SlideShare uma empresa Scribd logo

Monitoração de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits

Marcus Botacin
Marcus Botacin

O documento discute técnicas e desafios para monitorar o comportamento de malware em sistemas Windows 64 bits. Ele apresenta: 1) Novas proteções do Windows 64 bits que dificultam a análise dinâmica e 2) Uma arquitetura baseada em callbacks para monitorar ações de malware contornando essas proteções. Experimentos validaram que a abordagem captura ações em escala e identificou comportamentos comuns de malware.

Tecnologia
1 de 39
Baixar para ler offline
Parte I Parte II Parte III Parte IV Parte V Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits Marcus Botacin1,3, Vitor Afonso1, Paulo L´ıcio de Geus1, Andr´e Gr´egio1,2 1Instituto de Computac¸˜ao - UNICAMP {marcus,vitor,paulo}@lasca.ic.unicamp.br 2Centro de Tecnologia da Informac¸˜ao Renato Archer (CTI) andre.gregio@cti.gov.br 3Bolsista PIBIC-CNPq 5 de Novembro de 2014 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao An´alise de malware Tipos de an´alise An´alise est´atica: c´odigo-fonte; execut´avel (disassembled). An´alise dinˆamica: execuc¸˜ao controlada/temporizada; extrac¸˜ao comportamental (limitada). Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao Cen´ario Atual Uso do Windows—Olhar Digital, 03/02/2014 O Windows 8.1 se tornou o quarto sistema operacional mais usado por computadores no mundo, deixando o Vista, o Mac OS X Mavericks e o Linux para tr´as. Fonte: http://olhardigital.uol.com.br/noticia/40085/40085 Malware 64-bits—Securelist 11/12/2013 The more people switch to 64-bit platforms, the more 64-bit malware appears. We have been following this process for several years now. The more people work on 64-bit platforms, the more 64-bit applications that are developed as well. Fonte: https://www.securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_ enhanced_with_Tor Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V T´ecnicas T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V T´ecnicas T´ecnicas de An´alise T´ecnicas de An´alise System Service Dispatch Table (SSDT) Hooking Ex.: BehEMOT (SBSeg 2010). Virtual Machine Introspection (VMI) Ex.: Anubis (anubis.iseclab.org). Application Programming Interface (API) Hooking Ex.: Cuckoo (www.cuckoosandbox.org), CWSandbox (www.threattracksecurity.com). Detour Callback e Filters Ex.: Capture-BAT (www.honeynet.org/node/315) Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Novidades do Windows 64 bits T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Novidades do Windows 64 bits Novidades do Windows 64 bits Novidades do Windows 64 bits Kernel Patch Protection (KPP). ⇒ Apenas 64 bits. Exigˆencia de assinatura de driver. ⇒ Inclui auto-assinados. Sess˜oes de aplicativos. ⇒ Impede criac¸˜ao de threads remotas entre sess˜oes. Mudan¸cas na API. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes Considerac¸˜oes Mecanismos de protec¸˜ao vs. An´alise dinˆamica KPP: impede SSDT hooking. Assinatura de drivers: pode ser desligada; malware geral atua em userland ⇒ n˜ao carrega drivers! Detours/Inline hooking: mesmo n´ıvel de privil´egio do malware. Proibi¸c˜ao de threads remotas: dificulta DLL hooking. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes Considerac¸˜oes Requisitos de Projeto An´alise de malware moderno. Portabilidade e Escalabilidade ⇒ incompat´ıvel com VMI. Decis˜oes de Projeto Implementac¸˜ao Utilizando-se de Callbacks e Filters. Tr´afego de rede capturado externamente ao ambiente de an´alise. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Callback Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Arquitetura do Sistema Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Arquitetura do Sistema Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Experimentos Tipos de Experimentos Validac¸˜ao. Testes em maior escala. Objetivo 1 Verificar se a monitorac¸˜ao das ac¸˜oes efetuadas sobre os subsistemas de arquivos, registro e processos ´e feita adequadamente. 2 An´alise aprofundada de exemplares de malware em busca de comportamentos que indicam a presenc¸a de c´odigos maliciosos. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Validac¸˜ao 1 7/4/2014 −13:3:48.793| SetValueKey |2032|C:7 G6C5n . exe |REGISTRYUSERS −1−5−21−3760592576−961097288−785014024−1001 Software Microsoft Windows CurrentVersion Run | SoftBrue | ”C:7 G6C5n . exe ” 1 7/4/2014 −13:3:48.76| WriteOperation |3028|C: v i s u a l i z a r . exe |C: WindowsSysWOW64 d l l . exe | Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Validac¸˜ao 1 7/4/2014 −13:5:1.895| DeleteOperation |2032|C: deposito . exe |C: ProgramData r r . t x t | 1 7/4/2014 −13:3:48.294| CreateProcess |3028|C: Monitor Malware v i s u a l i z a r . exe |2440|C: WindowsSysWOW64 d l l . exe 1 2014−05−14 20:02:40.963113 10.10.100.101 XX.YY. ZZ .121 HTTP 290 GET /. swim01/ c o n t r o l . php? i a&mi=00 B5AB4E−47098BC3 HTTP/1.1 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Testes em maior escala Amostras 1 Amostras coletadas no per´ıodo entre 01/01/2014 e 21/05/2014. 2 2.937 exemplares ´unicos (hash MD5). 3 Exemplares provenientes de honeypots, phishing e downloads de links contaminados. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Distribuic¸˜ao das Amostras Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos exibidos pelos exemplares Tabela : Atividades monitoradas e quantidade de exemplares que as exibiram. Atividade Qtde. Escrita no Registro 1073 Remoc¸˜ao de chave(s) do Registro 772 Criac¸˜ao de processo(s) 602 T´ermino de processos 1337 Escrita em arquivo(s) 1028 Leitura de arquivo(s) 1694 Remoc¸˜ao de arquivo(s) 551 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos Observados Detalhes dos comportamentos Finalizac¸˜ao de mecanismos ant´ıvirus instalados no sistema operacional; Desligamento do firewall nativo do Windows; Criac¸˜ao de novos bin´arios no sistema, seja por download ou por dropping; Desligamento do mecanismo de atualizac¸˜ao autom´atica do Windows; Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos Observados Detalhes dos comportamentos Tentativa de persistˆencia (sobrevivˆencia a desligamentos e reinicializac¸˜oes); Injec¸˜ao de Browser Helper Objects no Internet Explorer; Modificac¸˜ao no arquivo hosts.txt do sistema operacional; Sobrescrita de um arquivo (programa ou biblioteca) j´a presente no sistema; Remoc¸˜ao de seu pr´oprio programa ou de outros artefatos. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Tr´afego de rede Tabela : 10 portas/protocolos mais utilizados pelos exemplares. Protocolo Porta % dos exemplares HTTP 80 44.4 HTTPS 443 6.5 MS-SQL 1433 2.6 - 8181 1.0 SMTP 587 0.8 - 82 0.7 MySQL 3306 0.5 - 720 0.3 - 2869 0.3 - 9000 0.2 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Tr´afego de rede Tabela : Comportamentos suspeitos observados no tr´afego de rede. Comportamento Qtde. de malware Download desconhecido 154 E-mail/Spam 25 Banker 22 Comunicac¸˜ao IRC 4 Dados do sistema 3 Obtenc¸˜ao de PAC 1 Portas de IRC 1 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Virustotal Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Discuss˜ao Contribuic¸˜oes: Capaz de executar arquivos no formato PE+ (64 bits). Provˆe um ambiente “flex´ıvel” de 64 bits (Windows 8) para an´alise. Ferramentas/sistemas avaliados: Anubis (http://anubis.iseclab.org) Cuckoo (https://malwr.com/) ThreatExpert (http://www.threatexpert.com) Camas Comodo (http://camas.comodo.com) CWSandbox (http://www.threattracksecurity.com/ resources/sandbox-malware-analysis.aspx) Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Discuss˜ao Antiv´ırus R´otulos de detecc¸˜ao baseiam-se em heur´ısticas gen´ericas. ⇒ Permitem que o usu´ario seja alertado sobre um evento ou processo suspeito. ⇒ N˜ao provˆeem informac¸˜oes espec´ıficas sobre o tipo de dano causado. Windows Retrocompatibilidade ⇒ Exemplares de 32 bits (Windows XP) infectam o Windows 8. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros Limitac¸˜oes Limitac¸˜oes An´alise de rootkits An´alise de tr´afego criptografado An´alise de evaders (Reboot, VM detection) Mecanismo de callback limitado a interface do S.O. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros Trabalhos Futuros Trabalhos Futuros Integrac¸˜ao do ambiente bare-metal ao ambiente emulado. Implementac¸˜ao de t´ecnicas para monitorac¸˜ao de outros subsistemas. Estudo e desenvolvimento de mecanismos de protec¸˜ao para a ferramenta de monitorac¸˜ao. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Conclus˜oes Conclus˜oes Introduziu-se um sistema de an´alise dinˆamica de malware de 64 bits baseado em Windows 8. Avaliou-se o funcionamento do sistema por meio da execuc¸˜ao de 2.937 exemplares de malware. Os resultados obtidos permitem uma maior compreens˜ao da atuac¸˜ao de malware, possibilitando a criac¸˜ao de heur´ısticas de detecc¸˜ao, procedimentos de remediac¸˜ao e tomada de contra-medidas para resposta a incidentes. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Agradecimentos Os autores agradecem: CNPq Instituto de Computac¸˜ao/Unicamp CTI Renato Archer Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware Win32/64:Blackbeard & Pigeon Fonte: http://blog.avast.com/2014/01/15/ win3264blackbeard-pigeon-stealthiness-techniques-in-64-bit-windows-part-1/ Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware TSPY64 ZBOT.AANP Fonte: http://about-threats.trendmicro.com/Malware.aspx?language=au&name=TSPY64_ZBOT.AANP It connects to the following URL(s) to get the affected system’s IP address: http: // checkip. dyndns. org Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware TSPY64 ZBOT.AANP It requires the existence of the following files to properly run: Application Datarandom folder namerandom file name.exe Nota: Application Data ´e C:Usersuser nameAppDataRoaming do Windows Vista em diante. 1 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoamingGevoun | 2 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoamingGevoun r i o d . exe | 3 29/6/2014 − 1 5 : 4 3 : 2 7 . 8 0 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoaming Arcole | Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14

