Juniper divulga o primeiro, de uma série de relatórios, sobre as ameaças do momento na rede.

Publicado em Cloud, Segurança, por Juniper em 14/09/2016


A Juniper Networks lançou o Sky Advanced Threat Prevention (Sky ATP, sigla em inglês que significa prevenção avançada de ameaças), um serviço baseado na rede e integrado aos firewalls da série SRX. De acordo com a política de segurança de cada empresa, os equipamentos SRX instalados no cliente enviam arquivos trafegados em suas redes para análise dos casos suspeitos por meio do Sky ATP. O serviço funciona em uma rede de computadores que cria as condições para que o software malicioso se revele, ou seja, comece a atuar como se estivesse em uma rede real. Constatada a ameaça, o serviço avisa automaticamente a rede e a bloqueia.


O Sky ATP emprega uma série de tecnologias na nuvem e identifica vários níveis de riscos de forma automatizada, usando análise profunda, bloqueio in-line de malware e acionamento de relatórios. Também detecta ataques zero-day, ou seja, o malware ainda não conhecido é detectado. Leia abaixo o primeiro de uma série de artigos em que a Juniper vai divulgar, mensalmente, as novas ameaças à segurança das redes detectadas pelos mecanismos de análise profunda do Sky ATP. Nesta edição, o artigo é de Asher Langton, engenheiro de software sênior e pesquisador de malware da equipe Sky ATP da Juniper Networks.


Saiba quais foram as principais ameaças detectadas em julho de 2016
Em julho último, o Sky ATP detectou dezenas de milhares de aplicações maliciosas e documentos que passaram pelos firewalls SRX. A maior parte era de ameaças já conhecidas, mas o Sky ATP também detectou novas variantes de malware, inclusive diferentes formas de ransomware, trojans, conta-gotas, spyware variados e outros programas potencialmente indesejados. Neste artigo, vamos olhar para as duas novas variantes de ransomware, além de uma ameaça antiga que evoluiu para um malware (quase) sem arquivos, altamente evasivo.


Logo no início do processo de análise do Sky ATP, rodamos cada nova amostra contra um conjunto de mecanismos antivírus, que são uma maneira rápida e eficiente para capturar e filtrar as ameaças conhecidas e suas variantes próximas. A remoção dessas ameaças, logo no começo do processo de análise, reduz a carga sobre as partes de mais alto custo do processo referente ao poder de computação. O processo inclui motores de análise estática e execução completa na sandbox. Para as novas ameaças, no entanto, hashes e as assinaturas não são suficientes. Aqui vamos falar de algumas ameaças não detectadas por inúmeros mecanismos antivírus, mas capturadas pela análise em profundidade do Sky ATP realizada em julho.

 


Ransomware Zepto
Falamos do Locky em posts anteriores. O Zepto é uma nova variante, mas é parecida com o Locky e se comporta de maneira semelhante, com a diferença de que usa a extensão ".zepto" para os arquivos criptografados.

 


Assim como acontece no Locky (e na maioria dos ransomware), a vítima recebe notificações por meio de imagens em pop-up, arquivos de texto e um novo papel de parede de desktop com instruções sobre como converter o dinheiro do resgate para bitcoins e realizar o pagamento por meio de um site na dark web.

 

 


Cerber ransomware
A análise profunda do Sky ATP detectou uma série de variantes do Cerber ransomware que despistaram antivírus tradicionais. O processo de resgate inclui uma voz sintetizada anunciando a infecção.
 

 


O malware (quase) sem arquivos Kovter
Algumas das amostras mais interessantes detectadas pelo processo de análise em profundidade de julho foram as variantes do malware Kovter click-fraud. Essa cepa de malware se tornou cada vez mais evasiva e persiste na máquina da vítima sem a necessidade de armazenar (quase) nenhum arquivo.


A operação do Kovter começa com o obscurecimento do Javascript e do conteúdo binário salvo no Windows.

 

 

Os desenvolvedores do Kovter usaram um truque inteligente para permanecer no sistema da vítima sem deixar nenhuma parte do malware no próprio sistema de arquivos do Windows. O malware entrega um arquivo gerado aleatoriamente com uma extensão de arquivo arbitrária (mas importante!), junto com um arquivo de batch e um atalho.

 

 

O arquivo de batch “abre” o arquivo de lixo .fcb676eie com o comando de start.

 

 

Em vez de abrir o arquivo, uma chave de registro associada à extensão .fcb676eie instrui o Windows para executar um comando totalmente diferente.

 

 

Este comando usa o motor mshta da Microsoft para executar o Javascript ofuscado armazenado no registro. A maior parte da carga útil é uma cadeia hexadecimal de 5000 caracteres, decodificada e executada com a função eval () do Javascript, desta vez com uma cadeia muito longa codificada em Base64.

 

 

Esta cadeia, por sua vez, é decodificada para formar um script  Powershell com um shellcode raw que é injetado e lançado para criar um processo malicioso no Windows, usando uma técnica tirada de um velho template Metasploit.

 

 

Com este processo complicado, o malware pode permanecer no computador da vítima sem deixar nada no sistema de arquivos, além do arquivo de lixo e o de batch e atalho associado. Seu comportamento malicioso, no entanto, é detectado por técnicas de análise em profundidade do Sky ATP.

 

Como mencionado acima, estas ameaças são apenas algumas das muitas detectadas por essas análises.

 

Leia também
Soluções para detectar riscos e aumentar a segurança nas redes
 


Tags: Malware, Segurança de Rede, Sky ATP, Firewalls, SRX, Trojans, Ransomware, Ameaças de Rede, Rede de Computadores, Nuvem


Tags: malware, seguranca-de-rede, sky-atp, firewalls, srx, trojans, ransomware, ameacas-de-rede, rede-de-computadores, nuvem


Posts Relacionados


Deixe seu comentário:

=