Durante a análise de um exploit, esta semana, eu tive a minha máquina de teste controlada remotamente por um criminoso, que interrompeu o processo de análise e conversou comigo, em inglês, utilizando uma janela do bloco de notas. A página maliciosa visitada intencionalmente executou um código malicioso no meu sistema, o qual instalou uma ferramenta de administração remota, que chamamos de RAT — Remote Admin Tool, ou Ferramenta de Administração Remota –, permitindo que o invasor tivesse acesso e controle a todos os meus arquivos. O código malicioso foi executado automaticamente, explorando falhas em componentes do navegador, sem que eu precisasse clicar em nada. Bastou apenas visitar o site.

Após realizar a infecção, executei uma ferramenta de análise que gerou um relatório em um bloco de notas. O conteúdo que apareceu na janela, no entanto, foi muito diferente do esperado. O “texto” continha uma mensagem perguntando quem eu era e avisando que seria difícil “escaneá-lo” (jargão para análise de um sistema). Ainda sem saber que estava sendo vigiada, eu pensei que o virus havia bloqueado a execução da ferramenta e havia inserido aquele texto através de algum código malicioso automatizado que estava em execução. Fechei o bloco de notas e como o sistema me perguntou se eu queria salvar as alterações, eu pensei que o relatório original da ferramenta poderia ter sido preservado, então fechei o bloco de notas sem salvar as alterações e o abri em seguida.

De fato, o conteúdo que esperado estava lá, então comecei a ler o relatório. Durante a leitura, o texto do bloco de notas começou a ser alterado, novas letras foram surgindo, formando uma frase. Desta vez, a mensagem avisava que “ele” não estava ali para infectar pessoas como eu, e sim para propósitos “educativos”. Em seguida, todo o conteúdo do bloco de notas foi apagado e eu vi uma nova frase sendo escrita, dizendo que era a minha vez de digitar. Eu perguntei quem estava ali, e assim foi iniciada uma conversação através do Bloco de Notas do Windows.

O criminoso estava vendo minha tela e digitando na mesma janela que eu, vendo cada movimento.

O invasor perguntou várias vezes para quem eu trabalhava. Por razões relacionadas à minha segurança pessoal, eu não quis dizer a verdade, então eu menti que eu criava cracks para jogos, para que ele pensasse que eu fazia o mesmo que ele. Porém ele não acreditou. Ele tinha acesso total às minhas pastas e arquivos, viu as minhas ferramentas de análise, sabia que o sistema acessado estava em uma máquina virtual, usada como laboratório de testes, e também sabia meu nome. Perguntou-me quem usava tudo aquilo e para quê. Eu disse que precisava testar os meus aplicativos, mas ele novamente não acreditou. Ele disse que me viu acessando determinada URL maliciosa, afirmou que eu queria infectar a máquina virtual e insistiu em saber para quem eu trabalhava, se era para a polícia ou para companhias antivirus. Eu propus uma troca de informações: eu diria para quem eu trabalhava e ele me diria como ele controlava o exploit e o que ele fazia após obter acesso às máquinas que infectava. Ele fingiu aceitar, e me disse que fazia aquilo apenas com propósitos educativos.

A minha desvantagem era óbvia. Ele tinha acesso total ao meu sistema, e pelos meus arquivos e programas instalados, traçou o meu perfil, tinha noção de quem eu era. Pelo meu lado, o que eu sabia sobre ele? Nada. Tentei abrir um programa para monitorar o tráfego da rede, mas ele fechou a janela assim que abri, e ainda me perguntou por que eu queria rastreá-lo, dizendo que poderia me dar vários IPs de canais IRC para eu me distrair.

O que me restou foi “acreditar” na versão dele, e para que ele não me visse como uma possível ameaça (pelo menos até eu reiniciar o modem), eu disse a ele que eu não fazia análise de vírus (o que implicaria em denunciar os dados coletados para órgãos públicos e autoridades da internet). Afirmei que eu apenas participava de fóruns pela web, ajudando pessoas a desinfectarem suas máquinas, sem dizer qual é o fórum.

Após isso, o criminoso me convidou a continuarmos a conversa através de um canal mais seguro, sugerindo o IRC, e falei que nada me garantia que ele não fosse roubar minhas senhas, se tivesse oportunidade para isso. Ao que ele me respondeu dizendo que ele não tinha nada contra mim, dando a entender que o trabalho que eu fazia não o afetava.

Finalizamos a conversa e ele me disse que iria desinstalar o programa malicioso do meu sistema, mas eu não lhe dei oportunidade para isso. Eu fechei a máquina virtual e posteriormente coletei os dados e IPs restantes na máquina-laboratório. Os dados foram enviados a órgãos de combate ao crime virtual.