Recomendados

XVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
XVII SBSEG: Análise Transparente de Malware com Suporte por HardwareXVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
XVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
Marcus Botacin
 
XVII SBSEG: VoiDbg: Projeto e Implementação de um Debugger Transparente para ...
XVII SBSEG: VoiDbg: Projeto e Implementação de um Debugger Transparente para ...XVII SBSEG: VoiDbg: Projeto e Implementação de um Debugger Transparente para ...
XVII SBSEG: VoiDbg: Projeto e Implementação de um Debugger Transparente para ...
Marcus Botacin
 
Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012
TI Safe
 
Grand permata city cikarang cb
Grand permata city cikarang cbGrand permata city cikarang cb
Grand permata city cikarang cb
adhomurtadho
 
DD214_FT_Benning
DD214_FT_BenningDD214_FT_Benning
DD214_FT_Benning
Oscar Little
 
Music video analysis_work_sheet2-red
Music video analysis_work_sheet2-redMusic video analysis_work_sheet2-red
Music video analysis_work_sheet2-red
HaiiEmmaa
 
Kelsey Keighley - Treatment
Kelsey Keighley - TreatmentKelsey Keighley - Treatment
Kelsey Keighley - Treatment
kelseykiki
 
BA Arena 2015
BA Arena 2015BA Arena 2015
BA Arena 2015
Sven Krause
 

Recomendados

XVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
XVII SBSEG: Análise Transparente de Malware com Suporte por HardwareXVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
XVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
Marcus Botacin
 
XVII SBSEG: VoiDbg: Projeto e Implementação de um Debugger Transparente para ...
XVII SBSEG: VoiDbg: Projeto e Implementação de um Debugger Transparente para ...XVII SBSEG: VoiDbg: Projeto e Implementação de um Debugger Transparente para ...
XVII SBSEG: VoiDbg: Projeto e Implementação de um Debugger Transparente para ...
Marcus Botacin
 
Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012
TI Safe
 
Grand permata city cikarang cb
Grand permata city cikarang cbGrand permata city cikarang cb
Grand permata city cikarang cb
adhomurtadho
 
DD214_FT_Benning
DD214_FT_BenningDD214_FT_Benning
DD214_FT_Benning
Oscar Little
 
Music video analysis_work_sheet2-red
Music video analysis_work_sheet2-redMusic video analysis_work_sheet2-red
Music video analysis_work_sheet2-red
HaiiEmmaa
 
Kelsey Keighley - Treatment
Kelsey Keighley - TreatmentKelsey Keighley - Treatment
Kelsey Keighley - Treatment
kelseykiki
 
BA Arena 2015
BA Arena 2015BA Arena 2015
BA Arena 2015
Sven Krause
 
Rumah Baru Grand permata city cikarang
Rumah Baru Grand permata city cikarangRumah Baru Grand permata city cikarang
Rumah Baru Grand permata city cikarang
adhomurtadho
 
The clear proofs for refuting the doubts of the people of takfeer and bombing
The clear proofs for refuting the doubts of the people of takfeer and bombingThe clear proofs for refuting the doubts of the people of takfeer and bombing
The clear proofs for refuting the doubts of the people of takfeer and bombing
goffaree
 
HTS Picture
HTS PictureHTS Picture
HTS Picture
Oscar Little
 
See No Evil: The Moors Murders
See No Evil: The Moors MurdersSee No Evil: The Moors Murders
See No Evil: The Moors Murders
Catherine Longstaff
 
New Product Development Project - Meal kit
New Product Development Project - Meal kitNew Product Development Project - Meal kit
New Product Development Project - Meal kit
Chau Pham
 
III Jornada Automatización de Almacén - Conrad Cardona
III Jornada Automatización de Almacén - Conrad CardonaIII Jornada Automatización de Almacén - Conrad Cardona
III Jornada Automatización de Almacén - Conrad Cardona
Instituto Logístico Tajamar
 
Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Webinar Softlayer MSP / ISV en Francais - Octobre 2015Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Nicolas Verdier
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bits
Arthur Paixão
 
Relatorio urna
Relatorio urnaRelatorio urna
Relatorio urna
João Rufino de Sales
 
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardwareXVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
Marcus Botacin
 
Mil e uma noites de malware no Brasil
Mil e uma noites de malware no BrasilMil e uma noites de malware no Brasil
Mil e uma noites de malware no Brasil
Marcus Botacin
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
Renato Basante Borbolla
 
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Marcus Botacin
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Marcus Botacin
 
Princípios básicos da análise de malware
Princípios básicos da análise de malwarePrincípios básicos da análise de malware
Princípios básicos da análise de malware
Marcelo Souza
 
Duly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdfDuly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdf
HelenaReis48
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
Bruno Dantas
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Samantha Nunes
 
Análise de malware coletado entre 2012-2015
Análise de malware coletado entre 2012-2015Análise de malware coletado entre 2012-2015
Análise de malware coletado entre 2012-2015
Marcus Botacin
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
Gionni Lúcio
 
Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5
Cassio Ramos
 
Final Project (2013): Test-Driven Development applied on web applications
Final Project (2013): Test-Driven Development applied on web applicationsFinal Project (2013): Test-Driven Development applied on web applications
Final Project (2013): Test-Driven Development applied on web applications
Luiz Henrique
 

Mais conteúdo relacionado

Destaque

Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Webinar Softlayer MSP / ISV en Francais - Octobre 2015Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Nicolas Verdier
 

Destaque (7)

Rumah Baru Grand permata city cikarang
Rumah Baru Grand permata city cikarangRumah Baru Grand permata city cikarang
Rumah Baru Grand permata city cikarang
 
The clear proofs for refuting the doubts of the people of takfeer and bombing
The clear proofs for refuting the doubts of the people of takfeer and bombingThe clear proofs for refuting the doubts of the people of takfeer and bombing
The clear proofs for refuting the doubts of the people of takfeer and bombing
 
HTS Picture
HTS PictureHTS Picture
HTS Picture
 
See No Evil: The Moors Murders
See No Evil: The Moors MurdersSee No Evil: The Moors Murders
See No Evil: The Moors Murders
 
New Product Development Project - Meal kit
New Product Development Project - Meal kitNew Product Development Project - Meal kit
New Product Development Project - Meal kit
 
III Jornada Automatización de Almacén - Conrad Cardona
III Jornada Automatización de Almacén - Conrad CardonaIII Jornada Automatización de Almacén - Conrad Cardona
III Jornada Automatización de Almacén - Conrad Cardona
 
Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Webinar Softlayer MSP / ISV en Francais - Octobre 2015Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Webinar Softlayer MSP / ISV en Francais - Octobre 2015
 

Semelhante a Monitoração de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits

Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5
Cassio Ramos
 

Semelhante a Monitoração de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits (20)

Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bits
 
Relatorio urna
Relatorio urnaRelatorio urna
Relatorio urna
 
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardwareXVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
 
Mil e uma noites de malware no Brasil
Mil e uma noites de malware no BrasilMil e uma noites de malware no Brasil
Mil e uma noites de malware no Brasil
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
 
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
 
Princípios básicos da análise de malware
Princípios básicos da análise de malwarePrincípios básicos da análise de malware
Princípios básicos da análise de malware
 
Duly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdfDuly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdf
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Análise de malware coletado entre 2012-2015
Análise de malware coletado entre 2012-2015Análise de malware coletado entre 2012-2015
Análise de malware coletado entre 2012-2015
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
 
Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5
 
Final Project (2013): Test-Driven Development applied on web applications
Final Project (2013): Test-Driven Development applied on web applicationsFinal Project (2013): Test-Driven Development applied on web applications
Final Project (2013): Test-Driven Development applied on web applications
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
 
White Paper - Antivirus é eficiente para a proteção de redes industriais?
White Paper - Antivirus é eficiente para a proteção de redes industriais?White Paper - Antivirus é eficiente para a proteção de redes industriais?
White Paper - Antivirus é eficiente para a proteção de redes industriais?
 
Testes com xUnit + Coding Dojo
Testes com xUnit + Coding DojoTestes com xUnit + Coding Dojo
Testes com xUnit + Coding Dojo
 
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 

Mais de Marcus Botacin

Mais de Marcus Botacin (20)

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoring
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guide
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel Approaches
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
 
Integridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomwareIntegridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomware
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software Repositories
 
UMLsec
UMLsecUMLsec
UMLsec
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and Reassembly
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering Course
 

