Guia do hacker/Malwares: Tipos e caracteristicas
Acredito que todos aqui já ouviram falar em vírus, ou cavalo de Troia. Eles são
malwares, bem diferentes, com funções específicas cada um. De maneira geral, todos
falamos que o computador foi infectado por vírus. No entanto, existe uma série de outros
tipos de ameaças, que são diferentes dos vírus e causam males diversos.
Nesse capítulo nós vamos aprender sobre os tipos de malware, tal como suas
características, métodos de infecção e seus objectivos no sistema infectado.
Primeiro vamos para a definição de malware.
A palavra malware é originada do inglês, que significa “Malicious Software”, que
significa software malicioso. E como o nome já diz, é um software que se instala no
computador da vítima sem ela saber, e que tem fins maliciosos, como danificação dos
arquivos, roubo de dados, roubo de senhas, propagação em massa, exploração do sistema,
entre várias outras funções. Agora vamos para os tipos de malwares e suas características.
Vírus:Os mais conhecidos. Não pela sua função, mas sim por seu nome. A maioria dos
malwares é considerada vírus pelos leigos, justamente por não saberem que eles são
divididos em classificações. Nunca confunda vírus com malware. Todo vírus é um malware,
mas nem todo malware é um vírus.
Bom, a função dos vírus é infectar arquivos do sistema e se multiplicar, como se fosse um vírus biológico. Ele ataca os arquivos e pode conter um código malicioso dentro dele. O mais conhecido é o vírus “I Love You”, com o nome original de “Love-letter-for-you.txt”, que após sua execução, enviava uma cópia de si mesmo para todos da lista de email da vítima. O vírus foi enviado para mais de 84 milhões de pessoas, e casou um prejuízo de 9 bilhões de dólares. Esse vírus teve tanto sucesso por usar engenharia social em seu nome. Com o nome de “eu te amo”, qualquer um ficaria curioso para saber quem era o remetente da mensagem, e certamente abriria o email, sendo infectado.
Worms:Os worms são uma espécie de subconjunto dos vírus, porém eles contêm
algumas diferenças fundamentais em relação aos vírus. Basicamente, um worm é um
programa que consegue fazer cópias de si mesmo sem infectar outros arquivos. A ideia dele
é de instalar-se uma vez apenas no PC e, a então, procurar uma maneira de conseguir se
espalhar para outros computadores.
Outra diferença é que, ao invés de querer permanecer não detectado, o worm cria
uma instância única do seu código e permanece sozinho, já que ele procura brechas no
sistema operacional infectado e garante que só ele vai rodar na máquina, evitando a
infecção por outra ameaça. Isso quer dizer que o worm é um arquivo separado, que não se
adere a arquivos existentes (procedimento realizado pelo vírus).
Esta estratégia utilizada pelo worm facilita o seu spreading (propagação) através de
dispositivos USB e até mesmo em redes de computadores. Outra técnica utilizada pelos
worms, e que é muito eficiente, é a distribuição de si mesmo através de e-mails, nos quais
são criados anexos infectados. Estes e-mails são enviados para toda a lista de contatos da
pessoa que teve o seu computador infectado, como no vírus I Love You, e a vítima nem sabe
que isso está acontecendo.
Keyloggers:São usados para a captura de teclas no computador da vítima.
Os primeiros tipos de keyloggers eram peças físicas que eram conectadas entre o
computador e a saída do teclado, como se fosse um adaptador, e o cracker tinha que inserílo
no computador da vítima, ou seja, precisava de acesso físico ao PC para conseguir instalálo.
Além de uma boa engenharia social, o cracker precisaria ter acesso ao PC novamente, já
que ele teria que remover o equipamento depois que a vítima tivesse digitado o que ele
queria.
O outro tipo de keylogger – e mais comum – é o software. Um programa que o
cracker configura e tem a mesma finalidade do keylogger físico. A diferença é que este pode
ser controlado remotamente, e tem variantes.
Quando infectada, a vítima tem seu teclado monitorado, e tudo que for digitado será
capturado pelo keylogger, que enviará os dados para o cracker, geralmente via e-mail.
Mas aí surge uma dúvida e você pergunta: “Mas Nick, as pessoas escrevem muitas coisas por dia, o cracker não levaria tempo para conseguir encontrar o que quer, diante de tanto texto?”
Sim, e é por isso que foi inventado o Smart Keylogger, o keylogger que só pega o que
é interessante para o invasor, como senhas, emails, etc...
Os Smart Keyloggers são mais conhecidos no mundo banker(mundo dos fraudadores de dados bancários), pois ficam escondidos no PC da vítima em estado de listenning(escuta), aguardando que um site de banco seja aberto. Assim que a vítima digita a URL do site no navegador, o keylogger entra em actividade e fica aguardando pelo pressionamento das teclas. A vítima digita a senha, o keylogger captura a senha, e quando o site do banco é fechado, ele para a sua actividade e volta ao estado de escuta.
Botnets: Já citadas anteriormente no capítulo de ataques DoS, a utilização de botnets
é a principal forma de ataque de DDoS. O cracker envia o malware para várias pessoas -
podendo ele ter a capacidade de se propagar, como um vírus - até formar uma rede,
chamada de rede zumbi. Ele então tem controle sobre todos os zumbis infectados, e pode
ordenar que eles iniciem ataques contra uma ou várias vítimas. Na ilustração abaixo você
pode ver como funciona esse ataque. No caso, o “Controller”é o client da botnet que fica no
PC do cracker.
Basicamente o cracker envia um comando para todos os infectados, e todos
interpretam o mesmo comando, ao mesmo tempo. Se ele ordenar que todos ataquem o site
X, todos farão. E isso é útil para ele, porque assim ele não precisa se preocupar em usar a
própria banda de rede para fazer o ataque, já que está usando computadores escravos para
fazer isso por ele. Então, a conexão dele com internet permanece estável, enquanto que a
conexão dos zumbis fica oscilando.
Backdoors:São ferramentas simples que se acoplam aos malwares mais complexos.
Sua função é abrir uma brecha no sistema da vítima, para garantir que o cracker consiga
conectar lá sempre, ou seja, manter acesso. Os backdoors são usados em invasões à
servidores WEB, como nós vimos no capítulo de Pentest, onde o cracker hospeda o malware
no site da vítima, e sempre que quiser, pode conectar a ele, sem que a vítima saiba. Ele atua
geralmente abrindo portas no firewall, ou utilizando de alguma brecha em algum programa
ou serviço que se conecta a internet.
Mas o contrário também acontecer, você pode ser hackeado – indirectamente – por
um site. O cracker pode hospedar arquivos maliciosos em alguma linguagem WEB, e esses
arquivos exploram falhas existentes no navegador que você estiver usando. Há uma falha de
buffer overflow no Internet Explorer 7, onde um script mal intencionado faz com que ele dê
crash. (Isso é um ataque de negação de serviço (DoS)!)
Rootkits: Eles são bem complexos, geralmente são implementados em outros
malwares para que fiquem indetectáveis pelo usuário. Sua função basicamente é usar
técnicas que fazem com que o sistema não consiga perceber sua presença na máquina.
Por exemplo, se você estiver infectado com um determinado rootkit, e abrir o
gerenciador de tarefas para ver se ele está executando, antes de o gerenciador ser aberto, o
rootkit intercepta esse pedido e filtra os programas que aparecem na lista, excluindo ele
mesmo dela. Assim, quando você olhar a lista, ele não estará lá, porque o programa
gerenciador de tarefas foi modificado por ele para que ele não seja exibido na lista. Essa
técnica é conhecida como API Hooking, onde você usa uma função do Windows para
modificar ela mesma, em tempo real.
Ransomwares: Não são muito conhecidos no Brasil, são mais utilizados na Europa,
mas com certeza são os piores que existem. São terríveis!
Os ransomwares são malwares que se instalam no PC da vítima, e usam um algoritmo
criptográfico que faz com que o PC se torne utilizável, e pede uma certa quantia em dinheiro
para o resgate da senha até um certo tempo. Ou seja, uma vez infectada, a vítima não
poderá mais utilizar o computador, pois todos os arquivos lá presentes estarão
criptografados, e só o cracker tem a senha para descriptografar. Essa senha só será entregue
caso a vítima faça o pagamento que o cracker deseja, caso contrário, a senha será destruída,
e o PC não poderá mais ser usado.
O último RansomWare que eu tenho notícia é o CryptoLocker. Ele se propaga por meio de uma engenharia
social via email. O email falso se passa por uma companhia que oferece uma
proposta de trabalho, e o executável fica anexado à mensagem. Nele, os crackers pedem
a quantia de 100 dólares / 100 euros para que a senha seja enviada e o PC seja destravado.
Caso contrário, em um determinado período de tempo, a chave de desbloqueio seria
apagada, forçando a vítima a formatar o computador.
Trojans:Aí estão eles, os grandes, os poderosos, os mais conhecidos. Pensou que eu
tinha esquecido deles? Deixei-os para o final. São os famosos cavalos de Troia.
Mas você sabe por que ele recebe esse nome? Bom, imagino que você saiba a
história do cavalo de Troia, mas se não sabe, procure no Google.
Os trojans funcionam como o Cavalo de Troia, são enviados para que se passem por
outro programa, ou imagem, ou vídeo, e quando são executados, ocorre um processo de
extração, onde o ele se instala no sistema, sem a vítima saber, e lá ele fica.
O trojan é dividido em dois programas, o cliente e o servidor. O cliente é o painel das
vítimas, que fica sob controle do cracker. É nele que todas as ações são executadas. E o
servidor é o malware em si, é ele que é executado pelas vítimas. São normalmente
chamados de Client e Server, respectivamente.
Quais as funções do trojan? Os trojans actualmente contam com muitas funções, há
alguns que contém todas as funções dos malwares citados acima, mas normalmente eles são
usados para espionagem, captura de informações digitadas, manipulação de arquivos.
Você faz qualquer coisa com um trojan, tudo o que quiser. Capturar senhas, ver
webcam, enviar pop-ups, abrir sites, baixar/enviar/apagar/criar arquivos, desligar o pc,
inverter os botões do mouse... Até formatar o PC da vítima você consegue.
Existem dois tipos de trojans, os de conexão reversa e os de conexão direta.
Conexão Reversa:São os mais comuns, é o trojan em que o server se conectam ao
client. Todas as vítimas ficam tentando se conectar ao cracker, e quando conseguem, ficam
no aguardo dos comandos, para que possam executá-los. Dessa forma, o cracker consegue
se comunicar com todos os servidores ao mesmo tempo, e executar tarefas
simultaneamente.
Conexão Direta: São menos comuns, justamente por terem perdido lugar para os de
conexão reversa. Nesses, ao contrário dos de conexão reversa, é o client que se conecta com
os servers. Então, o servidor instalado no computador das vítimas fica aguardando a
conexão do client, que é feita manualmente pelo cracker. Quando a conexão é feita, a
transferência de informações acontece como no de conexão remota, porém, com apenas
uma vítima de cada vez. Essa é a desvantagem do trojan de conexão direta, ele consegue se
conectar apenas a uma vítima de cada vez, então, não é possível enviar comandos em massa
para todas as vítimas infectadas.
Trojan e Redes
editarJá que estamos falando sobre conexões, vale ressaltar que para os clientes se
conectarem aos servidores (ou o contrário), é necessário que alguma porta esteja aberta,
para que os dados transitem normalmente entre um PC e outro. Essa porta deve ser aberta
no roteador do cracker, e liberada no firewall, para que não haja interferência na
comunicação.
