Guia do hacker/Malwares: Tipos e caracteristicas

Guia do hacker

Acredito que todos aqui já ouviram falar em vírus, ou cavalo de Troia. Eles são malwares, bem diferentes, com funções específicas cada um. De maneira geral, todos falamos que o computador foi infectado por vírus. No entanto, existe uma série de outros tipos de ameaças, que são diferentes dos vírus e causam males diversos.

Nesse capítulo nós vamos aprender sobre os tipos de malware, tal como suas características, métodos de infecção e seus objectivos no sistema infectado.
Primeiro vamos para a definição de malware.

A palavra malware é originada do inglês, que significa “Malicious Software”, que significa software malicioso. E como o nome já diz, é um software que se instala no computador da vítima sem ela saber, e que tem fins maliciosos, como danificação dos arquivos, roubo de dados, roubo de senhas, propagação em massa, exploração do sistema, entre várias outras funções. Agora vamos para os tipos de malwares e suas características.

Vírus:Os mais conhecidos. Não pela sua função, mas sim por seu nome. A maioria dos malwares é considerada vírus pelos leigos, justamente por não saberem que eles são divididos em classificações. Nunca confunda vírus com malware. Todo vírus é um malware, mas nem todo malware é um vírus.

Bom, a função dos vírus é infectar arquivos do sistema e se multiplicar, como se fosse um vírus biológico. Ele ataca os arquivos e pode conter um código malicioso dentro dele. O mais conhecido é o vírus “I Love You”, com o nome original de “Love-letter-for-you.txt”, que após sua execução, enviava uma cópia de si mesmo para todos da lista de email da vítima. O vírus foi enviado para mais de 84 milhões de pessoas, e casou um prejuízo de 9 bilhões de dólares. Esse vírus teve tanto sucesso por usar engenharia social em seu nome. Com o nome de “eu te amo”, qualquer um ficaria curioso para saber quem era o remetente da mensagem, e certamente abriria o email, sendo infectado.

Worms:Os worms são uma espécie de subconjunto dos vírus, porém eles contêm algumas diferenças fundamentais em relação aos vírus. Basicamente, um worm é um programa que consegue fazer cópias de si mesmo sem infectar outros arquivos. A ideia dele é de instalar-se uma vez apenas no PC e, a então, procurar uma maneira de conseguir se espalhar para outros computadores.

Outra diferença é que, ao invés de querer permanecer não detectado, o worm cria uma instância única do seu código e permanece sozinho, já que ele procura brechas no sistema operacional infectado e garante que só ele vai rodar na máquina, evitando a infecção por outra ameaça. Isso quer dizer que o worm é um arquivo separado, que não se adere a arquivos existentes (procedimento realizado pelo vírus).

Esta estratégia utilizada pelo worm facilita o seu spreading (propagação) através de dispositivos USB e até mesmo em redes de computadores. Outra técnica utilizada pelos worms, e que é muito eficiente, é a distribuição de si mesmo através de e-mails, nos quais são criados anexos infectados. Estes e-mails são enviados para toda a lista de contatos da pessoa que teve o seu computador infectado, como no vírus I Love You, e a vítima nem sabe que isso está acontecendo.

Keyloggers:São usados para a captura de teclas no computador da vítima.
Os primeiros tipos de keyloggers eram peças físicas que eram conectadas entre o computador e a saída do teclado, como se fosse um adaptador, e o cracker tinha que inserílo no computador da vítima, ou seja, precisava de acesso físico ao PC para conseguir instalálo. Além de uma boa engenharia social, o cracker precisaria ter acesso ao PC novamente, já que ele teria que remover o equipamento depois que a vítima tivesse digitado o que ele queria.

O outro tipo de keylogger – e mais comum – é o software. Um programa que o cracker configura e tem a mesma finalidade do keylogger físico. A diferença é que este pode ser controlado remotamente, e tem variantes.

Quando infectada, a vítima tem seu teclado monitorado, e tudo que for digitado será capturado pelo keylogger, que enviará os dados para o cracker, geralmente via e-mail.

Mas aí surge uma dúvida e você pergunta: “Mas Nick, as pessoas escrevem muitas coisas por dia, o cracker não levaria tempo para conseguir encontrar o que quer, diante de tanto texto?

Sim, e é por isso que foi inventado o Smart Keylogger, o keylogger que só pega o que é interessante para o invasor, como senhas, emails, etc...

Os Smart Keyloggers são mais conhecidos no mundo banker(mundo dos fraudadores de dados bancários), pois ficam escondidos no PC da vítima em estado de listenning(escuta), aguardando que um site de banco seja aberto. Assim que a vítima digita a URL do site no navegador, o keylogger entra em actividade e fica aguardando pelo pressionamento das teclas. A vítima digita a senha, o keylogger captura a senha, e quando o site do banco é fechado, ele para a sua actividade e volta ao estado de escuta.

