A nova realidade do crimeware indetectável

Propaganda
White Paper
A nova realidade do crimeware indetectável
Por
Dave Marcus, diretor de comunicações e pesquisa de segurança do McAfee® Labs™, e Thom Sawicki,
estrategista de produto sênior, Endpoint Security Software and Services, da Intel® Corporation
Sumário
Introdução
3
Como o malware se enraíza no sistema
3
Os danos
4
Das grandes corporações aos pequenos escritórios:
Por que todos os CIOs devem se preocupar
5
Guia de indetectabilidade para iniciantes
5
Stuxnet: “Um worm na centrífuga”
5
Zeus: o poderoso chefão das redes de bots
6
O Zeus em ação
6
O desenvolvimento de uma ofensiva forte contra os rootkits
As defesas precisam ir além do sistema operacional
2
A nova realidade do crimeware indetectável
7
7
Considere a indetectabilidade, a criatividade e a paciência do Stuxnet. Some a isso
o comercialismo, a ampla distribuição e a facilidade de uso dos kits de ferramentas
do Zeus. Leve em conta que, apesar de estar em atividade há anos, até maio de 2011
nenhum desses grupos de criminosos cibernéticos jamais foi exposto. Agora você
conhece os ingredientes e a potência da receita do malware atual. Comece a fazer
planos agora. Você vai precisar de mais do que assinaturas e proteções em nível de
sistema operacional para proteger sua propriedade intelectual e outros ativos contra
criminosos munidos dessas armas.
Introdução
A indetectabilidade é a arte de locomover-se sem ser detectado, de ser invisível. Essa tecnologia permite
que aeronaves militares, ninjas e malware se aproximem de seus inimigos sem serem notados para lançar
um ataque, obter inteligência ou assumir o controle de sistemas e dados.
Embora técnicas de ocultação sejam usadas em ataques sofisticados como o Conficker e a Operação
Aurora, o ataque do Stuxnet apresenta um novo modelo (e um novo nível) de uso de técnicas de
ocultação pelos criminosos mais dedicados para o roubo de dados ou o ataque a sistemas computacionais.
As inovações do Stuxnet incluem uma combinação de cinco vulnerabilidades de dia zero, três rootkits
e dois certificados digitais roubados.
Kits de ferramentas poderosos, como o disponível no kit de ferramentas de crimeware Zeus, fazem do
desenvolvimento de malware indetectável um processo de “apontar e clicar”, não mais restrito aos
programadores mais experientes. Não existem estatísticas definitivas no setor, mas o McAfee Labs
estima que em torno de 15 por cento do malware use técnicas de ocultação sofisticadas para esconder
e espalhar ameaças maliciosas capazes de causar danos expressivos.1 Esses ataques formam a base
(a parte “persistente”) das ameaças persistentes avançadas (APTs).
Quando as inovações do Stuxnet se unirem à facilidade de uso de kits de ferramentas de programação
como o Zeus, esses complexos ataques indetectáveis ocorrerão com mais frequência e ameaçarão alvos
corporativos importantes. Essa será a nova realidade do crimeware, e as empresas terão de adotar novas
medidas anticrimeware capazes de ir além do sistema operacional tradicional.
Como o malware se enraíza no sistema
As técnicas de ocultação permitem ao malware manter-se em terminais vulneráveis de qualquer setor,
agência ou organização. Quando o malware cria raízes em um sistema, os invasores podem fazer uso
de seus ativos de dados, recursos computacionais ou lugares onde podem se enconder para realizar
o reconhecimento. Partindo de um sistema comprometido, um invasor pode se mover pela rede em
busca de vulnerabilidades e ativos de dados.
Um dos pontos mais importantes a serem entendidos a respeito de malware indetectável como o Stuxnet
e o Zeus é que eles realmente dominam os computadores nos quais se infiltram. Utilizando rootkits que
operam nos níveis de usuário, kernel e firmware, o malware consegue ocultar, replicar ou proteger-se
contra a sobrescrita e desativar a proteção antivírus e outras defesas.2 Como o invasor controla o sistema,
ele também pode usar técnicas de ocultação para limitar o risco de exposição. O crimeware pode minimizar
o impacto ao usuário do sistema, mascarar o movimento de dados em uma LAN, remover e reinstalar-se,
atualizar-se pela Web e pular de máquina para máquina, retornando depois. Aparentando inocência ao
entrar no computador e permanecendo inativo, o código espera a hora certa de se ativar, fazer o download
de sua carga e corromper o sistema.
