Ransomware: EMET eleva o nível de agressividade
Ransomware: EMET eleva o nível de agressividade mas a nova classe Angler vem para burlar todos os métodos de defesa atuais. Veja todos os detalhes aqui.
[ad#texto]
Ataques do tipo ransomware e outros tipos de malware tem tirado o sono da grande maioria dos profissionais de TI e também dos usuários, mas quando tudo parecia estar caminhando para a tranquilidade novamente com a tecnologia embutida EMET da Microsoft, porém ao que tudo indica o nível de agressividade de uma grande gama de malwares subiu e parece que todos estamos em perigo novamente, ransomware: EMET eleva o nível de agressividade.
Ransomware: EMET eleva o nível de agressividade: o problema
A tecnologia EMET tem despontado como a melhor tecnologia de defesa com malwares diversos para ambiente Windows, mas uma nova classe de malwares, chamada de Angler, surgiu e pelas primeiras observações consegue transpassar a camada de segurança EMET com sucesso.
Veja o que os pesquisadores do FireEye dizem sobre esta nova classe de ameaças:
“O nível de sofisticação em kits de exploração aumentou significativamente ao longo dos anos”, o pesquisador FireEye ainda escreveu. “Onde ofuscação e novas zero days uma vez foram as únicas adições no ciclo de desenvolvimento, código evasivo já foi observado incluído no framework e shellcode.”
Ransomware: EMET eleva o nível de agressividade: os detalhes
As tecnologias EMET e DEP tem provado serem eficazes no controle de execução de código malicioso sob Flash ou Silverlight, pois impedem o vazamento de memória e desta forma o máximo que uma ameaça pode fazer é bloquear a execução do Flash ou Silverlight que pode ser acionado novamente sem nenhum dano ao sistema operacional.
Porém, a classe Angler conta com uma técnica muito mais difícil de detectar e com menos limitações o que em resumo expande seu poder destrutivo sobre o sistema.
O Angler não utiliza a técnica de Programação Orienta ao Retorno (ROP) e em vez disso executa fragmentos de seu código em áreas diferentes da memória sob Flash.ocx e rotinas embutidas de Coreclr.dll para chamar VirtualProtect e VirtualAlloc.
Ransomware: EMET eleva o nível de agressividade: as limitações
A primeira limitação do Angler é a necessidade do computar invadido possuir Flash ou Silverlight instalados, que levando em conta o desuso de tais tecnologias vai limitar muito o raio do atuação desta malware.
Outra importante limitação é que o Windows 10, por possuir arquitetura mais robusta e refinada parece ser imune ao Angler (pelo menos por hora) o que vai dificultar mais ainda a disseminação.
Embora ainda existam limitações importantes vale lembrar que a classe Angler é mais uma prova de conceito do que um produto final em si e é óbvio que com o tempo seus criados vão aproveitar o conceito aplicado e vão refina-lo a ponto de mitigar as limitações que existem hoje.