Junte-se a nós no SASE Summit da Netskope, chegando a uma cidade perto de você! Registre-se agora.

  • Produtos de Serviço de Segurança Edge

    Proteger-se contra ameaças avançadas e com nuvens e salvaguardar os dados em todos os vetores.

  • Borderless SD-WAN

    Confidentemente, proporcionar acesso seguro e de alto desempenho a cada usuário remoto, dispositivo, site, e nuvem.

  • Plataforma

    Visibilidade incomparável e proteção de dados e contra ameaças em tempo real na maior nuvem privada de segurança do mundo.

A plataforma do futuro é a Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) e Private Access for ZTNA integrados nativamente em uma única solução para ajudar todas as empresas em sua jornada para o Secure Access Service Arquitetura de borda (SASE).

Vá para a plataforma
Vídeo da Netskope
Borderless SD-WAN: Desbravando na Nova Era da Empresa Sem Fronteiras

Netskope Borderless SD-WAN oferece uma arquitetura que converge princípios de confiança zero e desempenho de aplicativo garantido para fornecer conectividade segura e de alto desempenho sem precedentes para cada site, nuvem, usuário remoto e dispositivo IoT.

Read the article
Borderless SD-WAN
A Netskope oferece uma pilha de segurança na nuvem moderna, com capacidade unificada para proteção de dados e ameaças, além de acesso privado seguro.

Explore a nossa plataforma
Birds eye view metropolitan city
Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Conheça a NewEdge
Lighted highway through mountainside switchbacks
Permita com segurança o uso de aplicativos generativos de IA com controle de acesso a aplicativos, treinamento de usuários em tempo real e a melhor proteção de dados da categoria.

Saiba como protegemos o uso de IA generativa
Safely Enable ChatGPT and Generative AI
Soluções de zero trust para a implementação de SSE e SASE

Learn about Zero Trust
Boat driving through open sea
A Netskope permite uma jornada segura, inteligente e rápida para a adoção de serviços em nuvem, aplicações e infraestrutura de nuvem pública.

Learn about Industry Solutions
Wind turbines along cliffside
  • Nossos clientes

    Netskope atende a mais de 2.000 clientes em todo o mundo, incluindo mais de 25 dos 100 da Fortune.

  • Customer Solutions

    Estamos aqui junto com você a cada passo da sua trajetória, assegurando seu sucesso com a Netskope.

  • Treinamento e certificação

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Ajudamos nossos clientes a estarem prontos para tudo

Ver nossos clientes
Woman smiling with glasses looking out window
A talentosa e experiente equipe de Serviços Profissionais da Netskope fornece uma abordagem prescritiva para sua implementação bem sucedida.

Learn about Professional Services
Netskope Professional Services
Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Learn about Training and Certifications
Group of young professionals working
  • Recursos

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog

    Saiba como a Netskope viabiliza a segurança e a transformação de redes através do security service edge (SSE).

  • Eventos e workshops

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

Bônus Episódio 2: O Quadrante Mágico para SSE e como acertar o SASE
Mike e Steve discutem o Gartner® Magic Quadrant™ para Security Service Edge (SSE), o posicionamento da Netskope e como o clima econômico atual afetará a jornada do SASE.

Reproduzir o podcast
Bônus Episódio 2: O Quadrante Mágico para SSE e como acertar o SASE
Últimos blogs

Como a Netskope pode habilitar a jornada Zero Trust e SASE por meio dos recursos de borda de serviço de segurança (SSE).

Leia o Blog
Sunrise and cloudy sky
Netskope AWS Immersion Day World Tour 2023

A Netskope desenvolveu uma variedade de laboratórios práticos, workshops, webinars detalhados e demonstrações para educar e auxiliar os clientes da AWS no uso e implantação dos produtos Netskope.

Learn about AWS Immersion Day
Parceiro da AWS
O que é o Security Service Edge?

Explore o lado de segurança de SASE, o futuro da rede e proteção na nuvem.

Learn about Security Service Edge
Four-way roundabout
  • Empresa

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Por que Netskope

    A transformação da nuvem e o trabalho em qualquer lugar mudaram a forma como a segurança precisa funcionar.

