A evolução dos kits comerciais de desenvolvimento malware e as formas malware pronto a usar

Por Gunter Ollmann, Chief Security Strategist, IBM Internet Security Systems
Nos últimos 5 anos, as motivações na criação de malware mudaram consideravelmente. O que até esse momento era atribuído a trabalho feito por pessoas solitárias na privacidade de sua casa, evoluiu para uma actividade levada a cabo por uma comunidade altamente profissionalizada e motivada por ganhos substanciais. Estes conglomerados orientados ao negócio, oferecem um menu completo de modelos de negócio – em esquemas financeiros que passam pela venda, aluguer, subscrição e mesmo pagamento  por utilização – todos eles com preços muito competitivos de forma a atrair clientela.
Os worms e os vírus destrutivos não decorrem já de uma qualquer necessidade pessoal de afirmação. O malware actual pode ser descrito como uma plataforma aberta de máquinas de ataque – combinando as técnicas de vírus mais sofisticadas com as técnicas mais modernas de exploração de vulnerabilidades – tudo ligado como um canivete Suíço e atraindo criadores de malware para programar plug-ins adicionais.

Nascimento dos modernos kits de desenvolvimento de malware

 

 

Pouco tempo após o primeiro vírus e worms surgirem no PC, o primeiro lote de kits de criação do vírus apareceu e começou a alastrar. Estes kits gratuitos exigiam normalmente utilizadores com capacidades técnicas acima da média, e exigia muito trabalho para os pôr a funcionar. Por volta de 1995, havia quase tantos kits como famílias de vírus, com a maioria dos kits disponibilizados para download gratuito – incluindo o código fonte.
Com a entrada no novo milénio, os kits evoluíram da simples disponibilização das tradicionais classes de vírus para incluir funcionalidades mais avançadas como o root-kit, o comando e controlo de interfaces de rede e bibliotecas de propagação de worms. A maioria  dos kits mais populares ainda eram massivamente distribuídos  gratuitamente ou optavam por um processo de registo de shareware.
Ao mesmo tempo, a industria da segurança superava largamente o fenómeno do pequeno script normalmente criado por jovens e um novo lote de kits de criação malware começou a aparecer. Estes kits foram desenvolvidos de forma profissional, vendidos por algumas centenas de dólares e eram projectados para serem utilizados pelos compradores com pouca ou nenhuma experiência de desenvolvimento. Esses kits "idiot proof"  eram oferecidos com possibilidade de escolha de malware por menu, customização de encriptação (por exemplo, proteger a porta de entrada do malware por senha secreta), e incluía recursos de controlo remoto como ejectar o CD, manipular a informação no ecrã e possibilidade de reinicializar o sistema – características mais associadas a aspirantes a administradores de sistema e a quem queria pregar uma boa partida.
Por volta de 2005 estes kits de malware sofreram outra mudança. Esta data coincide com a passagem pela universidade da geração dos criadores dos scripts iniciais que, tendo ingressado na Universidade, obtiveram as suas licenciaturas e outras graduações em ciências da computação; e que encontravam então alternativas rentáveis onde aplicar os seus novos conhecimentos. Esta evolução dos kits malware transitava finalmente para o mundo do crime com funcionalidades especializadas, tais como canais encriptados de comando e controle, incorporando conteúdos em serviços web com técnicas de phishing (aquisição ilegal de informação), roubo de identidade através de utilização de técnicas de man-in-the-browser (intrusão no browser), passando por analisadores de dispositivos com a finalidade de capturar dados reservados como endereços de e-mail e dados do cartão de crédito.

 

 

Kits de última geração

 