“Mas Nick, minha internet é via rádio/3g”
Bom, então você só conseguirá usar trojans quando abrir as portas de sua conexão.
Como se faz isso? Geralmente você tem que ligar para a central e pedir suporte para que
façam isso para você. Eles vão perguntar o motivo, e então você usa um pouco de
engenharia social e inventa uma história. Sei lá, diz que é para criar um servidor de um jogo,
ou pra usar o uTorrent, aí é com você.
Se falarem que não vão abrir, diz que vai cancelar o contrato e que vai contratar
outra empresa (de preferência, alguma concorrente direta, rival), e vai ver que logo logo eles
vão dar a solução para seu problema.
Muita gente não consegue usar trojans via rádio por causa disso. Vêem vídeos do
youtube que são feitos para internet via cabo e não conseguem abrir as portas por não
terem a senha do painel de configuração.
“Entendi. Mas qual o tipo de trojan que eu vou conseguir usar em internet à rádio?”
Essa pergunta eu não sei responder ao certo, porque nunca usei internet via rádio,
mas há um método em que você consegue usar trojan de conexão direta.
Você precisa do Hamachi instalado no seu computador e no da vítima. Hamachi pra
quem não sabe é um programa que cria uma rede privada entre dois ou mais computadores
que estão em redes diferentes, como se fosse uma rede LAN virtual.
Ele é usado muito para criar servidores de jogos. Quando duas pessoas estão
conectadas no mesmo servidor do Hamachi, ele gera automaticamente um IP virtual para os
dois computadores, e cria uma VPN (Virtual Private Network) para eles.
Dessa forma você pode pegar o IP virtual da vítima (que foi fornecido pelo Hamachi),
e usar o trojan de conexão direta para se conectar com esse IP. Depois disso é só enviar o
server e esperar que ela execute. Quando você tiver certeza que ela executou, conecte-se ao
IP e pronto.
A desvantagem desse método é que a vítima precisa estar com o hamachi instalado,
aberto e no mesmo servidor que você, além de que ela precisa executar o server do trojan, o
que requer um pouco de engenharia social para que isso seja feito.
Malwares em celulares!
editarVale lembrar também que essas pragas não atacam apenas computadores, mas
dispositivos móveis também, como celulares e tablets. Se você usa um smartphone Android,
certamente já se deparou com aquelas páginas que dizem que seu celular está infectado, ou
que está muito lento e precisa de um programa especial para actualizá-lo. Na verdade isso é
um tipo de engenharia social, onde o atacante deixa a vítima com medo, passando uma
informação falsa sobre o estado de seu aparelho, para fazer com que ela baixe o suposto
aplicativo que promete acelerar o celular, mas na verdade só vai fazer com que ele fique
mais lento.
E para os que dizem que o sistema da Maçã é melhor, saiba que estão enganados.
Recentemente foi criado um protótipo de carregador para iPhone que contém um malware
instalado nele, apenas aguardando algum iPhone se conectar a ele. Com apenas um minuto
de conexão com o aparelho, ele já consegue infectar o sistema da maçã.
O malware foi capaz de comprometer completamente o sistema, independente das
ações do usuário. A equipe que desenvolveu esse carregador modificado já contatou a
Apple, e eles estão vendo o que pode ser feito para evitar que crackers usem isso.
Para android também há muitos, muitos, MUITOS malwares. Alguns são disponíveis até
gratuitamente, como é o caso do trojan AndroRAT, para android, que tem várias
ferramentas como escuta telefônica, visualização das câmeras, gravação do microfone e etc.
Também há ferramentas de pentest para Android, como o Dsploit, disponível
gratuitamente na Play Store, com várias utilidades, como sniffer de sessões, DNS Poisoning, etc...
No próximo capítulo nós vamos ver como os malwares passam despercebidos pelas ferramentas antivírus. Até lá!