Sistemas com comportamento estranho? Você pode ter sido invadido!

Como prevenção habitual, analisei recentemente logs de alguns de meus equipamentos. Observei de imediato algumas “solicitações” suspeitas (fig. 1). O resultado final indicou tentativas de exploração de falhas de “Execução de código remoto” e de “Escrita remota de arquivos” em servidores Windows e Linux, vulnerabilidades existentes em um sistema de publicação de conteúdo (CMS) tipo WordPress chamado de ThinkPHP, muito conhecido e utilizado na Ásia.

Se fosse bem-sucedido em sua exploração, o atacante conseguiria colocar na máquina vítima arquivos que fariam mineração de criptomoedas, consumindo o processamento do servidor atacado. As possibilidades de uso malicioso dessas duas vulnerabilidades (“Execução de código remoto” e de “Escrita remota de arquivos”) são muito grandes.

O WannaCry, malware que fez grande estrago em 2017 ao “sequestrar” computadores e pedir resgate, utilizava uma vulnerabilidade desse tipo. As máquinas vítimas poderiam ser utilizadas para qualquer fim, desde a mineração de cryptomoedas até o uso em outras invasões, sem que seus donos tivessem conhecimento do fato.

Os ataques que identifiquei foram originados em diferentes endereços, utilizando técnicas similares, o que pode indicar a responsabilidade de grupos diferentes utilizando as mesmas falhas para os mesmos fins, ou adaptações dos ataques, buscando se aprimorar.

Mesmo que essas vulnerabilidades sejam encontradas neste caso em um produto popular na Ásia, fica aqui o alerta: os robôs (computadores que fazem tarefas automatizadas) estão ativos na internet procurando novas vítimas para esse e para outros sistemas.

A regra básica para a prevenção desse e de outros tipos de ataques é manter sempre os ambientes atualizados.

A detecção prévia desse e de outros ataques semelhantes é baseada em análise dos registros de atividades (log) dos servidores WEB, por assinaturas ou em buscando-se outros sinais estranhos. Caso o ambiente já tenha sido comprometido, a detecção pode ocorrer com a análise de conexões e comunicações para destinos e portas não-padrão.

A boa notícia aqui é que a grande maioria dos softwares antimalware são capazes de detectar os programas de mineração de cryptomoedas, visto aqui como malwares. A recomendação básica é ter um software antimalware instalado e manter seus sistemas e softwares atualizados.

No caso de suspeita de problemas, é recomendável procurar ajuda especializada em serviços gerenciados, análise e correlação de eventos e resposta a incidentes.

Fig.1: Exemplo de logs de alguns equipamentos

*Fernando Amatte é diretor de Ciberinteligência da Cipher, uma empresa do grupo Prosegur