A actual geração de kits para criação de malware pode ser considerado como crime-ware altamente sofisticado; apoiados por equipas de desenvolvimento que oferecem garantia e acordos de nível de serviço. A concorrência feroz entre "fornecedores" é agora tão comum que eles necessitam de proteger os seus investimentos de propriedade intelectual nos seus kits de malware – daí terem de implementar os seus próprios sistemas de DRM. Não existe honra entre ladrões.
Com tantos kits de malware disponíveis a copiarem-se entre si nas mais recentes tecnologias perniciosas, a diferenciação reside agora na qualidade das ofertas de serviço e nas modalidades de pagamento. Por exemplo, o  kit de geração Turkish Trojan chamado Turkojan, (já na sua 4ª versão) vem em três modalidades – Bronze por 99 dólares, Silver por 179 dólares e Gold por 249 dólares – situando-se as diferenças no período de garantia para substituição (por exemplo em caso de detecção por software antivírus), nível de suporte técnico (por exemplo 24×7), bem como características adicionais de monitorização.
Entretanto, kits de criação de malware especializados na conversão de um Trojan para um worm auto-replicável como seja o kit Spanish TrojanToWorm, já permitem o suporte de vários idiomas – Inglês, Espanhol, Português e Catalão – de modo a servir mercados mais alargados.
Enquanto as tecnologias antivírus amadureceram e acrescentaram processos avançados de análise heurística e comportamental às suas bases de dados internas de assinaturas de vírus, foram criadas novas ferramentas para testar e afinar a produção de malware indetectável. Provou-se assim que modelos de ataque baseados em variações em série como o Storm Worm, utilizando uma cache pré-carregada com várias centenas de variantes malware, caracterizadas como “desconhecidas”, jogam a favor dos atacantes. Desde que as possam produzir consecutivamente, mais depressa que o fornecedor de antivírus actualize o seu produto, os clientes desse antivírus estarão efectivamente desprotegidos.
Para ajudar este processo, foram aparecendo novas ferramentas e serviços, permitindo ao autor de malware executar as suas últimas criações e receber feedback instantâneo de forma a saber se algum um dos populares (às dezenas) produtos antivírus pode detectá-lo. Algumas ferramentas chegam ao ponto de tentar manipular e modificar automaticamente uma amostra de malware de modo que ela não seja detectada pelos produtos antivírus.

 

Vias paralelas de desenvolvimento

 

Simultaneamente, enquanto os kits comerciais de desenvolvimento de malware vão amadurecendo, novas técnicas de exploração de fragilidades e novas estratégias são desenvolvidas no sentido de serem capazes de disseminar conteúdos maliciosos de forma camuflada.
Já não é necessário ter de esperar que utilizadores incautos cliquem ou executem uma aplicação malware para que fiquem infectados, a utilização de exploits (capacidades de intrusão) e de plataformas baseadas na Web para lançar ataques floresceram numa era dominada pelos downloads.
Estas novas plataformas de ataque baseadas na Web estão agora disponíveis em variadas ofertas em várias ofertas para aluguer, aquisição, ou qualquer outro modelo intermédio de pagamento, estando rapidamente a tornar-se o vector preferido para a infecção.
Por exemplo, o kit IcePack apareceu em Julho de 2007 em duas versões – “IcePack Lite” e o  “IcePack Platinum Edition” vendidas por 30 e 400 dólares respectivamente, cuja diferença variava consoante o  número e tipo de exploits. Produzido pelo “IDT Group”, de origem russa, já se encontra traduzido para Inglês e Francês, exigindo uma licença registada para funcionar.
Para aqueles que apoiam os autores de malware criminoso que não querem dar-se  ao trabalho de comprar e instalar as suas próprias plataformas de ataque, têm aparecido um conjunto de novos prestadores de serviços de gestão – o que lhes permite alugar as instalações existentes para distribuir globalmente o seu malware. Alguns destes prestadores de serviço chegam a ofercer plataformas especializadas / direccionadas e com a capacidade de cobrar por clique efectuado  (por exemplo, operam sob modelos de negócios semelhantes aos da publicidade comercial na Web).
  

 

 

Kits de phishing

 

Havendo já registos de ataques de phishing desde meados de 1990, acompanhando o movimento da banca online, foi apenas em 2005 que o phishing especializado começou a aparecer.
Ao principio, a maioria dos ataques de phishing eram pouco mais que os clássicos ataques de disfarce tipo  man-in-the-middle (escuta de conversação), que simulavam páginas de bancos online hospedados em plataformas de servidor Web (por exemplo Apache, Zeus, etc), e utilizando mecanismos de correio para propagar o phishing através de e-mail de spam (correio não solicitado).
Em finais de 2005, o conjunto de ferramentas necessárias para realizar um esquema de phishing tinha sido combinado em kits especializados – empregando as suas próprias bibliotecas de conteúdo bancário falsificado, ferramentas para a criação de URLs de phishing personalizados (para contornar as tecnologias anti – spam), juntamente com a gestão dos sites e ferramentas de reporting. Tendo a fama como objectivo, o kit Rock Phish foi (e ainda é) o ponto de referência de kits de phishing.
Múltiplas réplicas do kit Rock Phish foram evoluindo ao longo do tempo e são propagados por aquilo que parecem ser grupos independentes do submundo empresarial. Tendo como base a relativa sofisticação do kit de phishing e integrando uma "oferta de serviços consolidados" fazendo uso de técnicas de autenticação, esses kits têm um valor de mercado entre 50 e 800 dólares, podendo ser adquiridas réplicas de páginas de sites bancários, por apenas alguns dólares mais.
Mais recentemente, com o lançamento por parte da banca online, de técnicas mais sofisticadas de validação (one-time password) e autenticação (out-of-band authentication technologies), os kits de phishing  começaram também a adoptar técnicas de infiltração baseadas na instalação de malware nos próprios hosts.

