E o inevitável aconteceu!

Qualquer vulnerabilidade tecnologica capaz de uma execução de código remoto, tem potencial de WORM e Ransomware.

Vamos por partes

Falha que permite a um criminoso executar programas nas máquinas de outras pessoas sem a permissão do proprietário da máquia, e com o criminioso a quilomentos de distância.

Tipo de virus de computador que não necessita de um aquivo hospedeiro e pode se propagar sozinho.

Tipo de virus de computador que após fazer uma copia dos seus dados, cifra ou apaga os dados originais solicitando um posterior resgate.

(o objetivo das explicações não é ser o mais presciso tecnicamente, mas sim explicar em uma linguagem clara e assessivel o tipo de problema e impacto que podemos ter)

Atuando a muito tempo com consultoria, investigação e resposta a incidentes, acabo usando minhas próprias maquimas (pessoais) como honeypots, coletando, entendendo e analisando sitaução não convencionais.

Nos ultimos dias me deparei com o seguinte registro de log no meu servidor web.

Sem focar em muitos detalhes, temos o endereço IP 143.244.156.104  visitando meu website, em uma máquina que não existe nada para se ver, porém em vez de querer visitar uma página como seria convencional, esse endereço IP esta tentando explorar uma vulnerabilidade. Enviando uma série de códigos. Esse endereço IP esta tentando explorar a falha do LOG4J recentemente descoberta e que vem causando dores de cabeça no mundo todo.  ( https://pt.wikipedia.org/wiki/Log4Shell )

A sopa de letrinhas tentava no caso de sucesso em explorar a vulnerabilidade  faz o download de um arquivo e executa-lo.

Fazendo a analise basica desse arquivo, temos que ele já é reconhecido por parte dos anti-malwares.

Mas o que tem isso de especial ?

Prestando atenção vemos o nome MIRAI. E  aqui começa a outra parte interessante de tudo isso .

Mirai era uma botnet, descoberta em 2016 e focada em atacar e controlar cameras IP e roteadores domesticos transformando eles em BOTs, um tipo de robo a serviço do "dono" da botnet.

Os objetivos de um bot ou botnet variam, desde o envio de envio de emails (spam/phishig), passando por proxy de conexões e indo para ataques de negação de serviços por volumentria.

O Mirai foi responsavel por um grande ataque de negação de serviços em outubro de 2016 que impactou muitas das (empresas) gigantes que conhecemos e utilizamos hoje em dia.

Agora 5 anos depois, vemos a mesma Botnet ainda ativa e tentando explorar novas vulnerabilidades, na tentativa de agregar mais máquinas a sua rede maliciosa.

Existem várias formas de ataque e obtivos diferentes sendo utilizandos nesse momento. Alguns tentanto infectar máquinas diretamente como o comentado nesse texto, outros somente coletando os endereços das vítimas (máquinas vulneráveis) para uma proxima onde de ataque mais direcionado.

Interessante saber que um endereço IP na lista de malicioso hoje, pode tambem ter sido uma vítima no passado. Cabem os administradores de sistema e operadores de sergurança (independente da cor de suas bandeiras) identificar, analisar e tratar situações entranhas em seus ambientes.

HASH do arquivo encontrado.

Compactado “original” com UPX

root@WebAnjo03:/tmp/log4j# md5sum run

MD5: abfffbc733c72fb32b07b9cc227069c1

SHA1: d952fd5cb44f2ae0063b378745623290d1537245

Descompactado:

MD5: 38269e7949f62fe106a5ad498b19ce6b

SHA1: 2952b2ed2853c928251a0010cd4dea0fca878b3d  

Esses são alguns do IPs testando seu ambiente sem a sua autorização (desde o dia 13 de dezembro até hoje, dia 22 de dezembro 2021)

Os endereções IPs apresentados não estão em nenhuma ordem específica.