SlideShare uma empresa Scribd logo
1 de 43
Baixar para ler offline
Parte 1 Parte II Parte III Parte IV Parte V
An´alise de malware coletado entre 2012-2015
Marcus Botacin1, Andr´e Gr´egio1,2, Paulo L´ıcio de Geus1
1Instituto de Computac¸˜ao - UNICAMP
{marcus,paulo}@lasca.ic.unicamp.br
2Centro de Tecnologia da Informac¸˜ao Renato Archer (CTI)
andre.gregio@cti.gov.br
11 de Dezembro de 2015
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
T´opicos
1 Parte 1
Introduc¸˜ao
2 Parte II
An´alise Est´atica
3 Parte III
An´alise Dinˆamica
4 Parte IV
Tr´afego de Rede
5 Parte V
Considerac¸˜oes Finais
Conclus˜oes e Agradecimentos
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
T´opicos
1 Parte 1
Introduc¸˜ao
2 Parte II
An´alise Est´atica
3 Parte III
An´alise Dinˆamica
4 Parte IV
Tr´afego de Rede
5 Parte V
Considerac¸˜oes Finais
Conclus˜oes e Agradecimentos
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Ameac¸as Cibern´eticas
Cen´ario Brasileiro
Fraudes Eletrˆonicas: R$ 1,4 bilh˜oes [FEBRABAN 2012]
Fraudes dos Boletos: R$ 10 bilh˜oes [RSA 2014]
Cryptowall: US$ 18 milh˜oes [The Register 2015]
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Motivac¸˜ao
2011
Fraude: 10.11%
Fonte: http://www.cert.br/stats/incidentes/
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Motivac¸˜ao
2012
Fraude: 14.93%
Fonte: http://www.cert.br/stats/incidentes/
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Motivac¸˜ao
2013
Fraude: 24.28%
Fonte: http://www.cert.br/stats/incidentes/
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Motivac¸˜ao
2014
Fraude: 44.66%
Fonte: http://www.cert.br/stats/incidentes/
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Exemplos de phishing nacional
http:
//cobancas3.ftmp-assessorias.info/?intl/pt-BR/mail/
help/about.html/dados-conta/deposito/bradesco/html
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Exemplos de phishing nacional
http://whatsapp.bitnamiapp.com/
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Exemplos de phishing nacional
http://bit.ly/1jwS2fm ⇒
http://painel.semerrorzz.net/conta/
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Exemplos de phishing nacional
http://documentos-anexo.bitnamiapp.com/
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Trabalhos Relacionados
Ambientes Web
URLs maliciosas (mar/2006-2007) [Provos et al. 2007]
Engenharia Social [Abraham and Chengalur-Smith 2010]
Ambientes Desktop
900 mil submiss˜oes ao Anubis [Bayer et al. 2009]
T´ecnicas de evas˜ao [Branco et al. 2012, Barbosa e Branco
2014]
Ambientes M´oveis
An´alise de Apps Android em lojas nacionais [Afonso et al.
2013]
1 milh˜ao de submiss˜oes ao Andrubis [Lindorfer et al. 2014]
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Objetivos
Objetivos
Foco nas particularidades do cen´ario nacional.
Verificar escolhas de projeto dos criadores de malware.
Identificar t´ecnicas de anti-an´alise.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Coleta de dados I
Exemplares
2012 a mar/2015.
33.811 exemplares totais.
21.359 exemplares ´unicos.
Fontes de Coleta
Honeypots.
Spam.
Colaborac¸˜oes.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Coleta de dados II
0
200
400
600
800
1000
1200
1400
1600
Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez
Exemplares de malware coletados X Mês
2012
2013
2014
Figura : Coleta de amostras ao longo do per´ıodo observado.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Metodologia
An´alise Est´atica
Tipos de arquivos.
Strings e Headers.
Chamadas de func¸˜ao.
Arquivos embutidos.
R´otulos de detecc¸˜ao.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Metodologia
An´alise Dinˆamica
Processos criados.
Chaves do Registro.
Sistema de arquivos.
Tr´afego de Rede
Portas e Protocolos.
Verificac¸˜ao de Downloads.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
T´opicos
1 Parte 1
Introduc¸˜ao
2 Parte II
An´alise Est´atica
3 Parte III
An´alise Dinˆamica
4 Parte IV
Tr´afego de Rede
5 Parte V
Considerac¸˜oes Finais
Conclus˜oes e Agradecimentos
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
Tipos de Arquivo
Figura : Distribuic¸˜ao por
extens˜ao.
Figura : Distribuic¸˜ao por tipo de
arquivo.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
Tipos de Arquivo
0%
10%
20%
30%
40%
50%
60%
70%
80%
2012 2013 2014 2015
Porcentagem de exemplares X Tipo de arquivo
PE32
CPL
.NET
DLL
Figura : Evoluc¸˜ao dos tipos de arquivo.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
Chamadas de Func¸˜ao
Tabela : Chamadas de func¸˜ao mapeadas estaticamente.
Fun¸c˜ao # Exemplares Fun¸c˜ao # Exemplares
GetProcAddress 17317 (81,08%) RegOpenKeyExA 7599 (35,58%)
LoadLibraryA 16713 (78,25%) LoadLibraryExA 7045 (32,98%)
VirtualAlloc 15032 (70,38%) ExitThread 6916 (32,38%)
VirtualFree 15007 (70,26%) FindResourceA 6216 (29,10%)
Sleep 11812 (55,30%) GetCurrentProcess 5983 (28,01%)
WriteFile 11545 (54,05%) VirtualProtect 5448 (25,51%)
UnhandledExceptionFilter 11049 (51,73%) WinExec 5111 (23,93%)
GetTickCount 9977 (46,71%) CreateFileW 4910 (22,99%)
CreateThread 9214 (43,14%) SetWindowsHookExA 4883 (22,86%)
GetCurrentProcessId 8521 (39,89%) IsDebuggerPresent 3511 (16,44%)
GetWindowThreadProcessId 8142 (38,12%) InternetCloseHandle 4405 (20,62%)
GetCommandLineA 7659 (35,86%) InternetReadFile 3777 (17,68%)
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
Ofuscac¸˜ao
Tabela : Uso de packers por malware ao longo do tempo. Comparac¸˜ao
entre os resultados obtidos neste trabalho (T) entre 2012 e 2015 e por
Branco (B) em 2012 e 2014.
Ano (T)his (B)ranco
2012 49,28% 34,97%
2013 56,59% ND
2014 59,96% 37,53%
2015 (1o trim.) 51,62% ND
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
Ofuscac¸˜ao
Tabela : Tipos de packers mais encontrados nos exemplares ofuscados.
Packer Exemplares Packer Exemplares
Borland Delphi 45,90% NsPack 0,95%
UPX 24,83% PKLITE32 0,86%
Microsoft C/C++ 23,50% Enigma 0,67%
ASProtect 2,31% Dev-C++ 0,50%
Themida/WinLicense 2,11% Thinstall 0,47%
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
Ofuscac¸˜ao
Tabela : Evoluc¸˜ao dos packers mais frequentemente encontrados por ano.
Packer 2012 2013 2014 2015
Borland Delphi 35,19% 51,19% 49,66% 43,39%
UPX 31,11% 25,95% 17,36% 8,53%
Microsoft C/C++ 22,03% 17,62% 25,97% 44,01%
Themida/WinLicense 5,00% — — —
ASProtect 2,61% 1,54% 2,90% 1,23%
PKLITE32 1,34% — — —
Dev C++ — 1,10% — —
NsPack 1,08% — 1,16% —
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
Ofuscac¸˜ao
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
R´otulos de Detecc¸˜ao
0%
10%
20%
30%
PSW
Downloader
Generic
Win32
Delf
Dropper
Luhe
Suspicion:
Delfi
Autoit_c
Inject2
unknown
Distribuição dos rótulos de detecção
Rótulos
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
Anti-An´alise
Tabela : T´ecnicas anti-VM identificadas e exemplares que as
implementam.
T´ecnica # de exemplares T´ecnica # de exemplares
VMCheck.dll 2.729 (12,77%) Detecc¸˜ao de VirtualBox 306 (1,43%)
VMware trick 843 (3,95%) Bochs & QEmu CPUID trick 267 (1,25%)
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Est´atica
Evoluc¸˜ao das T´ecnicas de Anti-An´alise
0%
10%
20%
30%
40%
50%
60%
2012 2013 2014 2015
Porcentagem de exemplares X Técnica de ofuscação
Packer
Anti−Dbg
Anti−VM
Figura : Evoluc¸˜ao das T´ecnicas de Anti-An´alise.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Dinˆamica
T´opicos
1 Parte 1
Introduc¸˜ao
2 Parte II
An´alise Est´atica
3 Parte III
An´alise Dinˆamica
4 Parte IV
Tr´afego de Rede
5 Parte V
Considerac¸˜oes Finais
Conclus˜oes e Agradecimentos
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Dinˆamica
Soluc¸˜ao de Sandbox
Behavioral Evaluation of Malicious Objects Tool - NG
Desenvolvida no LASCA-IC/UNICAMP.
Windows 7 e 8 de 64 bits.
Kernel Callbacks e Filesystem Filters.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
An´alise Dinˆamica
Comportamentos Suspeitos
Tabela : Comportamentos observados em comparac¸˜ao com [Bayer et
al.2009]
Porcentagem de exemplares
Comportamento Este artigo Bayer et al.
Modificac¸˜ao no arquivo de hosts 0,11% 1,97%
Criac¸˜ao de arquivo 26,23% 70,78%
Remoc¸˜ao de arquivo 13,71% 42,57%
Modificac¸˜ao em arquivo 17,37% 79,87%
Instalac¸˜ao de BHO no IE 1,26% 1,72%
Tr´afego de rede 98,82% 55,18%
Criac¸˜ao de chave no Registro 33,67% 64,71%
Criac¸˜ao de Processo 18,79% 52,19%
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Tr´afego de Rede
T´opicos
1 Parte 1
Introduc¸˜ao
2 Parte II
An´alise Est´atica
3 Parte III
An´alise Dinˆamica
4 Parte IV
Tr´afego de Rede
5 Parte V
Considerac¸˜oes Finais
Conclus˜oes e Agradecimentos
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Tr´afego de Rede
Tr´afego de Rede
Tabela : Informac¸˜oes extra´ıdas do tr´afego de rede deste artigo (T) e de
[Bayer et al.2009]
Porcentagem de exemplares
Tipo de tr´afego 2012 (T) 2013 (T) 2014 (T) 2015 (T) Bayer et al.
TCP 40,87% 41,24% 56,19% 65,10% 45,74%
UDP 52,76% 54,74% 52% 58,79% 27,34%
ICMP 1,28% 1,70% 1,33% 1,18% 7,58%
DNS 52,69% 54,73% 51,98% 58,79% 24,53%
HTTP 38,63% 39,69% 52,03% 58,96% 20,75%
SSL 5,30% 5,62% 4,64% 7,99% 0,23%
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Considerac¸˜oes Finais
T´opicos
1 Parte 1
Introduc¸˜ao
2 Parte II
An´alise Est´atica
3 Parte III
An´alise Dinˆamica
4 Parte IV
Tr´afego de Rede
5 Parte V
Considerac¸˜oes Finais
Conclus˜oes e Agradecimentos
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Considerac¸˜oes Finais
Caracterizac¸˜ao dos Exemplares
Sumarizac¸˜ao
Extens˜oes de arquivo como forma de atrac¸˜ao.
Formas alternativas de empacotamento.
Uso de APIs do sistema.
Packer como forma de defesa.
Foco em roubo de credenciais.
Distribuic¸˜ao pelo uso de Downloaders.
Baixa interac¸˜ao com o sistema.
Grande uso de recursos de rede.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Considerac¸˜oes Finais
Limitac¸˜oes
Limitac¸˜oes
An´alise em Userland.
Plataforma Windows.
N´umero restrito de amostras.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Considerac¸˜oes Finais
Trabalhos Futuros
Atividades em andamento
Expans˜ao das an´alises suportadas.
Integrac¸˜ao efetiva com ambiente bare-metal.
Criac¸˜ao de heur´ısticas de detecc¸˜ao e classificadores
adaptativos.
Identificac¸˜ao, detecc¸˜ao e avaliac¸˜ao da efic´acia das t´ecnicas de
anti-an´alise.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
T´opicos
1 Parte 1
Introduc¸˜ao
2 Parte II
An´alise Est´atica
3 Parte III
An´alise Dinˆamica
4 Parte IV
Tr´afego de Rede
5 Parte V
Considerac¸˜oes Finais
Conclus˜oes e Agradecimentos
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
Considerac¸˜oes finais
Conclus˜oes
Simplicidade vs. efetividade dos ataques no cen´ario nacional.
Identificac¸˜ao de tendˆencias (CPL e .NET).
Observac¸˜ao de t´ecnicas de anti-an´alise.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
Mais Informac¸˜oes
Monitorac¸˜ao de comportamento de malware em sistemas
operacionais Windows NT 6. x de 64 bits
www.lbd.dcc.ufmg.br/colecoes/sbseg/2014/0015.pdf
Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da
Internet entre 2012 e 2015
sbseg2015.univali.br/anais/WFC/artigoWFC02.pdf
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
Outras referˆencias
Gr´egio, A. R. A.; Afonso, V. M.; Filho, D. S. F.; Geus, P. L.;
Jino, M. Toward a Taxonomy of Malware Behaviors.
Computer Journal, v. 58, p. bxv047-2758-2777, 2015.
Afonso, V. M.; Amorim, M. F.; Gr´egio, A. R. A.; Junquera, G.
B.; Geus, P.L. Identifying Android malware using dynamically
obtained features. Journal of Computer Virology and Hacking
Techniques, v. 11, p. 9-17, 2014.
Gr´egio, A. R. A.; Filho, D. S. F.; Afonso, V. M.; Geus, P. L.;
Martins, V. F.; Jino, M. An empirical analysis of malicious
internet banking software behavior. ACM SAC, 2013.
An´alise de malware coletado entre 2012-2015 GTS 26
Parte 1 Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
Agradecimentos
CNPq, pelo financiamento via Proj. MCTI/CNPq/Universal-A
edital 14/2014 (Processo 444487/2014-0)
Instituto de Computac¸˜ao/Unicamp
Centro de Tecnologia da Informac¸˜ao Renato Archer
Contato:
marcus@lasca.ic.unicamp.br
paulo@lasca.ic.unicamp.br
andre.gregio@cti.gov.br
An´alise de malware coletado entre 2012-2015 GTS 26