O aspecto mais devastador de muitos rootkits é sua capacidade de se autorrecuperar, reinstalando-se
a partir de um local oculto depois que o sistema passa por uma limpeza, ampliando o tempo de uso
do sistema comprometido para o invasor. Enquanto a TI achar que resolveu o problema, pode acabar
ignorando futuros alertas do sistema. O invasor pode usar o sistema comprometido como um porto
seguro a longo prazo.
A nova realidade do crimeware indetectável
3
Os danos
As organizações investem bastante tempo e dinheiro rastreando hosts comprometidos e se recuperando
das perdas de dados causadas por eles. Atualmente, a melhor prática para correção de qualquer
infecção indetectável é a reversão para um backup não infectado ou para uma imagem confiável.
Porém, quando o código de ataque indetectável permanece inativo por longos períodos, um backup
aparentemente seguro pode não ser confiável. O recurso mais seguro pode ser a reinstalação completa
a partir das imagens do ambiente operacional e dos aplicativos fornecidas pelo fabricante.
A limpeza custa caro. Restabelecer a imagem pode levar cinco horas por máquina, tirando o técnico
de TI e o usuário final de trabalhos mais produtivos. Conforme a complexidade das técnicas de
ocultação cresce, os custos dessa limpeza aumentam. Como há malware capaz de reencarnar após
o restabelecimento da imagem, a abordagem mais cautelosa hoje é a de substituir os computadores
infectados, o que sai caro em termos financeiros e de produtividade.
A maioria das empresas só revela violações quando as regulamentações exigem a divulgação
(geralmente perdas de informações de identificação pessoal), e por isso é difícil avaliar os custos
tangíveis. No entanto, alguns números indicam tendências:
• Disseminação
rápida: o McAfee Labs detectou até seis milhões de novas infecções por redes de bots
em um mês.
• Taxas
crescentes de perda de dados: os ataques maliciosos foram a principal causa de 31 por cento
das violações de dados estudadas na pesquisa Cost of a Data Breach (Custo de uma violação de dados)
realizada em 2011 pelo Ponemon Institute, a porcentagem mais alta nos cinco anos de história do estudo.3
• Aumento
nos custos de violações de dados: um registro comprometido custa em média US$ 214,
e uma violação de dados custa em média US$ 7,2 milhões.4
• Conformidade
em perigo: aproximadamente três quartos das empresas pesquisadas pela Evalueserve
em 2011 afirmaram que descobrir ameaças e descobrir vulnerabilidades foram seus maiores desafios
no gerenciamento de riscos.5
• Custos
sobre a produtividade: os custos são em média de cinco horas para cada usuário e administrador
de TI por sistema que passar pelo restabelecimento de imagem (dez horas no total), com custo
aproximado por terminal de US$ 585; em uma empresa com 5 mil nós, uma taxa de infecção
de 1% resultaria em custos de limpeza de US$ 30.000.
Binários exclusivos de rootkits descobertos
(cumulativo)
2.000.000
1.800.000
1.600.000
1.400.000
1.200.000
1.000.000
800.000
600.000
400.000
200.000
0 Jan. Fev. Mar. Abr.Maio Jun. Jul. Ago. Set. Out.Nov. Dez. Jan. Fev. Mar. Abr.Maio Jun. Jul. Ago. Set. Out.Nov. Dez. Jan. Fev. Mar.
09 09 09 09 09 09 09 09 09 09 09 09 10 10 10 10 10 10 10 10 10 10 10 10 11 11 11
Figura 1: A pesquisa da McAfee documentou um crescimento constante no malware de rootkit indetectável,
pulando de 42 amostras em 2007 para quase dois milhões atualmente.
