me@.txt ou com a extensão .WNCY;
  • A recuperação dos arquivos infectados é quase impossível, sem a chave de encriptação, devido ao tipo de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda de dados; e
  • Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.

Fonte

Alerta nº 01/2017 – Sequestro de contas de gerenciamento de domínio cadastradas no Registro.br

Descrição do Problema

Ações maliciosas para obtenção de acesso às contas de gerenciamento de domínio e alteração da configuração dos servidores DNS, direcionando os usuários para páginas fraudulentas.

Ameaças

Foram confirmados vários casos de sucesso desse tipo de ataque contra órgãos de governo e grandes empresas, os quais tiveram como consequência a alteração dos Servidores DNS daqueles domínios, com o consequente direcionamento dos acessos para páginas fraudulentas. Essas páginas podem conter códigos maliciosos que podem comprometer a máquina do usuário e até mesmo a rede de computadores da organização, por meio de download de malwares, exploração de vulnerabilidades nos aplicativos instalados no computador e nos equipamentos da rede de computadores da organização, afetando a segurança e a imagem de toda a instituição.

Métodos de Ataques

Os atacantes podem se utilizar de mensagens fraudulentas (Phishing Message) para obter as credenciais de administração do domínio, conforme exemplo a seguir:

———————————————————

Segurança Registro Br

Prezado Cliente, Sou Hugo Pedroso Trabalho na Area de Manutenção da Registro.BR, e Notei que sua conta precisa de uma atualização na questão De endereço

Faça o Login no site: http://2XX.XX.XXX.XXX/registrobr/

Preencha os Campos, Caso Ao contrario Sua conta Será Suspensa Por Motivos De Segurança, e todos os dominios ficaram forá do Ar.

Duvidas, Responda o Email

———————————————————-

Há também diversos relatos de comprometimento da conta de correio eletrônico do administrador, cadastrada como conta de recuperação de senha no sistema de registro. De posse dessa conta, o atacante solicita a recuperação da senha, através das opções do tipo “Esqueci minha senha”, e consegue acesso ao Sistema de Registro.

Sugestões para Mitigação Problema

O Registro.br dispõe, desde março de 2013, da opção de autenticação por duplo fator, ou seja, um segundo controle de acesso aos recursos administrados por cada ID no Registro.br, conhecido também como “Verificação em Duas Etapas”. Tal opção gera o recurso de Token do Registro.br e permite aos usuários aumentar a segurança de suas contas utilizando, além de suas senhas, um código de segurança. O recurso de Token é o resultado do uso de uma aplicação que implementa autenticação em dois passos, do armazenamento de uma chave secreta num dispositivo portátil que é usado para geração de sequências numéricas variando a cada 30s (também denominado “código temporal”) e da geração de um conjunto pré-informado de sequências numéricas que só se pode utilizar uma vez (“códigos de uso único”). A utilização do Token pode ser feita através dos aplicativos: Google Authenticator (Android ou iOS) ou Authenticator (Windows Phone). Estes aplicativos serão os responsáveis pela geração dos códigos temporários requeridos na autenticação. Os códigos de uso único deverão ser usados sempre que não tiver acesso ao seu dispositivo móvel. O Registro.br recomenda que esses códigos sejam impressos e/ou guardados de maneira segura. No entanto, ressaltamos que o serviço Token do Registro.br é optativo, sendo necessário ativá-lo seguindo as etapas descritas no sítio do Registro.br. Deste modo, recomendamos firmemente que todos os admistradores de domínios dos órgãos e Entidades da Administração Pública, adotem a autenticação por duplo fator para gerenciar suas contas junto ao Registro.br. Lembramos que o uso de senha forte continua sendo necessário. Recomendamos ainda, a leitura do Fascículo especial da Cartilha de Segurança para Internet, confeccionado pela equipe do CERT.br, dedicado ao recurso de proteção no acesso a uma conta, conforme referências abaixo. Por fim, reforçamos que incidentes de segurança que envolvam a gestão de domínios da Administração Pública Federal devem ser comunicados imediatamente ao Registro.br pelo endereço hostmaster@registro.br, com cópias para cert@cert.br e para ctir@ctir.gov.br e exclusivamente para os casos de comprometimento de contas no sistema do registro, contactar o Registro.br (NOC 7×24) pelo telefone 11-5509-3510.

