Já dizia o ditado que "Para cada trabalho, há uma ferramenta." Nas operações cibernéticas destinadas a uma vítima em particular, as ferramentas costumam ser personalizadas para o trabalho específico que está sendo feito.
Por exemplo, o Stuxnet estabeleceu um produto específico feito por um fabricante específico, usado em um país específico durante um período de tempo específico.
Essas ferramentas costumam ser devastadoras porque são feitas sob medida para o alvo exato a que se destinam e, muitas vezes, levam em consideração a postura defensiva da vítima para neutralizá-la.
Mas um novo relatório[link] do Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido chama a atenção para o problema oposto – o perigo representado pela proliferação de ferramentas genéricas de hackers, publicamente disponíveis, que agentes de ameaças de todos os níveis de habilidade podem e estão usando, cada vez mais, com sucesso.
O relatório de 11 de outubro do NCSC, que foi resultado de um esforço conjunto dos governos chamados Five Eyes (Austrália, Canadá, Nova Zelândia, Reino Unido e EUA), destaca cinco ferramentas publicamente disponíveis, todas usadas depois do ataque inicial. O relatório fornece conselhos sobre como limitar sua eficácia.
A tendência no aumento do uso de ferramentas públicas é algo que notamos e estamos acompanhando na Cylance. Neste material, vamos dar uma olhada nas cinco ferramentas identificadas pelos Five Eyes e oferecer alguns comentários do Relatório do NCSC.
RATs (Remote Access Trojans, ou Trojans de acesso remoto)
Geralmente usados nos estágios iniciais de uma campanha de ataque, os RATs permitem que o agente de ameaça assuma de forma remota o controle de um sistema. Eles carregam uma série de recursos variáveis que permitem o roubo de credenciais, a instalação de backdoors, etc.
O NCSC destaca JBiFrost, uma variante do Adwind, que, por sua vez, é derivado do Frutas. O NCSC diz que é mais comumente usado por agentes de ameaças de baixo nível, mas também pode ser adotado por agentes estatais. O NCSC diz que vários conhecidos grupos de APT (Advanced Persistent Threat) são conhecidos por usar outros RATs (e os que eles mencionam foram associados a pesquisas de segurança pública com agentes chineses).
Eles concluem: “Desde o início de 2018, observamos um aumento no uso do JBiFrost em ataques direcionados contra proprietários de infraestrutura crítica nacional e seus operadores na cadeia de fornecimento”.
Web Shells
São scripts que também permitem acesso remoto e são usados com frequência no início de ataques ou campanhas para estabelecer presença antes de se mover lateralmente. Frequentemente são direcionados a servidores da web.
O exemplo que o relatório do NCSC traz é o China Chopper. Eles apontam que tem sido amplamente utilizado desde 2012, é leve e facilmente modificável. Segundo o NCSC, “no verão de 2018, agentes de ameaças foram observados atacando servidores da web voltados ao público, vulneráveis ao CVE-2017-3066. A atividade estava relacionada a uma vulnerabilidade na plataforma de desenvolvimento de aplicativos da Web Adobe ColdFusion, que permitia a execução remota de códigos. O China Chopper foi concebido como a payload do segundo estágio, injetada uma vez que os servidores haviam sido comprometidos, permitindo que o invasor tivesse acesso remoto ao host da vítima”
Ladrões de Credenciais
São quaisquer ferramentas projetadas para coletar informações de credenciais, seja em texto simples, seja em forma de hash, incluindo keyloggers.
O exemplo dado pelo NCSC é o Mimikatz. O NCSC explica como funciona e que foi desenvolvido como uma ferramenta de pentesting (teste de intrusão), mas desde então tem sido adotado por agentes de ameaças. O relatório diz que “o Mimikatz foi usado em conjunto com outras ferramentas de hacking nos ataques de ransomware NotPetya e BadRabbit de 2017 para extrair as credenciais de administrador mantidas em milhares de computadores”.
Estruturas de Movimentação Lateral
Como o nome sugere, essas ferramentas permitem que o agente de ameaça se mova dentro da rede após o comprometimento inicial.
A NCSC menciona o PowerShell Empire como exemplo, ao mesmo tempo que menciona o Cobalt Strike e o Metasploit, todos criados por pentesters para a defesa de redes, mas que, como o Mimikatz, também foram adotados por atores mal-intencionados.
Sobre o PowerShell Empire, o NCSC destaca que essa ferramenta foi observada no ataque de uma empresa de energia do Reino Unido em 2018 e de uma campanha de spearphishing com tema das Olimpíadas de Inverno que visava várias organizações sul-coreanas, além de em ataques a escritórios de advocacia e instituições acadêmicas por grupos avançados de ameaças persistentes.
Ferramentas de Ofuscação de C2
Ferramentas de Ofuscação de servidores C2 são ferramentas que ajudam a esconder a infraestrutura usada para controlar o malware usado em um ataque.
A HTran é o exemplo dado pelo NCSC. Embora não entrem em detalhes sobre a aplicação da HTran em nenhum incidente específico, eles reconhecem que as autoridades de segurança cibernética de todos os cinco governos estavam cientes do uso bem-sucedido da HTran em manter ataques direcionados ocultos dos defensores por meses.
Comentários da Cylance
A Cylance observou um aumento acentuado no uso de RATs publicamente disponíveis por vários grupos de agentes de ameaça, incluindo alguns que acreditamos serem patrocinados por Estados.
O que é intrigante sobre o uso deles, assim como das outras ferramentas públicas de hackers, são os possíveis motivos por trás de seu uso, que não são abordados no Relatório Conjunto do NCSC.
Para os agentes de ameaças de baixo nível, a escolha faz um sentido econômico claro. As ferramentas publicamente disponíveis são obviamente gratuitas e não requerem nenhuma habilidade para desenvolver nem um investimento em P&D, nem um pagamento em dinheiro para obtê-las.
Até os agentes de ameaças sofisticados, capazes de desenvolver suas próprias ferramentas personalizadas, fazem isso com menos frequência, especialmente quando se trata de RATs. Grupos patrocinados por países possuem a habilidade, o tempo, os recursos e os meios para desenvolver ou comprar todos esses cinco tipos de ferramentas, no entanto temos visto um aumento no uso de RATs públicos por esses grupos. O motivo é provavelmente duplo:
– os RATs são frequentemente usados para ajudar a estabelecer uma base durante uma operação. Se eles forem pegos e ejetados antes que o objetivo final seja alcançado, não se perde muita coisa – as ferramentas são dispensáveis.
– o uso de RATs públicos dificulta a atribuição – se o malware estiver disponível para todos, as impressões digitais[link] de um indivíduo serão mais difíceis de serem identificadas e o agente de ameaça poderá se esconder em um grupo incrivelmente grande de suspeitos.
Outra observação notável do relatório do NCSC é a inclusão, entre vários dos exemplos do problema em ação, de tantas ferramentas de pentesting.
A maior parte da discussão das ferramentas de Lateral Movement e Credential Stealingenvolveu programas originalmente projetados por pentesters. Quando usadas por defensores de rede, nós chamamos essas ferramentas de programas; quando usadas por agentes de ameaças, nós as chamamos de malware.
Sem saber quem as está usando, pode ser difícil para os defensores da rede saberem se estão vendo atividades de detecção ou um ataque real. Os pesquisadores da Cylance estão trabalhando em um relatório de inteligência de ameaças[link] que, esperamos, explore e trate essa questão com mais detalhes.
Por enquanto, vale a pena considerar que as ferramentas publicamente disponíveis de pentesting podem ser escolhidas pelos agentes de ameaças com frequência cada vez maior porque, se detectadas, elas fornecem outro meio de cobertura e um mecanismo que frustra as tentativas de identificação.
Finalmente, pode haver mais uma razão importante pela qual atores de todos os níveis de sofisticação estão recorrendo cada vez mais a ferramentas públicas de hacking – elas são experimentadas e testadas. Como muitos projetos de desenvolvimento de código aberto, essas ferramentas resistiram a testes e modificações por um grande número de colaboradores, simplesmente pelo fato de serem públicas. Se usadas, o operador pode ter certeza de que elas trabalham bem. E isso elimina a adivinhação de pelo menos uma parte da operação de um agente de ameaça.
Em resumo, os leitores devem revisar o relatório do NCSC e permanecer vigilantes se e quando encontrarem qualquer uma dessas cinco ferramentas públicas de hacking. Elas podem parecer chatas e corriqueiras porque são muito conhecidas, mas sua presença em sua rede pode pressagiar o trabalho de um ator estatal ou uma ameaça mais séria.
