Hackers usam um poderoso Rootkit para instalar backdoor em Sistemas Windows vulneráveis
Um grupo de hackers foi detectado usando um rootkit para sistemas Windows, com a intenção de instalar inadvertidamente backdoors em sistemas vulneráveis. Esta campanha maliciosa, identificada como Operação TunnelSnake é supostamente operada por agentes de ameaças chineses com conhecimentos e recursos avançados de hacking.
Como muitos usuários sabem, o termo rootkit se refere a um conjunto de ferramentas projetadas para operar furtivamente nos níveis mais profundos do sistema operacional afetado. Existem múltiplas variantes de rootkit, desde malware para comprometer o kernel até exploits poderosos para atacar o firmware ou a memória de sistemas comprometidos.
Este rootkit foi descoberto por especialistas da empresa de segurança Kaspersky, que relatam que os hackers o usam para implementar um backdoor passivo em servidores públicos. Uma vez instalado, o backdoor estabelece uma conexão com o servidor de Comando & Controle de um hacker para ações maliciosas subsequentes. O ataque permite que os hackers monitorem o tráfego de entrada e saída da rede, passando por uma máquina infectada e filtrando os pacotes enviados pelo rootkit.
A inspeção do pacote é feita no modo kernel com a ajuda de um driver do Windows. O rootkit também espera pelo tráfego de entrada para ocultar a comunicação com o servidor de C&C e erradicar a necessidade de comunicação direta: “Isso forma um canal secreto através do qual os hackers podem emitir comandos shell e receber seus resultados”, afirma o relatório.
Sobre a identidade dos hackers, especialistas suspeitam que esse grupo de invasores falam mandarin e podem estar relacionados a outros grupos de ameaças apoiados pela China, incluindo Termite, Earthworm e China Chopper.
Apesar do fato de que este rootkit tenha sido visto várias vezes entre outubro de 2019 e maio de 2020, os pesquisadores suspeitam que este grupo poderia estar ativo desde pelo menos meados de 2018. Os pesquisadores concluem mencionando que os registros indicaram apenas uma dúzia de ataques bem-sucedidos com este rootkit, portanto, o risco ainda não é considerado amplamente disseminado.
Para maiores detalhes técnicos, clique aqui e acesse o artigo completo.
Este é mais um exemplo da exploração de vulnerabilidades no qual os atores maliciosos se aproveitam de diversos tópicos críticos do processo de gerenciamento e detecção de vulnerabilidades. Vamos analisar algumas destas explorações e as formas de mitigação.
1. “– Instalação de backdoors em sistemas vulneráveis” – Manter as aplicações e sistemas operacionais com os últimos patches recomendados pelo fabricante, é o primeiro passo para dificultar a ação dos hackers. Muitas vezes administrar um grande parque de dispositivos e aplicações é uma tarefa que exige a ajuda de um scan de vulnerabilidades sendo executado periodicamente, para dar visibilidade dos ativos e apps mais críticos e as vulnerabilidades que oferecem maior risco, para que estas possam ser corrigidas prioritariamente.
2. “– A inspeção do pacote é feita no modo kernel com a ajuda de um driver do Windows” – A manipulação de drivers, arquivos de sistema, registry, etc., exige invariavelmente a elevação de privilégios do sistema operacional. Utilizar o conceito de “privilégios mínimos”, evita que o malware possa alterar os arquivos de sistema, se auto propagar e abrir brechas de segurança.
3. “… O backdoor estabelece uma conexão com o servidor de Comando & Controle de um hacker para ações maliciosas subsequentes” – Aqui temos um ponto interessante: a existência de um comportamento malicioso que evadiu várias camadas de proteção tradicionais como AV e FW e, conseguiu estabelecer um canal de comunicação criptografado com o ator malicioso. A prevenção para este tipo de ataque exige conhecimento, rapidez na detecção e resposta, acionamento de diversas áreas, consulta a procedimentos/runbooks, etc., Além de tudo isso, é necessário compreender e contextualizar as diferentes fases do ataque, que neste caso envolve vários incidentes isolados.
A conclusão é que não é eficaz proteger ataques feitos por malwares autônomos, por analistas e proteções tradicionais que dependem de assinaturas e configurações complexas. A adoção de uma tecnologia que use Inteligência Artificial, aprenda o comportamento normal da rede e responda autonomamente a comportamentos anômalos em velocidade de máquina, é a única forma de equalizar a batalha.
A Add Value Security tem em seu portfólio as soluções necessárias para conter esse tipo de ataque, consulte-nos.
Frederico Freitas, CISSP é Solutions Sales Engineer na Add Value e especialista em cibersegurança.