A volta do malware Shamoon

Publicado em Segurança, por Juniper em 11/02/2017


Em novembro de 2016 houve um ressurgimento do malware Shamoon, afetando principalmente empresas na Arábia Saudita. Neste post, Asher Langton, especialista em malware na equipe Sky ATP (Advanced Threat Prevention ou prevenção avançada de ameaças) da Juniper Networks analisa um exemplo recente do Shamoon para ver como ele funciona e como o Sky ATP o detecta e bloqueia.

 

Por Asher Langton


O payload escondido
Começamos observando que o malware Shamoon contém três imagens de bitmap armazenadas como recursos dentro de seu arquivo executável.

 


Os três bitmaps parecem, a principio, totalmente aleatórios. Um arquivo que parece verdadeiramente aleatório poderia ser o resultado de uma criptografia forte, talvez uma cifra de bloco como AES ou uma cifra de fluxo com uma chave longa, sem repetição.


No entanto, quando olhamos mais de perto, vemos o que parecem ser alguns padrões nos dados:
 


As repetições parciais sugerem uma cifra de fluxo com uma chave de criptografia curta, fazendo com que um padrão surja sobre seções do texto simples subjacente que são bastante constantes (geralmente todos 0). A partir disso, podemos deduzir o comprimento da chave a partir do período do padrão e talvez (se existirem repetições exatas de todo o padrão) recuperar a chave inteira. No entanto, não precisamos nos incomodar com a criptoanálise.


Neste caso, podemos deixar o malware fazer o trabalho pesado para nós. No binário desmontado, encontramos o seguinte:
 


O primeiro bloco de código localiza onde os recursos de bitmap foram carregados na memória. A segunda parte, começando no rótulo loc_401A10, é um loop contendo uma cifra de fluxo xor simples. Usando um depurador, podemos extrair as chaves e o conteúdo descriptografado, que se tornam arquivos executáveis, carregando então o payload deste ataque.

 

Persistência e Evasão
No primeiro lançamento, o Shamoon é executado, mas imediatamente sai, nunca atingindo o código de descriptografia acima. Em vez disso, ele foi silenciosamente instalado como um serviço persistente no computador.
 


Aqui vemos que o programa é relançado automaticamente em segundo plano como "Microsoft Network Realtime Inspection Service", com o parâmetro de linha de comando "LocalService". Depois de “dormir” vários minutos para evitar a detecção, ele então descriptografa dois dos bitmaps mencionados acima e grava os arquivos executáveis decodificados no disco. Um deles é netinit.exe, um remanescente da campanha Shamoon anterior. Enquanto este era originalmente o componente que se comunicava com um servidor de comando e controle, na versão atual ele só se comunica com 1.1.1.1, que serve como marcador de posição inofensivo. O outro binário é gravado em um diretório de sistema do Windows com um nome escolhido aleatoriamente de um conjunto de nomes imitando arquivos de sistema do Windows: fsutl.exe, sigver.exe, sacses.exe, etc.

 

Destruição de dados
O lançamento destes dois arquivos abandonados inicia o ataque real. No segundo executável está a biblioteca EldoS RawDisk, uma peça legítima de software que permite o acesso direto de baixo nível aos discos rígidos. No Windows XP de 32 bits, o registro de inicialização mestre é sobrescrito, deixando o sistema inoperável. No Windows 7 de 64 bits, o registro de inicialização mestre não é danificado, mas os arquivos de mídia no computador são substituídos pela imagem do corpo de um menino sírio -- obscurecido na imagem abaixo -- sugerindo possíveis motivações políticas para o ataque.
 


Depois disso, o computador é reinicializado automaticamente e, após a reinicialização, todos os arquivos de mídia foram apagados.

 

Detecção
Embora antivírus baseados em rules/hash inicialmente tenham deixado passar as variantes atualizadas do Shamoon, o Sky ATP o detecta e bloqueia com sucesso. Os estágios de análise estática e dinâmica do Sky ATP extraem um número de recursos úteis do arquivo executável e seu comportamento no tempo de execução, assim com base nas informações iniciais extraídas e somadas com a análise de “machine learning” do Sky ATP, ele é capaz classificar corretamente o Shamoon como mal-intencionado.

 


Leia também
Conheça o malware AutoIT
Utilizar ROP para detectar malware é perda de tempo
Conheça os malwares que fogem de detecção e análise
Juniper divulga o primeiro, de uma série de relatórios, sobre as ameaças do momento na rede.
 

 


Tags: SegurançaCriptografiaMalwareAntivírusWindowsSandbox


Tags: seguranca, criptografia, malware, antivirus, windows, sandbox


Posts Relacionados


Deixe seu comentário:

=