Ransomware: EMET eleva o nível de agressividade

Ransomware: EMET eleva o nível de agressividade mas a nova classe Angler vem para burlar todos os métodos de defesa atuais. Veja todos os detalhes aqui.

[ad#texto]

Ransomware: EMET eleva o nível de agressividade
Ransomware: EMET eleva o nível de agressividade

Ataques do tipo ransomware e outros tipos de malware tem tirado o sono da grande maioria dos profissionais de TI e também dos usuários, mas quando tudo parecia estar caminhando para a tranquilidade novamente com a tecnologia embutida EMET da Microsoft, porém ao que tudo indica o nível de agressividade de uma grande gama de malwares subiu e parece que todos estamos em perigo novamente, ransomware: EMET eleva o nível de agressividade.

Ransomware: EMET eleva o nível de agressividade: o problema

A tecnologia EMET tem despontado como a melhor tecnologia de defesa com malwares diversos para ambiente Windows, mas uma nova classe de malwares, chamada de Angler, surgiu e pelas primeiras observações consegue transpassar a camada de segurança EMET com sucesso.

Veja o que os pesquisadores do FireEye dizem sobre esta nova classe de ameaças:

“O nível de sofisticação em kits de exploração aumentou significativamente ao longo dos anos”, o pesquisador FireEye ainda escreveu. “Onde ofuscação e novas zero days uma vez foram as únicas adições no ciclo de desenvolvimento, código evasivo já foi observado incluído no framework e shellcode.”

Ransomware: EMET eleva o nível de agressividade: os detalhes

As tecnologias EMET e DEP tem provado serem eficazes no controle de execução de código malicioso sob Flash ou Silverlight, pois impedem o vazamento de memória e desta forma o máximo que uma ameaça pode fazer é bloquear a execução do Flash ou Silverlight que pode ser acionado novamente sem nenhum dano ao sistema operacional.

Porém, a classe Angler conta com uma técnica muito mais difícil de detectar e com menos limitações o que em resumo expande seu poder destrutivo sobre o sistema.

O Angler não utiliza a técnica de Programação Orienta ao Retorno (ROP) e em vez disso executa fragmentos de seu código em áreas diferentes da memória sob Flash.ocx e rotinas embutidas de Coreclr.dll para chamar VirtualProtect e VirtualAlloc.

Ransomware: EMET eleva o nível de agressividade: as limitações

A primeira limitação do Angler é a necessidade do computar invadido possuir Flash ou Silverlight instalados, que levando em conta o desuso de tais tecnologias vai limitar muito o raio do atuação desta malware.

Outra importante limitação é que o Windows 10, por possuir arquitetura mais robusta e refinada parece ser imune ao Angler (pelo menos por hora) o que vai dificultar mais ainda a disseminação.

Embora ainda existam limitações importantes vale lembrar que a classe Angler é mais uma prova de conceito do que um produto final em si e é óbvio que com o tempo seus criados vão aproveitar o conceito aplicado e vão refina-lo a ponto de mitigar as limitações que existem hoje.

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.