PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL
LABORATÓRIO DE
PERÍCIA DIGITAL
ANÁLISE DE MALWARE
• Conceitos
• Tipos de Análise
• Tipos de Malware
• Análise Automatizada: cuckoo
• Volatility: Parte 2
• Estudo de Caso: Dark Comet
• Exercício
TIPOS DE ANÁLISE
Análise Estática
• Examina o malware sem executá-lo.
• Ferramentas: VirusTotal, strings, disassembler (IDA Pro, OllyDbg etc.)
Análise Dinâmica
• Executa o malware e monitora seus efeitos. • Normalmente usa técnicas de VM e snapshots.
• Ferramentas: RegShot, Process Monitor, Process Hacker, CaptureBAT. • Ferramentas específicas para RAM: Volatility e Mandant Redline.
TIPOS DE ANÁLISE
Análise Estática Básica
• Examina o malware sem analisar as instruções do código. • Pró: Rápido e fácil de realizar.
• Contra: Pode deixar escapar comportamentos importantes sobre o malware.
Análise Dinâmica Básica
• Roda em ferramentas automatizadas. • Pró: Rápido e fácil de executar.
• Contra: Não é efetivo em todos os malwares (Muitas combinações de versões de OS, software etc.)
TIPOS DE ANÁLISE
Análise Estática Avançada
• Combina técnicas de engenharia reversa e disassembler. • Pró: Abrangente e mais detalhada.
• Contra: Complexa e requer conhecimento de código assembly.
Análise Dinâmica Avançada
• Análise realizada em tempo real com auxilio de ferramentas como debuggers. É capaz de examinar o estado interno de cada processo em tempo de execução.
• Pró: Efetivo contra técnicas antidetecção e anti-análise (detecção de VM, • Contra: Complexa, requer conhecimento de código assembly e
TIPOS DE MALWARE
Backdoor
• Permite ao atacante controle do sistema do alvo.
Botnet
• Rede de computadores infectados que recebem instruções de um servidor central (C&C – Command-and-Control).
Downloader
• Código utilizado para realizar download de outros códigos. • Normalmente usado no começo de uma invasão/infecção.
TIPOS DE MALWARE
Information-stealing malware
• Incluem sniffers, keyloggers, password hash grabbers etc.
Launcher
• Código usado para iniciar outros códigos maliciosos.
• Normalmente usa técnicas não tradicionais para obter acesso “stealth”.
Rootkit
• Malware que objetiva esconder a existência de outros malwares. • Normalmente combinado com o backdoor.
TIPOS DE MALWARE
Scareware e Ransomware
• Obriga a vítima a comprar algo (anti-vírus falso ou senhas de recuperação).
Spam-sending malware
• Utiliza a máquina para envio de spam.
Worms e Virus
• Códigos que objetivam a sua replicação e infecção de outros computadores.
ANÁLISE AUTOMATIZADA
ANÁLISE AUTOMATIZADA
Instalação:
• https://github.com/buguroo/cuckooautoinstall
• http://www.modern.ie/en-us/virtualization-tools#downloads • http://docs.cuckoosandbox.org/en/latest/installation/
VOLATILITY: PARTE 2
Plugins Importantes:
• imageinfo/kdbgscan • psxview • dlllist • dumpfiles • pslist • memdump • printkey • yarascanVOLATILITY: PARTE 2
Ver ainda:
• https://code.google.com/p/volatility/wiki/CommandReference#Malware _and_Rootkits
ESTUDO DE CASO: DARK COMET
• DarkComet é uma ferramenta de acesso remoto (RAT), que foi desenvolvido por Jean-Pierre Lesueur (conhecido como DarkCoderSc), um programador independente da França.
• O DarkComet permite ao usuário controlar um sistema remoto com uma interface gráfica (GUI). Ele tem muitas características que permite que um usuário possa usá-lo de fato como ferramenta de administração remoto.
• No entanto, DarkComet possui também muitas características que podem ser usadas de forma maliciosa. Na prática, ele é comumente usado para espionar vítimas realizando capturas de tela e key-logging.
ESTUDO DE CASO: DARK COMET
Dump de memória:
• WIN-TTUMF6EI3O3-20140203-123134.raw
Ferramentas:
EXERCÍCIO
• Perguntas no site.
PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL