SlideShare uma empresa Scribd logo
1 de 39
Baixar para ler offline
Parte I Parte II Parte III Parte IV Parte V
Monitorac¸˜ao de comportamento de malware em
sistemas operacionais Windows NT 6.x de 64 bits
Marcus Botacin1,3, Vitor Afonso1, Paulo L´ıcio de Geus1, Andr´e
Gr´egio1,2
1Instituto de Computac¸˜ao - UNICAMP
{marcus,vitor,paulo}@lasca.ic.unicamp.br
2Centro de Tecnologia da Informac¸˜ao Renato Archer (CTI)
andre.gregio@cti.gov.br
3Bolsista PIBIC-CNPq
5 de Novembro de 2014
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
T´opicos
1 Parte I
Introduc¸˜ao
2 Parte II
T´ecnicas
Novidades do Windows 64 bits
Considerac¸˜oes
3 Parte III
Arquitetura do Sistema
4 Parte IV
Experimentos
5 Parte V
Limitac¸˜oes e Trabalhos Futuros
Conclus˜oes e Agradecimentos
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Introduc¸˜ao
T´opicos
1 Parte I
Introduc¸˜ao
2 Parte II
T´ecnicas
Novidades do Windows 64 bits
Considerac¸˜oes
3 Parte III
Arquitetura do Sistema
4 Parte IV
Experimentos
5 Parte V
Limitac¸˜oes e Trabalhos Futuros
Conclus˜oes e Agradecimentos
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Introduc¸˜ao
An´alise de malware
Tipos de an´alise
An´alise est´atica:
c´odigo-fonte;
execut´avel (disassembled).
An´alise dinˆamica:
execuc¸˜ao controlada/temporizada;
extrac¸˜ao comportamental (limitada).
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Cen´ario Atual
Uso do Windows—Olhar Digital, 03/02/2014
O Windows 8.1 se tornou o quarto sistema operacional mais usado
por computadores no mundo, deixando o Vista, o Mac OS X
Mavericks e o Linux para tr´as.
Fonte: http://olhardigital.uol.com.br/noticia/40085/40085
Malware 64-bits—Securelist 11/12/2013
The more people switch to 64-bit platforms, the more 64-bit
malware appears. We have been following this process for several
years now. The more people work on 64-bit platforms, the more
64-bit applications that are developed as well.
Fonte: https://www.securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_
enhanced_with_Tor
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
T´ecnicas
T´opicos
1 Parte I
Introduc¸˜ao
2 Parte II
T´ecnicas
Novidades do Windows 64 bits
Considerac¸˜oes
3 Parte III
Arquitetura do Sistema
4 Parte IV
Experimentos
5 Parte V
Limitac¸˜oes e Trabalhos Futuros
Conclus˜oes e Agradecimentos
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
T´ecnicas
T´ecnicas de An´alise
T´ecnicas de An´alise
System Service Dispatch Table (SSDT) Hooking
Ex.: BehEMOT (SBSeg 2010).
Virtual Machine Introspection (VMI)
Ex.: Anubis (anubis.iseclab.org).
Application Programming Interface (API) Hooking
Ex.: Cuckoo (www.cuckoosandbox.org),
CWSandbox (www.threattracksecurity.com).
Detour
Callback e Filters
Ex.: Capture-BAT (www.honeynet.org/node/315)
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Novidades do Windows 64 bits
T´opicos
1 Parte I
Introduc¸˜ao
2 Parte II
T´ecnicas
Novidades do Windows 64 bits
Considerac¸˜oes
3 Parte III
Arquitetura do Sistema
4 Parte IV
Experimentos
5 Parte V
Limitac¸˜oes e Trabalhos Futuros
Conclus˜oes e Agradecimentos
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Novidades do Windows 64 bits
Novidades do Windows 64 bits
Novidades do Windows 64 bits
Kernel Patch Protection (KPP).
⇒ Apenas 64 bits.
Exigˆencia de assinatura de driver.
⇒ Inclui auto-assinados.
Sess˜oes de aplicativos.
⇒ Impede criac¸˜ao de threads remotas entre sess˜oes.
Mudan¸cas na API.
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Considerac¸˜oes
T´opicos
1 Parte I
Introduc¸˜ao
2 Parte II
T´ecnicas
Novidades do Windows 64 bits
Considerac¸˜oes
3 Parte III
Arquitetura do Sistema
4 Parte IV
Experimentos
5 Parte V
Limitac¸˜oes e Trabalhos Futuros
Conclus˜oes e Agradecimentos
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Considerac¸˜oes
Considerac¸˜oes
Mecanismos de protec¸˜ao vs. An´alise dinˆamica
KPP:
impede SSDT hooking.
Assinatura de drivers:
pode ser desligada;
malware geral atua em userland
⇒ n˜ao carrega drivers!
Detours/Inline hooking:
mesmo n´ıvel de privil´egio do malware.
Proibi¸c˜ao de threads remotas:
dificulta DLL hooking.
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Considerac¸˜oes
Considerac¸˜oes
Requisitos de Projeto
An´alise de malware moderno.