4
A nova realidade do crimeware indetectável
Das grandes corporações aos pequenos escritórios: Por que todos os CIOs devem se preocupar
A história da alta tecnologia mostra que as técnicas bem-sucedidas migram das lojas de artigos
caros para as lojas populares, das grandes corporações para os pequenos escritórios. As técnicas são
combinadas e recombinadas em variações infinitas. Portanto, se e quando as estratégias de ataque
do Stuxnet e do Zeus forem usadas em conjunto, as marcas e os governos não serão as únicas vítimas.
Um hacker determinado pode criar ferramentas visando as joias da coroa de qualquer empresa:
Dados de cartão de crédito de varejistas e processadores de transações.
Campanhas de lançamento e promoção de agências de publicidade e empresas de bens de consumo.
• Registros de saúde de funcionários de empresas autosseguradas.
• Dados de GIS (mapeamento de informações geográficas) de empresas de exploração de energia.
• Código-fonte de empresas de desenvolvimento de software.
• Projetos de produtos dos fabricantes.
•
•
Guia de indetectabilidade para iniciantes
Os hackers profissionais aprendem cedo a cobrir seus rastros pela maior quantidade de tempo possível.
Os rootkits são uma das ferramentas favoritas, já que podem visar qualquer sistema, de servidores de
bancos de dados a terminais de ponto de venda, de telefones celulares a componentes eletrônicos
de automóveis. Como os rootkits podem operar dentro e abaixo do sistema operacional, eles são
capazes de disfarçar ou ocultar os arquivos, processos e chaves de Registro alterados por outro malware.
Essas características fazem dos rootkits componentes vitais para operações de ameaça em vários estágios.
Vejamos dois estudos de caso: Stuxnet e Zeus, que assinalam a necessidade irrefutável de levar
o anticrimeware além do sistema operacional.
Stuxnet: “Um worm na centrífuga”6
O ataque do Stuxnet parece ter sido projetado para interromper os
sistemas de controle industriais dos programas nucleares do Irã. O
Stuxnet usava rootkits de modo de usuário e de kernel, além de um
rootkit dentro do PLC (controlador lógico programável) que ainda
não tinha sido encontrado à solta. Os rootkits de modo de usuário e
kernel ocultavam arquivos e descriptografavam e injetavam código
nos processos em execução. A versão do segundo trimestre de
2010 do rootkit de modo de kernel incluía drivers de dispositivos
assinados que foram roubados, fazendo com que o rootkit
parecesse código legítimo para o sistema operacional.
Esse conjunto complexo de malware foi somado a quatro
vulnerabilidades de dia zero do Microsoft Windows para apoiar
a distribuição e a ocultação da carga até que ela encontrasse
seu alvo. Nesse momento, o rootkit específico para os PLCs
(controladores lógicos programáveis) tirava proveito de uma
vulnerabilidade até então desconhecida da Siemens.
O que uma rede de bots faz
-Distribui spam (zumbis nas dez
maiores redes de bots enviam
mais de 25.400 spams por dia
por zumbi, aproximadamente
134 bilhões por dia)
-Inicia ataques de negação
de serviço distribuído (DDoS distributed denial-of-service)
contra empresas específicas
-Acessa arquivos em uma rede
comprometida, incluindo o
código-fonte de produtos novos
O rootkit no PLC incluía uma camada extra de indetectabilidade,
um wrapper malicioso que isolava o PLC dos sistemas de controle
que operavam diversas centrífugas usadas para enriquecer
combustível nuclear. O wrapper interceptava chamadas
ao PLC e dizia ao controle que todos os sistemas estavam
funcionando corretamente, quando, na verdade, o malware
havia reprogramado as centrífugas para inutilizá-las.
A combinação promovida pelo Stuxnet de rootkits de baixo
nível e vulnerabilidades desconhecidas, além de muitos outros
facilitadores, talvez seja a ameaça mais complexa que os
pesquisadores de segurança já puderam debater publicamente.7
-Registra as teclas digitadas
(keylogging) para descobrir
informações pessoais
e roubar identidades
-Rouba software legítimo para
revendê-lo
-Rouba dólares originados
do pagamento por cliques
em anúncios
A nova realidade do crimeware indetectável
5
Zeus: o poderoso chefão das redes de bots
Historicamente, a criação de malware indetectável se mostrou difícil e, portanto, relativamente rara.