 

Serviços de geridos

 

Não contentes com a sofisticação dos componentes individuais do malware, as novas empresas evoluíram através do fornecimento de serviços de gestão que estendem a funcionalidade e a vida útil de um qualquer malware adquirido.
Para proteger os canais de comando e controlo de malware automatizado e para garantir a manutenção online e durante mais tempo dos sites de distribuição de malware, é possível alugar serviços especializados baseados em botnets (robot de software que corre de forma autónoma) que vão fornecendo “DNS integrity services”. O botnet Asprox é um desses exemplos.
Outro importante serviço de gestão está baseado no CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), usado para proteger sites vocacionados para uma utilização mais pessoal, de ataques, efectuados através de ferramentas automáticas, baseados em força bruta. Estes CAPTCHAs consistem tipicamente num conjunto de letras e números distorcidos, que exigem intervenção humana para inserir correctamente um conjunto de caracteres em simultâneo com outra informação para criação de contas ou de login e podem ser encontrados na maioria dos fornecedores de e-mail gratuito ou de armazenamento online.
Ao longo dos últimos doze meses todos os principais sistemas CAPTCHA foram batidos, já que tanto atacantes como  investigadores construiram sofisticados sistemas de reconhecimento de caracteres para derrotá-los – e cada um desses “breakers”  pode ser obtido sem dificuldades, e integrados em populares plataformas malware botnet. Como resposta, os operadores dos sites têm melhorado as suas implementações CAPTCHA tornando-as mais complicadas (tanto para o invasor como para o legítimo utilizador).
Para ultrapassar este problema, os novos operadores de serviços geridos estão agora a disponibilizar mão de obra mais barata para combater os CAPTCHA. Esses sites operados predominantemente a partir da Rússia, oferecem pagamentos escalonados a partir de 1 dólar por cada 1000 CAPTCHA penetrados, e fornecem um API (application program interface) passível de fácil integração na estrutura de malware.
Indo ainda um pouco mais longe, prestadores de serviços geridos de “valor acrescentado” aproveitam-se  agora daqueles prestadores de serviços e criam grandes quantidades de contas de e-mail grátis em todos os populares e-mail providers vendendo-os por grupos de novas contas (por exemplo endereço de e-mail, user id e palavra-passe) por cerca de 20 dólares por 1000 contas – podendo então ser usadas pelo comprador para propagar ou alojar o próximo lote de criações malware.

 

 

 

Malware 1-2-3

 

Os kits de criação malware percorreram um longo caminho desde as suas versões freeware. Os kits actuais pouco se parecem com os anteriores e, mais importante ainda, foi construída à sua volta uma completa indústria criminosa a três níveis.
No nível inferior, estão os criminosos que apenas utilizam os kits para criar o malware específico de que necessitam para realizar crimes planeados. As suas competências tecnológicas não precisam ser particularmente avançadas, só precisam do dinheiro para a compra das ferramentas e de saber onde adquiri-las.
No nível intermédio, estão os produtores qualificados e as comunidades de técnicos especializados, criando novos componentes para incorporar nos seus kits comerciais de criação de malware. A concorrência existente levou-os a transformar cada vez mais os seus kits de malware em plataformas de ataque generalizado – com preços diferenciados consoante os mercados criminosos a que se dirigem – e permitindo a outros fornecedores adições de funcionalidades às suas ferramentas.
Finalmente, os novos prestadores de serviços geridos. Estes estudam o mercado de criação de kits malware e embrulham novos serviços à sua volta de forma a ajudar a acelerar a propagação do malware criminoso, permitindo aos criminosos irem mais além no ciber-mundo. Ao oferecerem suporte internacional e facilidade de acesso, permitem a grupos criminosos organizados realizar fraudes e alimentar as cadeias de lavagem de dinheiro com os ganhos ilegais obtidos.
O futuro apresenta-se cinzento para aqueles que tentam combater a ameaça que o malware representa. Cada novo kit de criação de malware adiciona camuflagem e técnicas de dissimulação aos seus produtos, enquanto que novos exploits e outras técnicas vão sendo experimentadas e os prestadores de serviços geridos lançam novas ofertas de forma a aumentar a robustez e escala de cada nova iniciativa criminosa.




Deixe um comentário

O seu email não será publicado