Segurança de Hosts - Aula 2

Prévia do material em texto

Segurança de Hosts
Aula 2: Introdução à Análise de Malwares - Parte 2
Apresentação
O processo de descobrir, analisar e entender o funcionamento de um malware pode ser bastante complexo e trabalhoso.
Se você deseja embarcar no universo particular da análise de Malware, é recomendável que tenha um per�l autodidata e
multidisciplinar, além de escolher e usar as ferramentas corretas.
 
Nesta aula, você vai conhecer os tipos de análise de malware e veri�car demonstrações de algumas ferramentas que
podem ser utilizadas nas análises.
Objetivos
• Averiguar os tipos de análise de malware;
• Reconhecer ferramentas para análise de malware.
Análise estática e dinâmica
Somente título e texto
A análise de malware, ou engenharia reversa, é uma das áreas da forense computacional. Nela, um malware é analisado para
determinar os seus procedimentos e ações realizados e quem pode ser responsável por isso.
Atenção
É importante saber qual foi o vetor inicial de infecção, ou seja, qual foi a origem da infecção por um determinado malware. Por
exemplo: abrir um link de uma página web maliciosa, abrir um anexo de e-mail com código malicioso, baixar arquivos infectados
usando programas de compartilhamento de arquivos ponto a ponto (P2P) etc.
A análise de malware pode ser estática ou dinâmica. Na análise estática, o código do malware é analisado sem executá-lo em
um sistema. Algumas técnicas utilizadas são:
Clique nos botões para ver as informações.
Fingerprint (impressão digital): é a obtenção de um hash criptográ�co do código, que poderá ser comparado com outros
hashes conhecidos para determinar se o código associado já foi visto antes;
Fingerprin 
Veri�cação de vários antivírus: não existe um antivírus “perfeito”, ou seja, que detecte todos os vírus existentes. Por isso,
uma boa prática é utilizar vários fornecedores de antivírus diferentes para veri�car um arquivo;
Veri�cação de vários antivírus 
Extração de string: os desenvolvedores de malware geralmente incluem endereços IP, mensagens de erro ou outros dados
codi�cados em texto não criptografado. A localização dessas strings pode ajudar na identi�cação de servidores de
comando e controle ou outros dados que possam indicar o objetivo do malware;
Extração de string 
Análise de metadados: analisa dados, como por exemplo o tempo de compilação, funções, cadeias, menus e ícones dos
aplicativos;
Análise de metadados 
Análise de empacotadores 
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-01
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-01
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-01
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-02
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-02
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-02
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-03
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-03
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-03
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-04
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-04
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-04
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-05
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-05
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-05
Análise de empacotadores: os malwares podem usar empacotadores para contornar os programas antivírus, usando
compactação ou criptogra�a, de modo a não deixar um hash de arquivo revelador. Conduzir uma análise estática em
malware compactado é difícil;
Desmontagem: reversão do código para visualizar o código Assembly.
Desmontagem 
Apesar de parecer mais trabalhosa que a dinâmica, a análise estática apresenta algumas vantagens, como a segurança de
examinar o código sem precisar executá-lo e uma melhor avaliação da intenção do arquivo malicioso. Exemplos de
desvantagens incluem a necessidade de ter o código na íntegra para obter os melhores resultados e o tempo gasto para
realizar esse tipo de análise.
Existem vários sites que fornecem exemplos de malware para treinamento e
pesquisa, como por exemplo o site https://malware-tra�c-analysis.net/
(acesso em: 23 jun. 2020). Antes da análise, isole adequadamente o sistema
de testes da rede e desligue o antivírus. É possível usar uma máquina virtual
para salvar e retomar estados desejados.
Existem várias ferramentas que podem ser aproveitadas para a análise estática. A combinação de ferramentas manuais e
automatizadas permite que um analista identi�que componentes do malware que devem ter foco adicional, além de identi�car
elementos especí�cos no aplicativo que são indicativos de malware, como o PeStudio e Remnux. Você poderá conferir uma
demonstração de uso do PeStudio no módulo 2.
 Análise Dinâmica
 Clique no botão acima.
Análise Dinâmica
Agora iremos passar para a análise dinâmica, na qual o malware em potencial é executado em um ambiente
controlado, para a observação dos seus comportamentos. Uma das vantagens desse método é possibilitar a remoção
das barreiras utilizadas pelos desenvolvedores de malware, como por exemplo criptogra�a e técnicas de ofuscação.
 
O objetivo da ofuscação é anonimizar os ciberataques, diminuir o risco de exposição e esconder o malware, alterando
a assinatura geral (hash) e a impressão digital (�ngerprint) do código malicioso, apesar de a carga útil (payload) ser
uma ameaça conhecida. Outra vantagem é o uso de ferramentas automatizadas em vez do processo manual e a
rapidez em comparação com a análise estática.
 
