ExtraPulsar

O ExtraPulsar é um Trojan backdoor, uma ameaça usada para coletar informações de dispositivos de computador comprometidos. O ExtraPulsar é baseado no código divulgado pela NSA (Agência de Segurança Nacional) em 2017. Ameaças como o ExtraPulsar representam uma ameaça significativa para os computadores e os dados do usuário do computador, e é por isso que os usuários de PC precisam tomar precauções estabelecendo uma forte higiene no computador, tal como um programa de segurança. No entanto, por enquanto, o ExtraPulsar é simplesmente uma prova de conceito e, para o conhecimento dos pesquisadores de segurança dos PCs, um malware de pleno direito usando técnicas do ExtraPulsar que não foram usadas para realizar ataques.

Embora não seja Sofisticado, o ExtraPulsar pode Executar Ações Prejudiciais

O ExtraPulsar é baseado no código de ataque da NSA que vazou em 2017 gratuitamente. Esse vazamento foi parte de uma infame violação de segurança. O ExtraPulsar é nomeado com base na ferramenta NSA, DOUBLEPULSAR. O ExtraPulsar em si não é uma ameaça sofisticada. O ExtraPulsar usa uma parte da unidade do servidor de arquivos da Microsoft que não está documentada, o SRVNET.SYS, em vez de explorar uma vulnerabilidade em um computador de destino. Isso tira proveito de como os servidores Windows aceitam conexões de compartilhamento de arquivos quando o compartilhamento de arquivos está ativo. Quando isso estiver ativo, o kernel SRVNET.SYS será carregado, com o nome completo 'Driver de Rede do Servidor'. Este driver foi projetado para cuidar de portas de rede abertas e tráfego de rede, mesmo em versões não Windows do Windows. Esse driver controla o tráfego, entregando pacotes recebidos a outros drivers adicionais para processar várias solicitações. Pesquisadores que tentaram criar malware como o ExtraPulsar se aproveitaram de uma vulnerabilidade para carregar um módulo de kernel adicional através do Driver de Rede do Servidor. Essa é uma prova de conceito que ilustra que essa poderia ser uma maneira viável de os criminosos realizarem ataques.

O Processo de Ataque Usado pelo ExtraPulsar

O conceito usado pelo ExtraPulsar para realizar ataques tem várias etapas, listadas abaixo:

1. O código do ExtraPulsar foi projetado para lidar com pacotes de rede já recebidos pelo driver de servidor de nível superior. Por esse motivo, o ExtraPulsar não precisa abrir portas de rede adicionais nem criar tráfego que possa parecer suspeito.
2. O ExtraPulsar é executado como um driver de kernel, e o código que ele lança e recebe tem os mesmos privilégios, dando a esses ataques um nível administrativo muito elevado em um dispositivo.
3. O ExtraPulsar será ativado automaticamente quando os pacotes de rede SMB forem recebidos. Isso significa que o ExtraPulsar pode receber instruções de um servidor de Comando e Controle e isolá-las de um fluxo de rede facilmente.

A prova de conceito por trás do ExtraPulsar é bastante curta, simplesmente 12 linhas do código Python que enviam um único pacote de rede do código executável para a porta 445 do computador infectado.

Não Há Necessidade de Entrar em Pânico com o ExtraPulsar

Embora o potencial do ExtraPulsar seja bastante alto, não há necessidade de entrar em pânico. O ExtraPulsar possui vários aspectos que apontam para o fato de que essa ameaça pode ser mitigada:

1. Os drivers Kernel podem ser detectados e bloqueados pelos programas anti-virus.
2. Os pacotes de rede que fazem parte de um ataque ExtraPulsar também podem ser detectados e interceptados por programas de filtragem de rede.
3. As versões atualizadas do Windows não carregam os drivers kernel por padrão e eles devem ser assinados digitalmente.

No entanto, a prova de conceito por trás do ExtraPulsar foi lançada gratuitamente no GitHub, permitindo que qualquer pessoa o baixasse e possivelmente desenvolvesse. Isso é preocupante, especialmente porque algumas das ameaças de malware mais ameaçadoras e difundidas, como a infame plataforma de ransomware HiddenTear, foram lançadas como prova de projetos conceituais que foram disponibilizados publicamente inicialmente. Tomando esse conceito simples, os criminosos poderiam desenvolver nele um malware mais avançado que poderia ser usado para realizar ataques contra usuários de computador ativamente.