Análise de Malware - Aula 2

Prévia do material em texto

Análise de Malwares
Aula 2: Análise Estática e Dinâmica Básica
Apresentação
Após consolidados os conceitos mínimos necessários, abordaremos as técnicas básicas utilizadas para fazer uma análise
estática e dinâmica e�caz.
Veremos, também, formas seguras para execução de artefatos maliciosos.
Objetivo
• Identi�car as técnicas de análise de estáticas básicas;
• Explicar os conceitos de uma máquina virtual;
• Identi�car as técnicas de análise de dinâmicas básicas.
Análise básica
Começamos nossa jornada da análise de malware com análise estática, que normalmente é a primeira etapa no estudo de
malware. Essa análise descreve o processo de análise do código e da estrutura de um programa para determinar seu �uxo e
suas intenções.
O programa em si não é executado neste momento, isso ocorrerá
durante a análise dinâmica.
Técnicas de análise estática básica
Apresentaremos algumas formas de extrair informações úteis de executáveis, discutindo as seguintes técnicas:
Uso de antivírus para veri�cação
do binário.
Uso de algoritmos de hashes para
identi�cá-lo.
Coleta de informações usando
ferramentas e leitura do cabeçalho.
Como já vimos em outra ocasião, cada técnica pode fornecer informações diferentes como pequenas peças de um quebra-
cabeça. Cabe ao analista juntá-las e montar o cenário propício para as respostas desejadas.
Antivírus
O primeiro passo ao analisar um artefato suspeito é executar uma checagem por meio de antivírus; alguém já pode ter feito o
trabalho manual e catalogado o referido malware.
Atenção
Porém, cabe a ressalva de que não se trata de uma solução perfeita; não se pode a�rmar que um binário é legítimo unicamente
porque não foi reconhecido por um software de antivírus comercial.
 O antivírus se baseia na assinatura de arquivos e em análises comportamentais.| Fonte: TheDigitalArtist / Pixabay.
De maneira geral, o antivírus se baseia em dois aspectos:
Clique nos botões para ver as informações.
Tais programas dependem, de maneira geral, de um banco de dados de funções e ações maliciosas de códigos suspeitos
já conhecidos, que chamaremos de assinaturas de arquivos.
Assinatura de arquivos 
Outro ponto é que os antivírus baseiam-se em análises comportamentais e de correspondência de padrões, as chamadas
heurísticas, para identi�car arquivos suspeitos.
Análises comportamentais 
Vejamos alguns aspectos que são pontos de atenção em relação ao antivírus:
Tempo limitado
O antivírus tem um tempo limitado para realizar um teste em um novo arquivo, bem como um tempo e
recurso limitado para dar uma resposta satisfatória ao usuário.
Desatualização
Um grande calcanhar de Aquiles dessa solução é a facilidade dos atacantes em modi�car seu código,
alterando assim a assinatura de seu programa e criando um artefato completamente novo, que muitas
vezes não é detectado pelo software de antivírus, pois simplesmente não está no banco de dados.
Heurística contornável
Por �m, a heurística, embora muitas vezes bem-sucedida na identi�cação de código malicioso
desconhecido, pode ser contornada por meio de sistemas de proteção a análises.
E�cácia relativa
Cada sistema de antivírus funciona de uma forma diferente, analisando o binário com uma heurística
distinta e com diversas assinaturas. Portanto, é útil analisar o artefato em vários programas antivírus
diferentes.
Dica
Para não obrigar a sua empresa a comprar diversas soluções diferentes, existem sites como o VirusTotal
(http://www.virustotal.com/), que permitem que você carregue um arquivo para varredura por vários mecanismos antivírus.
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-01
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-01
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-01
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-02
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-02
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-02
javascript:void(0);
javascript:void(0);
Atenção
Muito cuidado, não existe almoço grátis. Se o produto oferecido é grátis, a empresa tem outra fonte de renda. Portanto, em
hipótese alguma submeta arquivos sensíveis a esses sites, pois você estará expondo sua empresa.
Se não for o caso de informação sensível, esse tipo de solução é bastante útil.
O VirusTotal, por exemplo, gera um relatório que fornece o número total de mecanismos que marcaram o arquivo como
malicioso, o nome do malware e, se disponível, informações adicionais.
Figura 1 - Site do VirusTotal
 Fonte: VirusTotal (2020).