O sistema operacional da máquina virtual usada na análise foi o Windows XP Service Pack 2 com o Internet Explorer 6, sem atualizações e sem antivirus; precisa ser assim para maximizar o potencial dos criminosos, considerando que a ideia da máquina-laboratório é ser infectada para analisar os golpes. O único programa de proteção ativo era o firewall do XP.

Foi uma experiência surreal e interessante, mas totalmente inesperada. Criminosos virtuais têm tantas vítimas. Quem diria que ele iria olhar justamente o meu computador?

Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

30 Comments

  1. Realmente muito estranho esse “ataque” chega parece história de filme. Mais me lembrou muito dos antigos ataques usando o NetBus. Onde a risada era garantia, continue com o trabalho.

    Att
    Echo

    Curtir

    Responder

  2. Pode dizer qual o site acessado?

    Curtir

    Responder

  3. nossa isso me deu calafrios de medo, se algum dia isso acontecer comigo juro que arranco da tomada sem pensar 2 vezes….aaaaaaaaaaaaarrrrrrrrrrrrghhhhhhhh..sai zica

    Curtir

    Responder

  4. Echo
    Foi algo completamente surreal mesmo. Nós, da comunidade anti-malware, sabemos que invadir um computador não é tarefa difícil para os criminosos, mas o cidadão puxar conversa foi algo completamente inusitado – pelo menos pra mim. Abraços.

    Curtir

    Responder

  5. kenta09
    Por motivos éticos, não vou divulgar o site. O mesmo foi denunciado para os órgãos responsáveis e já está fora do ar. Abraços.

    Curtir

    Responder

  6. Nicolas
    Infelizmente, essa situação é muito comum. Só que a vítima raramente fica sabendo que está sendo vigiada, embora pelos sintomas possa deduzir que o pc está infectado.

    Curtir

    Responder

  7. Olá.

    Passou pela minha mente a hipotese da sua máquina nao ter sido acessada ao acaso, creio que deve ter passado pela tua também. Por exemplo: o código do malware pode ter reconhecido que a máquina continha o software x e/ou y e/ou z que são usados para análise de malwares; ou o site que voce estava acessando nao tinha uma visitação tao alta e nao havia muitos ‘clientes’ para o cara se conectar.

    O que tu acha?

    E, se possível, tu poderia passar para nós os softwares que voce usa, ou os mais comuns, para análise de malware?

    Curtir

    Responder

  8. Realmente, uma experiência para nunca mais esquecer, infelizmente, ninguém está livre de ataques e invasões no computador e não é de hoje isso.

    E a tendência é só piorar :(

    Curtir

    Responder

  9. Tobias,
    O criminoso não invadiu o meu computador em especial. O código dele estava lá no site, à espera de vítimas. Ele não tem como saber quais máquinas o programa dele vai infectar, porque ele depende que a vítima clique em algum link determinado. Quando ele se viu dentro da máquina de um analista, foi uma surpresa para ele também.
    Quanto aos softwares, existem vários. Se você tem vontade de aprender a analisar pragas virtuais, dê uma olhada no nosso forum e veja como participar do ARIS – Grupo de Análise e Respostas a Incidentes de Segurança.

    Abraços!

    Curtir

    Responder

  10. Astromech,
    Infelizmente, é esse o quadro atual mesmo.
    Abraços.

    Curtir

    Responder

  11. elvisricardo 07/09/2010 às 19:26

    Muito massa acho que ele só queria mostrar poder depois de analisar o que tinha na maquina virtual, por isso ele ficou tão curioso em saber para quem você trabalhava, e o que fazia por esses e outros motivos devemos sempre tomar cuidado com o que acessamos !

    Curtir

    Responder

  12. maria cristina muito obrigado pela atençao, fiquei lisongiado, por finalmente alguem ter me respondido em algum site da internet. e eu queria saber se quando eu faço um download no mozilla firefox, e ele diz estar rastreando virus, isso, presta mesmo para alguma coisa, muito obrigado e sucesso no trabalho.

    Curtir

    Responder

  13. realmente, uma experiência tanto quanto incrível eu acredito. (:

    Curtir

    Responder

  14. Maria Cristina, creio que voce compreendeu mal o que eu disse; falei que ele acessou seu computador pelos motivos citados acima, não que ele ‘te invadiu’ por voce estar realizando analise.

    Curtir

    Responder

  15. Nicolas,
    A verificação realizada pelo navegador bloqueia arquivos potencialmente nocivos, então ela ajuda sim, embora não se possa confiar totalmente nela. Se você tiver outras dúvidas, fique a vontade para participar do nosso forum. :)

    Guilherme,
    Sim, foi uma experiência incrível.

