Ir ao conteúdo
  • Cadastre-se
Fernando Mercês

Site brasileiro infectado propaga malware Russo

Recommended Posts

Amigos, deixo um link de uma notícia que acabei de publicar: http://blog.trendmicro.com.br/site-brasileiro-infectado-propaga-malware-russo/

 

Trata-se de um ataque com múltiplos estágios bastante criativo, que envolve malware e alteração de DNS. Pode ser interessante pra quem é da área de segurança, estuda malware, conserta PCs ou simplesmente se preocupa com a segurança dos dados. :)

 

Abraços!

  • Curtir 5

Compartilhar este post


Link para o post
Compartilhar em outros sites

Muito interessante o texto.

 

Faz tempo andava curioso em saber como eram feitos esses ataques aos roteadores ( pela matéria fiquei sabendo que podem ser feitos por CSS e JS ).

 

Outra foi o script ser capaz de gerar um executável BOT.

 

Importante esse teu achado.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Valeu, Henrique.

 

É, essa do executável eu testei numa VM com Windows e realmente funciona. Cria e executa. Incrível o poder que o IE dá ao VBScript através do ActiveX. Quem aceita rodar um componente deste tem que estar realmente muito certo do que está fazendo. O.o

 

Abraços!

  • Curtir 2

Compartilhar este post


Link para o post
Compartilhar em outros sites

Gostaria de saber se existe algum antivírus capaz de detectar esse ataque relacionado á troca do DNS dos roteadores.

 

Uso o Bitdefender free e o firewall do Comodo e não sei se eles seriam capazes de bloquear ou detectar isso.

 

O bot certamente o HIPS do Comodo daria o alerta.

 

Fiz uns testes aqui enxertando esses trechos do código em páginas html e nenhum dos mais de 50 antivírus do VirusTotal detectou.

 

Para mim isso significa que esses códigos são considerados normais e assim não são detectados.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá, Henrique. Não é muito simples porque o antivírus não pode impedir que o usuário altere a configuração de DNS caso ele queira. Então um bloqueio por rede acho que não é a melhor saída. Aqui eu tô indo mais pela detecção do código dos arquivos em si, mas também não é fácil.

 

Só por curiosidade, qual o link da análise no VT que você fez?

 

Abraços,

Fernando

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Nunca estudei qualquer tipo de programação mas fiz alguns testes copiando os códigos que aparecem na notícia e colando em páginas html e em seguida submetendo ao VirusTotal e nada foi detectado.

 

Outros códigos peguei de um blog gringo e fiz testes também e nada detectado.

 

http://blog.kapravelos.com/post/68334450790/attacking-home-routers-via-javascript

 

O HIPS do Comodo deveria alertar em casos de alteração do DNS durante navegação mas acho que não o faz.

 

Um dos testes que fiz:

 

https://www.virustotal.com/pt/file/a72e6f9b0f6d3663ed67e973b226bccfeb3616f876b999af7145281067c68d97/analysis/1431436459/

 

Acho que a heurística dos antivírus deveria ser capaz de detectar e alertar.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Deveria sim, mas mesmo regras heurísticas devem ser criadas antes pelas empresas de AV.

 

A indústria de AV tem muito o que melhorar, mas também falta pressão dos usuários. No lugar do usuário, eu mandaria e-mail para o fabricante do AV exigindo proteção para esta ameaça. Se eu fosse responsável por uma rede (leia-se pela segurança de vários usuários), também tentaria "dar o meu jeito" em paralelo. Uma ideia seria usar o ClamAV e criar uma assinatura genérica para essa ameaça (na documentação tem um link "Writing signatures"). Já usei no passado e funciona muito bem.

 

Outra opção, para inspecionar o tráfego, é usando o Snort ou Suricata, que são IDS livres e possuem vasta documentação também.

 

Assim pelo menos até o seu fornecedor de AV publicar a vacina, seu ambiente fica protegido. ;)

 

Abraços.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ontem tentei novamente fazer uns testes mais cuidadosos com as linhas que aparecem na sua notícia em um html e em um css e não teve um antivírus no VirusTotal que os detectasse.

