Apagando uma faísca no incêndio

Paulo Brito
09/09/2014
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Por André Luna (*)

Todos os dias, centenas de novos malwares são lançados com o único objetivo de contaminar computadores de pessoas comuns para roubar seus dados, principalmente dados bancários. Os criminosos virtuais usam para isso botnets, que são uma forma simples e fácil de gerenciar computadores contaminados com vírus destinados ao roubo de dados. Periodicamente eu procuro por esse tipo de malware e dia 27 de agosto achei a Zeus Botnet hospedada em um site hackeado. Comecei a procurar por arquivos e pastas que ficam expostos, uma das falhas dessa e de diversas outras botnets.

Apagando uma faísca no incêndio
Imagem 01
Apagando uma faísca no incêndio
Imagem 02

Não é raro, uma vez que o criminoso tenha hackeado o site, ele deixe uma shell para servir de backdoor, para que ele possa voltar a acessar as pastas raízes do servidor para possíveis manutenções e coisas do tipo; acabei encontrando uma shell dentro desse site, conforme podemos verificar nas imagens acima. As pastas _reports, install, other, system, theme e os arquivos cfg.bin, cp.php, error.log, gate.php e index.php fazem parte dos elementos para o funcionamento da Zeus botnet. Observando o arquivo “config.php” que fica dentro da pasta “install” podemos verificar na imagem 01 as instruções para fazer a conexão do banco de dados do site para que a botnet tenha o controle e consiga armazenar ali os dados capturados de outros computadores infectados.

Apagando uma faísca no incêndio
Imagem 03

Usando um recurso da própria shell, selecionei toda a pasta relacionada com a botnet e deletei; não é a primeira vez que faço isso – sempre que tenho condições de deletar ou derrubar uma botnet eu faço, pois considero que as botnets sejam hoje o maior problema e o maior financiador do crime organizado na internet. O roubo de identidades, dados bancários ou cartões de crédito é o que move esse mercado bilionário pelo submundo do crime organizado.

Apagando uma faísca no incêndio
Imagem 05
Apagando uma faísca no incêndio
Imagem 06

Sei que não fiz muita coisa, isso não chega nem perto do trabalho que empresas como FireEye e Kaspersky têm diariamente para combater esse tipo de crime, mas se todos os estudantes de segurança da informação ou de técnicas hackers fizerem sua parte, podemos deixar a vida desses criminosos bem mais complicada.

(*) André Luna é pesquisador independente em segurança da informação em Minas Gerais e editor do site Shellzen (http://shellzen.net)

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest