Fórum Internacional de Software Livre   Análise de Malware em Memória   RAM com a Ferramenta Volatility  Eder Luís Oliveir...
SUMÁRIO   Conceitos, cenário e informações do “dump”   Análise de processos, situação do firewall e registro   Tempo de...
Porque Analisar Memória ?Grande parte das informações presentes emmemória RAM serão perdidas devido a volatilidade; Vola...
Ordem de Volatilidade   Dispositivos de Armazenamento do processador     (registradores e caches);   Memória de Periféri...
Porque o Framework Volatility ?   O Volatility é uma coletânea de ferramentasabertas em python formando um framework sob a...
O que é Possível Extrair ?   Processos em execução;   Sockets de rede;   Conexões abertas de rede;   Arquivos e DLLs c...
Cenário e Ambientação    O time de segurança e/ou resposta a incidentes de uma grande instituição confirmou a notificação ...
Cenário e Ambientação (cont.)     a) A equipe de coleta foi designada ao local das evidências e coletou o “dump” de memóri...
Cenário e Ambientação (cont.)     A ferramenta de análise foi baixada por você no site: http://www.volatilesystems.com/de...
Informações do Dump                    ./vol.py -f dumpmemoria.vmem imageinfoAnálise de Malware em Memória RAM com Volatil...
Análise dos Processos     Primeira tarefa da análise de processos:  Analisar os processos que estavam rodando  na máquina...
Processos em Execução                       ./vol.py -f dumpmemoria.vmem pslistAnálise de Malware em Memória RAM com Volat...
Processo por Ordem de Chamada                      ./vol.py -f dumpmemoria.vmem pstreeAnálise de Malware em Memória RAM co...
Localiza alocação da Memória                    pelo Processo                      ./vol.py -f dumpmemoria.vmem psscanAnál...
Análise dos Processos      Segunda tarefa da análise dos processos:        Analisar os SID dos usuários pertencentes a   ...
SID de cada Processo                      ./vol.py -f dumpmemoria.vmem getsidsAnálise de Malware em Memória RAM com Volati...
Análise dos Processos e DLL      Quarta tarefa:  Analisar as DLL utilizadas ou referenciadas por cada processo se apresen...
DLLs em Utilização por Processo                       ./vol.py -f dumpmemoria.vmem dlllistAnálise de Malware em Memória RA...
Pontos de Entrada em Registros    Uma boa fonte de pesquisa de evidências em   dump de memória é analisar os pontos de en...
Situação do Firewall da Máquina./vol.py printkey -f dumpmemoria.vmem -KControlSet001ServicesSharedAccessParametersFirewall...
Data de Alteração         Security Accounts Manager (SAM)Usuario$ ./vol.py printkey -f dumpmemoria.vmem userassistAnálise ...
Alterações de Perfil existentes                     ./vol.py printkey -f dumpmemoria.vmem -K                 SoftwareMicro...
Última Alteração de Perfil   ./vol.py printkey -f dumpmemoria.vmem -K SoftwareMicrosoftWindows   NTCurrentVersionWindows I...
Conexões de Rede no momento           do dump de memória                   ./vol.py -f dumpmemoria.vmem connections –> No ...
Conexões de Rede               previamente encerradas                    ./vol.py -f dumpmemoria.vmem connscan –> Interess...
Origem das Conexões    “Whois” revela um destino suspeito “República da   Moldova”, totalmente inadequado ao padrão de ac...
Consulta IP na Internet    Fazendo uma busca no Oráculo “google” para   verificarmos se este IP nos leva para alguma susp...
Dúvida   Até o presente momento, encontramos vestígios da  presença do malware ZEUS presente em memória  RAM da máquina an...
Entendendo malware Zeus     De acordo com o boletim da “Microsoft” no “google”http://www.microsoft.com/security/portal/Thr...
Entendendo o malware Zeus O “Zeus ou Zbot” é um trojan que rouba nomes esenhas de acessos a internet relacionados a “inte...
Entendendo malware Zeus                         (cont.)Modifica as entradas de registro do windows para que oarquivo auto...
Vestígios do Malware ZeusProcurando na memória vestígios do Zeus encontramos omalware para a confirmação da suspeita.Análi...
Vestígios do Malware ZEUS./vol.py -f dumpmemoria.vmem filescan | egrep -i sdra64|user.ds|local.ds|AVIRAArquivos e diretóri...
Conclusão         Mediante todos os aspectos analisados no boletim da   Microsoft, podemos com certeza afirmar a presença ...
Conclusão (cont.)       Pense duas vezes antes de desligar uma máquina   ou querer formatá-la, pois sempre há grande   qua...
Obrigado         EDER LUÍS OLIVEIRA GONÇALVES                    CISSP, C|EH, OSCP, OSWP, ACE                           ed...
Referências Bibliográficas   https://malwarereversing.wordpress.com/2011/09/23/zeus-analysis-in-volatility-2-0/   http:/...
Próximos SlideShares
Carregando em…5
×

