• Nenhum resultado encontrado

LABORATÓRIO DE PERÍCIA DIGITAL

N/A
N/A
Protected

Academic year: 2021

Share "LABORATÓRIO DE PERÍCIA DIGITAL"

Copied!
17
0
0

Texto

(1)

PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL

LABORATÓRIO DE

PERÍCIA DIGITAL

(2)

ANÁLISE DE MALWARE

• Conceitos

• Tipos de Análise

• Tipos de Malware

• Análise Automatizada: cuckoo

• Volatility: Parte 2

• Estudo de Caso: Dark Comet

• Exercício

(3)

TIPOS DE ANÁLISE

Análise Estática

• Examina o malware sem executá-lo.

• Ferramentas: VirusTotal, strings, disassembler (IDA Pro, OllyDbg etc.)

Análise Dinâmica

• Executa o malware e monitora seus efeitos. • Normalmente usa técnicas de VM e snapshots.

• Ferramentas: RegShot, Process Monitor, Process Hacker, CaptureBAT. • Ferramentas específicas para RAM: Volatility e Mandant Redline.

(4)

TIPOS DE ANÁLISE

Análise Estática Básica

• Examina o malware sem analisar as instruções do código. • Pró: Rápido e fácil de realizar.

• Contra: Pode deixar escapar comportamentos importantes sobre o malware.

Análise Dinâmica Básica

• Roda em ferramentas automatizadas. • Pró: Rápido e fácil de executar.

• Contra: Não é efetivo em todos os malwares (Muitas combinações de versões de OS, software etc.)

(5)

TIPOS DE ANÁLISE

Análise Estática Avançada

• Combina técnicas de engenharia reversa e disassembler. • Pró: Abrangente e mais detalhada.

• Contra: Complexa e requer conhecimento de código assembly.

Análise Dinâmica Avançada

• Análise realizada em tempo real com auxilio de ferramentas como debuggers. É capaz de examinar o estado interno de cada processo em tempo de execução.

• Pró: Efetivo contra técnicas antidetecção e anti-análise (detecção de VM, • Contra: Complexa, requer conhecimento de código assembly e

(6)

TIPOS DE MALWARE

Backdoor

• Permite ao atacante controle do sistema do alvo.

Botnet

• Rede de computadores infectados que recebem instruções de um servidor central (C&C – Command-and-Control).

Downloader

• Código utilizado para realizar download de outros códigos. • Normalmente usado no começo de uma invasão/infecção.

(7)

TIPOS DE MALWARE

Information-stealing malware

• Incluem sniffers, keyloggers, password hash grabbers etc.

Launcher

• Código usado para iniciar outros códigos maliciosos.

• Normalmente usa técnicas não tradicionais para obter acesso “stealth”.

Rootkit

• Malware que objetiva esconder a existência de outros malwares. • Normalmente combinado com o backdoor.

(8)

TIPOS DE MALWARE

Scareware e Ransomware

• Obriga a vítima a comprar algo (anti-vírus falso ou senhas de recuperação).

Spam-sending malware

• Utiliza a máquina para envio de spam.

Worms e Virus

• Códigos que objetivam a sua replicação e infecção de outros computadores.

(9)

ANÁLISE AUTOMATIZADA

(10)

ANÁLISE AUTOMATIZADA

Instalação:

• https://github.com/buguroo/cuckooautoinstall

• http://www.modern.ie/en-us/virtualization-tools#downloads • http://docs.cuckoosandbox.org/en/latest/installation/

(11)

VOLATILITY: PARTE 2

Plugins Importantes:

• imageinfo/kdbgscan • psxview • dlllist • dumpfiles • pslist • memdump • printkey • yarascan

(12)

VOLATILITY: PARTE 2

Ver ainda:

• https://code.google.com/p/volatility/wiki/CommandReference#Malware _and_Rootkits

(13)

ESTUDO DE CASO: DARK COMET

• DarkComet é uma ferramenta de acesso remoto (RAT), que foi desenvolvido por Jean-Pierre Lesueur (conhecido como DarkCoderSc), um programador independente da França.

• O DarkComet permite ao usuário controlar um sistema remoto com uma interface gráfica (GUI). Ele tem muitas características que permite que um usuário possa usá-lo de fato como ferramenta de administração remoto.

• No entanto, DarkComet possui também muitas características que podem ser usadas de forma maliciosa. Na prática, ele é comumente usado para espionar vítimas realizando capturas de tela e key-logging.

(14)
(15)

ESTUDO DE CASO: DARK COMET

Dump de memória:

• WIN-TTUMF6EI3O3-20140203-123134.raw

Ferramentas:

(16)

EXERCÍCIO

• Perguntas no site.

(17)

PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL

LABORATÓRIO DE

PERÍCIA DIGITAL

Referências

Documentos relacionados

O guincho foi concebido para elevação mas deve ser apenas uti- lizado de acordo com as instruções do fabricante.. O não cumpri- mento destas instruções pode conduzir

Os alunos matriculados nos cursos de graduação e de pós-graduação, portadores de afecções congênitas ou adquiridas, infecções, traumatismos ou outras condições

A ESHTI conta com docentes de dois níveis (Mestrado e Licenciatura) e duas categorias profissionais (Assistente Universitário e Assistente Estagiário). As actividades de

A Perícia Judicial é uma ferramenta utilizada pelo poder judiciário para obter informações técnicas que gerem convicção ao juiz para emitir a sentença sobre

As simulações bidimensionais foram feitas no HEC-RAS e consideraram dois cenários, a partir do evento chuvoso de 30 de maio de 2016: • O atual, para as condições naturais

(2007), após submeterem cavalos da ração Puro Sangue Inglês a exercício físico de alta intensidade, num percurso de 1800 metros, observaram significativo aumento dos valores

Quando a corrente da serra está preso na corte, não tente removê-lo pela força, mas usar uma cunha ou uma alavanca para abrir o corte.. - Protector