  • Liderança

    Nossa equipe de liderança está fortemente comprometida em fazer tudo o que for preciso para tornar nossos clientes bem-sucedidos.

  • Parceiros

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

A Netskope possibilita o futuro do trabalho.

Saiba mais
Curvy road through wooded area
O mais alto nível de Execução. A Visão mais avançada.

A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.

Obtenha o Relatório
A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.
Pensadores, construtores, sonhadores, inovadores. Juntos, fornecemos soluções de segurança na nuvem de última geração para ajudar nossos clientes a proteger seus dados e seu pessoal.

Conheça nossa equipe
Group of hikers scaling a snowy mountain
A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Learn about Netskope Partners
Group of diverse young professionals smiling

Cobertura contra ameaças da Netskope: malware Wiper das Olimpíadas de Tóquio 2020

Jul 29 2021

Sumário

Grandes eventos esportivos, como a Copa do Mundo ou as Olimpíadas, geralmente são alvos de cibercriminosos que se aproveitam da sua popularidade. Durante a Copa do Mundo de 2018, por exemplo, um documento infectado disfarçado de "previsão de jogo" entregou um malware que roubava dados confidenciais de suas vítimas, incluindo keystrokes e capturas de tela.

Uma nova ameaça de malware surgiu pouco antes da cerimônia de abertura dos Jogos Olímpicos de Tóquio 2020, capaz de danificar um sistema infectado ao fazer o wipe dos arquivos. Neste caso, o malware se disfarça como um documento PDF contendo informações sobre ataques cibernéticos associados às Olimpíadas de Tóquio. O componente wiper exclui documentos criados com o Ichitaro, um processador de texto popular no Japão. Este wiper é muito mais simples do que o “Olympic Destroyer”, usado nos Jogos Olímpicos de Inverno de 2018.

Ameaça 

O arquivo foi distribuído com o nome 【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について”, que pode ser traduzido como “[Urgente] Relatórios de danos relativos à ocorrência de ataques cibernéticos, etc. associados às Olimpíadas de Tóquio”.

Screennshot of malware name
Nome do malware

O arquivo está compactado com UPX e foi aparentemente compilado em “2021” às “22:52:05” e, embora esta informação não possa ser 100% confiável, esta data é apenas um dia antes de sua primeira aparição pública.

Screenshot showing details about the malware executable
Detalhes sobre a execução do malware

O desenvolvedor incluiu muitas técnicas de anti-análise e anti-depuração. O primeiro é um truque simples que detecta se o arquivo está sendo executado em uma sandbox usando as APIs GetTickCount64 e Sleep.

Primeiro, o malware obtém o carimbo de data/hora atual com o GetTicketCount64 e depois fica inativo por 16 segundos. Em seguida, ele ativa o GetTicketCount64 novamente e verifica quanto tempo o código realmente demorou na função Sleep. Se o tempo for inferior a 16 segundos, o malware é encerrado, pois é provável que a função Sleep tenha sido ignorada por um ambiente de sandbox.

Screenshot of common anti-analysis technique
Técnica comum de anti-análise

Se o ambiente de sandbox não foi detectado neste ponto, o malware verifica se há ferramentas de análise listando todos os processos em execução no sistema operacional comparando com ferramentas conhecidas, como “wireshark.exe” ou “idaq64.exe”.

As strings relacionadas a esses processos são todas criptografadas dentro do binário e podem ser facilmente descriptografadas usando uma operação bitwise:

Screenshot decrypting a string from the wiper using Python
Descriptografando uma string do wiper usando Python

Usando a mesma lógica, criamos um script para extrair e descriptografar todas as strings automaticamente, revelando um comportamento importante do malware:

Screenshot of the decrypted strings from the malware
Captura de tela das strings descriptografadas do malware

Outra técnica interessante usada por esse malware para verificar se está sendo depurado é a verificação de pontos de interrupção. ara quem não está familiarizado com o que acontece “por debaixo dos panos”, quando você cria um ponto de interrupção de software, o depurador substitui o bytecode onde você deseja interromper, por meio da instrução de um byte int3, que é representada pelo opcode 0xCC. Portanto, quando o processador encontra essa instrução, o programa para e o controle é transferido de volta para o depurador, que substitui a instrução novamente pelo byte original.

Assim, este malware verifica a presença da instrução int3 no ponto de entrada de certas funções, comparando o byte com 0xCC.

Screenshot of malware searching for software breakpoints
Malware procurando por pontos de interrupção de software

Também encontramos verificações para outras instruções além de int3, como call e jmp, demonstrando que o desenvolvedor foi ainda mais longe para verificar as modificações no código original.

Posteriormente, o malware também verifica se o processo está sendo depurado por meio das APIs IsDebuggerPresent e CheckRemoteDebuggerPresent

Além disso, a ameaça verifica se o ambiente está sendo executado em uma máquina virtual, verificando a porta de I/O implementada pelo hypervisor da VMware.

Screenshot showing malware checking if the process is running under VMware.
Malware verificando se o processo está sendo executado em VMware.

Se qualquer sandbox, máquina virtual ou ferramenta de análise for detectada, o malware ativa uma função que executa uma linha de comando que se exclui.

cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q "C:/Users/username/Desktop/wiper.exe"
Screenshot showing malware deleting itself after detecting a memory breakpoint
Malware se excluindo após detectar um ponto de interrupção de memória

Apesar de todos esses truques de anti-análise e anti-depuração, o único objetivo do malware é executar uma sequência de comandos que procura e exclui arquivos com extensões específicas:

  • .csv
  • .doc
  • .docm
  • .docx
  • .ponto
  • .dotm
  • .dotx
  • .exe
  • .jtd
  • .jtdc
  • .jtt
  • .jttc
  • .registro
  • .pdf
  • .ppt
  • .pptm
  • .pptx
  • .txt
  • .xls
  • .xlsm
  • .xlsx
Screenshot of commands executed by the malware to delete files
Comandos executados pelo malware para excluir arquivos

Enquanto esses comandos estão sendo executados, o malware também tenta executar o programa “curl” para solicitar um site pornográfico, provavelmente para enganar a análise forense na máquina.

Proteção

O Netskope Threat Labs está monitorando ativamente esta campanha e garantiu cobertura para todos os indicadores de ameaças e cargas conhecidas. 

  • Proteção Contra Ameaças Netskope
    • Trojan.GenericKD.46658860
    • Trojan.GenericKD.37252721
    • Trojan.GenericKD.46666779
    • Gen:Variant.Razy.861585
  • A Netskope Advanced Protection oferece cobertura proativa contra essa ameaça.
    • Gen.Malware.Detect.By.StHeur indica uma amostra que foi detectada usando análise estática
    • Gen.Malware.Detect.By.Sandbox indica uma amostra que foi detectada por nosso sandbox na nuvem

Amostras de hashes

Nomesha256
wiper.exefb80dab592c5b2a1dcaaf69981c6d4ee7dbf6c1f25247e2ab648d4d0dc115a97
wiper_unpacked.exe295d0aa4bf13befebafd7f5717e7e4b3b41a2de5ef5123ee699d38745f39ca4f
wiper2.exec58940e47f74769b425de431fd74357c8de0cf9f979d82d37cdcf42fcaaeac32
wiper2_unpacked.exe6cba7258c6316e08d6defc32c341e6cfcfd96672fd92bd627ce73eaf795b8bd2

Uma lista completa de amostras de hashes, strings descriptografadas, regra Yara e uma ferramenta para extrair e descriptografar as strings de uma amostra do Olympics Wiper está disponível em nosso repositório Git.

author image
Gustavo Palazolo
Gustavo Palazolo é especialista em análise de malware, engenharia reversa e pesquisa de segurança, atuando há muitos anos em projetos relacionados à proteção contra fraudes eletrônicas. Atualmente, ele está trabalhando na Equipe de Pesquisa da Netskope, descobrindo e analisando novas ameaças de malware.