A cadeia ligada ao vazamento dos Shadow Brokers combinou reconhecimento SMB, exploração de falhas corrigidas pelo MS17-010 e implantação do backdoor DoublePulsar em larga escala.
| Componente | Implementações Windows de SMB/CIFS acessíveis pelas portas TCP 139 e 445, com exploração associada ao pacote MS17-010, DoublePulsar, EternalBlue, SMBTouch e EternalRocks. |
| Vetor | Reconhecimento via mensagens SMB legítimas, seguido por requisições SMB_COM_TRANSACTION2_SECONDARY malformadas com campos de contagem e deslocamento inconsistentes. |
| Impacto | Instalação do backdoor DoublePulsar, execução arbitrária de shellcode e preparação de hosts para cargas posteriores, incluindo a onda de ransomware WannaCry observada em maio de 2017. |
| Prioridade | Aplicar o pacote MS17-010 em sistemas Windows, restringir SMB exposto, inspecionar tráfego TRANS2 anômalo e verificar presença de backdoor em hosts que permaneceram sem atualização. |
| Artefatos | SMBTouch, EternalBlue, DoublePulsar, EternalRocks, SMB_COM_SESSION_SETUP_ANDX, SMB_COM_TRANSACTION2, TRANS2_SESSION_SETUP. |
| Escala | Antes do WannaCry, mais de 400.000 computadores em aproximadamente 150 países já haviam sido infectados por DoublePulsar, sem confirmação se a onda foi conduzida por um único operador ou por múltiplos atacantes. |
O vazamento publicado em 14 de abril de 2017 pelos Shadow Brokers expôs ferramentas ofensivas capazes de explorar implementações Windows de SMB, incluindo técnicas que já haviam sido tratadas pela atualização crítica MS17-010. O problema operacional não ficou restrito à existência da correção: muitos ambientes ainda não tinham aplicado o pacote quando as ferramentas passaram a circular, criando uma janela ampla para exploração em redes com SMB acessível. A combinação entre protocolo comum, serviço frequentemente habilitado por padrão e falhas exploráveis remotamente transformou uma vulnerabilidade corrigida em um evento de grande alcance.
Antes de o ransomware WannaCry ganhar visibilidade em maio de 2017, a infraestrutura afetada já apresentava uma camada de comprometimento prévia. Mais de 400.000 computadores em aproximadamente 150 países foram infectados por DoublePulsar, um backdoor implantado por meio de exploração SMB. A atribuição dessa primeira onda permaneceu limitada: o material disponível não confirma se a atividade foi conduzida por um operador único ou por múltiplos grupos que passaram a reutilizar os artefatos vazados. O dado confirmado é que essa base de hosts infectados reduziu o esforço necessário para a entrega posterior de cargas maliciosas.
A relevância técnica do caso está na cadeia completa, não apenas em uma vulnerabilidade isolada. O fluxo começa com reconhecimento de hosts por SMB, coleta de informações sobre o sistema operacional, avaliação de permissões, seleção de exploração compatível e instalação de backdoor. Ferramentas como SMBTouch serviam para identificar características do alvo antes da tentativa principal, enquanto EternalBlue e outros componentes exploravam condições específicas do protocolo. EternalRocks foi descrito como uma suíte que agregava várias dessas ferramentas para espalhar a infecção e manter capacidade de uso posterior.
O SMB/CIFS é usado por sistemas cliente Windows para solicitar serviços de arquivo e impressão de servidores na rede. As versões do protocolo operam sobre as portas TCP 139 e 445, e cada mensagem SMB é precedida por um bloco de sessão NetBIOS. O cabeçalho SMB tem 32 bytes e inclui um campo de tipo de comando, que determina a estrutura do bloco de parâmetros associado. Essa arquitetura de mensagens, baseada em requisição e resposta iniciada pelo cliente, é central para entender por que campos malformados em comandos específicos puderam ser usados como superfície de ataque.
Na etapa de reconhecimento, SMBTouch utiliza mensagens SMB legítimas para obter informações da máquina alvo. Um exemplo citado é o uso de SMB_COM_SESSION_SETUP_ANDX com código 0x73 para extrair a versão nativa do sistema operacional. Depois de iniciar a sessão e provocar a divulgação de informações do servidor, a ferramenta avalia se o sistema parece vulnerável e quais permissões foram concedidas. O resultado desse levantamento orienta a escolha do exploit, em um padrão semelhante ao de kits que identificam plug-ins de navegador antes de selecionar uma exploração adequada.
A exploração descrita envolve uma condição de estouro de buffer associada a uma operação de memória e a um erro matemático em que um valor DWORD é convertido para WORD. A requisição SMB_COM_TRANSACTION2_SECONDARY, identificada pelo código 0x33, aceita campos como ParameterOffset, ParameterCount e DataCount. A específicação define relações esperadas entre esses campos, incluindo limites de contagem e coerência do deslocamento em relação ao início do cabeçalho SMB e aos bytes de parâmetros da transação. Quando valores malformados violam essas relações, a cadeia de exploração consegue preparar a injeção do DoublePulsar no host.
Após a instalação, o DoublePulsar expõe uma interface de comunicação básica usando SMB_COM_TRANSACTION2 com código 0x32 e o subcomando reservado TRANS2_SESSION_SETUP identificado como 0x000E. Esse subcomando não deveria ser usado por clientes e servidores deveriam responder que ele não foi implementado. A presença de respostas com semântica diferente, associadas a campos como timeout e Multiplex ID, torna-se um sinal relevante de anomalia. No fluxo analisado, esses campos são reaproveitados para transportar comandos internos do backdoor e indicar respostas positivas ou negativas, incluindo verificação de presença, execução de shellcode e remoção do componente.
A superfície exposta concentra-se em sistemas Windows que mantinham SMB acessível e não haviam aplicado a atualização MS17-010 no momento da exploração. Como SMB é amplamente usado para compartilhamento de arquivos, impressão e comunicação interna, a exposição pode aparecer tanto em estáções quanto em servidores. O risco aumenta quando portas 139 ou 445 estão acessíveis além do segmento estritamente necessário, quando há ativos legados sem ciclo de atualização confiável ou quando a inspeção de tráfego leste-oeste dentro da rede é limitada.
O caso também mostra que a infecção por backdoor pode anteceder a carga mais visível. Em maio de 2017, o pico associado ao WannaCry ocorreu depois de uma primeira grande onda de tráfego em 21 de abril, interpretada como atividade provável de instalação do DoublePulsar. Assim, a ausência de ransomware em um host não bastava para descartar comprometimento. Ambientes que ficaram vulneráveis no período precisavam tratar a exposição SMB como possível implantação silenciosa de backdoor, especialmente quando logs indicavam transações SMB incomuns antes da manifestação de impacto operacional.
- Hosts Windows com SMB/CIFS exposto nas portas TCP 139 ou 445 e sem aplicação do MS17-010.
- Servidores ou estáções que responderam a consultas de reconhecimento capazes de revelar versão nativa do sistema operacional via SMB.
- Máquinas com tráfego
SMB_COM_TRANSACTION2_SECONDARYcontendo relações inconsistentes entre deslocamento, contagem de parâmetros e contagem de dados. - Ambientes onde o tráfego SMB interno não era filtrado ou inspecionado, permitindo propagação e comunicação de backdoor entre segmentos.
A investigação defensiva deve começar pela linha do tempo. Eventos de SMB anômalos em torno de 21 de abril de 2017 indicam a fase de implantação em massa do DoublePulsar, enquanto 12 de maio de 2017 marca o pico associado ao início da atividade do WannaCry. Em ambientes com retenção histórica, a correlação entre tráfego SMB, alertas de IPS, falhas de negociação, sessões incomuns e mudanças subsequentes em endpoints ajuda a separar tentativa bloqueada, exploração bem-sucedida e entrega posterior de carga.
Na rede, sinais úteis incluem conexões para portas 139 e 445 vindas de origens incomuns, varreduras internas que consultam muitos hosts, sessões SMB que coletam informações de sistema operacional e requisições TRANS2 com campos fora do padrão. A defesa não precisa reproduzir a exploração para procurar evidências: basta observar discrepâncias em comandos reservados, respostas que não seguem o comportamento esperado de STATUS_NOT_IMPLEMENTED, padrões de Multiplex ID associados a respostas artificiais e uso anômalo de TRANS2_SESSION_SETUP.
No endpoint, a prioridade é combinar inventário de correção com sinais de comportamento. Hosts sem MS17-010 no período crítico devem ser tratados como candidatos a investigação, principalmente se também aparecem em logs de rede relacionados a SMB. Como o DoublePulsar permite execução arbitrária de shellcode, a telemetria de memória, criação de processos incomuns após tráfego SMB, falhas de serviço, reinicializações inesperadas e comunicação lateral deve ser revisada em conjunto. A remoção aparente do backdoor não elimina a necessidade de avaliar ações posteriores, porque o próprio fluxo descrito inclui comando para remover o componente e ocultar evidência operacional imediata.
- Conexões SMB para TCP 139 e 445 originadas de estáções que normalmente não fazem varredura ou administração de arquivos.
- Uso de
SMB_COM_SESSION_SETUP_ANDXpara coleta de versão nativa do sistema operacional antes de tentativas de exploração. - Requisições
SMB_COM_TRANSACTION2_SECONDARYcomParameterOffset,ParameterCounteDataCountincompatíveis com a estrutura esperada. - Tráfego com
TRANS2_SESSION_SETUPem contexto no qual o servidor deveria rejeitar o subcomando reservado. - Picos de alertas de IPS ou firewall próximos às fases de abril e maio de 2017, especialmente em ativos que não tinham o MS17-010 aplicado.
A medida central é garantir que todos os sistemas Windows afetados tenham recebido a atualização crítica MS17-010. A correção precisa ser verificada por inventário confiável, não apenas por política declarada. Em redes com ativos antigos, imagens congeladas, estáções fora de domínio ou servidores com janelas restritas de manutenção, a validação deve confirmar o estado real de cada host. Quando a atualização imediata não for possível, o risco deve ser reduzido por isolamento, filtragem de portas SMB e bloqueio de acesso entre segmentos que não precisam compartilhar arquivos ou impressão.
A contenção deve tratar SMB como serviço sensível. Portas 139 e 445 não devem ficar expostas a redes não confiáveis e, internamente, devem seguir o menor alcance necessário. Regras de firewall, segmentação, inspeção por IPS e bloqueios em borda reduzem a probabilidade de exploração remota e propagação lateral. Para ambientes que observaram tráfego compatível com DoublePulsar, a resposta deve incluir verificação de comprometimento, análise de integridade, revisão de logs de rede e endpoint, além de reconstrução de hosts quando a confiança no estado do sistema não puder ser restaurada.
A etapa final é validar que a correção reduziu a superfície e que a telemetria continua cobrindo o vetor. Isso inclui testar visibilidade de SMB em rede, confirmar que alertas para padrões TRANS2 anômalos estão habilitados, revisar exceções antigas de firewall e procurar hosts que ainda aceitam conexões SMB fora do perfil esperado. Como a cadeia demonstrou transição de exploração para backdoor e depois para ransomware, a defesa deve unir gestão de vulnerabilidades, monitoramento de protocolo e resposta a incidente em um único processo operacional.
- Confirmar aplicação do MS17-010 em todos os ativos Windows que usam SMB/CIFS.
- Restringir TCP 139 e 445 por segmentação e firewall, permitindo apenas fluxos de arquivo e impressão realmente necessários.
- Habilitar inspeção de IPS para explorações SMB associadas ao vazamento dos Shadow Brokers, DoublePulsar, EternalBlue e EternalRocks.
- Investigar hosts sem correção que tiveram tráfego SMB anômalo antes ou durante maio de 2017, mesmo que não tenham exibido ransomware.
- Revisar permissões e exposição de compartilhamentos SMB, reduzindo descoberta lateral e coleta de informações de sistema por clientes não autorizados.
0 Comentários