A comunicação segura é fundamental em nosso mundo cada vez mais conectado. Com a crescente dependência de redes e sistemas de computador, proteger essas infraestruturas tornou-se uma prioridade crucial. Nesse contexto, a criação de malwares como o Pygmy Goat se torna preocupante. Este artigo abordará a análise detalhada do Pygmy Goat, suas características, métodos de ativação e impactos, além dos indicadores de comprometimento (IOCs) associados.
Método de Ativação
O Pygmy Goat utiliza um método de ativação ICMP para criar uma conexão TLS com o IP e porta especificadas nos dados criptografados do pacote ICMP. Isso é feito ao enviar um pacote ICMP com os dados necessários, que são então processados pelo Pygmy Goat, estabelecendo uma conexão TCP e TLS com o servidor C2.
Características
Cobertura: O certificado incorporado imita a CA "FortiGate" da Fortinet. Isso pode ajudar a misturar-se em ambientes de rede onde os dispositivos Fortinet são comuns, tornando mais difícil detectá-lo.
Comandos Executados: O servidor C2 pode enviar comandos para execução no dispositivo, incluindo abertura de um shell, captura do tráfego de rede e gerenciamento de tarefas cron.
Impacto
Captura de Pacotes: O Pygmy Goat pode encaminhar os resultados da captura do tráfego de rede para o C2.
Proxy Reverso SOCKS5: Utiliza o kit EarthWorm para estabelecer um proxy reverso SOCKS5, permitindo que o tráfego C2 atravesse a rede sem ser detectado.
Indicadores de Comprometimento (IOCs)
Md5: c71cd27efcdb8c44ab8c29d51f033a22
Sha1: 71f70d61af00542b2e9ad64abd2dda7e437536ff
Sha256: 6455de74ae15071fa98f18cdbc3148c967755e69df7dee747bc31d0387751162
Nome do arquivo: libsophos.so
Esses indicadores são importantes para detectar e responder a incidentes relacionados ao Pygmy Goat.
Conclusão
O Pygmy Goat é um malware que usa métodos criativos de ativação, como o ICMP, para estabelecer conexões TLS. Sua capacidade de imitar CA e executar comandos pode causar danos significativos à segurança da rede. A identificação dos IOCs associados ao Pygmy Goat é crucial para a detecção e resposta a incidentes relacionados. Por fim, a proteção contra malwares como o Pygmy Goat requer uma abordagem multifacetada que inclui a implementação de medidas preventivas, detecção e resposta eficazes.
Comments