As palavras “vetor de ataque” e “payload” (carga) têm dois significados bastante distintos dentro do contexto da segurança da informação embora por vezes persista alguma confusão quando devem ser usadas. Neste artigo é feita uma breve explicação com base nos últimos grandes ciberataques de 2017, nomeadamente no Wannacry (12 maio de 2017) e o NotPetya (27 de junho de 2017).
Ambos os ataques foram propagados através de uma vulnerabilidade conhecida na família dos sistemas operativos Windows, nomeadamente no serviço Service Message Block (SMB v1). Essa vulnerabilidade foi batizada como Eternalblue. O Eternalbue é um exploit supostamente desenvolvido pela Agência Nacional de Segurança dos Estados Unidos (NSA). Esse código é elemento de um conjunto de programas secretos revelados pelo grupo Shadow Brokers em 14 de abril de 2017.
Qual a diferença entre vetor de ataque e payload?
Como é possível observar através da ilustração, o vetor de ataque é o Eternalblue, um exploit que explora uma vulnerabilidade no serviço SMB.
Neste caso uma vulnerabilidade é um aspeto do sistema/serviço que o torna vulnerável. O exploit é um conjunto de código que visa explorar essa mesma vulnerabilidade. O Eternalblue é um exploit e também o vetor de ataque (neste contexto) — ele representa o caminho (pathway) de transmissão.
O payload são as cargas que se podem enviar através desse canal de transmissão, nomeadamente o Wannacry e o NotPetya. Eles são dois programas de computador maliciosos (malware) que podem ser injetados no sistema explorando o vetor de ataque conhecido como Eternalblue.
Utilizando uma analogia
Imaginando o seguinte cenário: —um canhão da 2 Guerra Mundial e as suas munições. As munições neste caso são: pedras, batatas e cebolas.
O canhão representa o vetor de ataque, é o meio que os combatentes usam para combater os inimigos. As pedras, as batatas e as cebolas são as cargas (payloads). Os payloads podem variar mas o vetor de ataque é sempre o mesmo.
Conclusão
A melhor forma de terminar a guerra é eliminar todos os canhões. No caso do Wannacry e do NotPetya passa por “eliminar” o Eternalblue — impedir a exploração da vulnerabilidade com a correção do patch MS17-010 lançado pela Microsoft em 14 de Março de 2017, quase 1 mês antes do primeiro ataque massivo.
Se os sistemas tivessem sido corrigidos com o patch prontamente disponibilizado pela Microsoft, muitos deles não teriam sido comprometidos pelas duas vagas de malware. Deixar a nota que foi a primeira vez em que a Microsoft lançou um patch corretivo tão rápido depois do conhecimento da vulnerabilidade de dia zero (zero day attack).
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.