Ransomware: EMET eleva o nível de agressividade

Ransomware: EMET eleva o nível de agressividade mas a nova classe Angler vem para burlar todos os métodos de defesa atuais. Veja todos os detalhes aqui.

[ad#texto]

Ataques do tipo ransomware e outros tipos de malware tem tirado o sono da grande maioria dos profissionais de TI e também dos usuários, mas quando tudo parecia estar caminhando para a tranquilidade novamente com a tecnologia embutida EMET da Microsoft, porém ao que tudo indica o nível de agressividade de uma grande gama de malwares subiu e parece que todos estamos em perigo novamente, ransomware: EMET eleva o nível de agressividade.

Ransomware: EMET eleva o nível de agressividade: o problema

A tecnologia EMET tem despontado como a melhor tecnologia de defesa com malwares diversos para ambiente Windows, mas uma nova classe de malwares, chamada de Angler, surgiu e pelas primeiras observações consegue transpassar a camada de segurança EMET com sucesso.

Veja o que os pesquisadores do FireEye dizem sobre esta nova classe de ameaças:

“O nível de sofisticação em kits de exploração aumentou significativamente ao longo dos anos”, o pesquisador FireEye ainda escreveu. “Onde ofuscação e novas zero days uma vez foram as únicas adições no ciclo de desenvolvimento, código evasivo já foi observado incluído no framework e shellcode.”

Ransomware: EMET eleva o nível de agressividade: os detalhes

As tecnologias EMET e DEP tem provado serem eficazes no controle de execução de código malicioso sob Flash ou Silverlight, pois impedem o vazamento de memória e desta forma o máximo que uma ameaça pode fazer é bloquear a execução do Flash ou Silverlight que pode ser acionado novamente sem nenhum dano ao sistema operacional.

Porém, a classe Angler conta com uma técnica muito mais difícil de detectar e com menos limitações o que em resumo expande seu poder destrutivo sobre o sistema.

O Angler não utiliza a técnica de Programação Orienta ao Retorno (ROP) e em vez disso executa fragmentos de seu código em áreas diferentes da memória sob Flash.ocx e rotinas embutidas de Coreclr.dll para chamar VirtualProtect e VirtualAlloc.

Ransomware: EMET eleva o nível de agressividade: as limitações

A primeira limitação do Angler é a necessidade do computar invadido possuir Flash ou Silverlight instalados, que levando em conta o desuso de tais tecnologias vai limitar muito o raio do atuação desta malware.

Outra importante limitação é que o Windows 10, por possuir arquitetura mais robusta e refinada parece ser imune ao Angler (pelo menos por hora) o que vai dificultar mais ainda a disseminação.

Embora ainda existam limitações importantes vale lembrar que a classe Angler é mais uma prova de conceito do que um produto final em si e é óbvio que com o tempo seus criados vão aproveitar o conceito aplicado e vão refina-lo a ponto de mitigar as limitações que existem hoje.