Existem duas categorias amplas de análise dinâmica:
 
• Análise de ponto de�nido
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-06
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-06
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#collapse01-06
javascript:void(0);
javascript:void(0);
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar1
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar1
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar1
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar1
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar1
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar1
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar1
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar1
Um sistema operacional de teste é con�gurado em um estado de produção ao vivo. De�ne-se um ponto inicial, no
qual algumas con�gurações, tais como chave do registro, processos e conexões de rede, são previamente
gravadas. Após a execução do malware suspeito no sistema, um novo ponto é de�nido e comparado com o
ponto inicial, podendo fazer uso de técnicas forenses, como por exemplo captura da memória antes e depois do
teste, visando comparar e identi�car comportamentos especí�cos do malware;
 
• Análise do comportamento em tempo de execução
O comportamento do malware suspeito em execução é analisado usando utilitários de análise e automatização
do processo de execução, dentro de um ambiente adequado (Sandbox).
A análise dinâmica é frequentemente facilitada usando uma Sandbox; a partir dela, faz-se o monitoramento do tráfego
de rede, exame de processos e comparações com o comportamento normal do sistema. Exemplos de ferramentas
são o Process Explorer e o Cuckoo Sandbox. Você poderá conferir uma demonstração de uso do Process Studio no
módulo 2.
 
A partir deste ponto, veri�caremos algumas ferramentas para as análises estática e dinâmica de malware.
 
Jamais executequalquer tipo de aplicativo suspeito sem estar dentro de um ambiente de testes controlado.
Os testes a seguir foram realizados usando uma máquina virtual Windows criada no VirtualBox. A criação de uma máquina
virtual constitui uma das possibilidades de uso de ambiente de testes.
Saiba mais
O download do VirtualBox pode ser feirto em : https://www.virtualbox.org/wiki/Downloads (acesso em: 23 jun. 2020).
Você pode salvar o estado da máquina virtual antes de iniciar os testes (ou fazer backup do arquivo relacionado ao “disco
rígido” virtual) e recuperar esse estado caso aconteça algum problema durante os testes. Também é importante isolar qualquer
comunicação com a rede e evitar outros usos que não sejam os testes de segurança (ex.: inserir dados pessoais e instalar
programas fora de contexto).
 