Hashing
O hash é um método comum usado para identi�car qualquer tipo de arquivo de forma exclusiva. Um algoritmo hash é uma
função que converte uma sequência de dados em uma saída numérica hexadecimal de comprimento �xo. O artefato é
submetido a essa função, que produz uma sequência exclusiva identi�cando o mesmo, uma espécie de impressão digital.
Comentário
Existem casos em que pode haver colisões da saída do hash, porém são raros.
Existem diversos tipos de funções hash; para nosso estudo de caso, utilizaremos a função Message-DigestAlgorithm 5 (MD5).
Por meio do programa certutil, disponível gratuitamente e que acompanha o Windows 10, calculamos o hash do programa
calc.exe, também disponível no Windows:
sintaxe: certutil -hash�le<arquivo a ser processado><tipo de algoritmo>
comando: certutil -hash�le C:\Windows\System32\calc.exe md5
Figura 2 - Hash Calc.exe
 Fonte: o Autor.
O hash MD5 de calc.exe é: 5da8c98136d98dfec4716edd79c7145f.
De posse desse valor único é boa prática que o artefato seja identi�cado por ele, e que seu valor seja compartilhado com
outros analistas para futuras referências, bem como seja feita uma busca online pelo hash para veri�car se tal artefato já foi
identi�cado.
Strings
Uma string é uma sequência de caracteres. Um programa contém strings se:
1
Contiver uma mensagem a ser impressa.
2
Conectar a uma URL ou, ainda.
3
Copiar um arquivo para um local especí�co.
Tais sequências deverão estar guardadas dentro do artefato. Pesquisar por essas informações pode ser uma maneira simples
de obter dicas sobre a funcionalidade de um programa.
Saiba mais
Você pode usar o programa Strings para pesquisar em um executável por qualquer sequência de caracteres, normalmente
armazenadas em formato ASCII ou Unicode.
O uso da ferramenta é bem simples: Ao abrir um terminal, basta digitar o seguinte comando:
sintaxe: strings.exe <opções><binário a ser analisado>
O Strings procura em um executável por strings ignorando o contexto e a formatação, a �m de detectar strings em um arquivo
inteiro. Por padrão, Strings procura uma sequência de três letras ou mais de caracteres, seguidos por um caractere de
terminação de string (byte nulo).
javascript:void(0);
javascript:void(0);
Figura 3 - Strings Calc.exe
 Fonte: o Autor.
comando: strings.exe -n 10 c:\Windows\System32\calc.exe
Realizando o comando com a opção -n 10, ou seja, tamanho mínimo da cadeia de 10 caracteres, podemos ver diversas
informações: Nomes de funções, nomes de bibliotecas importadas e nomes de seções. Essas informações auxiliarão o
analista durante sua investigação.
Comentário
A notação ASCII utiliza apenas 1 byte por caractere; já a notação Unicode utiliza 2 bytes. Em algumas situações, isso pode ser um
fator decisivo para o sucesso de uma análise. O programa strings já realiza buscas tanto em ASCII quanto em Unicode.
Artefatos maliciosos geralmente usam compactação ou ofuscação para
tornar seus arquivos mais difíceis de serem analisados. Programas
ofuscados são aqueles em que se tenta ocultar sua execução e programas
compactados (ou empacotados); são um subconjunto de programas
ofuscados nos quais o artefato é compactado e sua análise �ca prejudicada.
Ambas as técnicas limitarão a análise estática do artefato.
Figura 4 - Programa original e Programa empacotado
 Fonte: o Autor.
Ao executar um programacompactado, uma pequena rotina desempacotadora é executada para tornar o binário legível na
memória. Portanto, podemos concluir que, ao analisar esse tipo de programa estaticamente, apenas esse pequeno trecho será
legível. Essa é uma das técnicas de anti-análise que abordaremos mais adiante.
Saiba mais
A ferramenta PeiD auxilia na detecção de arquivos empacotados0 Podemos usar o PeiD para detectar o tipo de empacotador ou
compilador empregado para construir um aplicativo, facilitando a análise do arquivo.
Figura 5 - Uso do PeiD para detecção de empacotamento
 Fonte: Peid (2020).
Indicadores de compromentimento (IoC)
Indicadores de comprometimento (IoC), segundo a Microsoft, são eventos mal-intencionados conhecidos que indicam que
uma rede ou um dispositivo já foi violado. Ao contrário de de�nições de alerta, esses indicadores são considerados como
evidência de uma violação. Muitas vezes, eles são vistos depois que um ataque já foi executado e o objetivo foi atingido, como
roubar os dados.
javascript:void(0);
javascript:void(0);
Monitorar os IOCs também é importante durante as investigações forenses. Embora ele não possa fornecer a capacidade de
intervir em uma cadeia de ataque, coletar esses indicadores pode ser útil na criação de defesas melhores para possíveis
ataques futuros.