Análise de Malware em Dump de Memória com Volatility

2.020 visualizações

Publicada em

Procura demonstrar e despertar aos administradores de rede sobre a grande quantidade de evidências ou vestígios presentes em memória RAM que podem ser analisadas a fim de descobrir comprometimento de uma máquina com um determinado tipo de malware utilizando-se do framework de análise de memória Volatility sob liçenca GNU GPL v2. Dentre as análises é possível analisar: Processos em execução, sockets de rede, conexões abertas de rede, registros e DLL carregados a cada processo, módulos de kernel do Sistema Operacional, Mapeamento de Endereços físicos e virtuais ocupado por cada processo e mapeamento de memória de cada processo

0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
2.020
No SlideShare
0
A partir de incorporações
0
Número de incorporações
8
Ações
Compartilhamentos
0
Downloads
67
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Análise de Malware em Dump de Memória com Volatility

  1. 1. Fórum Internacional de Software Livre Análise de Malware em Memória RAM com a Ferramenta Volatility Eder Luís Oliveira Gonçalves CISSP, C|EH, OSCP, OSWP, ACE ederluis1973@gmail.com http://br.linkedin.com/pub/eder-luis-goncalves/49/8a/791Análise de Malware em Memória RAM com Volatility - FISL13
  2. 2. SUMÁRIO Conceitos, cenário e informações do “dump” Análise de processos, situação do firewall e registro Tempo de criação de cada processo em execução Pontos de entrada nos registros Análise das conexões de rede Varredura nos arquivos em execução Confirmação de informações do malware na internet Confirmação do Comprometimento da máquina ConclusãoAnálise de Malware em Memória RAM com Volatility - FISL13 2 de 36
  3. 3. Porque Analisar Memória ?Grande parte das informações presentes emmemória RAM serão perdidas devido a volatilidade; Volatilidade: Há perda de informação com otempo, assim como a capacidade de recuperação ouvalidação dos dados, diminuindo a veracidade; Área de grande quantidade de informações ouevidências em tempo real, muitas das vezes,desprezadas pelos administradores de rede.Análise de Malware em Memória RAM com Volatility - FISL13 3 de 36
  4. 4. Ordem de Volatilidade Dispositivos de Armazenamento do processador (registradores e caches); Memória de Periféricos (impressora, video, etc.); Memória Principal do Sistema (RAM); Tráfego de Rede; Estado do Sistema Operacional; Módulos de Kernel; Dispositivo de Armazenamento Secundário (HDs,etc.)Análise de Malware em Memória RAM com Volatility - FISL13 4 de 36
  5. 5. Porque o Framework Volatility ? O Volatility é uma coletânea de ferramentasabertas em python formando um framework sob alicença GNU GPL v2 para a extração de vestígiosdigitais voláteis presentes em memória RAM demáquinas com Sistema Operacional MicrosoftWindows: - Microsoft Windows XP - Microsoft Windows 2003, 2008 - Microsoft Windows Vista - Microsoft Windows 7Análise de Malware em Memória RAM com Volatility - FISL13 5 de 36
  6. 6. O que é Possível Extrair ? Processos em execução; Sockets de rede; Conexões abertas de rede; Arquivos e DLLs carregados para cada processo; Registros utilizados para cada processo; Módulos de Kernel do Sistema Operacional; Mapeamento de Endereços físicos e virtuais; Mapa de Memória de cada processo.Análise de Malware em Memória RAM com Volatility - FISL13 6 de 36
  7. 7. Cenário e Ambientação O time de segurança e/ou resposta a incidentes de uma grande instituição confirmou a notificação de que uma máquina com sistema operacional Microsoft Windows possuía atividades anormais na rede, detectadas pelo Intrusion Detection System (IDS), o que poderia caracterizar um possível comprometimento.Análise de Malware em Memória RAM com Volatility - FISL13 7 de 36
  8. 8. Cenário e Ambientação (cont.) a) A equipe de coleta foi designada ao local das evidências e coletou o “dump” de memória da máquina que permanecia ligada por meio da ferramenta da Empresa Access Data FTK Image disponível de forma gratuita pela mesma gerando o arquivo de “dump” de memória com o nome: “dumpmemoria.vmem” em 15/08/2010 ás 19:17:56; b) Você como da equipe de análise de “malware” deverá desvendar este mistério e descobrir que tipo de comprometimento poderá ter submetido á máquina.Análise de Malware em Memória RAM com Volatility - FISL13 8 de 36