Mas operações comerciais de crimeware como o Zeus mudaram tudo. A McAfee encontrou 43 amostras
de rootkits em janeiro de 2007. Porém, encontramos 133.090 amostras exclusivas em julho de 2010,
quando (talvez por mera coincidência) o Stuxnet foi revelado ao público.
A organização Zeus opera como muitos desenvolvedores de ferramentas comerciais de software. Além de
contar com um processo formal de lançamento de versões que inclui testes de fase beta, o Zeus oferece
sua ciência avançada na forma de um kit de ferramentas gráfico tão simples que até uma turma de
computação do ensino secundário poderia usar. Os franqueados do Zeus podem criar rapidamente rootkits
personalizados de modo de kernel para montar uma rede de bots composta por hosts comprometidos.
O fenômeno da nuvem também serve ao Zeus. Quem não gosta de programar pode alugar ou adquirir
redes de bots operacionais do Zeus para operar campanhas de spam, executar ataques de DDoS ou
caçar tipos específicos de dados, como informações proprietárias.
Figura 2: O kit de ferramentas Zeus/Spy Eye ajuda os criadores de malware a produzir facilmente malware
indetectável e oculto.
Assim como acontece com as drogas,as amostras de biscoitos no supermercado e o test-drive de
um carro, a primeira utilização do kit de ferramentas Zeus é gratuita. O usuário sai querendo mais.
Quer usar uma VNC (computação de rede virtual) para controlar o host remotamente e ver a tela,
os cliques de mouse e as teclas digitadas? Pague a sobretaxa de US$ 500. Com essa opção, você ainda
recebe uma atualização de injeção para o Firefox, que permite adicionar campos a qualquer aplicativo
para o navegador. Projetado originalmente para o roubo de credenciais bancárias, esse recurso do
Zeus significa que ele pode ser usado para capturar outros dados valiosos, como logins de contas
administrativas e aplicativos internos, ou números de CPF, cartão de crédito ou telefones celulares.
O Zeus agora é uma ferramenta de importância máxima para os ladrões de dados.8,9
O Zeus em ação
O Zeus geralmente se espalha por sites da Web ou e-mails comprometidos. Os criminosos levam o tráfego
para um site de phishing (um site falsificado), onde um download de passagem instala o cavalo de Troia
sem a ação do usuário. Para visar uma comunidade específica de usuários, o invasor pode implantar um
cavalo de Troia personalizado do Zeus em um site legítimo e genuíno. Por exemplo, se você procura por
diagramas de projetos de um fabricante de carros, pode instalar seu código em www.cardesignnews.com,
um site que afirma ser o principal recurso on-line sobre projeto de automóveis.
6
A nova realidade do crimeware indetectável
Os invasores também podem incorporar seus cavalos de Troia do Zeus em anexos de e-mail, como em
PDFs corrompidos. O uso de e-mail de spear phishing (personalizado por meio de engenharia social
ou mídias sociais) vai aumentar, conforme os invasores se dedicarem a extrair informações específicas
ou a dominar sistemas vulneráveis dentro de organizações específicas.
O kit de ferramentas Zeus é só um exemplo. No quarto trimestre de 2010, pelo menos três outros
kits de ferramentas de exploração de baixo custo estavam disponíveis para a criação de redes de bots
usando explorações pré-compiladas. A variedade de kits de ferramentas prontamente disponíveis com
base na Web e no lado do servidor ajuda a explicar o porquê do McAfee Labs detectar em torno de
60.000 novos exemplares de malware por dia.
Há pouco tempo, o código-fonte do cavalo de Troia Zeus foi divulgado em vários sites clandestinos.
O lançamento do código-fonte do malware cria uma oportunidade para que os desenvolvedores de
crimeware criem trabalhos derivados para seus próprios objetivos maliciosos. Como todo programador
sabe, ter um programa funcional como ponto de partida ajuda bastante um projeto. Com o códigofonte em mãos, um desenvolvedor experiente pode modificar o Zeus para visar com mais eficiência
usuários ou dados específicos, e incorporar táticas ainda mais vis de indetectabilidade. Isso significa
que uma onda ainda maior de novas explorações (de dia zero) está por vir.
