Webinar # 17 – Análise de Malware em Forense Computacional

29.936 visualizações

Publicada em

http://www.blog.clavis.com.br/webinar-17-analise-de-malware-em-forense-computacional/

Qual foi o objetivo deste novo webinar da Clavis Segurança da Informação?
Este Webinar apresentou algumas das técnicas para análise de malware, incluindo análise de strings, unpacking e análise do tráfego de rede. Os ouvintes aprenderam a adequar o ambiente de avaliação conforme demandado pelo código malicioso. Como demonstração, foi apresentado a análise do malware Slackbot.

Veja mais sobre o curso Análise de Malware em Forense Computacional(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/analise-de-malware-em-forense-computacional/). Este é um dos inúmeros assuntos abordados na Formação de 100 horas — Perito em Análise Forense Computacional — Academia Clavis Segurança da Informação(http://www.blog.clavis.com.br/formacao-de-100-horas-perito-em-analise-forense-computacional-academia-clavis-seguranca-da-informacao/).

Quem ministrou o Webinar?
Davidson Rodrigo Boccardo é Doutor em Engenharia Elétrica pela Universidade Estadual Paulista (UNESP) com período sanduíche no Center for Advanced Computer Studies da University of Louisiana at Lafayette. Atualmente é pesquisador no Instituto Nacional de Metrologia, Qualidade e Tecnologia, e tem atuado nos seguintes temas: engenharia reversa, análise de software/malware, ofuscação de software, incorruptibilidade de software e marca d’água em software.

Este Webinar foi realizado com a mesma infraestrutura de um treinamento EAD da Academia Clavis(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/). É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.

Publicada em: Tecnologia

Webinar # 17 – Análise de Malware em Forense Computacional

  1. 1. Webinar # 17Análise de Malware Davidson Boccardodrboccardo@inmetro.gov.br
  2. 2. Introdução • Avaliar as ameaças de um malware • Erradicar infecções • Fortalecer suas defesas • Realizar análise forense • Construir um ferramental para análise
  3. 3. Análise de malware • 2 fases • Análise comportamental • Análise de código • Buscar a maior quantidade de informações através da análise comportamental • Execução em ambiente controlado • Monitoramento das interações • Criação de estímulos • Preencher possíveis brechas que sobraram através da análise de código
  4. 4. Motivação para análise • Comportamento não usual de uma estação de trabalho • Conexões de entrada para a porta TCP 113 • Conexões de saída para a porta TCP 6667 • Processo estranho em execução • Antivírus não detecta nenhum código malicioso
  5. 5. Preparação do ambiente • Utilizaremos o Vmware • Emula hardware Intel (Windows, Linux, etc) • Possui recursos de rede (ex. DHCP) • Permite isolamento de rede • Host-only • Máquinas virtuais interagem com o host de uma maneira limitada • Recursos de snapshot
  6. 6. Preparação do ambiente
  7. 7. Análise de strings • Permite revelar: • Nomes de arquivo • Nomes de hosts • Chaves de regitros • Permite verificar: • Se o código está ofuscado
  8. 8. Packing • Processo de esconder um código em outro executável • Inserção de uma rotina de unpacking • Embarca o código como dados • Código é criptografado e compactado • Dificulta a análise do código e de seu comportamento por ferrmentas de engenharia reversa
  9. 9. Demonstração Malware Slackbot
  10. 10. Análise de strings
  11. 11. Unpacking
  12. 12. Análise de strings
  13. 13. Análise do tráfego rede • Executar Wireshark • Ctrl+E para iniciar a captura • Execute o malware por um determinado tempo • Ctrl+E para interromper a captura
  14. 14. Análise do tráfego rede
  15. 15. Modificação do ambiente ...system32driversetchosts 192.168.13.128 => malware.clavis.com.br
  16. 16. Análise do tráfego de rede
  17. 17. Modificação do ambiente • Com cada experimento, vamos entendendo o que o malware precisa e moldamos o ambiente para que o malware consiga interagir como se tivesse executando no mundo real • Vamos fazendo isso, passo a passo, para que tenhamos uma visão controlada do comportamento do malware • Vamos então iniciar um servidor de IRC através do comando ircd start • Comandos IRC (/join #canal, /leave, /list, /quit )
  18. 18. Análise do tráfego de rede
  19. 19. Análise do tráfego de rede
  20. 20. Análise do tráfego de rede
  21. 21. Análise do tráfego de rede
  22. 22. Ofuscação de strings • Métodos simples de ofuscar strings dentro do executável • XOR (exclusive OR) • ROL (rotate left) • ROR (rotate right) • XorSearch • http://blog.didierstevens.com/programs/xorsearch
  23. 23. Revelação de strings importantes
  24. 24. Autenticação e controle
  25. 25. Autenticação e controle
  26. 26. Muito Obrigado! Davidson Boccardo drboccardo@inmetro.gov.br

×