Portabilidade e Escalabilidade
⇒ incompat´ıvel com VMI.
Decis˜oes de Projeto
Implementac¸˜ao Utilizando-se de Callbacks e Filters.
Tr´afego de rede capturado externamente ao ambiente de
an´alise.
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Arquitetura do Sistema
T´opicos
1 Parte I
Introduc¸˜ao
2 Parte II
T´ecnicas
Novidades do Windows 64 bits
Considerac¸˜oes
3 Parte III
Arquitetura do Sistema
4 Parte IV
Experimentos
5 Parte V
Limitac¸˜oes e Trabalhos Futuros
Conclus˜oes e Agradecimentos
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Arquitetura do Sistema
Callback
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Arquitetura do Sistema
Arquitetura do Sistema
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Arquitetura do Sistema
Arquitetura do Sistema
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
T´opicos
1 Parte I
Introduc¸˜ao
2 Parte II
T´ecnicas
Novidades do Windows 64 bits
Considerac¸˜oes
3 Parte III
Arquitetura do Sistema
4 Parte IV
Experimentos
5 Parte V
Limitac¸˜oes e Trabalhos Futuros
Conclus˜oes e Agradecimentos
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Experimentos
Tipos de Experimentos
Validac¸˜ao.
Testes em maior escala.
Objetivo
1 Verificar se a monitorac¸˜ao das ac¸˜oes efetuadas sobre os
subsistemas de arquivos, registro e processos ´e feita
adequadamente.
2 An´alise aprofundada de exemplares de malware em busca de
comportamentos que indicam a presenc¸a de c´odigos
maliciosos.
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Validac¸˜ao
1 7/4/2014 −13:3:48.793| SetValueKey |2032|C:7 G6C5n . exe
|REGISTRYUSERS
−1−5−21−3760592576−961097288−785014024−1001
Software  Microsoft Windows CurrentVersion Run |
SoftBrue | ”C:7 G6C5n . exe ”
1 7/4/2014 −13:3:48.76| WriteOperation |3028|C:
v i s u a l i z a r . exe |C: WindowsSysWOW64 d l l . exe |
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Validac¸˜ao
1 7/4/2014 −13:5:1.895| DeleteOperation |2032|C:
deposito . exe |C: ProgramData r r . t x t |
1 7/4/2014 −13:3:48.294| CreateProcess |3028|C: Monitor 
Malware v i s u a l i z a r . exe |2440|C: WindowsSysWOW64
 d l l . exe
1 2014−05−14 20:02:40.963113 10.10.100.101 XX.YY. ZZ
.121 HTTP 290 GET /. swim01/ c o n t r o l . php? i a&mi=00
B5AB4E−47098BC3 HTTP/1.1
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Testes em maior escala
Amostras
1 Amostras coletadas no per´ıodo entre 01/01/2014 e
21/05/2014.
2 2.937 exemplares ´unicos (hash MD5).
3 Exemplares provenientes de honeypots, phishing e downloads
de links contaminados.
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Distribuic¸˜ao das Amostras
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Comportamentos exibidos pelos exemplares
Tabela : Atividades monitoradas e quantidade de exemplares que as
exibiram.
Atividade Qtde.
Escrita no Registro 1073
Remoc¸˜ao de chave(s) do Registro 772
Criac¸˜ao de processo(s) 602
T´ermino de processos 1337
Escrita em arquivo(s) 1028
Leitura de arquivo(s) 1694
Remoc¸˜ao de arquivo(s) 551
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Comportamentos Observados
Detalhes dos comportamentos
Finalizac¸˜ao de mecanismos ant´ıvirus instalados no sistema
operacional;
Desligamento do firewall nativo do Windows;
Criac¸˜ao de novos bin´arios no sistema, seja por download ou
por dropping;
Desligamento do mecanismo de atualizac¸˜ao autom´atica do
Windows;
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Comportamentos Observados
Detalhes dos comportamentos
Tentativa de persistˆencia (sobrevivˆencia a desligamentos e
reinicializac¸˜oes);
Injec¸˜ao de Browser Helper Objects no Internet Explorer;
Modificac¸˜ao no arquivo hosts.txt do sistema operacional;
Sobrescrita de um arquivo (programa ou biblioteca) j´a
presente no sistema;
Remoc¸˜ao de seu pr´oprio programa ou de outros artefatos.
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Tr´afego de rede
Tabela : 10 portas/protocolos mais utilizados pelos exemplares.
Protocolo Porta % dos exemplares
HTTP 80 44.4
HTTPS 443 6.5
MS-SQL 1433 2.6
- 8181 1.0
SMTP 587 0.8
- 82 0.7
MySQL 3306 0.5
- 720 0.3
- 2869 0.3
- 9000 0.2
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Tr´afego de rede
Tabela : Comportamentos suspeitos observados no tr´afego de rede.
Comportamento Qtde. de malware