Botnets: Já citadas anteriormente no capítulo de ataques DoS, a utilização de botnets é a principal forma de ataque de DDoS. O cracker envia o malware para várias pessoas - podendo ele ter a capacidade de se propagar, como um vírus - até formar uma rede, chamada de rede zumbi. Ele então tem controle sobre todos os zumbis infectados, e pode ordenar que eles iniciem ataques contra uma ou várias vítimas. Na ilustração abaixo você pode ver como funciona esse ataque. No caso, o “Controller”é o client da botnet que fica no PC do cracker.

Basicamente o cracker envia um comando para todos os infectados, e todos interpretam o mesmo comando, ao mesmo tempo. Se ele ordenar que todos ataquem o site X, todos farão. E isso é útil para ele, porque assim ele não precisa se preocupar em usar a própria banda de rede para fazer o ataque, já que está usando computadores escravos para fazer isso por ele. Então, a conexão dele com internet permanece estável, enquanto que a conexão dos zumbis fica oscilando.

Backdoors:São ferramentas simples que se acoplam aos malwares mais complexos.
Sua função é abrir uma brecha no sistema da vítima, para garantir que o cracker consiga conectar lá sempre, ou seja, manter acesso. Os backdoors são usados em invasões à servidores WEB, como nós vimos no capítulo de Pentest, onde o cracker hospeda o malware no site da vítima, e sempre que quiser, pode conectar a ele, sem que a vítima saiba. Ele atua geralmente abrindo portas no firewall, ou utilizando de alguma brecha em algum programa ou serviço que se conecta a internet.

Mas o contrário também acontecer, você pode ser hackeado – indirectamente – por um site. O cracker pode hospedar arquivos maliciosos em alguma linguagem WEB, e esses arquivos exploram falhas existentes no navegador que você estiver usando. Há uma falha de buffer overflow no Internet Explorer 7, onde um script mal intencionado faz com que ele dê crash. (Isso é um ataque de negação de serviço (DoS)!)

Rootkits: Eles são bem complexos, geralmente são implementados em outros malwares para que fiquem indetectáveis pelo usuário. Sua função basicamente é usar técnicas que fazem com que o sistema não consiga perceber sua presença na máquina.
Por exemplo, se você estiver infectado com um determinado rootkit, e abrir o gerenciador de tarefas para ver se ele está executando, antes de o gerenciador ser aberto, o rootkit intercepta esse pedido e filtra os programas que aparecem na lista, excluindo ele mesmo dela. Assim, quando você olhar a lista, ele não estará lá, porque o programa gerenciador de tarefas foi modificado por ele para que ele não seja exibido na lista. Essa técnica é conhecida como API Hooking, onde você usa uma função do Windows para modificar ela mesma, em tempo real.

Ransomwares: Não são muito conhecidos no Brasil, são mais utilizados na Europa, mas com certeza são os piores que existem. São terríveis!
Os ransomwares são malwares que se instalam no PC da vítima, e usam um algoritmo criptográfico que faz com que o PC se torne utilizável, e pede uma certa quantia em dinheiro para o resgate da senha até um certo tempo. Ou seja, uma vez infectada, a vítima não poderá mais utilizar o computador, pois todos os arquivos lá presentes estarão criptografados, e só o cracker tem a senha para descriptografar. Essa senha só será entregue caso a vítima faça o pagamento que o cracker deseja, caso contrário, a senha será destruída, e o PC não poderá mais ser usado.

O último RansomWare que eu tenho notícia é o CryptoLocker. Ele se propaga por meio de uma engenharia social via email. O email falso se passa por uma companhia que oferece uma proposta de trabalho, e o executável fica anexado à mensagem. Nele, os crackers pedem a quantia de 100 dólares / 100 euros para que a senha seja enviada e o PC seja destravado.
Caso contrário, em um determinado período de tempo, a chave de desbloqueio seria apagada, forçando a vítima a formatar o computador.

Trojans:Aí estão eles, os grandes, os poderosos, os mais conhecidos. Pensou que eu tinha esquecido deles? Deixei-os para o final. São os famosos cavalos de Troia.

Mas você sabe por que ele recebe esse nome? Bom, imagino que você saiba a história do cavalo de Troia, mas se não sabe, procure no Google.

Os trojans funcionam como o Cavalo de Troia, são enviados para que se passem por outro programa, ou imagem, ou vídeo, e quando são executados, ocorre um processo de extração, onde o ele se instala no sistema, sem a vítima saber, e lá ele fica.

O trojan é dividido em dois programas, o cliente e o servidor. O cliente é o painel das vítimas, que fica sob controle do cracker. É nele que todas as ações são executadas. E o servidor é o malware em si, é ele que é executado pelas vítimas. São normalmente chamados de Client e Server, respectivamente.

Quais as funções do trojan? Os trojans actualmente contam com muitas funções, há alguns que contém todas as funções dos malwares citados acima, mas normalmente eles são usados para espionagem, captura de informações digitadas, manipulação de arquivos.

Você faz qualquer coisa com um trojan, tudo o que quiser. Capturar senhas, ver webcam, enviar pop-ups, abrir sites, baixar/enviar/apagar/criar arquivos, desligar o pc, inverter os botões do mouse... Até formatar o PC da vítima você consegue.