Mais conteúdo relacionado

Semelhante a Análise de malware coletado entre 2012-2015

Evolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários FinaisEvolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários Finais
FecomercioSP
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software Livre
Marcelo Piuma
 

Semelhante a Análise de malware coletado entre 2012-2015 (20)

Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes  de automação ...Segundo relatório anual sobre incidentes de segurança em redes  de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
 
Segurança da Informação na era do Software Livre - FLISOL DF 2011
 Segurança da Informação na era do Software Livre - FLISOL DF 2011 Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011
 
ISTR20 - Internet Security Report
ISTR20 - Internet Security ReportISTR20 - Internet Security Report
ISTR20 - Internet Security Report
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
 
Monitorando Aplicações Web com o Application Insights, Logic Apps e o Slack -...
Monitorando Aplicações Web com o Application Insights, Logic Apps e o Slack -...Monitorando Aplicações Web com o Application Insights, Logic Apps e o Slack -...
Monitorando Aplicações Web com o Application Insights, Logic Apps e o Slack -...
 
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
 
Evolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários FinaisEvolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários Finais
 
Desenvolvimento Seguro
Desenvolvimento SeguroDesenvolvimento Seguro
Desenvolvimento Seguro
 
Tanium_Log4j.pdf
Tanium_Log4j.pdfTanium_Log4j.pdf
Tanium_Log4j.pdf
 
Artigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryArtigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCry
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
Application Insights - GDG-SP - Setembro/2016
Application Insights - GDG-SP - Setembro/2016Application Insights - GDG-SP - Setembro/2016
Application Insights - GDG-SP - Setembro/2016
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
 