    Tobias,
    Dá na mesma. :)
    Supondo que o invasor tivesse programado o seu código para realizar um scan por programas x, y, z (usados para análise de virus), seria por estar buscando por máquinas de analistas.
    De outra forma, não seria útil manter uma rotina como essa no seu código, pois ele teria um trabalho maior para tentar burlar a proteção dos antivirus.
    É onde entra a minha resposta. :)

    Abraços a todos!

    Curtir

    Responder

  16. Maria Cristina, se um malware buscasse delphi instalado em uma maquina significaria que ele estava buscando maquinas de programadores? Creio que seria uma logica com um numero bem alto de falsos-positivos.

    Quanto ao trabalho de burlar a proteção de um software antivirus, em sistemas windows um software geralmente espalha arquivos para ‘todos os lados’, simplesmente verificando um entrada de registro ou a existencia de uma dll já poderia dizer que ha tal software está instalado ali, e isso por si só nao exigiria usar alguma técnica para esconder o malware de um software antivirus.

    Curtir

    Responder

  17. Será que o invasor era mesmo estrangeiro? Qual teria sido o motivo que o levou a puxar conversa? Medo? É no minimo estranho…

    Fico me imaginando com um arquivo .txt se auto-escrevendo, acho que não pensaria duas vezes em desligar a força aqui de casa! /MEDO

    Parabéns à toda equipe LD! ;)

    Curtir

    Responder

  18. Muito massa essa história kkkk!

    Eu ficaria muito nervoso, sem sombra de dúvidas..
    Abraços!

    Curtir

    Responder

  19. Tobias,
    Exigiria sim! O programa malicioso precisaria fazer um scan em áreas do sistema que por padrão são monitoradas por todos os antivirus.
    Concordo que seria uma lógica com alto número de falsos-positivos.

    Abraços.

    Curtir

    Responder

  20. Cypher,
    O invasor pode gerenciar o seu programa malicioso estando em qualquer canto do planeta (e é como eles fazem).
    Devido a certos erros persistentes de digitação, eu fiquei com a impressão de que ele era russo, mas é apenas uma impressão. Ele pode ter cometido esses erros propositalmente também.
    Eu não acho que ele tenha ficado com medo de mim, ao contrário. Acho que se ele puxou conversa, foi porque ele estava controlando a situação. O programa dele estava em um domínio que está associado a uma gangue de criminosos que são procurados pela polícia, principalmente pelo governo americano. O cidadão é um criminoso experiente e sabia o que estava fazendo, disso eu não tenho dúvida.
    O meu palpite é que quando ele viu que era máquina de analista, e que estava em uma máquina virtual, ele puxou conversa para lançar a isca e manter a conexão ativa, enquanto ele tentava invadir o sistema principal – que chamamos de host.
    E eu mantive a conversa porque não quis perder a oportunidade de entrevistar um criminoso, embora ele não tenha respondido as minhas perguntas, mas eu estava o tempo todo monitorando o host.
    Ao menor sinal de invasão, eu teria desligado o modem.

    Abraços!

    Curtir

    Responder

  21. Muito legal, não sei o que teria feito, talvez teria achado que era algum amigo me sacaneando pelo tean viewer, hehe

    Curtir

    Responder

  22. Eu usava o Windows XP sem nenhuma atualização, qualquer um entrava, pois estava sempre infectado. Fazendo uma atualização básica, sem que apareça a tela preta, até que ajudou.
    Não uso anti-virus nesta máquina porque 500 Mb de memória não é suficiente e atrapalha mais do que ajuda.
    Não atualizo o sistema por que não tenho windows original e tudo fica mais lento com a atualização completa.
    Vamos vivendo assim, perigosamente.
    Constantemente recebo emails com um link para um site chinês.

    Curtir

    Responder

  23. nao me lembro qdo
    nem direito aonde (em q makina)
    mas lembro o prg
    NAPSTER
    conexao discada
    provavelmente num 486 ou pentium (atual na epoca)
    com av firewall e tudo +
    apareceu uma janela de texto (parecida com a do notepad) e um cara dizendo coisas bizarras sobre mim mesmo. fikei pasmo! claro! pensei em rancar o fio na mesma hora mas a curiosidade falou mais alto, comecei a tentar ganhar tempo e saber kem era e como fez aquilo a implorar por meus arqs e a me fazer de viitima (mais?rs)
    u cara falava em portugues mesmo alias internetes como nós e no fim d dizer vaaaaarias coisas da minha vida q nao tinham no micro, ou seja, nao tinha como ele saber, u cara me disse pra eu conhecer a ordem dos cavaleiros templarios
    coisa espiritual a parada. rs
    nunca fikei sabendo o nome dele kem era ou como ele fez akilo
    nunca fikei sabendo de qlq coisa do genero tb no napster e em suas comunidades
    :|
    vai sabe
    abraço!
    ah!
    agora sobre o seu caso cristina eu axo q a curiosidade do cara falou mais alto tb
    entende?
    ele tem varios digamos clientes, mas sua mak tinha alguma coisa q se sobressaia das outras sei la
    tendeu?
    como ele viu diversas ferramentas q ele tb conhecia q ele tb usava no seu dia a dia, ele deve ter pensado, das duas uma, ou essa mina é da policia ou é dos nossos, mas claro q sempre pesando mais a primeira opçao.
    mas nossas duvidas sao traidoras e infieis.
    agora eu vo ein…
    fui