Durante as análises é vital a descoberta e o registro de todos os IoC; assim será possível criar um conjunto de informações que
culminarão em assinaturas a serem incorporadas nos sistemas de controle da rede. Tais assinaturas servirão de subsídios para
geração de alertas para futuras invasões.
Outras ferramentas de análise
PEview
Outra ferramenta fundamental para o analista é o PEview. Por meio dela é possível veri�car a estrutura e o conteúdo não só de
arquivos executáveis mas de DLL (Dynamic Link Library) e outros arquivos do tipo.
Uma DLL é uma biblioteca com funções que podem ser acessadas por outros programas do computador, pois ela exporta a
função implementada.
Dependency Walker
A ferramenta Dependency Walker é utilizada para mostrar todas as dependências importadas e utilizadas pelo artefato. Ela não
apenas informa as bibliotecas como também disponibiliza as funções importadas pelo binário, auxiliando no entendimento do
comportamento do artefato através das chamadas do sistema.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Análise de malware em máquinas virtuais
Antes de executar qualquer artefato para realizar análises dinâmicas, devemos con�gurar um ambiente seguro.
Por quê?
Os malwares recentes podem ser cheios de surpresas; executá-lo em uma
máquina de produção pode tornar-se o vetor de infecção de outras
máquinas na rede.
Um ambiente seguro permitirá que você investigue o malware sem expor sua máquina,ou outras máquinas na rede, a riscos
inesperados e desnecessários.
Para con�gurar um ambiente seguro, podemos usar máquinas físicas ou virtuais dedicadas para estudar artefatos com
segurança. O malware pode ser analisado usando máquinas físicas individuais em redes isoladas com máquinas
desconectadas da Internet ou de qualquer outra rede para evitar que o mesmo se espalhe.
Máquina virtual
As máquinas virtuais são como um computador dentro de um computador.
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
Figura 6 - Componentes de uma máquina virtual
 Fonte: SIKORSKI (2012).
Entre as vantagens desse modelo estão:
Clique nos botões para ver as informações.
Um sistema operacional convidado em uma máquina virtual é instalado e funciona de forma isolada dentro do sistema
operacional da máquina física. Portanto, em tese, o artefato malicioso executado em uma máquina virtual não pode
prejudicar o sistema operacional principal.
Sistema operacional livre de risco 
Outra grande vantagem da máquina virtual são os “snapshots”, em que se tira uma fotogra�a do estado atual da máquina
e pode-se retornar a ela quando for da vontade do usuário. Logo, se um malware dani�car a máquina virtual, você pode
simplesmente reinstalar o sistema operacional na máquina virtual ou recuperar seu estado.
Snapshots 
Por outro lado, a máquina virtual conta possui as seguintes desvantagens:
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-03
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-03
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-03
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-04
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-04
https://stecine.azureedge.net/webaula/estacio/go0682/aula2.html#collapse01-04
Ausência de conexão com a
internet
Muitos arquivos maliciosos dependem de
uma conexão ativa para atualizações,
comando, controle e outros recursos e, por
isso, não se manifestam em ambientes
virtualizados. Contudo, podemos utilizar
alguns artifícios para minimizar essa
desvantagem ocasionada por alguns
artefatos protegidos em relação à análise.

Exigência de um computador
de alto nível
Outra desvantagem é a exigência de um
bom equipamento para suportar mais de
uma máquina ao mesmo tempo.
Con�guração da máquina virtual
• Software e instalação
Não fará parte dessa aula a escolha do virtualizador ou a instalação passo a passo de uma máquina virtual. Existem diversas
opções para tal, sendo as soluções mais comuns Virtual Box e VMWare, �cando a critério do analista a escolha do software
que mais se ajuste à necessidade.
Outro ponto importante é a instalação das máquinas virtuais. O sistema operacional Windows é protegido por licença, o que
impossibilita seu download indiscriminado na internet.
Dica
A própria Microsoft disponibiliza uma versão para desenvolvedor em seu site com uma licença de 90 dias para testes. Seu
conteúdo pode ser acessado em: https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
As con�gurações da máquina devem ser ajustadas para que o usuário tenha uma boa experiência. Além disso, a máquina
virtual, como já vimos, exige bom equipamento, capaz de suportar mais de uma máquina ao mesmo tempo.