Fonte

Alerta nº 02/2016 – Ataques de Ransomware através de campanhas de Phishing

Descrição do Problema

Temos recebido dos órgãos de Inteligência e de nossos colaboradores, Alertas sobre ataques de “Ransomware” tendo como alvo os domínios da Administração Pública Federal, em particular, os órgãos relacionados, direta ou indiretamente, com a organização dos Jogos Olímpicos e Paralímpicos Rio2016.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.
Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de métodos online, tipo “Bitcoins”.

Métodos de Ataques

Os atacantes possivelmente utilizarão contas de correio comprometidas (contas funcionais) de órgãos de Governo para propagar códigos maliciosos (malwares), conhecidos como “droppers” que farão o download do Ramsoware (código encriptador).
Os códigos maliciosos são, geralmente, enviados em arquivos com “java scritps” compactados (zip, rar, etc) atachados via E-mail. A infeção também pode ocorrer através de documentos do MS-Office que contenham macros com códicos obfuscados com Visual Basic Script (VBS) e em arquivos “batch”, os quais resultam no download e execução do executável do Ransomware.
Outra possiblidade é a utilização de sítios comprometidos (ataques de drive-by) para infecção de navegadores vulneráveis a injeção de Java-scripts.

Ameaças

  • Recentemente, recebemos a informação sobre um ataque de Ransomware, onde foi encontrado traços de código do “Hidden Tear”, um ransomware “educacional” publicado no GitHub, o qual está sendo amplamente usado em ataques desse tipo.
  • Aparentemente, o grupo “Anonymous” baixou o código fonte do “Hidden Tear”, mudou o código
    e recompilou.
  • O FBI emitiu, em 11 de Julho de 2016, alerta sobre uma variante de Ransomware chamada de
    “Locky”, que tem sido extensivamente utilizado em campanhas de “spam” e “Phishing Message” para distribuir código capaz de encriptar numerosos tipos de arquivos, locais ou em compartilhamentos de Rede.
  • O locky se comunica com Servidores de Comando e Controle (C2) para informar aos operadores
    o sucesso na infecção e obter a chave de encriptação e o código identificador da vítima. O locky
    também contém um algorítmo, que gera domínios para a comunicação com a sua Infraestrutura de
    Comando e Controle.
  • As redes infectadas, normalmente, fazem requisições com métodos “HTTP” POST de arquivos
    tipo: main.php, submit.php e mais recentemente userinfo.php, dentre outros.
  • Uma vez executado, o Locky estabelece, via Registro, um processo persistente na tentativa de
    deletar “shadow copies” usando o Comando “vssadmin” e encriptar arquivos dos usuários, tais como:
    documentos, arquivos de mídias, códigos-fonte, dentre outros.
  • O FBI afirma que a recuperação é quase impossível, sem a chave de encriptação, devido ao tipo
    de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda de dados.
  • Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.
  • Segue em anexo uma lista de domínios de Comando e Controle utilizados pelo Locky.

Sugestões para Mitigação Problema

  • Ajustar os filtros de e-mail para bloquear, ou alertar arquivos anexados com extensão zip, rar, etc;
  • Realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de email suspeitos ou não reconhecidos como de origem esperada;
  • Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos;
  • Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
  • Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos. (vide relação
    anexa);
  • Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento
    lateral de propagação do malware; e 
  • Manter navegadores atualizados e verificar necessidade de habilitar a execução de Java-Script;
  • Por fim, manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”)
    de e-mail atualizados.

Referências:

https://www.us-cert.gov/ncas/alerts/TA16-091A
https://info.publicintelligence.net/FBI-LockyRansomware.pdf
https://www.cyphort.com/drive-by-ransomware-infection-in-the-wild/

Fonte

Alerta nº 01/2016 – Comprometimento de servidores de páginas com Web Shell

Descrição do Problema

Este alerta relata o frequente uso de Web Shells como vetor de exploração de servidores de páginas.

