webinar # 17 – análise de malware em forense computacional
DESCRIPTION
http://www.blog.clavis.com.br/webinar-17-analise-de-malware-em-forense-computacional/ Qual foi o objetivo deste novo webinar da Clavis Segurança da Informação? Este Webinar apresentou algumas das técnicas para análise de malware, incluindo análise de strings, unpacking e análise do tráfego de rede. Os ouvintes aprenderam a adequar o ambiente de avaliação conforme demandado pelo código malicioso. Como demonstração, foi apresentado a análise do malware Slackbot. Veja mais sobre o curso Análise de Malware em Forense Computacional(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/analise-de-malware-em-forense-computacional/). Este é um dos inúmeros assuntos abordados na Formação de 100 horas — Perito em Análise Forense Computacional — Academia Clavis Segurança da Informação(http://www.blog.clavis.com.br/formacao-de-100-horas-perito-em-analise-forense-computacional-academia-clavis-seguranca-da-informacao/). Quem ministrou o Webinar? Davidson Rodrigo Boccardo é Doutor em Engenharia Elétrica pela Universidade Estadual Paulista (UNESP) com período sanduíche no Center for Advanced Computer Studies da University of Louisiana at Lafayette. Atualmente é pesquisador no Instituto Nacional de Metrologia, Qualidade e Tecnologia, e tem atuado nos seguintes temas: engenharia reversa, análise de software/malware, ofuscação de software, incorruptibilidade de software e marca d’água em software. Este Webinar foi realizado com a mesma infraestrutura de um treinamento EAD da Academia Clavis(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/). É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.TRANSCRIPT
Introdução
• Avaliar as ameaças de um malware
• Erradicar infecções
• Fortalecer suas defesas
• Realizar análise forense
• Construir um ferramental para análise
Análise de malware
• 2 fases
• Análise comportamental
• Análise de código
• Buscar a maior quantidade de informações através da
análise comportamental
• Execução em ambiente controlado
• Monitoramento das interações
• Criação de estímulos
• Preencher possíveis brechas que sobraram através da
análise de código
Motivação para análise
• Comportamento não usual de uma estação de trabalho
• Conexões de entrada para a porta TCP 113
• Conexões de saída para a porta TCP 6667
• Processo estranho em execução
• Antivírus não detecta nenhum código malicioso
Preparação do ambiente
• Utilizaremos o Vmware
• Emula hardware Intel (Windows, Linux, etc)
• Possui recursos de rede (ex. DHCP)
• Permite isolamento de rede
• Host-only
• Máquinas virtuais interagem com o host de uma
maneira limitada
• Recursos de snapshot
Preparação do ambiente
Análise de strings
• Permite revelar:
• Nomes de arquivo
• Nomes de hosts
• Chaves de regitros
• Permite verificar:
• Se o código está ofuscado
Packing
• Processo de esconder um código em outro executável
• Inserção de uma rotina de unpacking
• Embarca o código como dados
• Código é criptografado e compactado
• Dificulta a análise do código e de seu comportamento por
ferrmentas de engenharia reversa
Demonstração
Malware Slackbot
Análise de strings
Unpacking
Análise de strings
Análise do tráfego rede
• Executar Wireshark
• Ctrl+E para iniciar a captura
• Execute o malware por um determinado tempo
• Ctrl+E para interromper a captura
Análise do tráfego rede
Modificação do ambiente
...\system32\drivers\etc\hosts 192.168.13.128 => malware.clavis.com.br
Análise do tráfego de rede
Modificação do ambiente
• Com cada experimento, vamos entendendo o que o
malware precisa e moldamos o ambiente para que o
malware consiga interagir como se tivesse executando no
mundo real
• Vamos fazendo isso, passo a passo, para que tenhamos
uma visão controlada do comportamento do malware
• Vamos então iniciar um servidor de IRC através do
comando ircd start
• Comandos IRC (/join #canal, /leave, /list, /quit )
Análise do tráfego de rede
Análise do tráfego de rede
Análise do tráfego de rede
Análise do tráfego de rede
Ofuscação de strings
• Métodos simples de ofuscar strings dentro do executável
• XOR (exclusive OR)
• ROL (rotate left)
• ROR (rotate right)
• XorSearch
• http://blog.didierstevens.com/programs/xorsearch
Revelação de strings importantes
Autenticação e controle
Autenticação e controle