Revista programar 3
Revista programar 3Revista programar 3
Revista programar 3
 
Cenário Brasileiro de Cybersegurança
Cenário Brasileiro de CybersegurançaCenário Brasileiro de Cybersegurança
Cenário Brasileiro de Cybersegurança
 
Fábrica de Testes de Software na era da Indústria 4.0
Fábrica de Testes de Software na era da Indústria 4.0Fábrica de Testes de Software na era da Indústria 4.0
Fábrica de Testes de Software na era da Indústria 4.0
 
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardwareXVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software Livre
 

Mais de Marcus Botacin

Mais de Marcus Botacin (20)

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoring
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guide
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel Approaches
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
 
Integridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomwareIntegridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomware
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software Repositories
 
UMLsec
UMLsecUMLsec
UMLsec
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and Reassembly
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering Course
 

Análise de malware coletado entre 2012-2015

  • 1. Parte 1 Parte II Parte III Parte IV Parte V An´alise de malware coletado entre 2012-2015 Marcus Botacin1, Andr´e Gr´egio1,2, Paulo L´ıcio de Geus1 1Instituto de Computac¸˜ao - UNICAMP {marcus,paulo}@lasca.ic.unicamp.br 2Centro de Tecnologia da Informac¸˜ao Renato Archer (CTI) andre.gregio@cti.gov.br 11 de Dezembro de 2015 An´alise de malware coletado entre 2012-2015 GTS 26
  • 2. Parte 1 Parte II Parte III Parte IV Parte V T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos An´alise de malware coletado entre 2012-2015 GTS 26
  • 3. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos An´alise de malware coletado entre 2012-2015 GTS 26
  • 4. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Ameac¸as Cibern´eticas Cen´ario Brasileiro Fraudes Eletrˆonicas: R$ 1,4 bilh˜oes [FEBRABAN 2012] Fraudes dos Boletos: R$ 10 bilh˜oes [RSA 2014] Cryptowall: US$ 18 milh˜oes [The Register 2015] An´alise de malware coletado entre 2012-2015 GTS 26
  • 5. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Motivac¸˜ao 2011 Fraude: 10.11% Fonte: http://www.cert.br/stats/incidentes/ An´alise de malware coletado entre 2012-2015 GTS 26
  • 6. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Motivac¸˜ao 2012 Fraude: 14.93% Fonte: http://www.cert.br/stats/incidentes/ An´alise de malware coletado entre 2012-2015 GTS 26
  • 7. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Motivac¸˜ao 2013 Fraude: 24.28% Fonte: http://www.cert.br/stats/incidentes/ An´alise de malware coletado entre 2012-2015 GTS 26
  • 8. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Motivac¸˜ao 2014 Fraude: 44.66% Fonte: http://www.cert.br/stats/incidentes/ An´alise de malware coletado entre 2012-2015 GTS 26
  • 9. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Exemplos de phishing nacional http: //cobancas3.ftmp-assessorias.info/?intl/pt-BR/mail/ help/about.html/dados-conta/deposito/bradesco/html An´alise de malware coletado entre 2012-2015 GTS 26
  • 10. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Exemplos de phishing nacional http://whatsapp.bitnamiapp.com/ An´alise de malware coletado entre 2012-2015 GTS 26
  • 11. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Exemplos de phishing nacional http://bit.ly/1jwS2fm ⇒ http://painel.semerrorzz.net/conta/ An´alise de malware coletado entre 2012-2015 GTS 26
