Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo
Tendo enfrentado profissionalmente no passado diversas situações de ataques de
Malwares e Ransomwares em ambientes de rede corporativa decidimos estudar
como identificar um programa malicioso encontrado em tais ambientes, para tal
escolhemos como objeto de estudo um dos mais sofisticados Remote Access
Trojans (RAT) conhecidos, o Nanocore, que será analisado quanto a sua atividade
de rede. Detalharemos nesse artigo uma intrusão do referido Malware fazendo uso
do mais conhecido e utilizado analisador de protocolo de rede, o Wireshark,
executado dentro de um ambiente seguro com o Linux Tool Kit REMnux virtualizado
no Oracle VirtualBox em um arquivo de packet capture (pcap) do Nanocore
destinada a estudos. O Objetivo de tal estudo é analisar o tráfego de rede de um
computador infectado pelo Malware Nanocore para se possível identificar sua
origem, como o computador foi infectado e por que meios e quais métodos ele utiliza
para se multiplicar pela rede e infectar outros computadores. Através do Wireshark
analisaremos a captura de pacotes do programa malicioso minuciosamente quadro a
quadro para identificar a origem/destino dos pacotes bem como as trocas de
arquivos encapsulados nos mesmos. Inicialmente vendido como uma ferramenta de
gerenciamento remoto por seu desenvolvedor o Nanocore foi extensivamente
utilizado por Hackers devido a sua atuação furtiva e fácil instalação pelo próprio
usuário leigo para tomada de controle de computadores pelo mundo inteiro por
longos anos. Mesmo após a prisão de seu criador ele sofreu diversas atualizações e
adição de plugins desde sua aparição sendo um Malware ativo até os dias atuais em
sistemas mais antigos e vulneráveis.
1. Introdução
A muito tempo a distribuição de RATs por e-mail spam e phishing vem se
destacando como principal porta de entrada de softwares maliciosos dentro das
corporações, aproveitando-se de infraestruturas de TI mal protegidas quanto a
invasões externas, ausência de Firewalls com monitoramento e controle de intrusões
IPS/IDS, Antivírus desatualizados ou mesmo ausentes e até a própria ingenuidade
dos usuários, tais falhas de segurança permitem que essa estratégia ainda seja
utilizada com certo grau de sucesso até hoje mesmo com a proliferação dos ataques
mais modernos de Ransonware.
Mas não são apenas as corporações que são vítimas de tais ataques, muitos nichos
de usuários não corporativos também têm sido alvo desse tipo de RAT como
demostraremos mais a frente, os Hackers se utilizam de engenharia social para
atingir tais grupos de usuários com e-mail phishing de interesse coletivo daquele
determinado conjunto de possíveis vítimas. Assuntos em destaque, notícias de
última hora, boatos de celebridades e até fake News são conteúdo comum desses e-
mails que buscam um usuário leigo e com seu computador desprotegido para ser
controlado pelo RAT.
Para nosso objeto de estudo analisaremos o Nanocore RAT, ferramenta de
gerenciamento remoto que se transformou em um dos RATs mais ativos no mundo
por vários anos e ainda se encontra em atividade em suas versões mais atuais.
Apesar de inicialmente o Nanocore não ter sido desenvolvido com o intuito
malicioso, mas comercializado apenas como um gerenciador remoto como
explicaremos adiante, seu código foi modificado ao longo dos anos para se tornar
um RAT amplamente utilizado e sem custo algum, o que aumentou muito sua
popularidade na comunidade Hacker.
Este estudo se utilizará de um ambiente de análise seguro Remnux, distribuição
Linux voltada para análise de Malwares, para assim evitar que o malware seja
bloqueado/removido por ferramentas de antivírus ou contamine estações Windows
vulneráveis, apenas por precaução. Uma captura de pacotes de rede pcap contendo
o Malware Nanocore RAT foi baixada do site (malware-traffic-analysis.net, 2021),
voltado a análise de tráfego de rede de Malwares, para ser o objeto da nossa análise
pelo analisador de protocolos de rede Wireshark. Utilizaremos o Oracle Virtual Box
para virtualizar Remnux onde faremos a análise pelo Wireshark em busca de
informações referentes ao Malware que possam ser utilizadas em sua identificação.
Faremos agora uma breve explanação sobre o Nanocore RAT, sua história
conhecida e suas principais características, em seguida descreveremos nosso
ambiente de análise e suas ferramentas finalizando com a análise do Malware em si.
3
2. Nanocore
O Nanocore é um Malware criado em 2012, mas inicialmente identificado em 2013,
consiste em um RAT que fornece ao invasor informações do computador hospedeiro
que permitem ao invasor uma gama de possibilidades maliciosas, tais como:
manipulação de arquivos, acesso a webcam e microfone, roubo de logins, etc. O
Nanocore foi atualizado ao longo dos anos sendo dividido em várias versões,
algumas delas com plugins que foram adicionando mais funcionalidades ao mesmo.