    Curtir

    Responder

  24. Um dia o meu mouse começou a ser controlado, (eu nem tinha nem sabia o que era team viewer nessa época) o medo foi tando que eu puxei o fio do modem

    Curtir

    Responder

  25. nossa q sinistro isso, se fosse eu puxava o fio do modem na hora depois tacava o cd no pc e formatava …

    uma vez estava num site q custumava visitar e derrepente varias janelas do ie começaram a se abrir e eu desesperada tentando fechar mais enquanto me matava pra fechar uma janela pq meu pc com pouca memoria n aguentava mta coisa e travava e qdo destravava ja abria mais 10 janelas

    ate q consegui pelo gerenciador de tarefas mas o estranho e q passei o av kaspersky e n pego nada e meu pc tava com firewall e atualizado tudo certinho e ainda por cima nao apresentava comportamentos estranhos lentidao nada disso, depois disso continuou funcionando normalmente como se nada tivesse acontecido

    ai depois d mto tempo (meses e meses) q eu ja tinha formatado varias vezes por outros motivos aconteceu denovo e depois voltou a funcionar normal O.o…. nao sei se era o navegador ou o q pode ter acontecido…

    mas axo q deve ter sido mto emocionante tc com um hacker criminoso parece coisa d filme²

    Curtir

    Responder

  26. Everson Machado 27/10/2010 às 12:09

    Espalhei sua matéria para alguns clientes, sou consultor, “consertando” sistemas e PC´s entre outras coisas, mostrando a diversos clientes como está o nivel das pragas virtuais. Quero comparar um caso recente, onde o invasor utiliza de recursos do próprio Windows para “dominar” o PC do cliente, colocando-o em dominio próprio e faz o que quer dali em diante. Se reiniciamos o PC, os pacotes enviados substituem os originais e nada adianta fazer. Levar o PC fora do ambiente e traze-lo de volta é apenas uma questão de tempo a mais para que consiga invadir novamente. TUDO indica que está utilizando IP da própria (mesma faixa) Telefonica o que permite enxergar o atacado e/ou tem algum “gato” com a própria linha deste cliente, visto que é vizinho… Estou com o equipamento em mãos e gostaria até mesmo de “entregar” para vocês análisarem e “colocarem no mercado” esta falha para que a MS corrija a questão.

    Curtir

    Responder

  27. Um dos melhores posts que já li aqui no Linha Defensiva, imagino que a emoção p/ você foi forte!

    Curtir

    Responder

  28. Talvez não tenha nada a ver com o que descreveu, mas tenho um blog onde escrevo sobre corrupção, criminalidade, impunidade e outras barbaridades. Oras, tudo isso tem implicações internacionais, governos estrangeiros, governos ditatoriais, etc. , pois também escrevo sobre presos políticos, etc. Sim, não só eu, existem muitos outros em outros blogs, como Reinaldo Azevedo, Jorge Serrão, porém escrevo sobre algo mais, Maçoneria P-Due, Máfia, extra terrestres, corrupção do Vaticano e assuntos correlatos como A Nova Ordem Mundial, sempre buscando seriedade e alicerçado em fatos reais (provas insofismáveis). São poucos os leitores diários, mas neles muitos militares de peso e notei uns fatos interessantes, por exemplo numa quantidade de 60 visitantes, deles no mínimo 15 são estrangeiros, a maioria de endereços ucranianos, porem nas estatísticas comparecem Israel, Russia, Alemanha, França, USA mas só um da Rússia e nenhum da Ucrânia. No mapa onde aparecem países em cores que visitam o blog, noto que os USA não está marcado, mas Alaska sim, da mesma forma alguns outros países que não comparecem nos mapas e estatísticas. Dos endereços ucranianos que pesquisei, encontrei lojas de venda de automóveis, eletro domésticos, corretores de imóveis e outras falsidades mais. 

    Curtir

    Responder

    1. Isso pode ser scanners de vulnerabilidade ou o que se chama de “referrer spam”.

      Curtir

      Responder

  29. Ronny Amarante 29/10/2012 às 17:33

    Ah não acredito… Cade o printscreen? Rs, brincadeira. Boa estória, rs, brincadeira de novo… Que fato raro, uma lembrança!

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s