Brechas em sistemas de segurança digital como EDRs podem permitir que esses recursos sejam usados como Wipers, capazes de apagar registros essenciais do PC

Vulnerabilidades transformam soluções de segurança em Wipers. Entenda

Você faz todo o investimento em uma grande infraestrutura de proteção, contratando boas ferramentas e aplicando em sua rede colaborativa. Entretanto, algo sai errado e seus dados são apagados. De acordo com um estudo recente, múltiplas vulnerabilidades em softwares de antivírus e segurança permitem transformar os sistemas em malwares Wipers.

Na pesquisa divulgada pela Safebreach, o pesquisador Or Yair compartilhou uma série de descobertas sobre brechas de segurança em antivírus e plataformas de EDR.

O estudo faz parte de um programa desenvolvido pela Safebreach lab que busca encontrar falhas e possibilidades de ataques hackers em softwares e hardwares. O objetivo é evitar que essas brechas de segurança se tornem grandes ameaças digitais no futuro. 

Antes de começar, é importante entender como funcionam os malwares Wipers. Essas aplicações tem como funcionalidade limpar os dados do disco rígido de determinado dispositivo afetado. Portanto, eles são utilizados para encontrar uma informação relevante e simplesmente aniquilar esse dado da base.

De acordo com Yair:

“Os Wipers se tornaram uma ferramenta essencial para grupos de ameaças persistentes avançadas (APT) à medida que conduzem uma guerra cibernética e são cada vez mais usados ​​como um ato ofensivo para apoiar a guerra física. Um exemplo muito bom é a atual guerra entre a Rússia e a Ucrânia — ambos os lados foram atacados por esse malware. Irã, Israel e Arábia Saudita também foram alvo de ataques de limpeza nos últimos anos”.

Ainda de acordo com o relatório, Wipers como Shamoon, CaddyWiper, DoubleZero, IsaacWiper, KillDisk e Meteor costumam sobrescrever os arquivos, limpando completamente o conteúdo que havia dentro deles anteriormente. Porém, para que isso seja feito é necessário ter um nível de permissão elevado dentro do sistema.

“Por exemplo, se o limpador deseja excluir determinados arquivos de uma pasta de usuário administrador, ele precisa ter privilégios para os arquivos nessas pastas. Isso também é verdade para os arquivos do sistema. Portanto, esses Wipers geralmente são executados com privilégios de administrador”, afirmou Yair.

Além de sobrescrever arquivos, esses malwares também são usados para destruir a unidade de armazenamento, pois eles conseguem substituir arquivos importantes da estrutura que mantém esse disco funcionando. 

Esse tipo de situação deixa rastros e, portanto, é acompanhada de perto por um sistema de EDR. De acordo com Yair, “os EDRs (ou qualquer outra pessoa) que tente analisar o que aconteceu após um evento como esse pode facilmente usar os dados coletados do monitoramento do processo para ver se chamadas de API visíveis foram usadas para abrir arquivos e, em seguida, gravá-los, identificando-os claramente como uma técnica de Wipers”.

O estudo do pesquisador e da Safebreach partiu, portanto, da possibilidade de aproveitar as vulnerabilidades de forma que não sejam detectadas (e nem necessárias) essas APIs, como também de aplicar a limpeza sem que o usuário tenha privilégios administrativos.

Usando EDRs como Wipers contra a organização

De acordo com Yair, as soluções de EDRs “têm um superpoder muito especial: a capacidade de excluir qualquer arquivo em um sistema, independentemente dos privilégios necessários para excluí-lo. Qualquer arquivo no sistema pode ser potencialmente malicioso, portanto, eles devem ser capazes de agir, se necessário”.

A partir dessa constatação, ele investigou a possibilidade de um hacker utilizar o próprio EDR como uma forma de apagar arquivos de um disco, tornando o ending point inútil.

A grande necessidade seria encontrar uma forma do EDR identificar um arquivo potencialmente malicioso e, entre o tempo da identificação e do apagamento, fazer com que o software apague outros arquivos que não são maliciosos, criando um caminho de destruição.

Fonte: https://www.safebreach.com/wp-content/uploads/2022/12/Picture2.png

“Digamos que, como um usuário sem privilégios, eu queira excluir um arquivo .sys, que é um driver contido no diretório C:\Windows\System32\drivers. Obviamente, como usuário sem privilégios, não posso excluir esse arquivo. Mas posso criar um caminho especial muito, muito semelhante ao caminho que desejo excluir, com uma diferença principal: a maior parte do caminho está contida em um diretório que está sob meu controle como usuário sem privilégios. Nesse caso, seria C:\temp\Windows\System32\drivers e criei o arquivo .sys nesse local”, afirmou Yair.

Fonte: https://www.safebreach.com/wp-content/uploads/2022/12/Picture3.png

E, a partir de uma manobra, Yair conseguiu levar o EDR até o caminho original do arquivo sys:

Se eu acionei um programa privilegiado para tentar excluir aquele caminho especialmente criado, mas, pouco antes da exclusão, excluí tudo de dentro do diretório temporário e troquei o diretório temporário para ser uma junção em direção à unidade C:\ , então o mesmo caminho que o EDR ou o programa privilegiado tentou excluir levaria ao arquivo .sys original”, complementou.

Após essa etapa, Yair criou um arquivo Mimikatz dentro da pasta que ele tinha controle. Esse arquivo permite explorar a segurança do Windows. “Imediatamente após a criação, excluí o diretório temporário com o arquivo Mimikatz dentro e, em vez disso, criei uma junção que apontava para a unidade C:\”.

Fonte: https://www.safebreach.com/wp-content/uploads/2022/12/Picture5.png

Yair esperava que o EDR encontrasse seu arquivo e o desativasse antes da junção entre pasta temporária e o diretório C:\, mas não foi o que aconteceu em alguns dos softwares de segurança em que rodou o teste. 

Em uma segunda rodada de testes, Yair forçou uma reinicialização do sistema, para ver a resposta dos antivírus e EDRs perante seu arquivo Mimikatz. De acordo com ele, “alguns EDRs e AVs usaram a API padrão do Windows para adiar uma exclusão até a próxima reinicialização. O SentinelOne, por exemplo, lidou com a situação dessa maneira. O outro método que observei foi que alguns EDRs ou AVs apenas mantinham uma lista dos caminhos a serem excluídos em algum lugar e, após a reinicialização, eles os excluíam”.

Ao término dessa nova rodada, Yair conseguiu criar um processo que deletou os arquivos do Windows utilizando processos padrões do próprio sistema operacional. 

O que é surpreendente sobre esse recurso padrão do Windows é que, uma vez reiniciado, o Windows começa a excluir todos os caminhos e segue cegamente as junções. Algumas outras auto-implementações de EDRs e AVs também fazem isso. Como resultado, consegui criar um processo completo que me permitiu excluir quase todos os arquivos que eu desejasse no sistema como um usuário sem privilégios”, concluiu.

Dentre as ferramentas utilizadas no teste, 50% se mostraram vulneráveis a se tornarem um Wiper dentro do dispositivo. A Bitdefender, empresa com a qual nós da VNX Partners trabalhamos, está na lista daquelas que se saíram bem no teste.

Batizado por Yair de Aikido iperTool, o teste já foi enviado às empresas cujos softwares mostraram vulnerabilidades e as alterações nos sistemas também já foram emitidas.

Curtiu nosso conteúdo? Conheça também as nossas soluções digitais. Entre em contato com nossos analistas e saiba mais.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *