023.3 Lição 1

023.3 Lição 1

Certificado:

Security Essentials

Versão:

1.0

Tópico:

023 Segurança de Dispositivos e Armazenamento

Objetivo:

023.3 Malware

Lição:

1 de 1

Introdução

O termo malware é uma combinação que mescla sílabas das palavras mal-icioso e soft-ware. Ele abrange uma ampla gama de tipos de software que têm como objetivo comprometer um sistema de computador ou rede: vírus, cavalos de Troia, ransomware, adware, etc. A maioria desses (se não todos) incluem também subcategorias. Além disso, os ataques costumam se tornar mais destrutivos quando contêm várias combinações desses tipos de malware.

As razões por trás do malware são diversas e variadas — incluindo brincadeiras e ativismo, mas também espionagem, roubo cibernético e outros crimes graves. Em qualquer caso, a grande maioria dos malwares é projetada para gerar dinheiro de forma antiética e ilegal. O malware pode entrar em seu computador ou rede por meio de uma variedade de meios: downloads de arquivos, mensagens de email com anexos ou links suspeitos, ou visitando um site infectado — para citar apenas alguns.

A lição atual discute os princípios subjacentes dos diferentes tipos de malware (seu "modus operandi"), a extensão do seu potencial de dano e como proteger suas máquinas contra eles.

Tipos Comuns de Malware

As seções a seguir apresentam alguns dos tipos mais comuns de malware.

Vírus

Assim como os vírus biológicos, os vírus baseados em computador também precisam de um hospedeiro para causar danos. Assim, um vírus de computador é um trecho de código executável malicioso que é instalado em seu computador e tem a capacidade de se propagar. Frequentemente, a propagação é realizada enviando o e-mail malicioso inicial contendo o vírus para todos os contatos no catálogo de endereços da vítima. Para causar estragos, no entanto, o vírus precisa da intervenção humana. Portanto, é quando o usuário desavisado executa o arquivo do host infectado que o vírus se replica modificando programas ou se espalha para outros computadores, potencialmente infectando toda uma rede.

O nível de dano causado pelos vírus pode ser bastante devastador, uma vez que eles são normalmente projetados para realizar práticas tão prejudiciais quanto sobrecarregar uma rede com tráfego, corromper programas ou deletar arquivos (ou até mesmo o seu disco rígido).

Diferentemente dos vírus, os worms (vermes) não precisam de um arquivo hospedeiro infectado nem de intervenção humana para se propagar. Eles podem ser definidos como um tipo autônomo de vírus.

Ransomware (Extorsão)

Como seu nome indica, este tipo de malware consiste em manter as informações do usuário como prisioneiras por um resgate. Normalmente, o malware funciona restringindo o acesso dos usuários a certos arquivos (ou partes do computador) até que um resgate seja pago. Ao contrário dos vírus, os cibercriminosos em um ataque de ransomware são claros com a vítima e explicam o que aconteceu, bem como os passos a seguir para recuperar as informações perdidas.

O ransomware frequentemente usa criptografia de chave pública e uma chave simétrica para criptografar os arquivos comprometidos. Esses arquivos tornam-se inacessíveis para seus legítimos proprietários; os arquivos só podem ser decifrados com a chave privada do alvo. A vítima recebe uma mensagem com instruções sobre como pagar o resgate. Assim, os invasores alegam que entregarão a chave privada ao usuário apenas quando o resgate for pago. Assim como os vírus, o ransomware pode escalar rapidamente e derrubar organizações inteiras, espalhando-se por redes e visando servidores de arquivos e bancos de dados.

Para proteger sua identidade, os cibercriminosos de ransomware normalmente pedem o pagamento na forma de moeda virtual (por exemplo, Bitcoin).