  • 12. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Exemplos de phishing nacional http://documentos-anexo.bitnamiapp.com/ An´alise de malware coletado entre 2012-2015 GTS 26
  • 13. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Trabalhos Relacionados Ambientes Web URLs maliciosas (mar/2006-2007) [Provos et al. 2007] Engenharia Social [Abraham and Chengalur-Smith 2010] Ambientes Desktop 900 mil submiss˜oes ao Anubis [Bayer et al. 2009] T´ecnicas de evas˜ao [Branco et al. 2012, Barbosa e Branco 2014] Ambientes M´oveis An´alise de Apps Android em lojas nacionais [Afonso et al. 2013] 1 milh˜ao de submiss˜oes ao Andrubis [Lindorfer et al. 2014] An´alise de malware coletado entre 2012-2015 GTS 26
  • 14. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Objetivos Objetivos Foco nas particularidades do cen´ario nacional. Verificar escolhas de projeto dos criadores de malware. Identificar t´ecnicas de anti-an´alise. An´alise de malware coletado entre 2012-2015 GTS 26
  • 15. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Coleta de dados I Exemplares 2012 a mar/2015. 33.811 exemplares totais. 21.359 exemplares ´unicos. Fontes de Coleta Honeypots. Spam. Colaborac¸˜oes. An´alise de malware coletado entre 2012-2015 GTS 26
  • 16. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Coleta de dados II 0 200 400 600 800 1000 1200 1400 1600 Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez Exemplares de malware coletados X Mês 2012 2013 2014 Figura : Coleta de amostras ao longo do per´ıodo observado. An´alise de malware coletado entre 2012-2015 GTS 26
  • 17. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Metodologia An´alise Est´atica Tipos de arquivos. Strings e Headers. Chamadas de func¸˜ao. Arquivos embutidos. R´otulos de detecc¸˜ao. An´alise de malware coletado entre 2012-2015 GTS 26
  • 18. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Metodologia An´alise Dinˆamica Processos criados. Chaves do Registro. Sistema de arquivos. Tr´afego de Rede Portas e Protocolos. Verificac¸˜ao de Downloads. An´alise de malware coletado entre 2012-2015 GTS 26
  • 19. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos An´alise de malware coletado entre 2012-2015 GTS 26
  • 20. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Tipos de Arquivo Figura : Distribuic¸˜ao por extens˜ao. Figura : Distribuic¸˜ao por tipo de arquivo. An´alise de malware coletado entre 2012-2015 GTS 26
  • 21. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Tipos de Arquivo 0% 10% 20% 30% 40% 50% 60% 70% 80% 2012 2013 2014 2015 Porcentagem de exemplares X Tipo de arquivo PE32 CPL .NET DLL Figura : Evoluc¸˜ao dos tipos de arquivo. An´alise de malware coletado entre 2012-2015 GTS 26
  • 22. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Chamadas de Func¸˜ao Tabela : Chamadas de func¸˜ao mapeadas estaticamente. Fun¸c˜ao # Exemplares Fun¸c˜ao # Exemplares GetProcAddress 17317 (81,08%) RegOpenKeyExA 7599 (35,58%) LoadLibraryA 16713 (78,25%) LoadLibraryExA 7045 (32,98%) VirtualAlloc 15032 (70,38%) ExitThread 6916 (32,38%) VirtualFree 15007 (70,26%) FindResourceA 6216 (29,10%) Sleep 11812 (55,30%) GetCurrentProcess 5983 (28,01%) WriteFile 11545 (54,05%) VirtualProtect 5448 (25,51%) UnhandledExceptionFilter 11049 (51,73%) WinExec 5111 (23,93%) GetTickCount 9977 (46,71%) CreateFileW 4910 (22,99%) CreateThread 9214 (43,14%) SetWindowsHookExA 4883 (22,86%) GetCurrentProcessId 8521 (39,89%) IsDebuggerPresent 3511 (16,44%) GetWindowThreadProcessId 8142 (38,12%) InternetCloseHandle 4405 (20,62%) GetCommandLineA 7659 (35,86%) InternetReadFile 3777 (17,68%) An´alise de malware coletado entre 2012-2015 GTS 26