Download desconhecido 154
E-mail/Spam 25
Banker 22
Comunicac¸˜ao IRC 4
Dados do sistema 3
Obtenc¸˜ao de PAC 1
Portas de IRC 1
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Virustotal
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Discuss˜ao
Contribuic¸˜oes:
Capaz de executar arquivos no formato PE+ (64 bits).
Provˆe um ambiente “flex´ıvel” de 64 bits (Windows 8) para
an´alise.
Ferramentas/sistemas avaliados:
Anubis (http://anubis.iseclab.org)
Cuckoo (https://malwr.com/)
ThreatExpert (http://www.threatexpert.com)
Camas Comodo (http://camas.comodo.com)
CWSandbox (http://www.threattracksecurity.com/
resources/sandbox-malware-analysis.aspx)
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Experimentos
Discuss˜ao
Antiv´ırus
R´otulos de detecc¸˜ao baseiam-se em heur´ısticas gen´ericas.
⇒ Permitem que o usu´ario seja alertado sobre um evento ou
processo suspeito.
⇒ N˜ao provˆeem informac¸˜oes espec´ıficas sobre o tipo de dano
causado.
Windows
Retrocompatibilidade
⇒ Exemplares de 32 bits (Windows XP) infectam o Windows
8.
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Limitac¸˜oes e Trabalhos Futuros
T´opicos
1 Parte I
Introduc¸˜ao
2 Parte II
T´ecnicas
Novidades do Windows 64 bits
Considerac¸˜oes
3 Parte III
Arquitetura do Sistema
4 Parte IV
Experimentos
5 Parte V
Limitac¸˜oes e Trabalhos Futuros
Conclus˜oes e Agradecimentos
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Limitac¸˜oes e Trabalhos Futuros
Limitac¸˜oes
Limitac¸˜oes
An´alise de rootkits
An´alise de tr´afego criptografado
An´alise de evaders (Reboot, VM detection)
Mecanismo de callback limitado a interface do S.O.
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Limitac¸˜oes e Trabalhos Futuros
Trabalhos Futuros
Trabalhos Futuros
Integrac¸˜ao do ambiente bare-metal ao ambiente emulado.
Implementac¸˜ao de t´ecnicas para monitorac¸˜ao de outros
subsistemas.
Estudo e desenvolvimento de mecanismos de protec¸˜ao para a
ferramenta de monitorac¸˜ao.
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
T´opicos
1 Parte I
Introduc¸˜ao
2 Parte II
T´ecnicas
Novidades do Windows 64 bits
Considerac¸˜oes
3 Parte III
Arquitetura do Sistema
4 Parte IV
Experimentos
5 Parte V
Limitac¸˜oes e Trabalhos Futuros
Conclus˜oes e Agradecimentos
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
Conclus˜oes
Conclus˜oes
Introduziu-se um sistema de an´alise dinˆamica de malware de
64 bits baseado em Windows 8.
Avaliou-se o funcionamento do sistema por meio da execuc¸˜ao
de 2.937 exemplares de malware.
Os resultados obtidos permitem uma maior compreens˜ao da
atuac¸˜ao de malware, possibilitando a criac¸˜ao de heur´ısticas de
detecc¸˜ao, procedimentos de remediac¸˜ao e tomada de
contra-medidas para resposta a incidentes.
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
Agradecimentos
Os autores agradecem:
CNPq
Instituto de Computac¸˜ao/Unicamp
CTI Renato Archer
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
Mais sobre 64-bit-malware
Win32/64:Blackbeard & Pigeon
Fonte: http://blog.avast.com/2014/01/15/
win3264blackbeard-pigeon-stealthiness-techniques-in-64-bit-windows-part-1/
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
Mais sobre 64-bit-malware
TSPY64 ZBOT.AANP
Fonte: http://about-threats.trendmicro.com/Malware.aspx?language=au&name=TSPY64_ZBOT.AANP
It connects to the following URL(s) to get the affected
system’s IP address: http: // checkip. dyndns. org
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V
Conclus˜oes e Agradecimentos
Mais sobre 64-bit-malware
TSPY64 ZBOT.AANP
It requires the existence of the following files to properly run:
Application Datarandom folder namerandom file name.exe
Nota: Application Data ´e C:Usersuser
nameAppDataRoaming do Windows Vista em diante.
1 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852|
Trojan−Spy . Win64 . Zbot . a | Users User Windows VM
AppDataRoamingGevoun |
2 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852|
Trojan−Spy . Win64 . Zbot . a | Users User Windows VM
AppDataRoamingGevoun r i o d . exe |
3 29/6/2014 − 1 5 : 4 3 : 2 7 . 8 0 8 | CreateOperation |1852|
Trojan−Spy . Win64 . Zbot . a | Users User Windows VM
AppDataRoaming Arcole |
Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14

