Invasão

WannaCry: palavras de um malware que atingiu o mundo

23/05/2017

author:

WannaCry: palavras de um malware que atingiu o mundo

Não nasci do nada. Fui criado a partir de outros e estou crescendo cada vez mais, chegando a lugares que nunca imaginei poder chegar. A Internet é a minha estrada, sem ela eu ficaria trancado, mofando em algum disco rígido. Eu me chamo WannaCry.

A história de WannaCry

Muitos vieram antes de mim, décadas atrás. Eram tempos de poucas conexões. Meus irmãos não tinham tanto poder de fogo, mas mesmo assim deram trabalho aos que nunca tinham ouvido falar de um antivírus. Bom para meus irmãos de sangue.. ou de bits.

WannaCry, palavras de um worm
WannaCry, palavras de um worm / Fonte imagem: http://www.atarimania.com/

Tive uma felicidade imensa quando me libertei do disco rígido do meu criador. Ele disse: “vai e multiplique-se”. Experimentei uma mídia nova, parecia um disquete de 1.44MB, devido ao pequeno espaço, mas suficiente para o meu propósito. Inicialmente pelos disquetes que passei, sempre encontrei um programa chamado “Prince of Persia”, que ocupava cerca de 339KB. Os usuários não sabiam que eu estava no mesmo disquete. Quando copiavam o jogo, eu ia junto, pois eu precisava me multiplicar, experimentar outros lugares e sensações.

Tive um irmão no Brasil chamado “Leandro & Kelly”. Assim como o Micheangelo, ele infectava o setor de boot dos Hds. Quando você iniciava o sistema, eu (ou ele, como preferir) era carregado junto. Eu era como uma “Maria vai com as outras”, mas eu gostava disso.

Dias atuais

Ultimamente tenho causado muitos estragos, dado muita dor de cabeça àquelas pessoas que são pagas para dar mais segurança ou a falsa sensação de ter ela.

Graças à Internet e à tolice de milhares, hoje estou presente em cada servidor e computador pessoal que esteja rodando aquele sistema operacional mais utilizado no mundo. Infelizmente eu não funciono sozinho, preciso que alguém abra a porta para mim ou que me mostre o caminho. Dali em diante é só festa!

Recentemente você deve ter ouvido falar de mim. Causei estrago em muitos hospitais, empresas, órgãos do governo, etc. Preciso falar do Brasil. Amo este país, ainda mais as pessoas que ali vivem!

Como você deve ter percebido, eu cresci. Não sou mais aquele menino ingênuo, que infectava somente setores de boot de HDs. Hoje eu infecto os principais arquivos e programas que você utiliza em seu sistema operacional Windows, criptografo todos eles, sou veloz e ainda peço resgate! Que bonito não?

Confesso que até gosto dos criadores dessa minha nova versão. Acredita que eu já fiz parte do governo dos EUA? Me criaram com o intuito de explorar uma falha no Windows e assim abrir caminho para eles. Eu cortava o mato com a foice e os engravatados simplesmente comiam do bom e do melhor.

Depois de um tempo fui libertado por um grupo de hackers chamado “The Shadow Brokers”. Esses caras sim, são [email protected]#$! Após me divulgarem na Internet, fui aperfeiçoado por uns caras que não conheço bem. Aliás, ninguém conhece. Só sei que ganhei novos atributos, uma roupagem nova, mas ainda sou o mesmo!

Como falei antes, gosto do Brasil. O país está na lista dos que eu mais infectei. Será que os brasileiros possuem hábitos que permitem que eu cause tanto estrago? Aqui é o meu lugar!

Veja algumas empresas brasileiras que infectei:

  • Telefônica/Vivo;

  • Petrobras;

  • Tribunal de Justiça de São Paulo;

  • Ministério Pùblico do Estado de São Paulo;

  • Instituto Nacional do Seguro Social (INSS);

  • E outros.

Sou como a água. Você pode fechar tapar um buraco, mas sempre encontrarei um jeito de passar. Um jovem de 22 anos freou a minha infecção. Mancada essa dos meus criadores terem colocado um recurso de “KillSwitch”. Desse modo, se eu conseguir me comunicar com um determinado domínio, simplesmente paro de funcionar!

Tolo quem acha que eu deixei de existir.