Cripto Mineradores / Cryptojacking (criptosequestro)

Cripto mineradores maliciosos são projetados para aproveitar de forma furtiva a atividade ociosa da CPU (ou GPU). Como eles operam em segundo plano, podem ser difíceis de detectar. Assim, o software malicioso é instalado secretamente em seu dispositivo (ou navegador da web) e começa a minerar criptomoedas. Embora a mineração ocorra sem que as vítimas percebam, elas geralmente relatam aumento na atividade da ventoinha ou outros sinais de trabalho intenso do processador, como superaquecimento ou redução de desempenho.

Rootkits e Acesso Remoto

Rootkits referem-se a uma variedade de malware destinado a fornecer aos cibercriminosos acesso remoto e controle, enquanto permanecem não detectados pela vítima. Rootkits normalmente vêm com um conjunto de ferramentas para roubar senhas, bem como informações bancárias ou pessoais. Daí o termo: root (invasores obtêm acesso root) e kit (eles usam um kit de ferramentas).

Diferentes tipos de rootkits são projetados para atacar diferentes partes do computador: kernel, aplicativos, firmware, sistema de inicialização (bootkits) ou até mesmo a RAM.

Spyware (programa espião)

Spyware é um termo genérico para qualquer tipo de malware projetado para monitorar a atividade do seu computador e — na maioria das vezes — também roubar informações pessoais ou confidenciais: suas credenciais, informações de pagamento, histórico de navegação, entre outros. Spyware comuns incluem adware, keylogging e sequestro de câmera e microfone.

Adware

Normalmente ocorrendo dentro de um navegador da web, o adware é um tipo de malware criado para bombardear sua tela com anúncios. A maioria dos adwares mais sofisticados espiona seu comportamento online para direcioná-lo com anúncios específicos. Para enganá-lo a instalar em sua máquina, o adware pode se disfarçar como um software legítimo — no entanto, também pode ser instalado por meio de uma vulnerabilidade do navegador da web.

Uma vez instalado em seu sistema, o adware é tipicamente reconhecido por sinais como os seguintes: novas barras de ferramentas aparecem em seu navegador, links de sites levam para o site errado, seu navegador está mais lento, a página inicial do seu navegador muda, etc.

Keylogging

O termo keylogging é autoexplicativo. Assim, um keylogger é um tipo de malware que registra as teclas digitadas em um arquivo; o arquivo é então enviado a um terceiro pela Internet. Obviamente, os cibercriminosos podem causar sérios danos à vítima ao interceptar informações vulneráveis, como senhas, códigos PIN ou números de contas bancárias.

O objetivo dos keyloggers é passar despercebidos aos olhos da vítima, a fim de evitar serem detectados antes que o dano seja causado.

Os keyloggers podem ser baseados em hardware, bem como em software. Da mesma forma, eles podem ser usados como uma ferramenta de monitoramento legítima.

Sequestro de Câmera e Microfone

Esse tipo de malware de hijacking (sequestro) é projetado para obter acesso não autorizado aos seus microfones e câmeras (tanto os embutidos quanto os externos). Assim, suas imagens e conversas podem ser gravadas sem o seu consentimento. Isso pode levar a numerosos objetivos maliciosos e ter consequências muito desagradáveis: dados sensíveis são interceptados por meio de gravações de áudio, vídeos são gravados e vendidos para sites suspeitos, etc.

==== Trojan Horses (Cavalos de Troia)

De acordo com a Odisséia de Homero ou a Eneida de Virgílio, os gregos venceram a Guerra de Troia graças à astúcia e ao engano: em vez de derrubar as muralhas da cidade de Troia, eles tiveram a ideia de um enorme cavalo de madeira que deixaram nos portões da cidade. Os Troianos, ingênuos, trouxeram o cavalo para dentro e — para sua surpresa — descobriram que os soldados gregos estavam escondidos dentro o tempo todo. Seguindo a analogia dessa mitologia grega, um cavalo de Troia (ou, simplesmente, um trojan) é um pedaço de malware que viaja indetectado sob a cobertura de software ou conteúdo legítimo, como arquivos de vídeo ou áudio (ou qualquer outro tipo de conteúdo, para esse objetivo). De fato, em vez de malware, os trojans podem ser definidos como uma estratégia de propagação multipropósito para qualquer tipo de malware que os cibercriminosos possam querer usar (vírus, worms, ransomware, etc.).

Métodos Comuns Usados por Cibercriminosos para Causar Estragos

As seções a seguir apresentam alguns métodos utilizados por cibercriminosos para realizar ou implantar alguns dos tipos de malware — se não todos --que acabamos de descrever nas seções anteriores.

Backdoors (Portas dos Fundos)

Podemos definir uma backdoor (porta dos fundos) como uma maneira de acessar um sistema de computador que contorna o protocolo legal e preestabelecido projetado para ele (da mesma forma que as pessoas às vezes usam portas dos fundos reais para evitar serem vistas entrando em edifícios no mundo real). Em outras palavras: o sistema é acessado por um intruso que evita qualquer medida de segurança. Mas as portas dos fundos são criadas intencionalmente ou simplesmente por acaso? Bem, ambas; vamos dar uma olhada.

Em primeiro lugar, tenha em mente que o software, de modo geral — especialmente o software que implica acesso remoto — possui vulnerabilidades, então os cibercriminosos trabalham arduamente para detectar as chamadas zero-day vulnerabilites (vulnerabilidades de dia zero). Como o próprio nome sugere, essas vulnerabilidades são descobertas no mesmo dia em que o software é lançado e são realmente perigosas porque ainda não existem patches ou soluções para neutralizar o potencial dano. Assim, uma porta, por exemplo, poderia ser deixada inadvertidamente desprotegida e — se descoberta — fornecer uma porta dos fundos para intrusos.

Em segundo lugar, os cibercriminosos podem tentar criar uma porta dos fundos eles mesmos. Para isso, eles poderiam recorrer à engenharia social, por exemplo, e tentar convencer a vítima a instalar um software aparentemente útil que conterá o malware capaz de estabelecer a porta dos fundos (criando um túnel entre o computador deles e o da vítima, por exemplo).

Por último, mas não menos importante, os próprios fabricantes e desenvolvedores podem criar e inserir portas dos fundos em seus produtos por uma variedade de razões (uma delas é garantir o acesso ao sistema a qualquer momento!).

Entre as coisas mais comuns e desagradáveis para as quais as portas dos fundos podem ser usadas, podemos citar as seguintes:

  • Entrega de malware: cavalos de Troia, keyloggers, etc.

  • Espionagem, ou seja, roubo de informações sensíveis que podem levar ao roubo de identidade ou à realização de transações fraudulentas, etc.

  • Sequestro de servidores

  • Desfiguração de sites

A desfiguração de sites (ou desfiguração web) pode ser definida como um ataque contra um site em que os cibercriminosos substituem parte do seu conteúdo pelo deles (por exemplo, a página inicial é substituída por uma mensagem que diz “Este Site Foi Hackeado”).

Exfiltração de Dados

A exfiltração de dados refere-se a qualquer transferência não autorizada de dados de um sistema de informação. Uma das formas mais comuns de exfiltração de dados envolve a quebra do resolvedor DNS. Em tal cenário, os passos são os seguintes:

  1. Um ataque de phishing é realizado: uma mensagem de e-mail é enviada contendo um pedaço de malware embutido em um documento.

  2. A vítima abre a mensagem de e-mail. O código malicioso é executado e um canal de comando e controle é criado através do resolvedor DNS.

  3. O malware começa a se propagar até encontrar alguns dados confidenciais para exfiltrar. Os dados são então enviados para um servidor externo.

DNS significa Sistema de Nomes de Domínio e desempenha um papel muito importante na internet, pois é responsável por traduzir nomes de domínio em endereços IP.

Como o Malware Entra em um Computador e O Que Fazer para se Proteger Contra Isso

Como já vimos, o malware pode chegar à sua máquina de várias maneiras: quando um usuário clica em links em mensagens de e-mail enganosas ou pop-ups de sites, abre anexos, insere um pen drive USB, etc. Cripto mineradores, por exemplo, também podem ser entregues simplesmente visitando um site! Nesse caso, um trecho de JavaScript malicioso foi previamente embutido no site, de modo que todos os hosts visitantes começam a minerar criptomoedas. Da mesma forma, vírus — e outros tipos de malware — podem fazer cópias de arquivos críticos no sistema para evitar serem detectados.

Cavalos de Troia são normalmente entregues por meio de algum tipo de método de engenharia social. Tipicamente, a vítima recebe uma mensagem de e-mail de phishing com um anexo contendo o pedaço de código malicioso. Assim que clicam nele, a carga útil é executada.

A engenharia social é um termo abrangente que se refere a práticas sociais ilegítimas para obter informações confidenciais. Phishing é um tipo de técnica de engenharia social em que um invasor envia uma mensagem de e-mail falsificada para a vítima, tentando enganá-la para revelar informações confidenciais ou sensíveis. Dentro do phishing, podemos encontrar ataques mais específicos, como spear phishing (direcionado a um indivíduo específico) ou whaling (direcionado a pessoas de alto escalão dentro de uma empresa).

Existem várias maneiras de se proteger contra malware:

  • Use software antivírus e antimalware (scanners, etc.).

  • Mantenha todo o software (antimalware e outros) atualizado o tempo todo.

  • Limite o acesso a dados.

  • Execute programas em um ambiente virtual (sandboxing).

  • Escaneie e-mails e anexos em busca de malware.

  • Não baixe ou instale arquivos executáveis de fontes não confiáveis.

  • Fique atento a sinais de e-mails de phishing (nomes de domínio estranhos, erros gramaticais, erros de digitação, etc.).

  • Faça backup de dispositivos e dados importantes regularmente.

  • Reforce seus sistemas de autenticação.

O kernel Linux vem com um firewall poderoso, iptables, e algumas distribuições incluem suas próprias interfaces de usuário amigáveis (o Ubuntu inclui o Gufw, por exemplo). Da mesma forma, nmap (um scanner de rede) é oferecido nos repositórios de todas as principais distribuições GNU/Linux e pode ser usado para proteger redes contra alguns tipos de malware. Existem muitas outras soluções anti-malware disponíveis para Linux, mas isso está além do escopo desta lição.

Exercícios Guiados

  1. Considere os seguintes sintomas e indique a que tipo de malware eles provavelmente pertencem:

    Sintoma Tipo de malware

    Seu computador está superaquecendo quando você está simplesmente navegando na web.

    Você nota uma nova barra de ferramentas no seu navegador que você não instalou.

    Uma mensagem de e-mail que você não escreveu é enviada para todos os contatos na sua lista.

    Você não consegue acessar seus arquivos porque eles foram criptografados.

    Você encontra fotos não autorizadas de si mesmo na web.

  2. Indique se as seguintes ações são práticas arriscadas ou medidas protetivas:

    Ação Prática arriscada ou medida protetiva

    Limitar o acesso a dados

    Instalar um arquivo executável de uma fonte não confiável

    Clicar em uma janela pop-up

    Instalar as atualizações mais recentes do sistema

    Inserir um pen drive suspeito em seu computador

    Fazer backups regularmente

    Enviar suas informações de cartão de crédito por e-mail

  3. Em que tipo de ataque você recebe uma mensagem de e-mail fraudulenta que parece vir de fontes confiáveis (seu banco, redes sociais, parentes ou conhecidos, um superior em sua empresa)?

  4. Que termo define o malware que se apresenta como software (ou conteúdo) legítimo?

  5. Que tipo de malware registra de forma encoberta as teclas que você pressiona no teclado?

Exercícios Exploratórios

  1. Suponha que o microfone do seu dispositivo tenha sido sequestrado e os cibercriminosos interceptem algumas informações pessoais sobre você. Como eles poderiam usar essas informações para acessar seus serviços online?