Mais conteúdo relacionado

Destaque

Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Webinar Softlayer MSP / ISV en Francais - Octobre 2015Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Nicolas Verdier
 

Destaque (7)

Rumah Baru Grand permata city cikarang
Rumah Baru Grand permata city cikarangRumah Baru Grand permata city cikarang
Rumah Baru Grand permata city cikarang
 
The clear proofs for refuting the doubts of the people of takfeer and bombing
The clear proofs for refuting the doubts of the people of takfeer and bombingThe clear proofs for refuting the doubts of the people of takfeer and bombing
The clear proofs for refuting the doubts of the people of takfeer and bombing
 
HTS Picture
HTS PictureHTS Picture
HTS Picture
 
See No Evil: The Moors Murders
See No Evil: The Moors MurdersSee No Evil: The Moors Murders
See No Evil: The Moors Murders
 
New Product Development Project - Meal kit
New Product Development Project - Meal kitNew Product Development Project - Meal kit
New Product Development Project - Meal kit
 
III Jornada Automatización de Almacén - Conrad Cardona
III Jornada Automatización de Almacén - Conrad CardonaIII Jornada Automatización de Almacén - Conrad Cardona
III Jornada Automatización de Almacén - Conrad Cardona
 
Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Webinar Softlayer MSP / ISV en Francais - Octobre 2015Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Webinar Softlayer MSP / ISV en Francais - Octobre 2015
 

Semelhante a Monitoração de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits

Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5
Cassio Ramos
 

Semelhante a Monitoração de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits (20)

Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bits
 
Relatorio urna
Relatorio urnaRelatorio urna
Relatorio urna
 
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardwareXVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
XVII SBSEG: Detecção de ataques por ROP em tempo real assistida por hardware
 
Mil e uma noites de malware no Brasil
Mil e uma noites de malware no BrasilMil e uma noites de malware no Brasil
Mil e uma noites de malware no Brasil
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
 
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e ...
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
 
Princípios básicos da análise de malware
Princípios básicos da análise de malwarePrincípios básicos da análise de malware
Princípios básicos da análise de malware
 
Duly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdfDuly_seguranca em redes de computadores.pdf
Duly_seguranca em redes de computadores.pdf
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Análise de malware coletado entre 2012-2015
Análise de malware coletado entre 2012-2015Análise de malware coletado entre 2012-2015
Análise de malware coletado entre 2012-2015
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
 
Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5
 
Final Project (2013): Test-Driven Development applied on web applications
Final Project (2013): Test-Driven Development applied on web applicationsFinal Project (2013): Test-Driven Development applied on web applications
Final Project (2013): Test-Driven Development applied on web applications
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
 
White Paper - Antivirus é eficiente para a proteção de redes industriais?
White Paper - Antivirus é eficiente para a proteção de redes industriais?White Paper - Antivirus é eficiente para a proteção de redes industriais?
White Paper - Antivirus é eficiente para a proteção de redes industriais?
 