O futuro

A minha praia continuará sendo o Windows. E explorarei toda e qualquer vulnerabilidade que puder encontrar, para assim chegar a mais computadores.

Gostei de ter utilizado o protocolo de compartilhamento de arquivos chamado SMB para infectar milhares de computadores. Outros antes de mim já utilizaram e se deram bem. Nada se cria, tudo se copia.

Agora estou mais forte. Não sou baseado somente em duas ferramentas da NSA (EternalBlue and DoublePulsar) e não possuo o modo KillSwitch! Agora uso recursos das 7 ferramentas que vazaram de lá.

Eu me chamava WannaCry, mas agora pode me chamar de EternalRocks (somente me teste se souber o que estiver fazendo! Não me responsabilize!).

Veja o que minha nova versão possui:

  • EternalBlue — Exploit para o SMBv1

  • EternalRomance — Exploit para o SMBv1

  • EternalChampion — Exploit para o SMBv2

  • EternalSynergy — Exploit para o SMBv3

  • SMBTouch — Ferramenta para reconhecimento SMB

  • ArchTouch — Ferramenta para reconhecimento SMB

  • DoublePulsar — Backdoor Trojan

Um cara chamado Miroslav Stampar me apelidou de DoomsDayWorm (Worm do dia do apocalipse). Um nome apropriado, não acha?

https://twitter.com/stamparm/status/865020182829432832

Como minha nova versão funciona?

A minha instalação ocorre em dois estágios:

Durante a primeira fase eu baixo o navegador Tor nos computadores que infectarei, para poder me comunicar ao meu servidor de comando e controle (C&C) localizado na Dark Web.

Como disse o cara lá em cima que me apelidou de DoomsDayWorm: “O malware da primeira fase UpdateInstaller.exe (obtido através da exploração remota com malware do segundo estágio) faz os downloads necessários, como os componentes .NET (para as fases seguintes) TaskScheduler e SharpZLib, enquanto copia o svchost.exe e taskhost.exe para a máquina que irá infectar”.

O segundo estágio da minha infecção ocorre após 24 horas, quando tento utilizar técnicas de sandboxing para que eu não seja percebido. Ainda receberei da minha central de C&C um pacote contendo os 7 exploits que mencionei anteriormente. Realizarei também uma varredura na Internet procurando por portas SMB abertas, pois quero estar em todos os lugares.

O componente svchost.exe é utilizado para fazer o download, descompactar e executar o Tor de archive.torproject.org, junto com a comunicação via C&C (ubgdgno5eswkhmpy.onion), solicitando instruções adicionais, como por exemplo, a instalação de novos componentes.

Meus amigos do Shadow Brokers estão querendo disponibilizar para os interessados os próximos vazamentos de zero-days e exploits. Isso seria disponibilizado para quem assinar um pacote, mas ainda não falaram sobre o valor da assinatura.

Prevenção?

O que você pode fazer? Meu instinto nato é infectar e infectar. Mas não gosto que meu oponente esteja em muita desvantagem. Por isso digo:

  • Atualize o Windows sempre;

  • Nem tudo que você recebe por e-mail são flores. Não clique em tudo que receber;

  • Utilize um bom antivírus e atualize-o sempre;

  • No blog do Técnicas de Invasão, existe um post interessante sobre engenharia social. E como acha que chego até seu computador? O problema está nos seres humanos.

  • E se não fizer nada do que falei acima, baterei em sua porta. Na TCP hein?

Conclusão

Não sei no que vou me tornar, como estarei no próximo ano. Pode ser que futuramente eu pare para descansar um pouco. É como uma corrida: você não mostra toda a sua energia, vai aos poucos liberando os recursos e ao mesmo tempo se fortalecendo. E quando chega lá no final, você mostra toda a sua força, surpreendendo seus oponentes.

Lembre-se: você pode me parar, mas não a todos nós, pois no final das contas somos todos iguais.

Fonte:

http://thehackernews.com/2017/05/smb-windows-hacking-tools.html
http://www.valor.com.br/empresas/4969314/mais-de-220-companhias-sao-alvo-de-virus-no-pais
http://www1.folha.uol.com.br/fsp/1994/11/23/informatica/21.html
http://www.anonymousbr4sil.net/2014/10/o-manifesto-hacker.html