O webinar de Davidson Boccardo aborda a análise de malware, destacando a importância de avaliar ameaças, erradicar infecções e fortalecer defesas. O evento discute técnicas como análise comportamental e de código, demonstrando o uso de ferramentas como VMware e Wireshark para simular e monitorar infecções em ambientes controlados. Além disso, o webinar explora métodos de ofuscação e revela strings importantes para a análise de tráfego de rede.

1. Webinar # 17
Análise de Malware
Davidson Boccardo
drboccardo@inmetro.gov.br

2. Introdução
• Avaliar as ameaças de um malware
• Erradicar infecções
• Fortalecer suas defesas
• Realizar análise forense
• Construir um ferramental para análise

3. Análise de malware
• 2 fases
• Análise comportamental
• Análise de código
• Buscar a maior quantidade de informações através da
análise comportamental
• Execução em ambiente controlado
• Monitoramento das interações
• Criação de estímulos
• Preencher possíveis brechas que sobraram através da
análise de código

4. Motivação para análise
• Comportamento não usual de uma estação de trabalho
• Conexões de entrada para a porta TCP 113
• Conexões de saída para a porta TCP 6667
• Processo estranho em execução
• Antivírus não detecta nenhum código malicioso

5. Preparação do ambiente
• Utilizaremos o Vmware
• Emula hardware Intel (Windows, Linux, etc)
• Possui recursos de rede (ex. DHCP)
• Permite isolamento de rede
• Host-only
• Máquinas virtuais interagem com o host de uma
maneira limitada
• Recursos de snapshot

6. Preparação do ambiente

7. Análise de strings
• Permite revelar:
• Nomes de arquivo
• Nomes de hosts
• Chaves de regitros
• Permite verificar:
• Se o código está ofuscado

8. Packing
• Processo de esconder um código em outro executável
• Inserção de uma rotina de unpacking
• Embarca o código como dados
• Código é criptografado e compactado
• Dificulta a análise do código e de seu comportamento por
ferrmentas de engenharia reversa

9. Demonstração
Malware Slackbot

10. Análise de strings

11. Unpacking

12. Análise de strings

13. Análise do tráfego rede
• Executar Wireshark
• Ctrl+E para iniciar a captura
• Execute o malware por um determinado tempo
• Ctrl+E para interromper a captura

14. Análise do tráfego rede

15. Modificação do ambiente
...system32driversetchosts
192.168.13.128 => malware.clavis.com.br

16. Análise do tráfego de rede

17. Modificação do ambiente
• Com cada experimento, vamos entendendo o que o
malware precisa e moldamos o ambiente para que o
malware consiga interagir como se tivesse executando no
mundo real
• Vamos fazendo isso, passo a passo, para que tenhamos
uma visão controlada do comportamento do malware
• Vamos então iniciar um servidor de IRC através do
comando ircd start
• Comandos IRC (/join #canal, /leave, /list, /quit )

18. Análise do tráfego de rede

19. Análise do tráfego de rede

20. Análise do tráfego de rede

21. Análise do tráfego de rede

22. Ofuscação de strings
• Métodos simples de ofuscar strings dentro do executável
• XOR (exclusive OR)
• ROL (rotate left)
• ROR (rotate right)
• XorSearch
• http://blog.didierstevens.com/programs/xorsearch

23. Revelação de strings importantes

24. Autenticação e controle

25. Autenticação e controle

26. Muito Obrigado!
Davidson Boccardo
drboccardo@inmetro.gov.br