O que é um Web Shell

Web Shell é um código que pode ser carregado em um servidor de página para proporcionar administração remota do servidor. Ele é acessado via navegador como se fosse um acesso legítimo ao sítio, iludindo as regras de segurança. Uma vez que o Web Shell está carregado no servidor, o atacante utiliza técnicas de exploração para escalar privilégios, executar comandos e scripts, acessar e extrair arquivos do servidor, além de explorar a rede da organização. Exemplos de Web Shells:

  • China Chopper – um programa pequeno e repleto de recursos, tais como de comando e
    controle e capacidade de força bruta em senhas;
  • WSO – mascara-se como uma página de erro e contém um formulário de login escondido;
  • C99 – versão do WSO com funcionalidades adicionais;
  • B374K – baseado em PHP com funcionalidades comuns, tais como, visualização de
    processos e execução de comandos.

Possíveis Riscos

  • Controle total do servidor;
  • Obtenção de dados sensíveis e credencias de acesso;
  • Execução de programas maliciosos;
  • Roubo de informações da organização;
  • Porta de entrada para ataques mais sofisticados;
  • Utilização da infraestrutura da organização para ataques a outras organizações e cidadãos.

Ameaças

Os Web Shells são carregados nos servidores de página através de exploração de vulnerabilidades ou falhas de configuração tanto das aplicações quanto dos servidores, incluindo:

  • Cross-Site Scripting;
  • SQL Injection;
  • Aplicações e serviços com vulnerabilidades, por exemplo: WordPress, Joomla, Moodle;
  • Vulnerabilidades no processamento de arquivos, como por exemplo: permissão para
    uploads de arquivos sem filtros e controle de privilégio;
  • Vulnerabilidades de Remote File Include (RFI) e Local File Include (LFI);
  • Interfaces de administração expostas.

Sugestões para Mitigação do Problema

A. Antes da inserção do Web Shell no servidor, normalmente ocorrem ataques que exploram as vulnerabilidades ou falhas de configuração das aplicações e dos servidores. Portanto, é importante identificar e corrigir as vulnerabilidades para evitar possíveis comprometimentos. Deste modo, recomenda-se:

  • Manter as aplicações, serviços e sistema operacional atualizados, para proteger de
    vulnerabilidades conhecidas, que possuem exploits de fácil utilização e alta efetividade;
  • Aplicar uma política de privilégios mínimos no servidor de página para:
    – Reduzir a capacidade do atacante de escalar privilégio ou explorar outros usuários
    no mesmo nível;
    – Controlar a criação e execução de arquivos em diretórios.
  • Subdividir a rede da organização, dificultando o acesso do atacante a redes com
    informações sensíveis;
  • Certificar-se da configuração segura dos servidores;
  • Utilizar sistemas de filtragem de conteúdo, como firewalls de aplicação;
  • Utilizar sistemas de identificação de alteração de arquivos, em momentos não autorizados
    ou informados; e
  • Definir e executar protocolos de busca e correção de vulnerabilidades nas aplicações.

B. Devido a simplicidade e dinamicidade na utilização dos Web Shells, eles podem ser de difícil
detecção. Os indicadores a seguir podem indicar que seu sistema tenha sido infectado por um web
shell:

Períodos anormais de alto uso do sítio (devido às atividades upload e download);

  • Os arquivos com timestamp incomum (por exemplo, mais recente que a última atualização
    das aplicações web instaladas);
  • Arquivos com referências a palavras-chave suspeitas, tais como: cmd.exe, eval,
    base64_decode;
  • Conexões inesperadas nos logs. Por exemplo:
    – Um tipo de arquivo gerando tráfego de rede inesperado ou anormal (por exemplo,
    conexões POST a arquivo JPG);
    – Logins suspeitos provenientes de subredes internas para servidores DMZ e viceversa;
    e
  • Quaisquer evidências de execução de comandos, como mudança de diretório, listagem de
    arquivos, no corpo das URLs requisitadas aos servidores de página.

Referências:

https://www.us-cert.gov/ncas/alerts/TA15-314A
http://asd.gov.au/publications/protect/securing-cms.htm
https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-china-chopper.pdf
https://www.owasp.org/images/c/c3/ASDC12-Old_Webshells_New_Tricks_How_Persistent_Threats_haverevived_an_old_idea_and_how_you_can_detect_them.pdf
https://www.fireeye.com/blog/threat-research/2013/08/breaking-down-the-china-chopper-web-shell-parti.html
https://www.fireeye.com/blog/threat-research/2013/08/breaking-down-the-china-chopper-web-shell-partii.html
http://www.stratigery.com/phparasites/wso.html
http://resources.infosecinstitute.com/web-shell-detection/