Testes com xUnit + Coding Dojo
Testes com xUnit + Coding DojoTestes com xUnit + Coding Dojo
Testes com xUnit + Coding Dojo
 
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 

Mais de Marcus Botacin

Mais de Marcus Botacin (20)

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoring
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guide
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel Approaches
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
 
Integridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomwareIntegridade, confidencialidade, disponibilidade, ransomware
Integridade, confidencialidade, disponibilidade, ransomware
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software Repositories
 
UMLsec
UMLsecUMLsec
UMLsec
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and Reassembly
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering Course
 

Último

Último (8)

Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo Pagliusi
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
 
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdfAula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
 
Convergência TO e TI nas Usinas - Setor Sucroenergético
Convergência TO e TI nas Usinas - Setor SucroenergéticoConvergência TO e TI nas Usinas - Setor Sucroenergético
Convergência TO e TI nas Usinas - Setor Sucroenergético
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
 
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docxATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
 
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docxATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
 

Monitoração de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits

  • 1. Parte I Parte II Parte III Parte IV Parte V Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits Marcus Botacin1,3, Vitor Afonso1, Paulo L´ıcio de Geus1, Andr´e Gr´egio1,2 1Instituto de Computac¸˜ao - UNICAMP {marcus,vitor,paulo}@lasca.ic.unicamp.br 2Centro de Tecnologia da Informac¸˜ao Renato Archer (CTI) andre.gregio@cti.gov.br 3Bolsista PIBIC-CNPq 5 de Novembro de 2014 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 2. Parte I Parte II Parte III Parte IV Parte V T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 3. Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 4. Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao An´alise de malware Tipos de an´alise An´alise est´atica: c´odigo-fonte; execut´avel (disassembled). An´alise dinˆamica: execuc¸˜ao controlada/temporizada; extrac¸˜ao comportamental (limitada). Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 5. Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao Cen´ario Atual Uso do Windows—Olhar Digital, 03/02/2014 O Windows 8.1 se tornou o quarto sistema operacional mais usado por computadores no mundo, deixando o Vista, o Mac OS X Mavericks e o Linux para tr´as. Fonte: http://olhardigital.uol.com.br/noticia/40085/40085 Malware 64-bits—Securelist 11/12/2013 The more people switch to 64-bit platforms, the more 64-bit malware appears. We have been following this process for several years now. The more people work on 64-bit platforms, the more 64-bit applications that are developed as well. Fonte: https://www.securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_ enhanced_with_Tor Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 6. Parte I Parte II Parte III Parte IV Parte V T´ecnicas T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 7. Parte I Parte II Parte III Parte IV Parte V T´ecnicas T´ecnicas de An´alise T´ecnicas de An´alise System Service Dispatch Table (SSDT) Hooking Ex.: BehEMOT (SBSeg 2010). Virtual Machine Introspection (VMI) Ex.: Anubis (anubis.iseclab.org). Application Programming Interface (API) Hooking Ex.: Cuckoo (www.cuckoosandbox.org), CWSandbox (www.threattracksecurity.com). Detour Callback e Filters Ex.: Capture-BAT (www.honeynet.org/node/315) Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 8. Parte I Parte II Parte III Parte IV Parte V Novidades do Windows 64 bits T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 9. Parte I Parte II Parte III Parte IV Parte V Novidades do Windows 64 bits Novidades do Windows 64 bits Novidades do Windows 64 bits Kernel Patch Protection (KPP). ⇒ Apenas 64 bits. Exigˆencia de assinatura de driver. ⇒ Inclui auto-assinados. Sess˜oes de aplicativos. ⇒ Impede criac¸˜ao de threads remotas entre sess˜oes. Mudan¸cas na API. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 10. Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 11. Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes Considerac¸˜oes Mecanismos de protec¸˜ao vs. An´alise dinˆamica KPP: impede SSDT hooking. Assinatura de drivers: pode ser desligada; malware geral atua em userland ⇒ n˜ao carrega drivers! Detours/Inline hooking: mesmo n´ıvel de privil´egio do malware. Proibi¸c˜ao de threads remotas: dificulta DLL hooking. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 12. Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes Considerac¸˜oes Requisitos de Projeto An´alise de malware moderno. Portabilidade e Escalabilidade ⇒ incompat´ıvel com VMI. Decis˜oes de Projeto Implementac¸˜ao Utilizando-se de Callbacks e Filters. Tr´afego de rede capturado externamente ao ambiente de an´alise. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 13. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 14. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Callback Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 15. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Arquitetura do Sistema Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 16. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Arquitetura do Sistema Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 17. Parte I Parte II Parte III Parte IV Parte V Experimentos T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 18. Parte I Parte II Parte III Parte IV Parte V Experimentos Experimentos Tipos de Experimentos Validac¸˜ao. Testes em maior escala. Objetivo 1 Verificar se a monitorac¸˜ao das ac¸˜oes efetuadas sobre os subsistemas de arquivos, registro e processos ´e feita adequadamente. 2 An´alise aprofundada de exemplares de malware em busca de comportamentos que indicam a presenc¸a de c´odigos maliciosos. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 19. Parte I Parte II Parte III Parte IV Parte V Experimentos Validac¸˜ao 1 7/4/2014 −13:3:48.793| SetValueKey |2032|C:7 G6C5n . exe |REGISTRYUSERS −1−5−21−3760592576−961097288−785014024−1001 Software Microsoft Windows CurrentVersion Run | SoftBrue | ”C:7 G6C5n . exe ” 1 7/4/2014 −13:3:48.76| WriteOperation |3028|C: v i s u a l i z a r . exe |C: WindowsSysWOW64 d l l . exe | Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 20. Parte I Parte II Parte III Parte IV Parte V Experimentos Validac¸˜ao 1 7/4/2014 −13:5:1.895| DeleteOperation |2032|C: deposito . exe |C: ProgramData r r . t x t | 1 7/4/2014 −13:3:48.294| CreateProcess |3028|C: Monitor Malware v i s u a l i z a r . exe |2440|C: WindowsSysWOW64 d l l . exe 1 2014−05−14 20:02:40.963113 10.10.100.101 XX.YY. ZZ .121 HTTP 290 GET /. swim01/ c o n t r o l . php? i a&mi=00 B5AB4E−47098BC3 HTTP/1.1 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 21. Parte I Parte II Parte III Parte IV Parte V Experimentos Testes em maior escala Amostras 1 Amostras coletadas no per´ıodo entre 01/01/2014 e 21/05/2014. 2 2.937 exemplares ´unicos (hash MD5). 3 Exemplares provenientes de honeypots, phishing e downloads de links contaminados. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 22. Parte I Parte II Parte III Parte IV Parte V Experimentos Distribuic¸˜ao das Amostras Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 23. Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos exibidos pelos exemplares Tabela : Atividades monitoradas e quantidade de exemplares que as exibiram. Atividade Qtde. Escrita no Registro 1073 Remoc¸˜ao de chave(s) do Registro 772 Criac¸˜ao de processo(s) 602 T´ermino de processos 1337 Escrita em arquivo(s) 1028 Leitura de arquivo(s) 1694 Remoc¸˜ao de arquivo(s) 551 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 24. Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos Observados Detalhes dos comportamentos Finalizac¸˜ao de mecanismos ant´ıvirus instalados no sistema operacional; Desligamento do firewall nativo do Windows; Criac¸˜ao de novos bin´arios no sistema, seja por download ou por dropping; Desligamento do mecanismo de atualizac¸˜ao autom´atica do Windows; Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 25. Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos Observados Detalhes dos comportamentos Tentativa de persistˆencia (sobrevivˆencia a desligamentos e reinicializac¸˜oes); Injec¸˜ao de Browser Helper Objects no Internet Explorer; Modificac¸˜ao no arquivo hosts.txt do sistema operacional; Sobrescrita de um arquivo (programa ou biblioteca) j´a presente no sistema; Remoc¸˜ao de seu pr´oprio programa ou de outros artefatos. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 26. Parte I Parte II Parte III Parte IV Parte V Experimentos Tr´afego de rede Tabela : 10 portas/protocolos mais utilizados pelos exemplares. Protocolo Porta % dos exemplares HTTP 80 44.4 HTTPS 443 6.5 MS-SQL 1433 2.6 - 8181 1.0 SMTP 587 0.8 - 82 0.7 MySQL 3306 0.5 - 720 0.3 - 2869 0.3 - 9000 0.2 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 27. Parte I Parte II Parte III Parte IV Parte V Experimentos Tr´afego de rede Tabela : Comportamentos suspeitos observados no tr´afego de rede. Comportamento Qtde. de malware Download desconhecido 154 E-mail/Spam 25 Banker 22 Comunicac¸˜ao IRC 4 Dados do sistema 3 Obtenc¸˜ao de PAC 1 Portas de IRC 1 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 28. Parte I Parte II Parte III Parte IV Parte V Experimentos Virustotal Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 29. Parte I Parte II Parte III Parte IV Parte V Experimentos Discuss˜ao Contribuic¸˜oes: Capaz de executar arquivos no formato PE+ (64 bits). Provˆe um ambiente “flex´ıvel” de 64 bits (Windows 8) para an´alise. Ferramentas/sistemas avaliados: Anubis (http://anubis.iseclab.org) Cuckoo (https://malwr.com/) ThreatExpert (http://www.threatexpert.com) Camas Comodo (http://camas.comodo.com) CWSandbox (http://www.threattracksecurity.com/ resources/sandbox-malware-analysis.aspx) Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 30. Parte I Parte II Parte III Parte IV Parte V Experimentos Discuss˜ao Antiv´ırus R´otulos de detecc¸˜ao baseiam-se em heur´ısticas gen´ericas. ⇒ Permitem que o usu´ario seja alertado sobre um evento ou processo suspeito. ⇒ N˜ao provˆeem informac¸˜oes espec´ıficas sobre o tipo de dano causado. Windows Retrocompatibilidade ⇒ Exemplares de 32 bits (Windows XP) infectam o Windows 8. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 31. Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 32. Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros Limitac¸˜oes Limitac¸˜oes An´alise de rootkits An´alise de tr´afego criptografado An´alise de evaders (Reboot, VM detection) Mecanismo de callback limitado a interface do S.O. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 33. Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros Trabalhos Futuros Trabalhos Futuros Integrac¸˜ao do ambiente bare-metal ao ambiente emulado. Implementac¸˜ao de t´ecnicas para monitorac¸˜ao de outros subsistemas. Estudo e desenvolvimento de mecanismos de protec¸˜ao para a ferramenta de monitorac¸˜ao. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 34. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 35. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Conclus˜oes Conclus˜oes Introduziu-se um sistema de an´alise dinˆamica de malware de 64 bits baseado em Windows 8. Avaliou-se o funcionamento do sistema por meio da execuc¸˜ao de 2.937 exemplares de malware. Os resultados obtidos permitem uma maior compreens˜ao da atuac¸˜ao de malware, possibilitando a criac¸˜ao de heur´ısticas de detecc¸˜ao, procedimentos de remediac¸˜ao e tomada de contra-medidas para resposta a incidentes. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 36. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Agradecimentos Os autores agradecem: CNPq Instituto de Computac¸˜ao/Unicamp CTI Renato Archer Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 37. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware Win32/64:Blackbeard & Pigeon Fonte: http://blog.avast.com/2014/01/15/ win3264blackbeard-pigeon-stealthiness-techniques-in-64-bit-windows-part-1/ Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 38. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware TSPY64 ZBOT.AANP Fonte: http://about-threats.trendmicro.com/Malware.aspx?language=au&name=TSPY64_ZBOT.AANP It connects to the following URL(s) to get the affected system’s IP address: http: // checkip. dyndns. org Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 39. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware TSPY64 ZBOT.AANP It requires the existence of the following files to properly run: Application Datarandom folder namerandom file name.exe Nota: Application Data ´e C:Usersuser nameAppDataRoaming do Windows Vista em diante. 1 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoamingGevoun | 2 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoamingGevoun r i o d . exe | 3 29/6/2014 − 1 5 : 4 3 : 2 7 . 8 0 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoaming Arcole | Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14