Aula 04

3. Laboratório para Análise de Malwares .....................................................................................40

3.1. Máquina virtual ..........................................................................................................................40
3.2. Preparação do ambiente ..............................................................................................................41
3.3. Lab-03-01 Uso de máquina virtual e simulação de rede com FakeNet ......................................44
 CAPÍTULO 3 – LABORATÓRIO PARA ANÁLISE DE MALWARES | 40

3. Laboratório para Análise de Malwares

Antes de executar um malware é necessário ter um ambiente seguro para evitar surpresas
desagradáveis. Antes de analisá-lo nunca sabemos o que ele pode provocar em nosso ambiente de
rede e computador, então de forma alguma devemos executá-lo diretamente em um computador de
produção ou de uso pessoal. Isso deverá ser feito em um sistema previamente preparado para essa
finalidade.
Atualmente o jeito mais comum e barato de se analisar um malware é com o uso máquinas
virtuais. Nesse curso iremos focar nesse tipo de ambiente, porém nada impede que tendo os
recursos necessários, a pessoa analise o malware um uma máquina real exclusiva para essa
finalidade.

3.1. Máquina virtual

Máquinas virtuais (virtual machines, VM) são como computadores dentro de outro
computador. Como é possível ver na figura abaixo, um SO convidado (guest) é instalado em um SO
hospedeiro (host) através de uma máquina virtual. Existem várias vantagens em utilizar essa
estrutura, algumas das princiapais são: o SO convidade fica isolado do host, os malwares que rodam
na máquina virtual não atingem o host (a menos que exista uma vulnerabilidade 0-day na VM), caso
o SO da VM seja danificado é só restaurar para o estado original, a VM toda está contida em poucos
arquivos, o que torna fácil o backup e duplicação, etc.
Existem muitas alternativas de máquinas virtuais disponíveis, cada um pode utilizar a
plataforma de sua preferência, porém como sugestão para utilização na análise de malware são
indicadas a VMWare (http://www.vmware.com) e a Oracle VirtualBox
(https://www.virtualbox.org/).

OYS Academy – Ronaldo Pinheiro de Lima

 CAPÍTULO 3 – LABORATÓRIO PARA ANÁLISE DE MALWARES | 41

3.2. Preparação do ambiente

Quando lidamos com malware devemos tomar alguns cuidados mesmo em máquina virtuais.
Primeiramente sempre manter o software de virtualização atualizado. Além das atualizações
fornecerem recursos adicionais para a VM, elas são utilizadas para corrigir falhas de segurança da
plataforma. Atualizando assim que for disponibilizado pelo fabricante nos deixa com as VMs livres
de vulnerabilidades conhecidas assim o malware só conseguirá “escapar” da máquina virtual através
de uma vulnerabilidade 0-day.
Outra questão crítica que devemos ficar bastante atentos diz respeito à conexão de rede da
máquina virtual, caso ela esteja mal configurada o malware poderá infectar o computador
hospedeiro e até outros hosts da rede caso esteja em uma LAN, fora isso a VM ainda poderá se
tornar um bot para atacar máquinas de terceiros, enviar spams, hospedar conteúdo ilegal, etc.

Configuração da Rede

Lidar com a rede em máquinas virtuais requer o entendimento das configurações de rede que
são oferecidas nas plataformas de virtualização mais comuns. Vejamos na tabela abaixo os modos
de rede mais utilizados.

Acesso Host-only NAT/Shared Bridged

VMs podem acessar outras VMs Sim Sim Sim
VMs podem acessar o hospedeiro Sim Sim Sim
VMs podem acessar outros computadores Não Sim Sim
O hospedeiro pode acessar VMs Sim Sim Sim
Outros computadores podem acessar VMs Não Não Sim

A descrição dos três modos é feita a seguir:

 Host-only: Isso criada uma LAN privada compartilhada em o hospedeiro e suas VMs. VMs
não podem se comunicar com computadores externos.
 NAT/Shared: VMs podem acessar outros computadores da LAN ou Internet, mas as
conexões aparecerão vindas do IP do hospedeiro. Os outros computadores não podem iniciar
conexões com a VM a menos que seja configurado um redirecionamento de portas (port-
forwarding) no computador hospedeiro.
OYS Academy – Ronaldo Pinheiro de Lima
 CAPÍTULO 3 – LABORATÓRIO PARA ANÁLISE DE MALWARES | 42

 Bridged: VMs compartilham o adaptador Ethernet físico do hospedeiro, mas possuem seus
próprios endereços IPs e MACs. As VMs aparecem na mesma subnet do hospedeiro. Essa é
a única configuração que permite outros computadores iniciarem conexões de entrada na
VM. E também é o único modo que permite que outras máquinas externas, como por
exemplo, um roteador ou firewall, distinguir o tráfego gerado pelo hospedeiro do tráfego das
VMs.

Escolhendo um desses modos, as máquinas virtuais permitem a simulação do cabo de rede

conectado ou desconectado. É recomendado que enquanto não estiver sendo utilizada nenhuma
função de rede, o cabo de rede permaneça no modo desconectado e quando necessário ative-o. No
VMWare isso é feito no menu Virtual Machine – Removable Devices – Network Adapter e no
VirtualBox é através do menu Dispositivos – Adaptadores de rede.
A comunicação do malware com a rede é algo essencial de ser observado em uma análise,
porém não se deve permitir que um malware desconhecido faça isso de forma indiscriminada
conectando-o diretamente à Internet. O recomendado é que se configure o adaptador de rede em
modo host-only e faça análises iniciais do artefato. Tentar descobrir o que ele pode provocar na
rede, ainda no modo host-only é possível simular a conexão com a rede utilizando ferramentas
próprias, dessa forma já será possível saber quais requisições ele fará. Faremos isso no próximo Lab
ao final desse capítulo.
Ainda assim às vezes será interessante conectá-lo à Internet para obter uma visão real do seu
funcionamento. Isso deverá ser feito levando em conta todos os riscos já citados, não é
recomendado que se faça dentro de uma rede corporativa, a menos que ela tenha sido projetada para
esse fim. A forma mais simples de configurar a máquina virtual para acessar a Internet é com o
modo NAT/Shared, ela utilizará a conexão do computador hospedeiro independentemente de como
ele se conecta a Internet, podendo ser ADSL, cabo, wireless, 3G, ou outro, será transparente para a
VM. Outra forma de conectar a VM é através do modo Bridged, assim a VM será configurada com
seu próprio IP e MAC, como se fosse uma máquina física da rede, o IP poderá ser configurado
manualmente ou obtido através do DHCP.

Informações Pessoais

Não deixe na máquina virtual nenhuma informação pessoal que possa identificar o
computador ou a pessoa que o utiliza. Por exemplo, devem ser utilizados nomes genéricos para
nome do computador, nome de usuário, nome de pastas, grupos de trabalho, etc.

OYS Academy – Ronaldo Pinheiro de Lima

 CAPÍTULO 3 – LABORATÓRIO PARA ANÁLISE DE MALWARES | 43

Recursos Adicionais da VM

Tanto o VMWare quando o VirtualBox, oferece a opção de instalar recursos adicionais na

máquina virtual, esses recursos facilitam a forma com que o sistema hospedeiro interage com a
máquina virtual, principalmente o compartilhamento de arquivos entre os dois. Então é
recomendada a instalação desses recursos, no VMWare chama-se “VMWare Tools” e no
VirtualBox “Adicionais para convidados”.

Pastas Compartilhadas

Um recurso que pode ser utilizado para a troca de arquivos entre o computador hospedeiro e
a máquina virtual é o de pastas compartilhadas. Permite mapear uma pasta do hospedeiro dentro da
máquina virtual, assim tudo que for colocado nessa pasta estará disponível para os dois sistemas.
Como medida de segurança caso utilize esse recurso, marque a pasta compartilhada como sendo
somente-leitura, assim a máquina virtual não conseguirá gravar nada nela e quando necessário
habilite a gravação.

Ferramentas

Após as configurações iniciais na máquina virtual é hora de instalar as ferramentas que serão
utilizadas na análise de malwares. É recomendado que se instale previamente todas as ferramentas
listadas no capítulo 1.4 para deixar o ambiente pronto para receber o malware.

Snapshots

Tirar snapshots é um conceito único das máquinas virtuais. Eles permitem salvar o estado
atual da VM e restaurá-lo posteriormente quando necessário. Isso é muito útil na análise de malware
porque após ter o código malicioso executado e coletado as informações que queríamos, podemos
retornar ao estado original do sistema, que estava limpo antes da execução.
Após ter instalado todas as ferramentas tire um snapshot da VM para servir de estado inicial
da análise. Quando for necessário atualizar ferramentas tire um novo snapshot.

Passo a Passo do uso de VMs para analisar malwares

OYS Academy – Ronaldo Pinheiro de Lima

 CAPÍTULO 3 – LABORATÓRIO PARA ANÁLISE DE MALWARES | 44

1. Crie uma máquina virtual com um sistema operacional limpo.

2. Faça as configurações e instale todas as ferramentas desejadas.
3. Tire um snapshot.
4. Transfira o malware para a VM.
5. Faça a análise do malware na VM.
6. Tome nota dos resultados da análise, tire screenshots e copie todos os dados conseguidos
para a máquina hospedeira.
7. Reverta a VM para o snapshot inicial limpo.