Monitoração de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits

  • 1. Parte I Parte II Parte III Parte IV Parte V Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits Marcus Botacin1,3, Vitor Afonso1, Paulo L´ıcio de Geus1, Andr´e Gr´egio1,2 1Instituto de Computac¸˜ao - UNICAMP {marcus,vitor,paulo}@lasca.ic.unicamp.br 2Centro de Tecnologia da Informac¸˜ao Renato Archer (CTI) andre.gregio@cti.gov.br 3Bolsista PIBIC-CNPq 5 de Novembro de 2014 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 2. Parte I Parte II Parte III Parte IV Parte V T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 3. Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 4. Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao An´alise de malware Tipos de an´alise An´alise est´atica: c´odigo-fonte; execut´avel (disassembled). An´alise dinˆamica: execuc¸˜ao controlada/temporizada; extrac¸˜ao comportamental (limitada). Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 5. Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao Cen´ario Atual Uso do Windows—Olhar Digital, 03/02/2014 O Windows 8.1 se tornou o quarto sistema operacional mais usado por computadores no mundo, deixando o Vista, o Mac OS X Mavericks e o Linux para tr´as. Fonte: http://olhardigital.uol.com.br/noticia/40085/40085 Malware 64-bits—Securelist 11/12/2013 The more people switch to 64-bit platforms, the more 64-bit malware appears. We have been following this process for several years now. The more people work on 64-bit platforms, the more 64-bit applications that are developed as well. Fonte: https://www.securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_ enhanced_with_Tor Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 6. Parte I Parte II Parte III Parte IV Parte V T´ecnicas T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 7. Parte I Parte II Parte III Parte IV Parte V T´ecnicas T´ecnicas de An´alise T´ecnicas de An´alise System Service Dispatch Table (SSDT) Hooking Ex.: BehEMOT (SBSeg 2010). Virtual Machine Introspection (VMI) Ex.: Anubis (anubis.iseclab.org). Application Programming Interface (API) Hooking Ex.: Cuckoo (www.cuckoosandbox.org), CWSandbox (www.threattracksecurity.com). Detour Callback e Filters Ex.: Capture-BAT (www.honeynet.org/node/315) Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 8. Parte I Parte II Parte III Parte IV Parte V Novidades do Windows 64 bits T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 9. Parte I Parte II Parte III Parte IV Parte V Novidades do Windows 64 bits Novidades do Windows 64 bits Novidades do Windows 64 bits Kernel Patch Protection (KPP). ⇒ Apenas 64 bits. Exigˆencia de assinatura de driver. ⇒ Inclui auto-assinados. Sess˜oes de aplicativos. ⇒ Impede criac¸˜ao de threads remotas entre sess˜oes. Mudan¸cas na API. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 10. Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 11. Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes Considerac¸˜oes Mecanismos de protec¸˜ao vs. An´alise dinˆamica KPP: impede SSDT hooking. Assinatura de drivers: pode ser desligada; malware geral atua em userland ⇒ n˜ao carrega drivers! Detours/Inline hooking: mesmo n´ıvel de privil´egio do malware. Proibi¸c˜ao de threads remotas: dificulta DLL hooking. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 12. Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes Considerac¸˜oes Requisitos de Projeto An´alise de malware moderno. Portabilidade e Escalabilidade ⇒ incompat´ıvel com VMI. Decis˜oes de Projeto Implementac¸˜ao Utilizando-se de Callbacks e Filters. Tr´afego de rede capturado externamente ao ambiente de an´alise. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 13. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 14. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Callback Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 15. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Arquitetura do Sistema Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 16. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Arquitetura do Sistema Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 17. Parte I Parte II Parte III Parte IV Parte V Experimentos T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 18. Parte I Parte II Parte III Parte IV Parte V Experimentos Experimentos Tipos de Experimentos Validac¸˜ao. Testes em maior escala. Objetivo 1 Verificar se a monitorac¸˜ao das ac¸˜oes efetuadas sobre os subsistemas de arquivos, registro e processos ´e feita adequadamente. 2 An´alise aprofundada de exemplares de malware em busca de comportamentos que indicam a presenc¸a de c´odigos maliciosos. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 19. Parte I Parte II Parte III Parte IV Parte V Experimentos Validac¸˜ao 1 7/4/2014 −13:3:48.793| SetValueKey |2032|C:7 G6C5n . exe |REGISTRYUSERS −1−5−21−3760592576−961097288−785014024−1001 Software Microsoft Windows CurrentVersion Run | SoftBrue | ”C:7 G6C5n . exe ” 1 7/4/2014 −13:3:48.76| WriteOperation |3028|C: v i s u a l i z a r . exe |C: WindowsSysWOW64 d l l . exe | Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 20. Parte I Parte II Parte III Parte IV Parte V Experimentos Validac¸˜ao 1 7/4/2014 −13:5:1.895| DeleteOperation |2032|C: deposito . exe |C: ProgramData r r . t x t | 1 7/4/2014 −13:3:48.294| CreateProcess |3028|C: Monitor Malware v i s u a l i z a r . exe |2440|C: WindowsSysWOW64 d l l . exe 1 2014−05−14 20:02:40.963113 10.10.100.101 XX.YY. ZZ .121 HTTP 290 GET /. swim01/ c o n t r o l . php? i a&mi=00 B5AB4E−47098BC3 HTTP/1.1 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 21. Parte I Parte II Parte III Parte IV Parte V Experimentos Testes em maior escala Amostras 1 Amostras coletadas no per´ıodo entre 01/01/2014 e 21/05/2014. 2 2.937 exemplares ´unicos (hash MD5). 3 Exemplares provenientes de honeypots, phishing e downloads de links contaminados. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 22. Parte I Parte II Parte III Parte IV Parte V Experimentos Distribuic¸˜ao das Amostras Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 23. Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos exibidos pelos exemplares Tabela : Atividades monitoradas e quantidade de exemplares que as exibiram. Atividade Qtde. Escrita no Registro 1073 Remoc¸˜ao de chave(s) do Registro 772 Criac¸˜ao de processo(s) 602 T´ermino de processos 1337 Escrita em arquivo(s) 1028 Leitura de arquivo(s) 1694 Remoc¸˜ao de arquivo(s) 551 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 24. Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos Observados Detalhes dos comportamentos Finalizac¸˜ao de mecanismos ant´ıvirus instalados no sistema operacional; Desligamento do firewall nativo do Windows; Criac¸˜ao de novos bin´arios no sistema, seja por download ou por dropping; Desligamento do mecanismo de atualizac¸˜ao autom´atica do Windows; Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 25. Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos Observados Detalhes dos comportamentos Tentativa de persistˆencia (sobrevivˆencia a desligamentos e reinicializac¸˜oes); Injec¸˜ao de Browser Helper Objects no Internet Explorer; Modificac¸˜ao no arquivo hosts.txt do sistema operacional; Sobrescrita de um arquivo (programa ou biblioteca) j´a presente no sistema; Remoc¸˜ao de seu pr´oprio programa ou de outros artefatos. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 26. Parte I Parte II Parte III Parte IV Parte V Experimentos Tr´afego de rede Tabela : 10 portas/protocolos mais utilizados pelos exemplares. Protocolo Porta % dos exemplares HTTP 80 44.4 HTTPS 443 6.5 MS-SQL 1433 2.6 - 8181 1.0 SMTP 587 0.8 - 82 0.7 MySQL 3306 0.5 - 720 0.3 - 2869 0.3 - 9000 0.2 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 27. Parte I Parte II Parte III Parte IV Parte V Experimentos Tr´afego de rede Tabela : Comportamentos suspeitos observados no tr´afego de rede. Comportamento Qtde. de malware Download desconhecido 154 E-mail/Spam 25 Banker 22 Comunicac¸˜ao IRC 4 Dados do sistema 3 Obtenc¸˜ao de PAC 1 Portas de IRC 1 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 28. Parte I Parte II Parte III Parte IV Parte V Experimentos Virustotal Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 29. Parte I Parte II Parte III Parte IV Parte V Experimentos Discuss˜ao Contribuic¸˜oes: Capaz de executar arquivos no formato PE+ (64 bits). Provˆe um ambiente “flex´ıvel” de 64 bits (Windows 8) para an´alise. Ferramentas/sistemas avaliados: Anubis (http://anubis.iseclab.org) Cuckoo (https://malwr.com/) ThreatExpert (http://www.threatexpert.com) Camas Comodo (http://camas.comodo.com) CWSandbox (http://www.threattracksecurity.com/ resources/sandbox-malware-analysis.aspx) Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 30. Parte I Parte II Parte III Parte IV Parte V Experimentos Discuss˜ao Antiv´ırus R´otulos de detecc¸˜ao baseiam-se em heur´ısticas gen´ericas. ⇒ Permitem que o usu´ario seja alertado sobre um evento ou processo suspeito. ⇒ N˜ao provˆeem informac¸˜oes espec´ıficas sobre o tipo de dano causado. Windows Retrocompatibilidade ⇒ Exemplares de 32 bits (Windows XP) infectam o Windows 8. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 31. Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 32. Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros Limitac¸˜oes Limitac¸˜oes An´alise de rootkits An´alise de tr´afego criptografado An´alise de evaders (Reboot, VM detection) Mecanismo de callback limitado a interface do S.O. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 33. Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros Trabalhos Futuros Trabalhos Futuros Integrac¸˜ao do ambiente bare-metal ao ambiente emulado. Implementac¸˜ao de t´ecnicas para monitorac¸˜ao de outros subsistemas. Estudo e desenvolvimento de mecanismos de protec¸˜ao para a ferramenta de monitorac¸˜ao. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 34. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 35. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Conclus˜oes Conclus˜oes Introduziu-se um sistema de an´alise dinˆamica de malware de 64 bits baseado em Windows 8. Avaliou-se o funcionamento do sistema por meio da execuc¸˜ao de 2.937 exemplares de malware. Os resultados obtidos permitem uma maior compreens˜ao da atuac¸˜ao de malware, possibilitando a criac¸˜ao de heur´ısticas de detecc¸˜ao, procedimentos de remediac¸˜ao e tomada de contra-medidas para resposta a incidentes. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 36. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Agradecimentos Os autores agradecem: CNPq Instituto de Computac¸˜ao/Unicamp CTI Renato Archer Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 37. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware Win32/64:Blackbeard & Pigeon Fonte: http://blog.avast.com/2014/01/15/ win3264blackbeard-pigeon-stealthiness-techniques-in-64-bit-windows-part-1/ Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 38. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware TSPY64 ZBOT.AANP Fonte: http://about-threats.trendmicro.com/Malware.aspx?language=au&name=TSPY64_ZBOT.AANP It connects to the following URL(s) to get the affected system’s IP address: http: // checkip. dyndns. org Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 39. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware TSPY64 ZBOT.AANP It requires the existence of the following files to properly run: Application Datarandom folder namerandom file name.exe Nota: Application Data ´e C:Usersuser nameAppDataRoaming do Windows Vista em diante. 1 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoamingGevoun | 2 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoamingGevoun r i o d . exe | 3 29/6/2014 − 1 5 : 4 3 : 2 7 . 8 0 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoaming Arcole | Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14