Pastebin adiciona ‘Burn After Read’ e ‘Password Protected Pastes’ para o desânimo da comunidade infosec
Os dois novos recursos tornarão mais fácil disfarçar as operações de malware.
Pastebin, o site mais popular onde os usuários podem compartilhar pequenos trechos de texto, adicionou dois novos recursos hoje que os pesquisadores de segurança cibernética acreditam que serão amplamente explorados por operadores de malware.
Chamados de “Burn After Read” e “Password Protected Pastes“, os dois novos recursos permitem aos usuários do Pastebin criar pastas (pedaços de texto) que expiram após uma única leitura ou pastas protegidas por senha.
Nenhum dos dois recursos é original, pois estão presentes em muitos sites de colagem há anos.
No entanto, eles são novos no Pastebin, que é, de longe, o portal de pastas mais popular da atualidade, sendo classificado no Alexa Top 2.000 sites mais populares da internet.
PASTEBIN É EXPLORADO POR OPERAÇÕES DE MALWARE
Como acontece com qualquer coisa popular, isso também atraiu muito conteúdo ruim que foi hospedado na plataforma. Embora algumas pessoas o usem para hospedar trechos de código ou texto que desejam compartilhar com um colega, na última década, o Pastebin também se tornou um serviço de hospedagem de fato para código malicioso.
Ao longo dos anos, os autores de malware usam o Pastebin para armazenar comandos maliciosos que eles recuperam e executam em hosts infectados, dados hackeados, endereços IP para comandos de malware e servidores de controle e muitos outros detalhes operacionais.
Ted Samuels, um consultor de resposta a incidentes (IR), disse à ZDNet hoje que é difícil colocar um número ou porcentagem na presença de Pastebin em operações de malware, mas descreveu como “não incomum”.
“Pastebin é de longe o ‘site de colagem’ mais prolífico e o campo de preparação bastante popular para ataques sem arquivo usando PowerShell. Por exemplo, a carga inicial de um ator de ameaça pode usar o PowerShell para baixar conteúdo adicional (e muitas vezes ofuscado) do pastebin.com para execução posterior via PowerShell. A prolífica estrutura CobaltStrike pode ser carregada dessa maneira. “
Para neutralizar a popularidade crescente do Pastebin entre os desenvolvedores de malware, ao longo dos anos, as empresas de segurança cibernética criaram ferramentas que exploram novas entradas do Pastebin para procurar conteúdo malicioso ou de aparência confidencial assim que é carregado no site. Essas pastas mal-intencionadas são indexadas em bancos de dados privados de inteligência de ameaças que são posteriormente usados para resposta a incidentes e também são relatados ao Pastebin para retirá-los.
Mas agora, os pesquisadores de segurança argumentam que, ao adicionar os dois novos recursos hoje, o Pastebin está bloqueando seus esforços de boa vontade para detectar operações de malware e está atendendo mais à multidão de malware do que aos usuários reais e os mocinhos.
“A menos que eles estejam tomando medidas que não são imediatamente aparentes para evitar o uso de Burn After Reading e Password Protection para C2 e preparação de malware, esses parecem ser novos recursos muito úteis para invasores que usam PasteBin para essas finalidades”, Brian , um pesquisador de segurança de Pittsburgh, disse ZDNet.
Mas os novos recursos vão além de apenas detectar o que foi carregado no site em tempo real. Também afeta as investigações de resposta a incidentes pós-infecção.
“Esta nova mudança agora tornará mais difícil para os “resolvedores” de incidentes avaliarem rapidamente o que pode ter sido baixado e executado em alguns ambientes”, disse Samuels ao ZDNet .
SANGUE RUIM DE LONGA DATA
Mas a reação ácida aos dois novos recursos do Pastebin hoje também se deve ao relacionamento difícil da comunidade de segurança cibernética com o site.
Ao longo dos anos, os pesquisadores de segurança frequentemente acusam seus administradores de arrastar os pés quando precisam remover pastas maliciosas. As coisas esquentaram muito no início deste ano, em abril, quando Pastebin quis descontinuar a API Scraping ; uma ferramenta que os pesquisadores de segurança cibernética estavam usando para detectar um novo conteúdo sendo carregado no Pastebin.
Pastebin voltou atrás na mudança após uma reação massiva e cobertura da mídia.
Não está claro o que Pastebin pensa sobre a última reação da comunidade de segurança cibernética aos seus mais novos recursos, mas em um e-mail, a empresa disse que adicionou “Burn After Read” e “Password Protected Pastes” a pedido de seus usuários
“O Pastebin armazena dados importantes para nossos usuários, começando com cálculos e dados de engenharia, como algoritmos, registros de vários serviços, robôs, dispositivos de rede e terminando com código de software proprietário”, disse a empresa.
“Recebemos muitas solicitações de nossos usuários para implementar esses recursos por causa de seus direitos de privacidade e para ajudar nossos usuários a proteger seu trabalho.”
“Pastebin foi criado por desenvolvedores para desenvolvedores e é usado globalmente por milhões. Claro, toda plataforma tem atores mal-intencionados que tentam tirar vantagem, incluindo Github, Twitter, Facebook, Dropbox, Privnotes & Sendspace, para citar alguns”, disse Pastebin .
Como Pastebin apontou, os pesquisadores de segurança cibernética também podem estar exagerando, já que existem dezenas de outros sites como o Pastebin, alguns dos quais são ainda mais tolerantes em permitir abusos em suas plataformas quando comparados ao Pastebin.
“Claro que há alguma reação exagerada do Twitter da infosec, e não apenas do Pastebin. Existem muitos sites de colagem com funcionalidade semelhante, postb.in, por exemplo”, disse Samuels.
Manter sites como o Pastebin responsáveis pelos recursos aos quais oferecem suporte é necessário, mas os dois novos recursos também têm usos legítimos. Se Pastebin é realmente tão ruim, então outras ações deveriam ter sido tomadas anos atrás.
“Pastebin e outros sites colados devem ser bloqueados nas redes da empresa”, disse SwitHak , pesquisador de segurança da França, ao ZDNet .
“Sabemos que é usado por bandidos. Precisamos agir em conseqüência.
“Conhecemos o vetor, vamos queimá-lo e forçar os atacantes a usar seus próprios servidores. Se eles hospedarem a configuração do malware em seus próprios servidores, podemos queimar a infraestrutura dos atacantes. Trata-se de tornar o ataque mais complicado para os atacantes, forçando-os para jogar em nosso campo e custos imponentes “, acrescentou SwitHak.
No entanto, Pastebin diz que embora os dois novos recursos possam ser abusados, a empresa também tem recursos para ajudar os mocinhos.
- No início deste ano, apresentamos a nova assinatura Enterprise API para fornecer melhor assinatura de dados para nossos clientes empresariais.
- Parceria com empresas globais de segurança cibernética para a proteção de nosso site, bem como enriquecimento de dados de seus produtos e serviços.
- Parceria com CERTs globais (Computer Incident Response Centre Luxembourg, Canadian Centre for Cyber Security, Austrian Energy CERT) e agências de aplicação da lei.
- Internamente, no que se refere a conteúdo malicioso, em parceria com as organizações mencionadas acima, tomamos as medidas cabíveis para mitigar esses dados.
- Para pesquisadores, instituições acadêmicas e organizações da indústria aprovadas por nós, concedemos esse acesso sem nenhum custo.
- Por último, a implementação de equipes de Gerenciamento de Abuso e Análise de Ameaças que trabalham em estreita colaboração com as autoridades policiais e parceiros da indústria.
Atualizado com comentários de Pastebin, conforme eles chegavam após a publicação.