3.3. Lab-03-01 Uso de máquina virtual e simulação de rede com FakeNet

Nesse Lab iremos trabalhar com as configurações de rede da máquina virtual. Simularemos
o ambiente de rede com a ferramenta FakeNet que permite responder requisições dos protocolos
HTTP, HTTPS, DNS, ICMP e SMTP. Utilizando essa estrutura de rede não é necessário deixar o
malware sair para redes externas, o que contribui para a segurança da análise. Vale dizer também
que há malwares que quando não encontram um ambiente de rede funcional eles não executam
nada, o que dificulta a análise, por isso é tão importante ter um ambiente de rede configurado,
mesmo que simulado.

Material necessário:
- Máquina virtual com Windows XP 32-bit
- FakeNet (http://practicalmalwareanalysis.com/fakenet/)
Para a ferramenta funcionar corretamente talvez seja necessário instalar o “C++ 2008
Redistributable Package” disponível no site da Microsoft:
http://www.microsoft.com/download/en/details.aspx?id=29.
- Wireshark
- Arquivo: Lab-03-01.exe

Passo a Passo

1- Na sua máquina virtual configure a placa de rede para o modo Host-only conforme figura
abaixo.

OYS Academy – Ronaldo Pinheiro de Lima

 CAPÍTULO 3 – LABORATÓRIO PARA ANÁLISE DE MALWARES | 45

2- Através do CMD com o comando ipconfig podemos confirmar o IP atribuído à máquina virtual.

3- Se formos na máquina física e executarmos o mesmo comando podemos ver que na placa de rede
virtual foi atribuído um IP da mesma classe, formando assim uma rede privada entre as duas
máquinas (física e virtual).

4- Já com a ferramenta FakeNet instalada, execute-a através do FakeNet.exe. Com isso ela já está
escutando em diversas portas simulando um ambiente de rede completo.

OYS Academy – Ronaldo Pinheiro de Lima

 CAPÍTULO 3 – LABORATÓRIO PARA ANÁLISE DE MALWARES | 46

5- Diferente de outras ferramentas que só simulam os serviços de rede, o FakeNet simula o serviço
e ainda responde de acordo com a solicitação. Por exemplo, se o malware solicitar o download do
arquivo http://www.evilsite.com/infected.exe, o FakeNet vai capturar essa solicitação e fornecer um
arquivo .EXE genérico para deixar a simulação mais realista. Isso vale também caso sejam
solicitados outros tipos de arquivos, que se encontram dentro da pasta FakeNet\defaultFiles\.

6- Agora vamos ver na prática como funciona, execute o malware Lab-03-01.exe e veja o que o
FakeNet irá retornar.

[DNS Query Received.]

Domain name: dl.dropbox.com
[DNS Response sent.]

[Received new connection on port: 80.]

[New request on port 80.]
GET /u/26681756/metodoS.swf HTTP/1.1
User-Agent: HTTP Client
Host: dl.dropbox.com
OYS Academy – Ronaldo Pinheiro de Lima
 CAPÍTULO 3 – LABORATÓRIO PARA ANÁLISE DE MALWARES | 47

Cache-Control: no-cache
[Sent http response to client.]

[Received new connection on port: 80.]

[New request on port 80.]
GET /u/26681756/metodoD.swf HTTP/1.1
User-Agent: HTTP Client
Host: dl.dropbox.com
Cache-Control: no-cache
[Sent http response to client.]

[Received new connection on port: 80.]

[New request on port 80.]
GET /u/39262625/metodoL.swf HTTP/1.1
User-Agent: HTTP Client
Host: dl.dropbox.com
Cache-Control: no-cache
[Sent http response to client.]

[Received new connection on port: 80.]

[New request on port 80.]
GET /u/26681756/metodoAux.swf HTTP/1.1
User-Agent: HTTP Client
Host: dl.dropbox.com
Cache-Control: no-cache
[Sent http response to client.]

Com isso já descobrimos que o malware faz download de quatro arquivos swf do site
dl.dropbox.com. Caso fossemos prosseguir com a análise poderíamos baixar esses arquivos
manualmente e analisá-los.

7- O tráfego gerado pelo FakeNet ainda fica salvo automaticamente em um arquivo

packetDump_XXXX.pcap. Isso permite que ele seja aberto em outra ferramenta compatível com
arquivos PCAPs como o Wireshark.

OYS Academy – Ronaldo Pinheiro de Lima

CAPÍTULO 3 – LABORATÓRIO PARA ANÁLISE DE MALWARES | 48

OYS Academy – Ronaldo Pinheiro de Lima