 

E olha que esse ataque que troca o DNS de roteadores ADSL é antigo e frequente.

 

O jeito para quem tem esse tipo de conexão é trocar a senha padrão do roteador/modem.

 

A falta de detecção de páginas com essa exploração por parte dos antivírus deixa os sistemas expostos a outros tipos de ataques que possam estar associados como é o caso do da sua notícia.

 

O antivírus do Comodo nem um web filter decente tem e por isso uso junto o do Bitdefender Free.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Parabéns Fernando! :joia:

 

 


O jeito para quem tem esse tipo de conexão é trocar a senha padrão do roteador/modem.

 

 

Sim... mas últimamente vejo um problema muito grande no que diz respeito a configuração do modem/roteador ADSL: cada dia que passa, não são os usuários que contrataram o serviço da operadora quem faz a configuração e sim o funcionário da empresa, e eles, somente se preocupam com que o acesso seja possível, utilizando um e-mail da empresa e senha, deixando tudo no padrão. O único ponto positivo que vejo, é que muitos funcionários estão deixando o WEP de lado para usar WPA2. :cool:

 

Isso, creio eu, pode agravar ou contribuir com esse tipo de contaminação. (_(

 

Abraços :D

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Na instalação da suíte do Comodo é oferecido o seu DNS.

 

Eu não quis esse DNS mas quem aceita e tem conexão ADSL talvez esse ataque não tenha resultado nenhum pois o DNS é colocado em uma chave no registro do Windows.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bem, se você configurar o seu DNS na placa de rede, já vai ficar imune a *este* ataque mesmo, mas tem outros malware que podem alterar essa configuração (no registro). Só que aí a infeção se dá de outra forma, provavelmente tendo que executar um .exe e tal.

 

Abraços!

Fernando

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sim mas essas outras formas de contaminação ( exe, cpl, pif etc ) não são indiretas e automatizadas como é o caso aqui.

 

Não faz muito tempo entrei em um site de risco com o NoScript do Firefox desativado e na hora houve a tentativa de baixar um exe na pasta temp barrado pelo HIPS do Comodo.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ah... creio que ficou misturado o que escrevi acima, só explicando:

 

Sim... mas últimamente vejo um problema muito grande no que diz respeito a configuração do modem/roteador ADSL: cada dia que passa, não são os usuários que contrataram o serviço da operadora quem faz a configuração e sim o funcionário da empresa, e eles, somente se preocupam com que o acesso seja possível, utilizando um e-mail da empresa e senha, deixando tudo no padrão.

 

O fato de os funcionários deixarem na configuração padrão, digo a senha de acesso do modem/roteado, possibilita este tipo de infecção, ccitada em seu artigo @Fernando Mercês

 

O único ponto positivo que vejo, é que muitos funcionários estão deixando o WEP de lado para usar WPA2.

.

Aqui é outro caso (WEP Attack), que deixava a desejar nas configurações que os funcionários faziam: deixavam o WEP como protocolo, agora não, já deixam o WPA2.

 

Acabei misturando os temas! :lol:

 

É isso...

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Concordo, @diego_moicano (e obrigado pelos parabéns!). Vi muitos roteadores fornecidos pela GVT que, para a senha da rede sem fio (não para a senha de login de roteador), um algoritmo era usado e a senha vinha meio que única, impressa numa etiqueta colada no aparelho. Devia ser assim para a autenticação também. :(

 

Mudar a senha padrão do modem é algo fácil e ajuda muito nesta proteção, mas o usuário realmente não tem nem obrigação de saber o que um modem/roteador é. A operadora sem dúvida deveria ajudar, e o fabricante também (pondo um CAPTCHA por exemplo).

 

Abraços!

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Parabéns @Fernando Mercês pelo texto, excelente! Todo dia vemos muitos casos aqui e em outros fóruns de pessoas reclamando de redirecionamentos em todos os dispositivos da rede... e neste caso de ataque aos roteadores, a falha está no lado humano - configuração inadequada do roteador no qual se mantem  a senha a padrão de fábrica. 

