Académique Documents
Professionnel Documents
Culture Documents
Análise de Malwares
Instrutor: Ronaldo Pinheiro de Lima
ronaldoplima@yahoo.com.br
1 Aula 01
Aula 01
Visão geral do curso
1. Introdução
2 Aula 01
Visão geral do curso
Introdução
termo malware
intenção
atividades
danos
3 Aula 01
Tipos de código maliciosos
características comuns
difícil definição
Vírus
mais antigo
termo genérico
cópias para infectar arquivos
depende de ação do usuário
4 Aula 01
Worm
auto-replicam
exploram vulnerabilidades
Spyware
coleta dados de navegação/computador
Trojan horse
presente de grego
funções ocultas
Trojan-Downloader
instalados no primeiro acesso
Trojan-Dropper
códigos maliciosos embutidos no próprio trojan
5 Aula 01
Trojan-Banker
95% no Brasil
Backdoor
acesso remoto
Bot/Botnet
acesso remoto para enviar comandos
ataques
Ransomware
criptografa dados e solicita “resgate”
Rootkit
ocultar presença, técnicas avançadas
6 Aula 01
Nation-Sponsored Malware
Cyberweapons / CyberWar
Inutilizar computador da vítima
Utilizada frequentemente em sistemas industriais:
nuclear, energia, abastecimento (SCADA)
Cyber Espionage / Cyber Surveillance
Coletar todos os tipos de dados
Ex.: Stuxnet, DuQu, Flame, Gauss, Shamoon, etc.
7 Aula 01
Fraudes
Pharming
redirecionamento do usuário para páginas falsas
DNS falso
Phishing Scam
spam
assuntos do momento
Spear Phishing
pesca com arpão
8 Aula 01
Engenharia Reversa
extrair conhecimento
algo que foi perdido ou sem acesso
descobrir segredos dos concorrentes
Engenharia Reversa de Malware
dissecar o malware
olhar internamente
entender suas funcionalidades
habilidades específicas (curiosidade)
9 Aula 01
Análise Estática e Dinâmica
estática
sem execução *
conhecimentos mais avançados
dinâmica
execução, comportamento
monitoramento do SO
automatização
métodos complementares
10 Aula 01
Ferramentas
poucas próprias
gratuitas
Identificadores de arquivos
perfil do arquivo
compiladores e proteções
Ex.: PEiD, Exeinfo PE, RDG, file
11 Aula 01
Monitoramento do sistema
análise dinâmica
rede, arquivos, registro, processos, objetos
Exemplos:
Autoruns, Process Explorer
Process Hacker, Process Monitor, Regshot
TCP View, Wireshark
12 Aula 01
Disassemblers
gera textos com código assembly
baseado em arquitetura (processador)
Ex.: IDA Pro Free
Debuggers
observar programas e ambiente
breakpoints e navegar no código
assembler level debugger
13 Aula 01
Debuggers (cont.)
assistir a CPU
user-mode e kernel-mode debuggers
Ex.: OllyDbg, Immunity Debugger, WinDbg
Descompiladores
produzir código de alto-nível
compilação perde informações
Ex.: DeDe,VB Decompiler Pro, Hex-Rays *
14 Aula 01
Memory Forensics
memória física (RAM)
retirada de proteções
captura e análise
Exemplos:
LordPE
MoonSols Windows Memory Tookit
Memoryze
Volatility Framework
15 Aula 01
Ferramentas diversas
CFF Explorer
Dependency Walker
Editores hexadecimais (HxD)
Import REC
PEview
Resource Hacker
Strings
FakeNet
16 Aula 01
Antireversing e anti-antivírus
evitar ER, detecção e “fogo amigo”
camadas
sempre realizam o processo inverso
Polimorfismo
criptografa o malware
cada cópia uma chave diferente
evitar detecção por assinaturas
falhas: memória e algoritmo de criptografia
17 Aula 01
Metamorfismo
criptografia do malware
código todo é modificado a cada cópia
inclusive o algoritmo criptográfico
difícil detecção
Packers
comprime e criptografa o malware
adiciona rotina de descompressão (EP)
unpacking na memória
18 Aula 01
Crypters
algoritmo criptográfico no código
não faz compressão
FUD (Fully Undetectable)
Anti-TUDO (VM, Debugger, Sandbox...)
Comercializados com “garantias” FUD
Brazil!
http://thebestfudcrypters.blogspot.com/
http://crypters.net/
19 Aula 01
Binders, Joiners ou Wrappers
junta dois arquivos (malicioso e legítimo)
determina execução oculta
Strings Ofuscadas
strings permanecem no código compilado
criptografia de informações importantes
descriptografia em run-time
20 Aula 01
Obrigado!
21 Aula 01