Ao contrário da maioria dos Malwares que tem uma função bem específica o
Nanocore permite que o invasor obtenha controle total do computador infectado
possibilitando ações maliciosas quase limitadas. Segundo (Poulsen, 2017) o
Nanocore foi desenvolvido como uma ferramenta de gerenciamento remoto por um
programador chamado Taylor Huddleston e vendido como tal inicialmente por 25
dólares. Segundo (Valeros, 2018) ele foi aclamado por muitos como um dos RATs
mais sofisticados da época e foi adotado por hackers sendo utilizado até hoje.
Também conhecido como Aeonhacks, Taylor Huddleston foi preso no final de 2016 e
condenado em 2018 a 33 meses de prisão por "ajudar e encorajar invasões de
computador com a venda de malware" conforme (The United States Department of
Justice, 2018). Divulgado originalmente como uma ferramenta de administração
remota em seu próprio site nanocore.io que pode ser visualizado em (Internet
Archive, 2016) o Nanocore permitia vigilância remota com áudio, vídeo, arquivos e
processos, além de criar conexões de proxy reverso e ter suas funcionalidades
expandidas por meio de plug-ins.
Alguns Plugins da extensa lista suportada pelo Nanocore eram divulgados no próprio
site nanocore.io, hoje acessível apenas pelo web.archive.org disponível em (Internet
Archive, 2016).
• Core Plugin: aprimora a funcionalidade básica da ferramenta, com mais
configurações e opções.
• Plug-in de gerenciamento: adiciona console remoto, editor de registro,
gerenciador de tarefas e navegador de arquivos.
• Plug-in ManagementEx: adiciona algumas funcionalidades extras, como
acesso à área de transferência, configurações de inicialização, programas
instalados e gerenciador de janelas.
• Plug-in de rede: encarrega-se de habilitar o suporte a SOCKS reverso.
• Plug-in de segurança: dá acesso a firewall e outras ferramentas anti-
malware.
• Plug-in de vigilância: oferece acesso a webcam e microfone.
• Plugin de Ferramentas: conjunto de ferramentas para ter controle total da
máquina.
Figura 4: documento enviado via e-mail com macro que instala o Nanocore
Fonte: (Chiu & Ugarte , 2015)
6
Figura 5: Malspan com uma ordem de compra falsa com o Nanocore anexado
Fonte: (Duncan, 2016)
Em 2017 dois pesquisadores da Fortinet (Joie & Rommel Joven , 2017) expuseram
um caso de NanoCore sendo utilizado para atacar francófonos, os e-mails de
phishing escritos em francês continham um arquivo PDF anexado que continha um
JavaScript embutido usado para baixar e instalar o RAT.
3. Wireshark
O Wireshark é atualmente o analisador de protocolos de rede mais utilizado mundo
afora, ele analisa de forma bem intuitiva e completa o tráfego IP desde um simples
computador doméstico com acesso a Internet a redes corporativas gigantescas com
terá bits de dados circulando a cada fração de segundo, segundo (Browning, 2020) o
entendimento de como o tráfego IP atravessa a rede é pré-requisito comum a todos
os profissionais de TI da atualidade. A captura de dados que atravessam uma rede
de computadores é também conhecida como sniffing, ou em tradução livre
“farejando”, que remete a ação de um cão farejador que procura por pistas de um
suposto criminoso pelo seu rastro de odor. Pois é snifando o tráfego de rede que nos
permite capturar tudo que é transmitido e recebido em uma interface de rede. Paul
Browing descreve em seu livro:
O Wireshark possui código aberto, é grátis e compatível com a maioria dos sistemas
operacionais Linux e Windows, ele está disponível para download em
https://www.wireshark.org/download.html, mas vale ressaltar que é necessário um
conhecimento prévio da família de protocolos TCP/IP e redes Ethernet para
compreender todos os detalhes revelados pelo Wireshark, conhecimento este que
não é o objeto de estudo deste artigo.
