Vírus modernos baseados em rede atuam em equipe – vírus trojan, ransomware e Mimikatz. O ransomware age como um gerador de dinheiro, e a razão para esse papel é fácil de entender. É impossível conduzir negócios quando todos os dados nos computadores da sua empresa, incluindo relatórios, faturas, conhecimentos de carga e muitos documentos essenciais, estão criptografados. Mas era difícil infectar todos os computadores na rede simultaneamente porque a maioria estava usando senhas. Para remover tal obstáculo, os desenvolvedores de ransomware decidiram usar ferramentas de invasão para coletar senhas. Mimikatz é uma das ferramentas de invasão mais populares que os criadores de malware usam para eliminar o escudo de segurança. Neste artigo, você verá a explicação das vulnerabilidades do Windows, bem como o uso do Mimikatz junto com vírus trojan e ransomware.
Sobre o sistema de gerenciamento de senhas do Windows
Você pode ouvir a opinião de que o Windows não mantém a senha no formato bruto (ou seja, sem qualquer criptografia, como texto simples). Essa ilusão é espalhada de forma igual entre os administradores de sistema e usuários experientes do Windows. E de certa forma, eles estão certos – provavelmente você nunca verá a senha “bruta” em nenhum registro, em nenhum arquivo. Mas o sistema de Autenticação Digest HTTP, que é usado no Windows 10, requer não apenas o hash da senha, como o original Autenticação Digest HTTP, mas também a senha exata.
A senha e seu hash são mantidos criptografados na memória do processo LSASS.exe, que é iniciado junto com o sistema e pertence aos processos de baixo nível responsáveis pela execução das funções básicas do sistema. No momento em que você está fazendo login na sua conta do Windows, o hash e a senha são extraídos da memória do LSASS.exe, em seguida, descriptografados e comparados com a senha que você digitou. Quando tanto o hash quanto a senha coincidem, o sistema permite que você faça login. Quando a autenticação é concluída, as credenciais mencionadas são criptografadas novamente e permanecem na memória do processo LSASS até que sejam necessárias novamente.
Qual é o problema?
O processo de extração e descriptografia, assim como a criptografia após o processo de autenticação, é realizado através das funções Win32 LsaUnprotectMemory e LsaProtectMemory1. E, uma vez que essas funções são usadas no sistema operacional de forma igual a outras funções, elas podem ser utilizadas por outros programas, por exemplo, ferramentas de invasão. Utilizando o algoritmo específico que o Mimikatz usa, essas ferramentas podem chamar o LsaUnprotectMemory, obtendo a senha “bruta” e seu hash no console.
O problema do uso de tais ferramentas está nos mecanismos de interação da CPU e do sistema operacional. Após o registro de inicialização do Windows ser inicializado, o processador cria níveis de memória virtuais, chamados de “anéis”, que estão isolados uns dos outros. As instruções definidas no processador estão no Anel 0, os drivers dos dispositivos relacionados à placa-mãe estão no Anel 1, e os processos básicos do sistema operacional e os drivers de dispositivos periféricos estão no Anel 2. Todo o sistema operacional (a parte com a qual o usuário interage) está no Anel 3. 2. Programas que operam em anéis separados não conseguem interagir. Portanto, as ferramentas de invasão devem ser algo maior do que simples programas: para operar com sucesso. Elas precisam ser iniciadas no mesmo anel dos drivers de dispositivos periféricos e processos do sistema. E o Mimikatz é projetado para se adequar a esses critérios.
Se o vírus estiver implementado tão profundamente no sistema, ele pode assumir o controle do computador inteiro. Felizmente, o Mimikatz é criado apenas para extrair senhas do sistema, então ele não pode danificar seu Windows. Porém, suponhamos que os criminosos cibernéticos que desenvolveram e distribuíram o vírus trojan tenham decidido usar o Mimikatz para hackear as senhas. Qual é o problema para esses indivíduos de utilizar outra ferramenta de baixo nível para causar mau funcionamento no seu sistema?
Sobre a ação conjunta do Mimikatz e do ransomware
Infectar a rede corporativa não é fácil. Para fazê-lo, o vírus inicial (geralmente um trojan) que injetará o ransomware posteriormente deve ter acesso a todos os computadores dessa rede. E o Mimikatz é chamado para conceder esse acesso aos distribuidores de malware.
Para realizar uma invasão bem-sucedida em todos os computadores da rede, o Mimikatz deve ser injetado no computador que possui uma conta de usuário de administrador. Pode ser o PC do administrador do sistema, assim como o computador da secretária ou de um dos funcionários – tanto faz. O critério principal é ter uma conta de usuário de administrador. Com essa conta, o Mimikatz pode hackear as senhas de todos os computadores conectados à rede atacada. Após as senhas serem quebradas, o trojan, que anteriormente injetou a ferramenta de invasão, injeta o ransomware em todos os computadores dessa rede e, em seguida, inicia o processo de criptografia com uma porta dos fundos (backdoor) que foi injetada junto com a ferramenta de invasão.
Todos os ataques globais modernos foram realizados dessa forma. O ataque mundial do WannaCry e suas variantes foram realizados exatamente devido à atividade conjunta do Mimikatz e do ransomware mencionado. Parecia que esses ataques eram massivos o suficiente para fazer todas as correções necessárias na segurança de rede de grandes organizações. Mas hoje, em 2020, hospitais americanos estão sofrendo ataques de ransomware executados da mesma forma. A maior parte dos ataques em toda a corporação ocorre após o ransomware DOPPELPAYMER, que colabora com o Mimikatz e o vírus trojan para infectar toda a rede e exigir um grande resgate, dependendo do tamanho da empresa. Além da criptografia de arquivos, os desenvolvedores do DOPPLEPAYMER também roubam os dados da empresa que atacam.
Como evitar um ataque de ransomware em sua rede?
A maioria do “trabalho sujo” é feito pelo Mimikatz. Portanto, para reduzir a chance de um ataque bem-sucedido de ransomware, você precisa impedir a atividade bem-sucedida do Mimikatz. Existe uma única maneira de evitar o roubo de senhas – removê-las da memória do processo LSASS.exe mencionado. A Microsoft oferece uma solução perfeita para esse caso – conta Microsoft como método de autenticação no sistema.
Fazer login com a conta da Microsoft desabilita o armazenamento da senha na memória do LSASS – ela será mantida no servidor da Microsoft. O hash ainda estará disponível, mas obter a senha “bruta” é difícil tendo apenas o hash. Portanto, usando apenas um passo simples, que não consome tempo e não cria problemas, você pode proteger pelo menos o seu sistema desse assistente de ransomware.
Como já mencionado, todos os ataques de ransomware são provocados por vírus trojan. A injeção de trojan pode ser evitada com os passos que foram descritos em um grande número de artigos em nosso site:
- Não clique em links suspeitos em e-mails. Isso pode levar ao download de trojans, adware ou sites de phishing, onde as credenciais da sua conta do Facebook/Twitter/LinkedIn podem ser roubadas.
- Não abra os anexos em e-mails que foram enviados de endereços de e-mail suspeitos. Mesmo que pareça ser uma mensagem de uma empresa de transporte, é melhor dedicar cinco minutos para lembrar se você tem entregas pendentes. O melhor cenário é verificar os e-mails reais no site da empresa de transporte e comparar os endereços encontrados com os do e-mail.
- Avoid usar software crackeado ou utilitários para crackear algo. Usuários que crackeiam o software podem adicionar o vírus trojan ao pacote de instalação para ganhar dinheiro, assim como os desenvolvedores de ferramentas de cracking.
Essas regras simples o ajudarão a evitar a maioria dos ataques de ransomware.
User Review
( votes)References
- Detalhes técnicos das funções do processo LSASS.exe.
- Mais informações sobre isolamento de memória na Wikipedia
Inglês Alemão Japonês Espanhol Francês Turco Chinês (Tradicional) Coreano Indonésio Hindi Italiano