  9. 9. Cenário e Ambientação (cont.) A ferramenta de análise foi baixada por você no site: http://www.volatilesystems.com/default/volatility A ferramenta foi descompactada no diretório /opt  do seu Linux e esta pronta para ser utilizada no diretório: /opt/volatility-2.0/Análise de Malware em Memória RAM com Volatility - FISL13 9 de 36
  10. 10. Informações do Dump ./vol.py -f dumpmemoria.vmem imageinfoAnálise de Malware em Memória RAM com Volatility - FISL13 10 de 36
  11. 11. Análise dos Processos  Primeira tarefa da análise de processos: Analisar os processos que estavam rodando na máquina no exato momento do “dump” de memória a fim de se encontrar algum processo diferente do padrão do Sistema Operacional.Análise de Malware em Memória RAM com Volatility - FISL13 11 de 36
  12. 12. Processos em Execução ./vol.py -f dumpmemoria.vmem pslistAnálise de Malware em Memória RAM com Volatility - FISL13 12 de 36
  13. 13. Processo por Ordem de Chamada ./vol.py -f dumpmemoria.vmem pstreeAnálise de Malware em Memória RAM com Volatility - FISL13 13 de 36
  14. 14. Localiza alocação da Memória pelo Processo ./vol.py -f dumpmemoria.vmem psscanAnálise de Malware em Memória RAM com Volatility - FISL13 14 de 36
  15. 15. Análise dos Processos  Segunda tarefa da análise dos processos: Analisar os SID dos usuários pertencentes a cada processo se mostram alguma coisa de anormal na operação do Sistema Operacional.  Terceira tarefa da análise dos processos: Analisar se existe algum usuário dono de um processo que não é o padrão da máquina ou da politíca de segurança da instituição.Análise de Malware em Memória RAM com Volatility - FISL13 15 de 36
  16. 16. SID de cada Processo ./vol.py -f dumpmemoria.vmem getsidsAnálise de Malware em Memória RAM com Volatility - FISL13 16 de 36
  17. 17. Análise dos Processos e DLL  Quarta tarefa: Analisar as DLL utilizadas ou referenciadas por cada processo se apresentam alguma anomalia em tempo de execução.Análise de Malware em Memória RAM com Volatility - FISL13 17 de 36
  18. 18. DLLs em Utilização por Processo ./vol.py -f dumpmemoria.vmem dlllistAnálise de Malware em Memória RAM com Volatility - FISL13 18 de 36
  19. 19. Pontos de Entrada em Registros  Uma boa fonte de pesquisa de evidências em dump de memória é analisar os pontos de entrada das chaves de registro presentes no Sistema; Uma preciosa lista de todas as chaves de entrada do S.O. “Microsoft Windows” pode ser consulta em: http://www.silentrunners.org/sr_launchpoints.htmlAnálise de Malware em Memória RAM com Volatility - FISL13 19 de 36
  20. 20. Situação do Firewall da Máquina./vol.py printkey -f dumpmemoria.vmem -KControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile Firewall Desabilitado: REG_DWORD EnableFirewall: 0 Análise de Malware em Memória RAM com Volatility - FISL13 20 de 36
  21. 21. Data de Alteração Security Accounts Manager (SAM)Usuario$ ./vol.py printkey -f dumpmemoria.vmem userassistAnálise de Malware em Memória RAM com Volatility - FISL13 21 de 36
  22. 22. Alterações de Perfil existentes ./vol.py printkey -f dumpmemoria.vmem -K SoftwareMicrosoftWindowsCurrentVersionRunAnálise de Malware em Memória RAM com Volatility - FISL13 22 de 36
  23. 23. Última Alteração de Perfil ./vol.py printkey -f dumpmemoria.vmem -K SoftwareMicrosoftWindows NTCurrentVersionWindows Impressora fez a última atualização de perfil do sistema operacional presente nos vestígios da memória RAMAnálise de Malware em Memória RAM com Volatility - FISL13 23 de 36
  24. 24. Conexões de Rede no momento do dump de memória ./vol.py -f dumpmemoria.vmem connections –> No momento da realização do dump de memória a máquina não possuía nenhuma conexão de rede estabelecida, o que novamente não nos dá nenhuma pista da presença de algum malware, o próximo passo é analisar se houve alguma conexão de rede estabelecida previamente encerrada que ainda consta nos registros da memória.Análise de Malware em Memória RAM com Volatility - FISL13 24 de 36
  25. 25. Conexões de Rede previamente encerradas ./vol.py -f dumpmemoria.vmem connscan –> Interessante, pois percebe-se que existe presença na memória de conexões que foram estabelecidas recentemente para o endereço IP 193.104.41.75 pela porta 80.Análise de Malware em Memória RAM com Volatility - FISL13 25 de 36