4. Remnux
O Remnux é uma distribuição Linux que consiste em um Toolkit voltado a análise de
programas maliciosos, ele possui diversas ferramentas de engenharia reversa e
dissecação de software que permitem a pesquisadores a análise de Malware. Ele foi
lançado em 2010 pelo pesquisador da SANS Lenny Zeltser que até hoje mantém a
distribuição. A última versão do Remnux é v7 lançada em 2020 conforme (Zeltser,
2021), ela possui uma série de ferramentas forensis largamente difundidas no meio,
tais como:
• Sleuth Kit: Analisador de imagens de disco
• wxHexEditor: Editor hexadecimal
• 7-Zip: Compactador/descompactador de arquivos
• Hash ID: Identificador de tipos de hash
• ExifTool: Editor de metadados
• TrID: Identificador de arquivos por assinatura
• Wireshark: Analisador de protocolos e pacotes de rede
9
5. Oracle VirtualBox
A virtualização de máquinas físicas é extensivamente utilizada em todos os tipos de
servidores, sejam eles de aplicação, rede, banco de dados, etc. Ela permite que
várias máquinas virtuais com os mais diversos sistemas operacionais coexistam
harmoniosamente dentro de uma ou mais máquinas físicas, otimizando recursos de
hardware como memória, processamento, armazenamento, consumo de energia e
até espaço físico. Porém por muitas vezes precisamos de vários sistemas
operacionais em nosso próprio computador pessoal devido as particularidades de
cada um. Segundo Robert Collins em seu livro VirtualBox Guide for Beginners:
Como o arquivo pcap contem o trafego de pacotes de rede no qual o Nanocore RAT
foi baixado para o sistema invadido algumas aplicações de Antivírus podem detecta-
lo como Malware e bloquear ou excluir o arquivo. Para evitar isso o arquivo é
disponibilizado como .zip com senha impedindo que o antivírus o acesse e verifique
que existe uma ameaça dentro do mesmo. Como estamos fazendo a análise dentro
de um ambiente seguro Linux bastou baixar o arquivo .zip e descompacta-lo com a
senha “infected” fornecida pelo próprio site Malware Traffic Analysis.
Logo em primeira vista vemos no primeiro pacote uma DNS query na porta 53 UDP
em busca do domínio www.mercedes-club-bg.com que parte do endereço IP do
computador vítima 10.12.3.101 para seu servidor de DNS e provável Gateway
10.12.3.1.
A partir do terceiro pacote podemos ver uma conexão TCP estabelecida, ao aplicar a
função Follow TCP Stream no Wireshark podemos verificar logo em sua primeira
linha uma requisição de arquivo “GET //david/mko.exe HTTP/1.1” que solicita o
download do arquivo “mko.exe” na pasta “david” ao site www.mercedes-club-
bg.com.
Com uma rápida pesquisa no site (urlhaus, 2021) podemos confirmar tanto o IP
217.18.244.196 resolvido pelo DNS na Figura 15 quanto a Tag do Nanocore
marcando o domínio www.mercedes-club-bg.com como uma Malware URL.
Com o arquivo mko.exe salvo em uma pasta local do Remnux podemos agora
calcular seu Hash MD5, que consiste em um algoritmo de sumarização que gera um
valor Hash de 128 bits expresso na forma de 32 caracteres, para fins de confirmação
de sua identidade.
Então por fim confirmamos que o arquivo mko.exe baixado do site www.mercedes-
club-bg.com contido na captura de pacotes analisada e extraída no Wireshark é
realmente o Malware Nanocore RAT.
Conclusão
Verificando os resultados do estudo concluímos que é sim possível identificar o
Malware Nanocore RAT através da análise da captura do tráfego de rede pelo
Wireshark. Executando a análise em um ambiente virtualizado pelo VirtualBox,
rodando em um computador com Windows 10, com a distribuição Linux Remnux
conseguimos construir um ambiente seguro que impossibilita a intrusão do Malware
bem como seu vazamento para a estação Windows. De posse da captura de
pacotes pcap contendo a intrusão do Malware pudemos identificar sua URL, IP de
origem, data de intrusão e constatar que os mesmos já estão associados a atividade
18
Referências
BITTON, T. (13 de Abril de 2015). NANOCORE RAT: IT’S NOT 100% ORIGINAL.
Fonte: blog.ensilo.com:
https://web.archive.org/web/20191028191947/https://blog.ensilo.com/nanocore-rat-
not-100-original
BROWNING, P. (2020). 101 Labs Wireshark WCNA. Londres: Reality Press Ltd.
CHIU, A., & UGARTE , X. P. (25 de Agosto de 2015). Malware Meets SysAdmin –
Automation Tools Gone Bad. Fonte: blogs.cisco.com:
https://blogs.cisco.com/security/talos/sysadmin-phish
J. S., & ROMMEL Joven . (12 de Outubro de 2017). PDF Phishing Leads to
Nanocore RAT, Targets French Nationals. Fonte: www.fortinet.com:
https://www.fortinet.com/blog/threat-research/pdf-phishing-leads-to-nanocore-rat-
targets-french-nationals.html
https://unit42.paloaltonetworks.com/nanocorerat-behind-an-increase-in-tax-themed-
phishing-e-mails/
POULSEN, K. (10 de Abril de 2017). FBI Arrests Hacker Who Hacked No One.
Fonte: www.thedailybeast.com: https://www.thedailybeast.com/fbi-arrests-hacker-
who-hacked-no-one