 

Será que este tipo de ataque é o que prevalece hoje? Ou ainda há também muitos roteadores com vulnerabilidade nos firmwares? Sempre vemos o pessoal por aí nos fóruns na internet recomendando  apenas resetar  o roteador para resolver o problema. Mas somente resetar e não mudar a senha não adianta. E no caso de vulnerabilidade, alterar a senha também não adianta caso não altualize o firmware. Então é importante saber como o ataque acontece - principalmente por parte de quem é vítima - para evitar que aconteça de novo. Estou certo pessoal? rsrsrsrs

Compartilhar este post


Link para o post
Compartilhar em outros sites

@OpaioX se você ler com atenção a matéria verá que isso só acontece com quem usa roteadores ADSL e pelo que sei é qualquer roteador de hoje pois as empresas que fabricam esses aparelhos nada fazem para evitar esse tipo de ataque.

 

O evento também só ocorre se o site tiver sido modificado pelo cracker como aconteceu recentemente com a Folha de São Paulo ou com o Estadão ( também em sites de risco como de torrents e pornôs ).

 

E os antivírus parece que não estão detectando esses sites invasivos talvez por considerarem um comportamento dentro da normalidade pois já faz tempo que deve ser do conhecimento das empresas que desenvolvem os programas de antivírus.

 

Acredito que o Comodo e algumas das soluções pagas ofereçam uma proteção ao criarem uma chave especial no registro do Windows determinando o seu DNS ao invés de ser usado o da fornecedora de internet mais sujeita a ataques.

 

Veja na imagem abaixo o DNS do Comodo sendo oferecido na instalação do programa:

 

cis_prem_inst7_012814.png

 

Nenhuma outra solução gratuita oferece esse recurso.

 

Abaixo a imagem do "Comodo secure DNS" em ação no navegador:

 

comodo-blocked-100563763-large.idge.png

 

Pesquisando e testando descobri como colocar essa chave do DNS no registro do Windows bastando apenas ir em propriedades de rede e colocando lá o DNS que se quer ( pode do Google, do Comodo, do OpenDNS, da Symantec etc ). No link a seguir ( em inglês ) mostra como fazer a troca com imagens:

 

https://www.comodo.com/secure-dns/switch/windows_vista.html

 

A troca do DNS da fornecedora de internet por outro estrangeiro menos conhecido é importante como forma de se evitar o envenenamento de DNS nacionais por crackers brasileiros que tentam assim direcionar sites de login como os bancários e os de cartões de crédito para falsos com o fim de roubar.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa @Fernando Mercês :)

 

Então e por falar nisso, algoritimo pré-pronto, outro dia minha irmã comprou um 3x1. Quando fui ver o aprelho estava gravado GVT, ou seja, já vinha pré-configurado. Não curti... :sne:

 

Sim, também acho que o usuário não tem obrigação de saber o que é um modem, mas acredito que a conscientização é a forma mais expressiva de alerta, não curto muito essa história em deixar o outro fazer por você!

 

E parabéns pelo seu trabalho, infelizmente não consegui assistir sua palestra no H2HC 2014! :(

 

Abraços :D

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Grande @diego_moicano, beleza?

 

Concordo, mas o difícil vai ser as telcos se preocuparem em conscientizarem seus usuários se por diversas vezes elas não entregam nem o serviço direito. :(

 

Valeu pelas palavras. O H2HC foi show e com certeza você tava vendo outra palestra, mais interessante! haha o evento tava cheio de palestra legal, como sempre. Esse ano tem de novo!

 

Abraços!

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Fernando Mercês

 

Tem razão, creio que seria muito difícil algo a partir deles... mas e quanto a nós?!

 

O que você faz, sem puxa saquísmo hehehe, é uma forma de conscientização. O problema é que poucos estão interessados, e quando a casa cai, aí procuram ajuda ou tentam saber como aconteceu, o que muitas vezes, é tarde demais... (_(

 

Nada, não estava assistindo outra palestra não, a sua já estava na minha lista. É que fiquei preso no CTF: fomos a equipe vencedora!  :bandeira:

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×