Apocalipse do cryptojacking: como derrotar os quatro cavaleiros da mineração de criptomoedas

/0 Comentários/em /por

Apesar das flutuações de preços do bitcoin e de outras criptomoedas, o cryptojacking continua sendo uma ameaça grave — e muitas vezes oculta — para negócios, empresas de pequeno e médio porte e consumidores em geral.

E a mais discreta dessas ameaças é a mineração de criptomoedas pelo navegador, na qual formas populares de malware tentam transformar seu dispositivo em um robô de mineração de criptomoedas em tempo integral, chamado cryptojacker.

Para ajudá-lo a entender essa tendência de forma criativa, vou recorrer a meu treinamento clássico e exagerar um pouco. Se você olhar para a onda do cryptojacking como um apocalipse, assim como algumas de suas vítimas, os Quatro Cavaleiros seriam as quatro ameaças ao endpoint ou aos negócios:

  • Cavalo Branco: a energia que ele consome ou desperdiça
  • Cavalo Vermelho: a perda de produtividade pela limitação de recursos
  • Cavalo Preto: os danos que ele pode causar a um sistema
  • Cavalo Amarelo: as implicações de segurança decorrentes das vulnerabilidades criadas

Ao contrário do ransomware, que quer ser encontrado (para pedir pagamento), o cryptojacker é executado em segundo plano de forma invisível (mesmo que o gráfico de desempenho da CPU ou a ventoinha do dispositivo indique que algo esteja estranho).

Os criadores de ransomware mudaram de rumo ao longo dos últimos dois anos e passaram a usar mais o cryptojacking, pois a eficácia e o ROI de um determinado tipo de ransomware diminuem assim que ele é exposto em feeds públicos como o VirusTotal.

Como qualquer outra pessoa que administra um negócio altamente lucrativo, os cibercriminosos precisam sempre buscar novas maneiras de atender as suas metas financeiras. O cryptojacking está sendo usado para lidar com esse desafio.

Em abril de 2018, a SonicWall começou a acompanhar as tendências do cryptojacking, mais precisamente a utilização do Coinhive no malware. Ao longo do ano, observamos o recuo e o avanço do cryptojacking. Durante esse tempo, a SonicWall registrou quase 60 milhões de ataques de cryptojacking, com até 13,1 milhões em setembro de 2018. Conforme publicado no Relatório de Ameaças Cibernéticas da SonicWall 2019, o volume caiu durante o último trimestre de 2018.

Ataques globais de cryptojacking | De abril a setembro de 2018

A sedução da mineração de criptomoedas

As operações de mineração de criptomoedas tornaram-se cada vez mais populares, atualmente representando quase 0,5% do consumo de eletricidade no mundo. Apesar das fortes oscilações no preço, cerca de 60% do custo da mineração legítima de bitcoin é resultado de consumo de energia. Na verdade, enquanto eu escrevia este texto, o preço de um bitcoin era inferior ao custo da mineração legítima.

Com esses custos e risco zero em relação à compra e à manutenção de equipamentos, os cibercriminosos têm fortes incentivos para gerar criptomoedas com os recursos de outra pessoa. Dez máquinas infectadas com um cryptominer podem render até US$ 100 por dia; assim, o desafio para os cryptojackers é triplo:

  1. Encontrar alvos, ou seja, organizações com muitos dispositivos na mesma rede, especialmente escolas ou universidades.
  2. Infectar o maior número de máquinas possível.
  3. Manter seu caráter oculto durante o máximo de tempo possível (ao contrário do ransomware e mais semelhante ao malware tradicional).

Os cryptojackers utilizam técnicas semelhantes àquelas do malware para entrar sorrateiramente em um endpoint: downloads por direcionamento, campanhas de phishing, vulnerabilidades no navegador e plugins do navegador, entre outras. E, claro, eles miram no elo mais fraco — as pessoas — por meio de técnicas de engenharia social.

Estou infectado por cryptominers?

Os cryptominers estão interessados em seu poder de processamento, e o lucro dos cryptojackers depende do que eles roubam. A quantidade de recursos que eles obtêm de sua CPU depende dos objetivos.

Quanto menos energia é consumida, mais difícil é para os usuários desprevenidos perceberem. Roubos maiores aumentam os lucros. Em ambos os casos, o desempenho será afetado; mas, se o limiar for baixo o suficiente, poderá ser difícil distinguir um minerador de um software legítimo.

