top of page
Foto do escritorDiego Arantes

Malware personalizado "Pygmy Goat" usado no hack do Firewall Sophos na rede governamental

A comunicação segura é fundamental em nosso mundo cada vez mais conectado. Com a crescente dependência de redes e sistemas de computador, proteger essas infraestruturas tornou-se uma prioridade crucial. Nesse contexto, a criação de malwares como o Pygmy Goat se torna preocupante. Este artigo abordará a análise detalhada do Pygmy Goat, suas características, métodos de ativação e impactos, além dos indicadores de comprometimento (IOCs) associados.

Método de Ativação

O Pygmy Goat utiliza um método de ativação ICMP para criar uma conexão TLS com o IP e porta especificadas nos dados criptografados do pacote ICMP. Isso é feito ao enviar um pacote ICMP com os dados necessários, que são então processados pelo Pygmy Goat, estabelecendo uma conexão TCP e TLS com o servidor C2.


Características

  • Cobertura: O certificado incorporado imita a CA "FortiGate" da Fortinet. Isso pode ajudar a misturar-se em ambientes de rede onde os dispositivos Fortinet são comuns, tornando mais difícil detectá-lo.

  • Comandos Executados: O servidor C2 pode enviar comandos para execução no dispositivo, incluindo abertura de um shell, captura do tráfego de rede e gerenciamento de tarefas cron.


Impacto

  • Captura de Pacotes: O Pygmy Goat pode encaminhar os resultados da captura do tráfego de rede para o C2.

  • Proxy Reverso SOCKS5: Utiliza o kit EarthWorm para estabelecer um proxy reverso SOCKS5, permitindo que o tráfego C2 atravesse a rede sem ser detectado.


Indicadores de Comprometimento (IOCs)

  • Md5: c71cd27efcdb8c44ab8c29d51f033a22

  • Sha1: 71f70d61af00542b2e9ad64abd2dda7e437536ff

  • Sha256: 6455de74ae15071fa98f18cdbc3148c967755e69df7dee747bc31d0387751162

  • Nome do arquivo: libsophos.so

Esses indicadores são importantes para detectar e responder a incidentes relacionados ao Pygmy Goat.


Conclusão

O Pygmy Goat é um malware que usa métodos criativos de ativação, como o ICMP, para estabelecer conexões TLS. Sua capacidade de imitar CA e executar comandos pode causar danos significativos à segurança da rede. A identificação dos IOCs associados ao Pygmy Goat é crucial para a detecção e resposta a incidentes relacionados. Por fim, a proteção contra malwares como o Pygmy Goat requer uma abordagem multifacetada que inclui a implementação de medidas preventivas, detecção e resposta eficazes.


3 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page