SentinelOne explica as técnicas usadas pela ameaça que destroem dados
Além dos ataques militares russos, a Ucrânia vivencia ciberataques de um malware que destrói informações, o HermeticWiper. Ontem (23), a comunidade de inteligência de ameaças da SentinelOne começou a observar uma nova amostra do malware Wiper circulando em organizações ucranianas. Esse tipo de ataque não visa lucros, mas causar danos.
A análise da SentinelOne mostra que um driver autenticado está sendo usado para implantar um wiper, ou limpador, que apaga totalmente os discos no Windows, depois de excluir as cópias shadow, manipula o MBR (Master Boot Record que inicializa o armazenado em uma unidade do disco), logo após a reinicialização.
Esse wiper, apelidado de HermeticWiper, está sendo usado ativamente contra organizações ucranianas.
Francisco Camargo, CEO da CLM, que distribui as soluções da SentinelOne, acalma os clientes que usam a tecnologia da SentinelOne. Todos as empresas estão protegidas e não precisam fazer nada.
Contexto
Em 23 de fevereiro, nossos colegas de pesquisa da Symantec e da ESET tuitaram hashes associados a um ataque de limpeza na Ucrânia, incluindo um que não estava disponível publicamente até o momento.
“Começamos a analisar esse novo malware que apaga completamente os discos o apelidamos de ‘HermeticWiper’ em referência ao certificado digital usado para autenticar o driver”, conta a SentinelOne. O certificado digital é emitido em nome da empresa ‘Hermetica Digital Ltd’ e é válido a partir de abril de 2021. No momento, não vimos nenhum arquivo legítimo assinado com este certificado. É possível que os invasores tenham usado uma empresa de fachada ou se apropriaram de uma empresa extinta para emitir esse certificado digital.
Análise técnica inicial
À primeira vista, o HermeticWiper parece ser um aplicativo personalizado com poucas funções. O malware tem parcos 114 KBs de tamanho e aproximadamente 70% disso é usado para recursos. Os desenvolvedores usam uma técnica testada e comprovada de malware de limpeza, que se aproveita de um driver benigno de gerenciamento de partição, a fim executar os componentes mais prejudiciais de seus ataques. Tanto o Lazarus Group (Destover) quanto o APT33 (Shamoon) usaram o Eldos Rawdisk para obter acesso direto ao sistema de arquivos sem chamar as APIs do Windows. O HermeticWiper usa uma técnica semelhante ao se valer de um driver diferente, empntdrv.sys.
As cópias do driver são esses recursos compactados. O malware implanta um deles, dependendo da versão do sistema operacional, quantidade de bits e redirecionamento SysWow64.
Seleção de recursos do driver EaseUS
O driver benigno EaseUS é usado para fazer uma parte legítima do trabalho pesado quando se trata de acessar unidades físicas diretamente, bem como obter informações de partição. Isso aumenta a dificuldade de analisar o HermeticWiper, pois muitas funcionalidades são adiadas para chamadas DeviceIoControl com IOCTLs específicos.
MBR e corrupção de partição
O HermeticWiper enumera um intervalo de unidades físicas várias vezes, de 0 a 100. Para cada unidade física, o dispositivo \\.\EPMNTDRV\ é acionado por um número de dispositivo.
O malware então se concentra em corromper os primeiros 512 bytes, o Master Boot Record (MBR) para cada unidade física. Embora isso deva ser suficiente para o dispositivo não inicializar novamente, o HermeticWiper processa a numeração das partições de todas as unidades possíveis.
Eles então diferenciam entre partições FAT e NTFS. No caso de uma partição FAT, o malware chama o mesmo ‘bit fiddler’ para corromper a partição. Para NTFS, o HermeticWiper analisa a tabela de arquivos mestre antes de acionar essa mesma função de manipulação de bits novamente.
A SentinelOne faz alguma referência à função de manipulação de bits, mas não entra nos detalhes. Ao examiná-la, é possível ver as chamadas para APIs do Windows para obter um provedor de contexto criptográfico e gerar bytes aleatórios. “É provável que isso esteja sendo usado para uma implementação de criptografia embutida e substituição de bytes, mas o mecanismo não está totalmente claro no momento”, avaliam os analistas da SentinelOne.
Outras funcionalidades se referem a campos MFT interessantes ($bitmap, $logfile) e NTFS streams ($DATA, $I30, $INDEX_ALLOCATION). O malware também enumera pastas comuns (‘Meus Documentos’, ‘Desktop’, ‘AppData’), faz referências ao registro (‘ntuser’) e aos Logs de Eventos do Windows (“\\\\?\\C:\\Windows\\System32\\winevt\\Logs”).
“Nossa análise está em andamento para determinar como essa funcionalidade está sendo usada, mas está claro que já tendo corrompido o MBR e as partições de todas as unidades, o sistema da vítima deve estar inoperante neste ponto da execução”, assinala a SentinelOne.
Ao longo do caminho, as operações mais vulgares do HermeticWiper fornecem mais IOCs para monitorar. Isso inclui a criação momentânea do driver violado, bem como um serviço do sistema. Ele também modifica várias chaves de registro, incluindo a configuração da chave SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled para 0, desativando efetivamente os despejos de memória antes que a execução do driver atacado comece. Por fim, o malware aguarda os threads adormecidos antes de iniciar o desligamento do sistema, finalizando o efeito devastador do malware.
Conclusão
Após uma semana de desfigurações e ataques DDoS crescentes, a proliferação de operações de sabotagem por meio de malware de limpeza é uma escalada esperada e lamentável. “Neste momento, temos uma pequena janela de abertura para os ataques efetuados na Ucrânia e subsequentes repercussões em países vizinhos e aliados. Se há um lado positivo em uma situação tão difícil, é ver a colaboração aberta entre equipes de pesquisa de inteligência de ameaças, pesquisadores independentes e jornalistas que procuram esclarecer a história. Nossos agradecimentos aos pesquisadores da Symantec, ESET, Stairwell e RedCanary, entre outros que contribuíram com amostras, tempo e experiência”, finaliza a análise da SentinelOne.
Fonte: Bdcnoticias