Os administradores de empresas podem procurar processos desconhecidos no ambiente, e os usuários finais do Windows devem abrir o Sysinternals Process Explorer para ver o que estão executando. Pelo mesmo motivo, os usuários do Linux e do MacOS devem investigar usando o Monitor do Sistema e o Monitor de Atividade, respectivamente.

Como defender-se contra cryptominers

O primeiro passo na defesa contra cryptominers é deter esse tipo de malware no gateway, seja com firewalls, seja com segurança de e-mail (segurança do perímetro), que é uma das melhores maneiras de remover ameaças de arquivos conhecidas.

Como as pessoas gostam de reutilizar códigos antigos, capturar cryptojackers como o Coinhive também seria um primeiro passo simples. No entanto, o Coinhive anunciou publicamente, em fevereiro de 2019, que encerraria as operações no dia 8 de março. O serviço declarou que já não era “economicamente viável” e que a “quebra” havia afetado gravemente o negócio.

Apesar da notícia, a SonicWall prevê que ainda haverá uma onda de novas variantes e técnicas de cryptojacking para preencher essa lacuna. O cryptojacking ainda pode se tornar o método favorito de agentes mal-intencionados em razão de seu caráter oculto; danos pequenos e indiretos às vítimas reduzem a possibilidade de exposição e prolongam o valioso tempo de vida de um ataque bem-sucedido.

Se o tipo de malware for desconhecido (novo ou atualizado), ele contornará os filtros estáticos na segurança do perímetro. Se um arquivo for desconhecido, ele será encaminhado a uma área restrita para que seja feita a inspeção da natureza do arquivo.

O sandbox multimotor Capture Advanced Threat Protection (ATP) da SonicWall é projetado para identificar e deter o malware evasivo que pode escapar de um motor, mas não dos outros.

Se você não tem um endpoint nesse cenário comum (por exemplo, em roaming no aeroporto ou no hotel), precisará implantar um produto de segurança de endpoint que inclua detecção de comportamento.

Os cryptominers podem operar no navegador ou ser distribuídos por meio de um ataque sem arquivo, de modo que as soluções legadas que você recebe gratuitamente com um computador não consigam detectá-los.

Um antivírus baseado em comportamento, como o SonicWall Capture Client, detectaria que o sistema quer fazer mineração de moedas e, em seguida, encerraria a operação. Um administrador pode facilmente colocar o malware em quarentena e excluí-lo ou, no caso de algo realmente causar danos aos arquivos do sistema, retornar o sistema para o último estado seguro detectado antes da execução do malware.

Com uma combinação de defesas de perímetro e análise comportamental, as organizações podem combater as mais recentes formas de malware, independentemente de qual seja a tendência ou a intenção.

Vulnerabilidade Dragonblood: Seu Wi-Fi é seguro?

/0 Comentários/em /por

Estamos na temporada de Game of Thrones! E tudo o que tem a ver com dragões me lembra GoT. A vulnerabilidade Dragonblood recentemente expôs a segurança frágil do padrão WPA3. Faz apenas um ano que a vulnerabilidade KRACK expôs fragilidades do padrão WPA2. Em resposta, um sucessor ao WPA2 mais forte foi anunciado pela Wi-Fi Alliance: o WPA3.

Mas ele era um sucessor realmente tão forte quanto parecia? Aparentemente, não.

O WPA3 incorporou o handshake Autenticação Simultânea de Iguais (SAE, Simultaneous Authentication of Equals), que foi um avanço extraordinário em relação ao WPA2, pois impede ataques de dicionário. A família de handshakes SAE é chamada de Dragonfly. Esse handshake é suscetível a ataques de particionamento de senha, que se assemelham a ataques de dicionário e tiram proveito de vazamentos laterais para descobrir senhas de rede.

Segundo os pesquisadores, Vanhoef e Ronen, que publicaram o documento sobre essa vulnerabilidade, o WPA3 é afetado por falhas de projeto graves que poderiam ter sido evitadas com o feedback de especialistas do setor a respeito do Wi-Fi seguro. Entre essas falhas está o fato de que o WPA3 não introduziu nenhum protocolo novo; ele apenas indica quais protocolos existentes devem ser aceitos.

Histórico do WPA3

O WPA3 trouxe aperfeiçoamentos em relação ao WPA2 usando os métodos de segurança mais recentes, não aceitando protocolos legados desatualizados e implementando o uso de Quadros de Gerenciamento Protegidos (PMF, Protected Management Frames). Ele foi projetado com foco em dois tipos de redes: proteção para redes domésticas com o WPA3-Personal e para redes empresariais com o WPA3-Enterprise.

O WPA3-Personal oferece maior proteção por senha para a rede, enquanto o WPA3-Enterprise disponibiliza protocolos de segurança mais elevados para redes empresariais. Nas redes com WPA3-Personal, o handshake SAE é o substituto à Chave Pré-compartilhada (PSK, Pre-Shared Key) das redes com WPA2-Personal. O WPA3 inclui seleção natural de senha, facilidade de uso e sigilo de encaminhamento.

O que é o handshake Dragonfly?

O WPA3-Personal exige a compatibilidade com handshakes SAE, que são uma Troca de Chaves de Autenticação por Senha equilibrada em que dois endpoints (AP e AP ou AP e cliente) armazenam senhas em texto claro. A entrada do handshake SAE é um segredo pré-compartilhado, e a saída é uma Chave Mestre em Pares de alta entropia. Após essa execução, um handshake de quatro vias gera uma Chave Transitória em Pares.

6 maneiras pelas quais o Dragonblood afeta a rede wireless

  1. Ataque de Negação de Serviço (DoS). O mecanismo antiobstrução do WPA3 que deveria evitar ataques de DoS não faz isso. Isso pode desativar os pontos de acesso e causar interrupção nas redes.
  2. Ataque de downgrade. O modo de transição do WPA3 é suscetível a ataques de dicionário. Nesse modo, um ponto de acesso compatível com WPA3 pode aceitar conexões de dispositivos de clientes com WPA2 e WPA3. Se um invasor usa um ataque man-in-the-middle para modificar os beacons de um ponto de acesso compatível com WPA3 para fazer com que o cliente pense que o ponto de acesso é de WPA2, o cliente detecta a anomalia durante o handshake WPA2 de quatro vias e aborta a transmissão. No entanto, quadros suficientes são enviados durante o handshake, permitindo que o invasor realize um ataque de dicionário. Além disso, os pesquisadores também descobriram “ataques de downgrade específicos de implementação quando um cliente se conecta automaticamente de forma incorreta a uma rede utilizada anteriormente que só é compatível com WPA3”.
  3. Ataque de negociação de grupo de SAE. Os dispositivos de cliente podem priorizar grupos no handshake SAE de acordo com as especificações 802.11. Com o SAE, quando um cliente se conecta a um ponto de acesso, ele inclui o grupo desejado no quadro de confirmação, e o processo continua. “Infelizmente, não existe um mecanismo que detecte se alguém interferiu no processo. Com isso, é comum forçar o cliente a usar um grupo diferente: simplesmente forjando um quadro de confirmação que indique que um AP não é compatível com o grupo selecionado.” O resultado é um ataque de downgrade. Esse método também pode ser usado para realizar ataques de atualização.
  4. Ataques laterais baseados em sincronização de horários. O handshake SAE é suscetível a ataques de sincronização de horários que vazam informações de senha, que podem ser usadas posteriormente em ataques de particionamento de senha, levando à descoberta da senha da vítima.
  5. Ataques laterais baseados em cache. O SAE também é suscetível a vulnerabilidades na implementação de seus algoritmos, que podem ser aproveitados em ataques de particionamento de senha, levando à descoberta da senha da vítima.
  6. EAP-PWD. Afeta o Protocolo de Autenticação Extensível (EAP, Extensible Authentication Protocol), compatível com os padrões WPA2 e WPA. Os pesquisadores também “descobriram defeitos graves na maioria dos produtos que implementam o EAP-PWD. Eles permitem que um invasor se passe por qualquer usuário e acesse a rede Wi-Fi sem saber a senha do usuário”.

Como se proteger contra o Dragonblood

É possível corrigir a vulnerabilidade Dragonblood com patches de software. Embora a Wi-Fi Alliance esteja transmitindo as diretrizes aos fornecedores, certifique-se de que sua rede sempre tenha os patches das atualizações de segurança mais recentes dos fabricantes de dispositivos wireless. Use também senhas fortes nas redes.

A vulnerabilidade Dragonblood afeta os pontos de acesso wireless SonicWave?

Não. Essa vulnerabilidade não afeta os pontos de acesso wireless da SonicWall. Os pontos de acesso SonicWave oferecem segurança wireless de qualidade superior e um terceiro rádio exclusivo para varredura de segurança. Os APs podem realizar serviços de segurança avançados, como a área restrita de Proteção contra Ameaças Avançadas (ATP) do Capture e o Serviço de Filtragem de Conteúdo (CFS, Content Filtering Service), mesmo quando estão desconectados dos firewalls. Dessa forma, você tem a máxima flexibilidade para gerenciar a rede wireless da nuvem ou por meio dos firewalls, sem comprometer a segurança.