• Adaptadores de rede
Existe, porém, um ponto muito importante a ser discutido: Adaptadores de rede. Ao criar uma máquina virtual, três opções
básicas surgem ao usuário: Modo Bridge, modo NAT e modo Host-Only.
javascript:void(0);
javascript:void(0);
1
Bridge (túnel)
A máquina virtual se torna parte da mesma rede que a
máquina física, recebendo um IP na mesma faixa. De
semelhante forma, é enxergada pelo roteador de sua casa
como mais um dispositivo físico.
2
NAT
A máquina física mascara todas as atividades da máquina
virtual e funciona como um roteador, retransmitindo todas as
requisições. Se a máquina física possuir internet, a máquina
virtual também terá.
3
Host-Only
Permite conexão apenas entre a máquina virtual e a máquina
física. É possível con�gurar outras máquinas virtuais do
mesmo modo e permitir comunicações entre elas e a máquina
física, sem qualquer acesso à internet.
Atenção
A máquina de análise de artefatos sempre deve ser con�gurada em modo Host-Only.
Análise dinâmica básica
Como já sabemos, a análise dinâmica é a investigação realizada após a execução do artefato a �m de veri�car seu
comportamento. É considerada a segunda etapa do processo de análise, pois é realizada após a completude das técnicas de
análise estáticas disponíveis.
Podemos monitorar o comportamento do malware enquanto ele é executado ou pode ser feito um exame do sistema após a
sua execução, veri�cando as mudanças executadas e como o sistema foi afetado.
Nessa fase, as hipóteses levantadas durante a análise estática são con�rmadas ou refutadas, pois a simples existência de uma
função em um binário não signi�ca que ela será executada. A análise dinâmica é a maneira mais e�ciente de identi�car a
funcionalidade e os propósitos do artefato.
Exemplo
Por exemplo, se o malware for um keylogger, a análise dinâmica pode permitir que você localizeo arquivo usado para guardar as
informações digitadas em algum local no sistema. É possível veri�car os tipos de registros que ele mantém e, ainda, descobrir
para onde suas informações são enviadas.
Esse tipo de percepção seria mais difícil de obter usando apenas técnicas estáticas básicas.
SandBox
De�nições
Vejamos as de�nições de uma sandbox:
• É um mecanismo de segurança para executar programas não con�áveis em um ambiente seguro, sem necessidade de
grandes precauções para não prejudicar sistemas “reais”.
• É um ambiente virtualizado que muitas vezes simula serviços de rede de alguma forma para garantir que o artefato
testado funcione normalmente e realize todas as suas operações, gerando um relatório com todas as atividades
realizadas.
Saiba mais
Existem diversas opções disponíveis no mercado, inclusive de forma gratuita. Uma sandbox disponível e bastante utilizada pela
comunidade é a HybridAnalysis. Existe um plano pago com mais opções e um maior acesso, mas por ora o plano grátis nos
atenderá.
Ao acessar o site, podemos enviar nossa amostra e escolher o sistema operacional a ser testado: Windows, Linux e Android.
Depois, preenchemos os dados para recebimento do relatório e seu arquivo vai para uma �la para ser analisado. Caso ele já tenha
sido enviado, você já terá acesso ao relatório com os indicadores analisados.
Nunca submeta a ferramentas gratuitas arquivos com informações
sensíveis.
Desvantagens
Os sandboxes possuem algumas desvantagens importantes:
01
Não há possibilidade de executar o arquivo suspeito por meio da linha de comando, passando qualquer tipo de
argumento, por exemplo. Isso limita as possibilidades pois, nos casos em que o artefato é acionado por linha de
comando, não funcionará em uma sandbox padrão.
02
Além disso, nos casos em que a parte maliciosa apenas se manifesta após algum tempo, as sandboxes podem deixar
de analisar essa parte.
Execução do malware
Após tomadas todas as precauções já citadas, é hora de executar o artefato. Embora possa parecer simples executar um
binário clicando duas vezes ou executando-o via linha de comando, pode ser complicado iniciar DLLs maliciosas, pois o
Windows não possui uma forma direta para executá-las.