  2. A detecção baseada em assinatura é utilizada por software antivírus para identificar malware. O que queremos dizer com os termos assinatura de vírus ou definição de vírus?

  3. Pesquise na web os seguintes termos e explique seu significado:

    1. Autenticação de Dois Fatores (ou Multifatores):

    2. Botnet:

Sumário

Nesta lição, você aprendeu sobre o que é malware, os vários tipos de malware e como eles operam. Você também explorou as diferentes maneiras pelas quais o malware pode infiltrar-se em seu computador e como proteger efetivamente seu sistema contra ataques de malware.

Respostas dos Exercícios Guiados

  1. Considere os seguintes sintomas e indique a que tipo de malware eles provavelmente pertencem:

    Sintoma Tipo de malware

    Seu computador está superaquecendo quando você está simplesmente navegando na web.

    Cripto minerador

    Você nota uma nova barra de ferramentas no seu navegador que você não instalou.

    Adware

    Uma mensagem de e-mail que você não escreveu é enviada para todos os contatos na sua lista.

    Virus

    Você não consegue acessar seus arquivos porque eles foram criptografados.

    Ransomware

    Você encontra fotos não autorizadas de si mesmo na web.

    Camera hijacking

  2. Indique se as seguintes ações são práticas arriscadas ou medidas protetivas:

    Ação Prática arriscada ou medida protetiva

    Limitar o acesso a dados

    Medida protetiva

    Instalar um arquivo executável de uma fonte não confiável

    Prática arriscada

    Clicar em uma janela pop-up

    Prática arriscada

    Instalar as atualizações mais recentes do sistema

    Medida protetiva

    Inserir um pen drive suspeito em seu computador

    Prática arriscada

    Fazer backups regularmente

    Medida protetiva

    Enviar suas informações de cartão de crédito por e-mail

    Prática arriscada

  3. Em que tipo de ataque você recebe uma mensagem de e-mail fraudulenta que parece vir de fontes confiáveis (seu banco, redes sociais, parentes ou conhecidos, um superior em sua empresa)?

    Ataque de Phishing

  4. Que termo define o malware que se apresenta como software (ou conteúdo) legítimo?

    Cavalo de Troia (Trojan horses)

  5. Que tipo de malware registra de forma encoberta as teclas que você pressiona no teclado?

    Keyloggers

Respostas dos Exercícios Exploratórios

  1. Suponha que o microfone do seu dispositivo tenha sido sequestrado e os cibercriminosos interceptem algumas informações pessoais sobre você. Como eles poderiam usar essas informações para acessar seus serviços online?

    Lembremos que alguns serviços online utilizam perguntas de segurança caso você tenha esquecido sua senha. Assim, cibercriminosos poderiam acessar seu serviço respondendo corretamente a perguntas como qual é o nome do seu animal de estimação ou qual é a cor dos seus olhos.

  2. A detecção baseada em assinatura é utilizada por software antivírus para identificar malware. O que queremos dizer com os termos assinatura de vírus ou definição de vírus?

    A assinatura do vírus ou definição de vírus refere-se à “impressão digital” do vírus, ou seja, o conjunto de dados exclusivos que permite ao software antivírus identificá-lo.

  3. Pesquise na web os seguintes termos e explique seu significado:

    1. Autenticação de Dois Fatores (ou Multifatores):

      A Autenticação de Dois Fatores (2FA) ou a Autenticação Multifatorial (MFA) são formas de fornecer camadas adicionais de segurança na proteção de contas de usuários.

    2. Botnet:

      Podemos definir uma botnet como uma rede de computadores infectados (“bots”) usados para realizar ataques massivos, como ataques de negação de serviço distribuída (DDoS), etc.

Linux Professional Insitute Inc. Todos os direitos reservados. Visite o site dos Materiais Didáticos: https://learning.lpi.org
31/5000 Este trabalho está licenciado sob a Licença Creative Commons Atribuição-Uso Não-Comercial-NãoDerivativos 4.0 Internacional.