Fernando Mercês

Em março do ano passado, pesquisadores da Trend Micro descobriram que o malware Winnti utilizava o Github para baixar um arquivo de configuração de seu servidor de Comando & Controle (C&C, ou C2). Mais para o fim do ano, a empresa Sucuri analisou um caso onde um minerador de criptomoeadas foi encontrado na plataforma. Agora é a vez de malware brasileiro entrar na brincadeira. Disfarçado seu malware de "notafiscal" como muitos outros criadores de malware brasileiros, o usuário w3afkli1001 hospedou um .rar e um .exe num repositório chamado nfiscal. Ironicamente, foi escolhida uma licença livre Apache. Usando a ferramenta repoget, que fiz exatamente para casos como esse, baixei todo o conteúdo de todos os repositórios deste usuário (mas só havia um mesmo): $ python2.7 repoget.py w3afkli1001 Creating ./w3afkli1001 directory... Cloning repositories... w3afkli1001/nfiscal Cloning gists repositories... $ cd w3afkli1001/nfiscal $ md5 * MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe) = 778351a3953ed0cc081fef0a5da53358 MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.rar) = b97861be214d9a4643571090ee8740e9 MD5 (LICENSE) = 86d3f3a95c324c9479bd8986968f4327 MD5 (Nota_Fiscal.exe) = 679dd0f68e9f25b4c57bd5bc332fb952 Olhando o log dos commits, percebe-se que o autor utilizou a interface web do Github para fazer uploads dos arquivos. Mais fácil que aprender a usar o git né? $ git log commit 5e0d647a5356b861102b8fe4eacbf13d3f9c1eef (HEAD -> master, origin/master, origin/HEAD) Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com> Date: Thu Feb 15 14:28:19 2018 -0200 Add files via upload commit 61792bc7a8591291d2467333a5cecfc6d9505c5e Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com> Date: Mon Feb 5 20:14:25 2018 -0200 Add files via upload commit f03d7491f2c5369d4d6be9353d04faa8564c60dc Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com> Date: Mon Feb 5 20:13:00 2018 -0200 Delete ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe Mas por que afinal, é perigoso hospedar malware em sites como Github, Google Drive, Dropbox, etc? Acontece que muitas soluções de segurança não bloqueiam as requisições para estes sites, pois são conhecidamente sites benignos. A responsabilidade da segurança é deles, mas reconheço que é um desafio.

Nesta sexta-feira a desenvolvedora de software Hex-Rays atualizou a versão do IDA, seu disassembler. A versão gratuita do IDA não era atualizada desde a versão 5.0, enquanto a versão paga seguiu passando pela 6.0, 6.5, etc até chegar à versão 7.0 atual. Como este software tem um custo alto, esta é uma notícia muito boa para estudantes e entusiastas em engenharia reversa que querem ter um gostinho de como funciona este poderoso analisador estático (ok, sabemos que o IDA também pode depurar, mas sua principal função é disassemblar código ?). O IDA freeware está disponível para Windows, Linux e macOS e pode ser baixado aqui. Em breve faremos alguns vídeos sobre o uso desse disassembler, mas até lá, você já não tem desculpa pra não baixar e começar a conhecê-lo!

Dados os ocorridos recentes sobre vazamento de dados como o caso da Netshoes, resolvi compartilhar mais uma ferramenta, desta vez um programa em Python que recebe um endereço de e-mail como argumento e busca por leaks que o envolvam. Adicionalmente, de posse de alguma senha vazada, é possível testar o reuso de credenciais em diferentes serviços. O nome do software é Cr3dOv3r, disponibilizado sob a licença livre MIT. Aqui encontrei uma minha de Instagram (que não utilizo), que possui uma senha vazada anteriormente, conforme visto na imagem. Vale a pena conferir seus e-mails aí!

Todas as palestras ministradas na REcon, a maior conferência sobre engenharia reversa do mundo, que aconteceu em Montreal este ano estão disponíveis (slides e vídeos), inclusive no YouTube. Dentre as várias apresentações interessantes está a Crypton Exposing malware deepest secrets, das pesquisadores Julia Karpin e Anna Dorfman da F5. Na palestra elas comentam que a ferramenta reduziu de várias horas (talvez dias) para apenas alguns minutos o trabalho de descriptografar arquivos de configuração de malware como o ZeusVM, Citadel e outros. Além disso, a palestra é muito divertida! Claro que não pára por aí! Tem gente falando de SGX, ER em hardware, celulares e muito mais! Não perde: https://recon.cx/2017/montreal/slides/ Em tempo, as palestras da REcon são ministradas em Inglês e infelizmente não há legenda disponível.

Mais um banco de dados de dados vazados tornou-se público recentemente. Desta vez foi uma invasão ocorrida no site CafeMon, um portal que concentra informações para mulheres que são mães, como uma rede social. De acordo com o projeto Have I Been Pwned, em 2014 2.6 milhões de e-mails e senhas em texto claro foram vazadas do portal. Apesar de o portal não ser tão famoso no Brasil, aproveitamos a oportunidade para indicar a nossos leitores o uso do serviço gratuito Have I Been Pwned. Nele você pode digitar seus endereços de e-mail e monitorá-los, a fim de ser consultar e ser informado caso eles apareçam em algum vazamento público ou dump colocado na Internet (normalmente em sites como o Pasetbin). Por exemplo, o meu e-mail do GMail já apareceu em dois vazamentos: O primeiro passo é entrar com minha conta em cada um destes serviços e alterar a senha. Depois clicar em Notify me when I get pwned para que eu receba um e-mail caso meu endereço apareça num novo vazamento. Vale também utilizar serviços como o 1Password, Lastpass ou Dashlane para gerenciar senhas fortes e não utilizar senhas iguais para diferentes serviços pois se eu usasse por exemplo a mesma senha no GMail que utilizo no site da Adobe, conforme imagem, poderia ter tido meu e-mail ownado. Fica esperto, pois estamos sujeitos à estes vazamentos mesmo (a responsabilidade sobre a segurança desse tipo de dados é das empresas), mas podemos ajudar a evitar maiores problemas com ajuda deste site.