Abordaremos uma maneira de iniciar DLLs para poder realizar a análise dinâmica. O programa rundll32.exe está incluído em
todas as versões modernas do Windows e fornece um contêiner para executar uma DLL usando a seguinte sintaxe:
javascript:void(0);
javascript:void(0);
rundll32.exe DLLname, Export argumentos
Toda DLL exporta uma função e podemos veri�car seu nome por meio da ferramenta PEview na tabela de exportação. Vejamos
o exemplo a seguir.
Exemplo
João Wannacry veri�cou que havia uma dll estranha chamada resgate.dll e, ao analisá-la via PEview, percebeu que existiam duas
funções de exportação: Criptografar e descriptografar.
Curioso, João procurou na internet como executar a função de uma DLL, executando o seguinte comando: c:\>rundll32.exe
resgate.dll, descriptografar.
Nada aconteceu, então ele executou c:\>rundll32.exe resgate.dll, criptografar.
Imediatamente, todos os arquivos de sua máquina começaram a ser criptografados e, após um tempo, surgiu uma mensagem na
tela cobrando um resgate para recuperação dos mesmos. Isso aconteceu porque João realizou a execução em um ambiente que
não era seguro.
Monitoramento
Process Monitor
O Process Monitor, ou procmon, é uma ferramenta de monitoramento avançada para Windows que fornece uma maneira de
monitorar certos registros, sistemas de arquivos, redes, processos e a�ns.
Embora o procmon capture muitos dados, ele não captura tudo. Ele
pode perder algumas atividades maliciosas ocultadas por rootkits e
chamadas de grá�cas. Mesmo sendo uma ferramenta útil, geralmente
não é utilizado para registrar a atividade da rede, pois não funciona de
forma consistente no Windows.
O Procmon monitora todas as chamadas de sistema durante o seu funcionamento. Como existem muitas chamadas de
sistema em uma máquina Windows, às vezes mais de 50.000 eventos por minuto, geralmente é impossível examinar todas
elas. Para isso, utilizamos o �ltro disponível para mostrar apenas determinadas operações que nos interessam. Ele fornece as
seguintes informações por padrão:
javascript:void(0);
javascript:void(0);
1
Registro
Ao examinar as operações de registro, você pode saber como
um malware se instala no mesmo.
2
Sistema de arquivos
Explorar a interação do malware com o sistema de arquivos
pode revelar todos os arquivos criados, acessados e/ou
modi�cados.
3
Atividade do processo
A investigação da atividade do processo pode dizer se o
malware gerou processos adicionais.
4
Rede
A identi�cação de conexões de rede pode mostrar a porta e o
host que o malware está usando para se comunicar.
Process Explorer
O Process Explorer é outra ferramenta útil para analisar os processos que estão em execução na memória, organizando-os em
forma de árvore e mostrando a hierarquia entre eles. Além disso, pode mostrar todas as DLL que foram carregadas na memória
ao clicar na propriedade do processo.
Outra informação útil é a possibilidade de comparação de cadeia de caracteres da imagem estática do binário com as
informações carregadas em memória. Essa opção mostra a diferença criada por um empacotador; em memória, todos os
caracteres são revelados.
Regshot
Regshot é uma ferramenta de comparação de registro que permite tirar e comparar duas fotogra�as do registro. Seu uso é
simples:
 Fonte: O autor.
Wireshark
Uma aplicação capaz de interceptar e analisar pacotes de rede é essencial ao analista. Usaremos o Wiresharkpara esse �m,
uma plataforma de código aberto que recebe diversas atualizações e plugins da comunidade, fornecendo visualização, análise
de �uxo de pacotes e análise aprofundada de pacotes individuais.
O Wireshark pode ser usado tanto para o bem quanto para o mal:
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
Depurar problemas
Pode ser usado para analisar o tráfego de
redes internas, a �m de depurar problemas
de aplicativos e estudar protocolos em
execução. 
Detectar senhas
Também pode ser usado para detectar
senhas, fazer engenharia reversa de
protocolos de rede, roubar informações
con�denciais e capturar conversas
trafegando nas redes vizinhas.
Comentário
O Wireshark irá nos ajudar a entender como o artefato malicioso realiza a comunicação de rede, interceptando os pacotes
enquanto se comunica (ou enquanto tenta se comunicar). Para isso, basta conectar-se à Internet ou simular uma conexão, iniciar
a captura de pacotes com o Wireshark e, por �m, executar o malware.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Falsi�cação de rede
O artefato geralmente tenta se comunicar com um servidor de comando e controle, ou tenta fazer download de outro arquivo
malicioso. Para isso, podemos criar uma rede falsa e obter rapidamente indicadores de rede, sem realmente se conectar à
Internet. Esses indicadores podem incluir nomes DNS, endereços IP e assinaturas de pacote.
Para falsi�car uma rede com sucesso, devemos evitar que o malware perceba que está sendo executado em um ambiente
virtualizado. Ao combinar as ferramentas discutidas aqui com uma con�guração de rede de máquina virtual sólida, você
aumentará muito suas chances de sucesso.
Como isso deve ser feito?
REMnux
O REMnux é um sistema operacional personalizado criado para auxiliar a análise de malware e engenharia reversa e nós
utilizaremos essa distribuição.
Por que utilizar um sistema operacional?
INetSim
Existe uma ferramenta fantástica criada para simular serviços comuns de Internet: INetSim, um pacote de software gratuito
baseado em Linux.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);
01
O INetSim é a ferramenta gratuita mais fácil e ágil para fornecer serviços falsos, permitindoque você analise o
comportamento de rede dos artefatos emulando serviços como HTTP, HTTPS, FTP, IRC, DNS, SMTP e outros. Por meio
de um comando simples, as portas são de�nidas por padrão mas podem ser modi�cadas facilmente.
02
Alguns dos melhores recursos do INetSim são integrados à simulação de servidor HTTP e HTTPS. Por exemplo, o
INetSim pode fornecer qualquer arquivo solicitado. No caso de um malware solicitar um JPEG de um site para
continuar sua operação, o INetSim responderá com um JPEG formatado corretamente, de forma automática.
03
Embora essa imagem possa não ser o arquivo que o artefato esteja procurando, o servidor não retorna um erro 404,
ou outro erro, e sua resposta, mesmo que incorreta, pode manter o artefato em execução.
04
O INetSim também pode registrar todas as solicitações e conexões de entrada, algo bastante útil para determinar se a
atividade é legítima,se está se conectando a um serviço padrão ou para registrar as solicitações ilegítimas para futura
análise. Por ser extremamente con�gurável, é possível de�nir a página ou o item retornado após uma solicitação.
Exemplo
Por exemplo, ao veri�car que o malware está procurando uma página da web especí�ca antes de continuar a execução, o INetSim
fornece a página.
Atividade
1. A análise estática consiste em veri�car o conteúdo do código e da estrutura de um programa para determinar seu �uxo. Nessa
primeira etapa levanta-se alguns IoC (Índices de comprometimento). São exemplos de IoC, exceto:
a) Hash MD5.
b) Endereço IP.
c) Tamanho do arquivo.
d) Cadeias de caracteres suspeitas.
e) Endereços de URL.
2. São vantagens do uso de máquinas virtuais durante a análise de malware, exceto:
a) Rápida destruição de uma máquina.
b) Criação de estruturas de rede.
c) Criação de imagens (snapshots).
d) Possuir um ambiente virtualizado.
e) Contenção de artefatos.
3. Analise as a�rmações abaixo:
I. Regshot é utilizado para veri�car as modi�cações no registro, antes e depois da execução do malware;
II. Wireshark é uma aplicação usada para veri�car se um artefato está empacotado;
III. Process Monitor possibilita análise de chamadas do sistema feitas pelo artefato.
Quais das a�rmações são verdadeiras?
a) Apenas I.
b) Apenas III.
c) I e III.
d) I e II.
e) I, II e III.
Notas
Referências
ANLEY, C. The shellcoder’s Handbook: discovering and exploring security holes. 2.ed. [S.1.]: WileyPublishing, Inc., 2007.
SIKORSKI,M.; HONIG, A. Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software (1st. ed.). No Starch
Press,2012.
Próxima aula
• Uma visão do código Assembly dentro de uma arquitetura Intel x86;
• Ferramentas para análise de código assembly;
• Reconhecendo instruções em C e seu código em assembly.
Explore mais
Vimos uma in�nidade de ferramentas e falamos das propriedades das mesmas, bem como os locais para download. Cabe a
você criar seu ambiente de análise, preparar suas máquinas virtuais e baixar as ferramentas. Acesse ao seguinte repositório:
https://github.com/mikesiko/PracticalMalwareAnalysis-Labs e faça as análises dos binários da pasta 1 e 3. Você já tem
conhecimento su�ciente para analisar e levantar os IoCs dos artefatos. Use o Virustotal e o Hybridanalysis, mas faça
manualmente, procure por strings, utilize as ferramentas apresentadas e abuse de sua criatividade.
javascript:void(0);
javascript:void(0);