  26. 26. Origem das Conexões  “Whois” revela um destino suspeito “República da Moldova”, totalmente inadequado ao padrão de acesso da máquina ou a política de segurança da instituição .Análise de Malware em Memória RAM com Volatility - FISL13 26 de 36
  27. 27. Consulta IP na Internet  Fazendo uma busca no Oráculo “google” para verificarmos se este IP nos leva para alguma suspeita, verificamos que sim, isto é indícios do malware ZEUS.Análise de Malware em Memória RAM com Volatility - FISL13 27 de 36
  28. 28. Dúvida Até o presente momento, encontramos vestígios da presença do malware ZEUS presente em memória RAM da máquina analisada, mas por mais que tenhamos as evidências de conexão, devemos entender um pouco melhor das características deste Malware a fim de encontrarmos mais vestígios e poder afirmar que realmente este equipamento estava comprometido com o malware.Análise de Malware em Memória RAM com Volatility - FISL13 28 de 36
  29. 29. Entendendo malware Zeus De acordo com o boletim da “Microsoft” no “google”http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin32%2FZbot.QWAnálise de Malware em Memória RAM com Volatility - FISL13 29 de 36
  30. 30. Entendendo o malware Zeus O “Zeus ou Zbot” é um trojan que rouba nomes esenhas de acessos a internet relacionados a “internetbanking” bem como permite um atacante remoto acessarum backdoor deixado ou presente na máquina; Desabilita o firewall da máquina; Geralmente disseminado por e-mail por meio de SPAM; Cria um arquivo com nome mutex “AVIRA_210X” querealiza um “bypass” no firewall para depois ser copiadocom um arquivo de nome “sdra64.exe” de formaescondida para o Sistema Operacional;Análise de Malware em Memória RAM com Volatility - FISL13 30 de 36
  31. 31. Entendendo malware Zeus (cont.)Modifica as entradas de registro do windows para que oarquivo autoexec.bat rode o malware toda vez que o sistemaoperacional reiniciar Adds value: "ParseAutoexec" With data: "1" To subkey: HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogon Conecta-se no IP 193.104.41.75 para baixar o arquivo deconfiguração do malware e salva como local.ds onde iráconter diversos sites relacionados a internet banking; Armazena as informações roubadas no arquivo user.ds;Análise de Malware em Memória RAM com Volatility - FISL13 31 de 36
  32. 32. Vestígios do Malware ZeusProcurando na memória vestígios do Zeus encontramos omalware para a confirmação da suspeita.Análise de Malware em Memória RAM com Volatility - FISL13 32 de 36
  33. 33. Vestígios do Malware ZEUS./vol.py -f dumpmemoria.vmem filescan | egrep -i sdra64|user.ds|local.ds|AVIRAArquivos e diretórios suspeitos, caracterizando a presença demalware “ZEUS” na máquina.Análise de Malware em Memória RAM com Volatility - FISL13 33 de 36
  34. 34. Conclusão Mediante todos os aspectos analisados no boletim da Microsoft, podemos com certeza afirmar a presença do malware, haja vista termos conseguido encontrar diversos vestígios importantes relacionados ao ZEUS:  Firewall Desabilitado;  Presença dos arquivos de controle do malware: “user.ds”, “local.ds”;  Presença do arquivo de ativação do malware “sdra64.exe”;  Conexões realizadas ao controle de IP 193.104.41.75Análise de Malware em Memória RAM com Volatility - FISL13 34 de 36
  35. 35. Conclusão (cont.) Pense duas vezes antes de desligar uma máquina ou querer formatá-la, pois sempre há grande quantidade de vestígios ou informação que possa ser analisada para elucidar os fatos.Análise de Malware em Memória RAM com Volatility - FISL13 35 de 36
  36. 36. Obrigado EDER LUÍS OLIVEIRA GONÇALVES CISSP, C|EH, OSCP, OSWP, ACE ederluis1973@gmail.com http://br.linkedin.com/pub/eder-luis-goncalves/49/8a/791Análise de Malware em Memória RAM com Volatility - FISL13 36 de 36
  37. 37. Referências Bibliográficas https://malwarereversing.wordpress.com/2011/09/23/zeus-analysis-in-volatility-2-0/ http://code.google.com/volatility/wiki/CommandReference http://www.volatilesystems.com/default/volatility http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin http://www.wikipedia.org http://computerforensikblog.de/en/Análise de Malware em Memória RAM com Volatility - FISL13 37 de 36

×