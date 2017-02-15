Desenvolvido pela equipe do IBM X-Force Incident Response and Intelligence Services (IRIS).
Pesquisadores da equipe IBM X-Force Incident Response and Intelligence Services (IRIS) identificaram um elo perdido nas operações de um agente de ameaças envolvido em recentes ataques de malware Shamoon contra organizações do Golfo. Esses ataques, que ocorreram em novembro de 2016 e janeiro de 2017, afetaram milhares de computadores em várias organizações do governo e organizações civis na Arábia Saudita e em outros estados do Golfo. O Shamoon foi projetado para destruir discos rígidos de computador, apagando o registro mestre de inicialização (MBR) e os dados de forma irrecuperável, ao contrário do ransomware, que mantém os dados como reféns por uma taxa.
Durante suas investigações recentes, nossos analistas forenses identificaram o vetor de comprometimento inicial e as operações pós-comprometimento que levaram à implementação do malware destrutivo Shamoon nas infraestruturas direcionadas. Vale a pena mencionar que, de acordo com o X-Force IRIS, o comprometimento inicial ocorreu semanas antes da implementação e ativação reais do Shamoon.
Como os incidentes de Shamoon apresentam os estágios de infiltração e escalada de ataques direcionados, os responsáveis pela resposta do X-Force IRIS procuraram o ponto de entrada dos invasores. Suas descobertas apontaram para o que parece ser o ponto inicial de comprometimento usado pelos invasores: um documento contendo uma macro maliciosa que, quando aprovada para execução, permitiu comunicações de C2 com o servidor do invasor e o shell remoto via PowerShell.
O documento não foi o único descoberto nas recentes ondas de ataques. Os pesquisadores da X-Force IRIS tinham rastreado atividades anteriores associadas a documentos maliciosos semelhantes carregados de PowerShell com temas de currículos e documentos de recursos humanos, alguns dos quais relacionados a organizações na Arábia Saudita. Essa pesquisa identificou diversos ataques de atividades ofensivas que ocorreram nos últimos meses, revelando métodos operacionais semelhantes nos quais os invasores entregaram documentos maliciosos e outros executáveis de malware de servidores web aos seus alvos para estabelecer um ponto de apoio inicial na rede.
Embora Shamoon já tenha sido documentado anteriormente em blogs de pesquisa, os métodos específicos de comprometimento de redes que levaram aos ataques permaneceram pouco claros nos casos relatados. Os pesquisadores da X-Force IRIS estudaram o ciclo de vida dos ataques do Shamoon e observaram suas táticas em organizações baseadas na Arábia Saudita e em empresas do setor privado. Essa pesquisa os levou a acreditar que o agente que usa o Shamoon em ataques recentes confiou fortemente em documentos armados criados para aproveitar o PowerShell para estabelecer sua posição inicial na rede e as operações subsequentes:
Figura 1: Ataque Shamoon — Fluxo lógico de eventos
O X-Force IRIS identificou o documento malicioso abaixo:
Nossos pesquisadores examinaram o domínio que hospedou o primeiro arquivo malicioso, mol.com-ho[.]me. De acordo com o registro WHOIS do domínio, um registrante anônimo registrou com-ho[.]me em outubro de 2016 e o usou para fornecer documentos maliciosos com funcionalidades semelhantes de ativação de macros. A seguinte lista de documentos incluídos:
Esses arquivos provavelmente foram entregues por meio de e-mails de spear phishing para induzir os funcionários a lançar involuntariamente a carga útil maliciosa.
Uma análise mais detalhada dos nomes dos arquivos revelou "IT Worx" e "MCI". Uma pesquisa do nome IT Worx traz uma organização global de serviços profissionais de software com sede no Egito. O MCI é o Ministério de Comércio e Investimento da Arábia Saudita. É possível que esses nomes tenham sido usados em e-mails de spear phishing porque pareceriam benignos para os funcionários sauditas e os levariam a abrir o anexo.
Os pesquisadores da X-Force IRIS identificaram ainda que o agente da ameaça por trás dos documentos maliciosos serviu a muitos deles usando um esquema de encurtamento de URL no seguinte padrão: briefl[.]ink/{a-z0-9}[5].
A figura a seguir é um exemplo visual do que os funcionários podem ter encontrado quando abriram os arquivos maliciosos do Word enviados para eles em preparação para um ataque do Shamoon:
Figura 2: Documento do Word malicioso entregue em preparação para um ataque do Shamoon Malware (fonte: X-Force IRIS)
Os resultados de DNS passivo em um domínio de comunicações associado ao ataque de Shamoon revelaram a infraestrutura de rede relacionada, identificando domínios adicionais usados pelos agentes da ameaça.
A X-Force IRIS descobriu que o agente da ameaça estava hospedando pelo menos um executável malicioso em um servidor hospedado no ntg-sa[.]com. Esse arquivo levava os alvos a acreditar que era um instalador do Flash player que descartaria um lote do Windows para invocar o PowerShell nas mesmas comunicações de C2.
A análise de um dos documentos do agente da ameaça descobriu que, se a macro for executada, ela iniciará dois scripts separados do PowerShell. O primeiro executa um script do PowerShell fornecido por hxxp://139.59.46.154:3485/eiloShaegae1. O host possivelmente está relacionado a ataques que usaram o Pupy RAT, uma ferramenta de acesso remoto entre plataformas disponível ao público.
O segundo script chama VirtualAlloc para criar um buffer, usa memset para carregar o shellcode relacionado ao Metasploit nesse buffer e o executa através de CreateThread. Metasploit é um framework de código aberto popular como uma ferramenta para desenvolver e executar exploração em uma máquina alvo remota. O shellcode executa um DWORD XOR de 4 bytes em um deslocamento desde o início do shellcode que altera o código para criar um loop para que o XOR continue 0x57 vezes.
Se esta execução for bem-sucedida, é criado um buffer usando VirtualAlloc e é chamada a função InternetReadFile num ciclo até que todo o conteúdo do ficheiro seja obtido a partir de hxxp://45.76.128.165:4443/0w0O6. Em seguida, isso é devolvido como uma string ao PowerShell, que chama invoke-expression (iex) sobre ela, indicando que a carga útil esperada é PowerShell.
Vale salientar que a macro continha uma função DownloadFile() que usaria URLDownloadToFileA, mas que nunca chegou a ser efetivamente usada.
Com base em observações associadas ao documento malicioso, observamos sessões de shell subsequentes provavelmente associadas ao Meterpreter da Metasploit que permitiram a implementação de ferramentas e malware adicionais antes da implementação de três arquivos relacionados ao Shamoon: ntertmgr32.exe, ntertmgr64.exe and vdsk911.sys.
Embora a lista completa de vítimas do Shamoon não seja pública, a Bloomberg informou que, em um dos casos, milhares de computadores foram destruídos na sede da Autoridade Geral de Aviação Civil da Arábia Saudita, apagando dados críticos e interrompendo as operações por vários dias.
A atividade recente que a X-Force IRIS tem observado por parte dos invasores do Shamoon foi detectada até o momento em duas ondas, mas é provável que essas atividades diminuam após a atenção pública que os casos vêm recebendo desde o final de 2016.
A Arábia Saudita divulgou um alerta às organizações locais sobre o malware Shamoon, avisando sobre possíveis ataques e recomendando que as organizações se preparem. As análises e os alertas sobre o Shamoon estão levando à preparação por parte dos alvos, e é provável que os intervenientes desapareçam e mudem suas táticas até a próxima onda de ataques.
Para detalhes técnicos desta pesquisa e indicadores de comprometimento relacionados, consulte o X-Force Advisory no X-Force Exchange.