  • 23. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Ofuscac¸˜ao Tabela : Uso de packers por malware ao longo do tempo. Comparac¸˜ao entre os resultados obtidos neste trabalho (T) entre 2012 e 2015 e por Branco (B) em 2012 e 2014. Ano (T)his (B)ranco 2012 49,28% 34,97% 2013 56,59% ND 2014 59,96% 37,53% 2015 (1o trim.) 51,62% ND An´alise de malware coletado entre 2012-2015 GTS 26
  • 24. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Ofuscac¸˜ao Tabela : Tipos de packers mais encontrados nos exemplares ofuscados. Packer Exemplares Packer Exemplares Borland Delphi 45,90% NsPack 0,95% UPX 24,83% PKLITE32 0,86% Microsoft C/C++ 23,50% Enigma 0,67% ASProtect 2,31% Dev-C++ 0,50% Themida/WinLicense 2,11% Thinstall 0,47% An´alise de malware coletado entre 2012-2015 GTS 26
  • 25. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Ofuscac¸˜ao Tabela : Evoluc¸˜ao dos packers mais frequentemente encontrados por ano. Packer 2012 2013 2014 2015 Borland Delphi 35,19% 51,19% 49,66% 43,39% UPX 31,11% 25,95% 17,36% 8,53% Microsoft C/C++ 22,03% 17,62% 25,97% 44,01% Themida/WinLicense 5,00% — — — ASProtect 2,61% 1,54% 2,90% 1,23% PKLITE32 1,34% — — — Dev C++ — 1,10% — — NsPack 1,08% — 1,16% — An´alise de malware coletado entre 2012-2015 GTS 26
  • 26. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Ofuscac¸˜ao An´alise de malware coletado entre 2012-2015 GTS 26
  • 27. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica R´otulos de Detecc¸˜ao 0% 10% 20% 30% PSW Downloader Generic Win32 Delf Dropper Luhe Suspicion: Delfi Autoit_c Inject2 unknown Distribuição dos rótulos de detecção Rótulos An´alise de malware coletado entre 2012-2015 GTS 26
  • 28. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Anti-An´alise Tabela : T´ecnicas anti-VM identificadas e exemplares que as implementam. T´ecnica # de exemplares T´ecnica # de exemplares VMCheck.dll 2.729 (12,77%) Detecc¸˜ao de VirtualBox 306 (1,43%) VMware trick 843 (3,95%) Bochs & QEmu CPUID trick 267 (1,25%) An´alise de malware coletado entre 2012-2015 GTS 26
  • 29. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Evoluc¸˜ao das T´ecnicas de Anti-An´alise 0% 10% 20% 30% 40% 50% 60% 2012 2013 2014 2015 Porcentagem de exemplares X Técnica de ofuscação Packer Anti−Dbg Anti−VM Figura : Evoluc¸˜ao das T´ecnicas de Anti-An´alise. An´alise de malware coletado entre 2012-2015 GTS 26
  • 30. Parte 1 Parte II Parte III Parte IV Parte V An´alise Dinˆamica T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos An´alise de malware coletado entre 2012-2015 GTS 26
  • 31. Parte 1 Parte II Parte III Parte IV Parte V An´alise Dinˆamica Soluc¸˜ao de Sandbox Behavioral Evaluation of Malicious Objects Tool - NG Desenvolvida no LASCA-IC/UNICAMP. Windows 7 e 8 de 64 bits. Kernel Callbacks e Filesystem Filters. An´alise de malware coletado entre 2012-2015 GTS 26
  • 32. Parte 1 Parte II Parte III Parte IV Parte V An´alise Dinˆamica Comportamentos Suspeitos Tabela : Comportamentos observados em comparac¸˜ao com [Bayer et al.2009] Porcentagem de exemplares Comportamento Este artigo Bayer et al. Modificac¸˜ao no arquivo de hosts 0,11% 1,97% Criac¸˜ao de arquivo 26,23% 70,78% Remoc¸˜ao de arquivo 13,71% 42,57% Modificac¸˜ao em arquivo 17,37% 79,87% Instalac¸˜ao de BHO no IE 1,26% 1,72% Tr´afego de rede 98,82% 55,18% Criac¸˜ao de chave no Registro 33,67% 64,71% Criac¸˜ao de Processo 18,79% 52,19% An´alise de malware coletado entre 2012-2015 GTS 26
  • 33. Parte 1 Parte II Parte III Parte IV Parte V Tr´afego de Rede T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos An´alise de malware coletado entre 2012-2015 GTS 26