O desenvolvimento de uma ofensiva forte contra os rootkits
As empresas distribuíram muitas camadas de ferramentas de segurança contra tipos tradicionais de
hacks e malware. Essas ferramentas continuam sendo importantes, porque as técnicas maliciosas nunca
se aposentam. O arsenal de ferramentas dos vilões não para de crescer, e os mocinhos também precisam
incrementar seu arsenal.
Os rootkits são especialmente desafiadores, porque os desenvolvedores de rootkits conhecem
profundamente o funcionamento do sistema operacional, seus drivers para dispositivos e outros
componentes de software. Com seu conhecimento profundo, eles podem sobrepujar o software
de segurança integrado à maioria dos sistemas operacionais.
Algumas ferramentas de segurança atuais funcionam contra certos rootkits à solta atualmente.
Ferramentas como mecanismos de varredura de vírus e sistemas de prevenção contra intrusões no host
operam no sistema operacional e acima dele. Elas podem examinar a memória e monitorar privilégios
em modo de usuário para detectar e corrigir os rootkits de nível relativamente alto, de modo de usuário.
Entretanto, técnicas de ocultação que operam no nível do kernel e abaixo dele não são detectadas pelas
ferramentas tradicionais de varredura de vírus e de vulnerabilidades do sistema operacional. Os rootkits
de modo de kernel têm privilégios em nível de sistema, e por isso é mais difícil detectá-los e repará-los.
O Stuxnet e o Zeus exemplificam como o crime cibernético de hoje é muito mais sofisticado do que há
poucos anos.
As defesas precisam ir além do sistema operacional
Os criminosos de hoje sabem como o software funciona. Eles sabem como as ferramentas de proteção
funcionam. Cada vez mais eles usam esse conhecimento para burlar as soluções de segurança.
Com mais de duas décadas de experiência no jogo de gato e rato com os criminosos cibernéticos,
os pesquisadores da McAfee e da Intel acreditam que é preciso criar uma nova visão de como detectar
e bloquear malware indetectável. Temos que aplicar nosso conhecimento sobre computadores
e criminosos e ir além do sistema operacional, usando nosso poder de dedução e nossas ferramentas
de proteção de maneiras novas. Para combater essas ameaças do tipo rootkit, as defesas corporativas
terão que ir além da tradicional pilha de operação de software e monitorar operações a partir de um
ponto de observação mais próximo ao hardware, integrado a ele.
Sabemos que precisamos agir rapidamente. O Zeus já reflete casos de uso em dispositivos móveis.
Descobrimos rootkits para dispositivos Android e os ataques a esse sistema operacional estão aumentando.
É questão de tempo até que esse tipo de malware passe a visar rotineiramente todo o espectro de
dispositivos incorporados e móveis interconectados.
Até pouco tempo, a maioria dos fornecedores de segurança visava a pilha de software, já que é nela
que ocorrem as ameaças. Mas conforme os rootkit descem dos níveis de usuário e kernel para os
níveis de inicialização, hipervisor e firmware, os pesquisadores de segurança trabalham com os
desenvolvedores de hardware para migrar a segurança para um ponto mais baixo da plataforma.
A nova realidade do crimeware indetectável
7
Quando os planos de produtos e do programa McAfee Embedded Security com a WindRiver foram
anunciados, a McAfee aconselhou as organizações a estabelecer parcerias de confiança que permitissem
que apenas software aprovado fosse executado ou alterasse código. A McAfee e a Intel trabalham para
aplicar seu corpo coletivo de conhecimentos em segurança, software e sistemas para permanecer à frente
das inovações do crimeware, como o malware indetectável, enquanto elas se deslocam dos computadores
pessoais para os smartphones, controles industriais e todos os tipos de dispositivos inteligentes.
Nos próximos anos, sua empresa vai atualizar e adotar novos dispositivos de terminais, construindo redes
de largura de banda maior e expandindo a infraestrutura para os dispositivos móveis. Para proporcionar
à sua organização, empresa ou agência uma proteção contra infecções por malware indetectável,
sua opção em soluções de segurança precisa incluir produtos que incorporem a segurança além do
sistema operacional. Em todas as camadas de segurança que você distribuir, da autenticação à criptografia,
passando pela inspeção e pela confiança, sua proteção mais efetiva contra malware indetectável irá tirar
maior proveito dos componentes da plataforma e estender-se a eles. A próxima geração de soluções de
segurança será iniciada no primeiro ciclo computacional e oferecerá proteção durante todo o uso.