Para demonstrar uma análise estática, será utilizada o PeStudio, que é uma boa ferramenta para analisar arquivos do tipo
Portable Executable (PE), que é um formato usado no Windows (x86 e x64) para executáveis, códigos de objeto, DLLs, dentre
outros. Sua estrutura de dados contém as informações necessárias para que o carregador (loader) do Windows gerencie o
código executável agrupado. (INFOSEC, 2015)
Passo 1
Baixe o PeStudio no site:
https://www.winitor.com/ (acesso em: 23 jun. 2020);
Passo 2
Acesse o site
https:/malware-tra�c-analysis.net (acesso em: 23 jun. 2020;).
 https:/malware-traffic-analysis.net/ (acesso em: 23 jun. 2020). Fonte: autoria própria.
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
Passo 3
O diretório a ser acessado é o “2018-11-26 - Infection From Malspam Pushing Lokibot” (�gura 2), que é acessado pelo caminho
“My Technical Blog Posts” -> “2018”;
 Diretório “2018-11-26 - Infection From Malspam Pushing Lokibot”. Fonte: autoria própria.
Passo 4
Nesse diretório, existem três arquivos compactados. O Loki-Bot é um ladrão de informações que envia credenciais de login e
outros dados con�denciais, de um host infectado do Windows para um servidor. É comumente distribuído através de spam
malicioso (malspam);
 Dois tipos diferentes de cadeias de infecção para o Loki-Bot. Fonte: Adaptado de Sans, 2018
 Captura de tela do e-mail. Fonte: https://www.malware-traffic-analysis.net/2018/11/26/index.html. Acesso em: 23 jun. 2020.
Passo 5
Baixe o arquivo “2018-11-26-Lokibot-malspam-0654-UTC.eml.zip” e depois o descompacte, usando a senha padrão: infected;
 Senha padrão dos arquivos compactados no site. Fonte: autoria própria.
Passo 6
Abra o PeStudio (já é um executável; não precisa instalar). Com o programa aberto, dê o comando de abrir ou arraste o arquivo
descompactado “2018-11-26-Lokibot-malspam-0654-UTC.eml”, a partir da pasta do Windows até o PeStudio;
 Abertura do arquivo “2018-11-26-Lokibot-malspam-0654-UTC.eml”. Fonte: autoria própria.
Passo 7
Serão exibidos alguns atributos básicos do arquivo aberto;
 Atributos básicos do arquivo. Fonte: Autoria própria.
Passo 8
Os indicadores, como o próprio nome diz, indicam se o arquivo analisado é passível de ser considerado um malware ou não.
Na �gura 8, um dos indicadores é que esse arquivo de e-mail possui uma pontuação (score) dentro da base de dados do
serviço VirusTotal;
 Janela Indicators. Fonte: autoria própria.
Passo 9
A janela VirusTotal exibe informações do serviço homônimo gratuito (subsidiário da Google), de agregação online de vários
programas antivírus, ferramentas de análise de arquivos similares, oferecendo ao usuário a identi�cação de quais ferramentas
são capazes de detectar um determinado de conteúdo malicioso;
 Janela VirusTota. Fonte: autoria própria.
Passo10
Experimente baixar o arquivo “2018-11-26-malware-from-Lokibot-infection.zip”. Descompacte os dois arquivos compactados
em sequência, e abra no PeStudio o executável “scan001_2670170.exe” (�gura 10). Atenção: jamais execute qualquer tipo de
aplicativo suspeito sem estar dentro de um ambiente de testes controlado;
 Abertura do arquivo “scan001_2670170.exe”.. Fonte: autoria própria.
Passo11
Na janela Strings (�gura 11), as sequências de bytes que puderem ser lidas como caracteres ASCII serão colocadas aqui. É útil
para buscar cadeias de caracteres legíveis, como por exemplo nomes de arquivos ou endereços de sites, que podem indicar o
que veremos quando o aplicativo for executado. Além disso, o fato de eventualmente existir uma pequena quantidade de
strings legíveis pode indicar que o aplicativo está sendo ofuscado;
 Janela Strings. Fonte: Autoria própria.
Para análise dinâmica, usaremos o Process Explorer, que pode ser baixado na URL: https://technet.microsoft.com/en-
us/sysinternals/processexplorer.aspx. Uma vez executado, ele aparecerá assim:
 Process Explorer. Fonte: autoria própria.
Um teste que pode ser feito caso o usuário suspeite que um determinado processo de aplicativo em execução na lista pode ser
um malware: depois de localizado o processo dentro da lista, clique com o botão direito nesse processo e submeta o seu hash
ao VirusTotal (“Check VirusTotal”).
O resultado da análise é retornado com o número de ocorrências encontrados para o elemento selecionado na lista. Maiores
detalhes dessa análise podem ser checados ao clicar com o botão do mouse em cima desse resultado, quando um relatório na
web será aberto e exibido.
 Detalhes de uma análise de processo de aplicativo realizada pelo VirusTotal a partir do Process Explorer. Fonte: autoria própria
Você também pode realizar o dump (despejo) do estado da memória em um
determinado momento, para poder vasculhar o sistema à procura de
processos suspeitos. Uma ferramenta que pode ser utilizada para analisar
os arquivos resultantes de dump é o Volatility, construído na linguagem
Python.
 Demonstração
 Clique no botão acima.
Demonstração
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar2
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar2
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar2
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar2
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar2
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar2
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar2
https://stecine.azureedge.net/webaula/estacio/go0420/aula2.html#complementar2
Caso não tenha o Python na máquina, faça o download da versão 2.7 na página disponível em: https://www.python.org
/downloads/ (acesso em: 23 jun. 2020), conforme ilustra a �gura 15, e proceda com a instalação (nesse exemplo, foi
feito o download do instalador “Windows x86-64 MSI installer”).
Baixe o arquivo zip do Volatility na página disponível em: https://github.com/volatilityfoundation/volatility.
 Download do Python. Fonte: autoria própria.
 Download do Volatility. Fonte: autoria própria.
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
Agora baixe o dump de uma máquina que estava executando o malware Cridex, acessando a página disponível em:
https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples (acesso em: 23 jun. 2020; �gura 17).
Descompacte em seguida. Será exibido o arquivo “cridex.vmem”. Os arquivos VMEM podem ser gerados pelo software
de virtualização de sistemas operacionais VMWare (uma ótima opção ao VirtualBox) e geralmente armazenam a
memória física, ou RAM, da máquina virtual relacionada.
Abra o prompt de comando do Windows: Iniciar -> (Digitar cmd).
 Download do dump. Fonte: autoria própria.
javascript:void(0);
javascript:void(0);
Descompacte o arquivo zip do Volatility. Uma maneira rápida de executar o programa é acessar o diretório
descompactado e arrastar o ícone “vol.py” direto para o prompt.
 Acesso ao prompt de comando. Fonte: autoria própria.
Agora você irá digitar o comando:volatility -f cridex.vmem imageinfo
Na digitação mais “rápida” arrastando os ícones dos arquivos para o prompt, dentro da máquina virtual de testes, a
linha de comando �cou da seguinte maneira (troque os caminhos dos arquivos para aqueles nos quais você
descompactou os arquivos):
C:\Users\Teste\Downloads\volatility-2.6.1\volatility-2.6.1\vol.py -f
C:\Users\Teste\Downloads\cridex_memdump\cridex.vmem imageinfo
Você usará toda vez que não tiver certeza de que tipo de sistema Windows veio o dump. Isto fornecerá per�s
sugeridos para usar nessa imagem. O KDBG é uma estrutura mantida pelo kernel do Windows para �ns de depuração,
que contém uma lista dos processos em execução e dos módulos do kernel carregados, além de informações de
versão que possibilitam determinar se um dump veio de um sistema Windows XP ou Windows 7, qual Service Pack
instalado e qual o modelo de memória (32 bits, 64 bits). Pela saída dada no prompt (�gura 20), o per�l do sistema
operacional a ser usado é o (--pro�le=WinXPSP2x86).
 Acesso ao prompt de comando. Fonte: autoria própria.
Um comando para mostrar os processos em execução é:
volatility -f cridex.vmem --pro�le=WinXPSP2x86 pslist
Pela saída na tela, existe um processo suspeito, chamado “reader_sl.exe”.
 Sugestão de perfis de uso, relacionados ao sistema operacional à qual a imagem se refere. Fonte: autoria própria.
Saiba mais
Existem outros comandos que podem ser realizados. Uma sugestão de guia rápido para que você descubra mais está disponível
em https://digital-forensics.sans.org/media/volatility-memory-forensics-cheat-sheet.pdf .
Outra ferramenta excelente se chama Mimikatz, que demonstra na prática, por exemplo, o exploit do LSASS - Microsoft
Windows Local Security Authority Subsystem Service (Serviço de Subsistema da Autoridade de Segurança Local do Microsoft
Windows), sendo capaz de despejar informações de login da conta, incluindo senhas de texto não criptografado armazenadas
na memória do sistema.
A ferramenta também demonstra outras vulnerabilidades, que podem ser
exploradas por um malware. Você pode baixar a última versão no endereço
https://github.com/gentilkiwi/mimikatz/releases/latest .
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
 Processos em execução no momento da realização do dump. Fonte: autoria própria.
 Página de download e tela de execução do Mimikatz. Fonte: autoria própria.
Considerações Finais
Nesta aula, você viu uma breve introdução aos tipos de análises de malware e ferramentas possíveis de serem utilizadas.
Dentro dessas ferramentas, existem muitas outras possibilidades para serem exploradas, e elas levarão você a descobrir outras
ferramentas e absorver mais conhecimento sobre o assunto.
Notas
Título modal 1
Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográ�ca e de impressos.
Título modal 1
Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográ�ca e de impressos.
CERT.BR. Cartilha de Segurança: Códigos Maliciosos (Malware). 2017. Disponível em: https://cartilha.cert.br/malware/. Acesso
em: 23 jun. 2020.
 