  • 34. Parte 1 Parte II Parte III Parte IV Parte V Tr´afego de Rede Tr´afego de Rede Tabela : Informac¸˜oes extra´ıdas do tr´afego de rede deste artigo (T) e de [Bayer et al.2009] Porcentagem de exemplares Tipo de tr´afego 2012 (T) 2013 (T) 2014 (T) 2015 (T) Bayer et al. TCP 40,87% 41,24% 56,19% 65,10% 45,74% UDP 52,76% 54,74% 52% 58,79% 27,34% ICMP 1,28% 1,70% 1,33% 1,18% 7,58% DNS 52,69% 54,73% 51,98% 58,79% 24,53% HTTP 38,63% 39,69% 52,03% 58,96% 20,75% SSL 5,30% 5,62% 4,64% 7,99% 0,23% An´alise de malware coletado entre 2012-2015 GTS 26
  • 35. Parte 1 Parte II Parte III Parte IV Parte V Considerac¸˜oes Finais T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos An´alise de malware coletado entre 2012-2015 GTS 26
  • 36. Parte 1 Parte II Parte III Parte IV Parte V Considerac¸˜oes Finais Caracterizac¸˜ao dos Exemplares Sumarizac¸˜ao Extens˜oes de arquivo como forma de atrac¸˜ao. Formas alternativas de empacotamento. Uso de APIs do sistema. Packer como forma de defesa. Foco em roubo de credenciais. Distribuic¸˜ao pelo uso de Downloaders. Baixa interac¸˜ao com o sistema. Grande uso de recursos de rede. An´alise de malware coletado entre 2012-2015 GTS 26
  • 37. Parte 1 Parte II Parte III Parte IV Parte V Considerac¸˜oes Finais Limitac¸˜oes Limitac¸˜oes An´alise em Userland. Plataforma Windows. N´umero restrito de amostras. An´alise de malware coletado entre 2012-2015 GTS 26
  • 38. Parte 1 Parte II Parte III Parte IV Parte V Considerac¸˜oes Finais Trabalhos Futuros Atividades em andamento Expans˜ao das an´alises suportadas. Integrac¸˜ao efetiva com ambiente bare-metal. Criac¸˜ao de heur´ısticas de detecc¸˜ao e classificadores adaptativos. Identificac¸˜ao, detecc¸˜ao e avaliac¸˜ao da efic´acia das t´ecnicas de anti-an´alise. An´alise de malware coletado entre 2012-2015 GTS 26
  • 39. Parte 1 Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos An´alise de malware coletado entre 2012-2015 GTS 26
  • 40. Parte 1 Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Considerac¸˜oes finais Conclus˜oes Simplicidade vs. efetividade dos ataques no cen´ario nacional. Identificac¸˜ao de tendˆencias (CPL e .NET). Observac¸˜ao de t´ecnicas de anti-an´alise. An´alise de malware coletado entre 2012-2015 GTS 26
  • 41. Parte 1 Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais Informac¸˜oes Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6. x de 64 bits www.lbd.dcc.ufmg.br/colecoes/sbseg/2014/0015.pdf Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015 sbseg2015.univali.br/anais/WFC/artigoWFC02.pdf An´alise de malware coletado entre 2012-2015 GTS 26
  • 42. Parte 1 Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Outras referˆencias Gr´egio, A. R. A.; Afonso, V. M.; Filho, D. S. F.; Geus, P. L.; Jino, M. Toward a Taxonomy of Malware Behaviors. Computer Journal, v. 58, p. bxv047-2758-2777, 2015. Afonso, V. M.; Amorim, M. F.; Gr´egio, A. R. A.; Junquera, G. B.; Geus, P.L. Identifying Android malware using dynamically obtained features. Journal of Computer Virology and Hacking Techniques, v. 11, p. 9-17, 2014. Gr´egio, A. R. A.; Filho, D. S. F.; Afonso, V. M.; Geus, P. L.; Martins, V. F.; Jino, M. An empirical analysis of malicious internet banking software behavior. ACM SAC, 2013. An´alise de malware coletado entre 2012-2015 GTS 26
  • 43. Parte 1 Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Agradecimentos CNPq, pelo financiamento via Proj. MCTI/CNPq/Universal-A edital 14/2014 (Processo 444487/2014-0) Instituto de Computac¸˜ao/Unicamp Centro de Tecnologia da Informac¸˜ao Renato Archer Contato: marcus@lasca.ic.unicamp.br paulo@lasca.ic.unicamp.br andre.gregio@cti.gov.br An´alise de malware coletado entre 2012-2015 GTS 26