Saiba mais em www.mcafee.com/br/mcafee-labs.aspx.
Sobre os autores
Dave Marcus atua como diretor de comunicações e pesquisa de segurança no McAfee Labs, com
o objetivo de levar a ampla pesquisa de segurança da McAfee e suas informações globais sobre ameaças
aos clientes McAfee e à comunidade de segurança como um todo. Marcus atuou anteriormente como
estrategista e especialista em segurança sênior da McAfee, tendo mais de dez anos de experiência
técnica em segurança de tecnologia da informação, desempenho e integração de redes e soluções
de aprendizado eletrônico, além de trabalhar com gerenciamento e consultoria.
Thom Sawicki é estrategista de produto sênior da recém-estabelecida organização Endpoint Security
Software and Services do Software and Services Group da Intel, uma equipe que está criando uma
linha de produtos novos e inovadores para a Intel. Sawicki atuou recentemente como estrategista de
tecnologia sênior do Intel Labs, combinando seus talentos no desenvolvimento de estratégias, na análise
de mercado e nas comunicações tecnológicas para estabelecer um recorde de realizações na construção
do caminho que leva da inovação das pesquisas ao desenvolvimento de produtos.
Sobre a McAfee
A McAfee, uma subsidiária pertencente à Intel Corporation (NASDAQ:INTC), é a maior empresa do mundo
dedicada à tecnologia de segurança. A McAfee provê soluções proativas e com qualidade comprovada,
além de serviços que ajudam a manter sistemas, redes e dispositivos móveis protegidos mundialmente,
permitindo aos usuários conectarem-se à Internet, navegarem e realizarem compras pela Web com
segurança. Apoiada pelo incomparável centro Global Threat Intelligence, a McAfee desenvolve produtos
inovadores que capacitam os usuários domésticos, as empresas dos setores público e privado e os provedores
de serviços, permitindo-lhes manter a conformidade com as regulamentações de mercado, proteger dados,
prevenir interrupções, identificar vulnerabilidades e monitorar continuamente dados, além de incrementar
a segurança em TI. A McAfee protege o seu mundo digital. O compromisso maior da McAfee é encontrar
constantemente novas maneiras de manter nossos clientes seguros. http://www.mcafee.com/br
McAfee Labs
http://blogs.mcafee.com/mcafee-labs/exploring-stealthmbr-defenses
3
http://www.ponemon.org/blog/post/cost-of-a-data-breach-climbs-higher
4
Ibid.
5
Risk and Compliance Outlook 2011 (Panorama de risco e conformidade para 2011) da Evalueserve, patrocinado pela McAfee
6
http://www.economist.com/node/17147818
7
Este documento se concentra nas facetas de rootkit do Stuxnet. Há muitas análises abrangentes sobre o Stuxnet, da Vanity Fair aos blogs da McAfee:
http://blogs.mcafee.com/mcafee-labs/stuxnet-update.
8
A nova era das redes de bots, McAfee Labs
9
http://blogs.mcafee.com/mcafee-labs/the-first-combined-zeusspyeye-toolkit
1
2
McAfee do Brasil Comércio de Software Ltda.
Av. das Nações Unidas, 8.501 - 16° andar
CEP 05425-070 - São Paulo - SP - Brasil
Telefone: +55 (11) 3711-8200
Fax: +55 (11) 3711-8286
www.mcafee.com/br
McAfee, o logotipo McAfee e McAfee Labs são marcas registradas ou marcas comerciais da McAfee, Inc. e/ou de suas subsidiárias nos
Estados Unidos e em outros países. Os outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de
produtos aqui contidos são fornecidos apenas para fins informativos, estando sujeitos a alterações sem aviso e sendo fornecidos sem garantia
de qualquer espécie, expressa ou implícita.
Intel é marca comercial da Intel Corporation nos EUA e/ou em outros países.
Copyright © 2013 McAfee, Inc. e Intel Corp.
28403wp_stealth-crimeware_0911_fnl_ETMG
Download