INFOSEC. Malware Researcher’s Handbook (Demystifying PE File). Disponível em: https://resources.infosecinstitute.com/2-
malware-researchers-handbook-demystifying-pe-�le/#gref. 2015. Acesso em: 23 jun. 2020.
JOHANSEN, Gerard. Digital Forensics and Incident Response. Packt Publishing Limited, 2017. 
MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hackers Expostos 7: segredos e soluções para a segurança de redes.
Porto Alegre: Bookman, 2012.
 
SANS ISC INFOSEC FORUMS. Three examples of malspam pushing Loki-Bot malware. 2018. Disponível em:
https://isc.sans.edu/forums/diary/3+examples+of+malspam+pushing+LokiBot+malware/23317/. Acesso em: 23 jun. 2020.
Próxima aula
• Segurança dos hosts (end-points).
Explore mais
Estude mais pesquisando na internet:
• Forward Defense. Windows Memory Analysis with Volatility. Disponível em: https://www.forwarddefense.com
/pdfs/Memory-Analysis-with-Volatility.pdfAcesso em: 23 jun. 2020.
• PeStudio. Disponível emhttps://www.winitor.com/referencesAcesso em: 23 jun. 2020.
• Rob Pantazopoulos. Loki-Bot: InformationStealer, Keylogger, & More! Disponível em0https://www.sans.org/reading-
room/whitepapers/malicious/loki-bot-information-stealer-keylogger-more-3785Acesso em: 23 jun. 2020.
• Volatility Memory Forensics Cheat Sheet. Disponível em: https://digital-forensics.sans.org/media/volatility-memory-
forensics-cheat-sheet.pdfAcesso em: 23 jun. 2020.
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);