Existem dois tipos de trojans, os de conexão reversa e os de conexão direta.

Conexão Reversa:São os mais comuns, é o trojan em que o server se conectam ao client. Todas as vítimas ficam tentando se conectar ao cracker, e quando conseguem, ficam no aguardo dos comandos, para que possam executá-los. Dessa forma, o cracker consegue se comunicar com todos os servidores ao mesmo tempo, e executar tarefas simultaneamente.

Conexão Direta: São menos comuns, justamente por terem perdido lugar para os de conexão reversa. Nesses, ao contrário dos de conexão reversa, é o client que se conecta com os servers. Então, o servidor instalado no computador das vítimas fica aguardando a conexão do client, que é feita manualmente pelo cracker. Quando a conexão é feita, a transferência de informações acontece como no de conexão remota, porém, com apenas uma vítima de cada vez. Essa é a desvantagem do trojan de conexão direta, ele consegue se conectar apenas a uma vítima de cada vez, então, não é possível enviar comandos em massa para todas as vítimas infectadas.

Trojan e Redes

editar

Já que estamos falando sobre conexões, vale ressaltar que para os clientes se conectarem aos servidores (ou o contrário), é necessário que alguma porta esteja aberta, para que os dados transitem normalmente entre um PC e outro. Essa porta deve ser aberta no roteador do cracker, e liberada no firewall, para que não haja interferência na comunicação.

Mas Nick, minha internet é via rádio/3g” Bom, então você só conseguirá usar trojans quando abrir as portas de sua conexão.
Como se faz isso? Geralmente você tem que ligar para a central e pedir suporte para que façam isso para você. Eles vão perguntar o motivo, e então você usa um pouco de engenharia social e inventa uma história. Sei lá, diz que é para criar um servidor de um jogo, ou pra usar o uTorrent, aí é com você.

Se falarem que não vão abrir, diz que vai cancelar o contrato e que vai contratar outra empresa (de preferência, alguma concorrente direta, rival), e vai ver que logo logo eles vão dar a solução para seu problema.

Muita gente não consegue usar trojans via rádio por causa disso. Vêem vídeos do youtube que são feitos para internet via cabo e não conseguem abrir as portas por não terem a senha do painel de configuração.

“Entendi. Mas qual o tipo de trojan que eu vou conseguir usar em internet à rádio?” Essa pergunta eu não sei responder ao certo, porque nunca usei internet via rádio, mas há um método em que você consegue usar trojan de conexão direta.

Você precisa do Hamachi instalado no seu computador e no da vítima. Hamachi pra quem não sabe é um programa que cria uma rede privada entre dois ou mais computadores que estão em redes diferentes, como se fosse uma rede LAN virtual.

Ele é usado muito para criar servidores de jogos. Quando duas pessoas estão conectadas no mesmo servidor do Hamachi, ele gera automaticamente um IP virtual para os dois computadores, e cria uma VPN (Virtual Private Network) para eles.

Dessa forma você pode pegar o IP virtual da vítima (que foi fornecido pelo Hamachi), e usar o trojan de conexão direta para se conectar com esse IP. Depois disso é só enviar o server e esperar que ela execute. Quando você tiver certeza que ela executou, conecte-se ao IP e pronto.

A desvantagem desse método é que a vítima precisa estar com o hamachi instalado, aberto e no mesmo servidor que você, além de que ela precisa executar o server do trojan, o que requer um pouco de engenharia social para que isso seja feito.

Malwares em celulares!

editar

Vale lembrar também que essas pragas não atacam apenas computadores, mas dispositivos móveis também, como celulares e tablets. Se você usa um smartphone Android, certamente já se deparou com aquelas páginas que dizem que seu celular está infectado, ou que está muito lento e precisa de um programa especial para actualizá-lo. Na verdade isso é um tipo de engenharia social, onde o atacante deixa a vítima com medo, passando uma informação falsa sobre o estado de seu aparelho, para fazer com que ela baixe o suposto aplicativo que promete acelerar o celular, mas na verdade só vai fazer com que ele fique mais lento.

E para os que dizem que o sistema da Maçã é melhor, saiba que estão enganados.

Recentemente foi criado um protótipo de carregador para iPhone que contém um malware instalado nele, apenas aguardando algum iPhone se conectar a ele. Com apenas um minuto de conexão com o aparelho, ele já consegue infectar o sistema da maçã.

O malware foi capaz de comprometer completamente o sistema, independente das ações do usuário. A equipe que desenvolveu esse carregador modificado já contatou a Apple, e eles estão vendo o que pode ser feito para evitar que crackers usem isso.

Para android também há muitos, muitos, MUITOS malwares. Alguns são disponíveis até gratuitamente, como é o caso do trojan AndroRAT, para android, que tem várias ferramentas como escuta telefônica, visualização das câmeras, gravação do microfone e etc.

Também há ferramentas de pentest para Android, como o Dsploit, disponível gratuitamente na Play Store, com várias utilidades, como sniffer de sessões, DNS Poisoning, etc...

No próximo capítulo nós vamos ver como os malwares passam despercebidos pelas ferramentas antivírus. Até lá!