Software Malicioso

Prévia do material em texto

19/03/2018 Segurança da Informação 1
Bacharelado em Sistemas de Informação
Segurança da Informação
SOFTWARE MALICIOSO
2018/1
José Viterbo Filho
viterbo@ic.uff.br
19/03/2018 Segurança da Informação 2
©COPYRIGHT
Esta apresentação é baseada 
nos slides previamente 
elaborados por Lawrie Brown 
para o livro Computer Security: 
Principles and Practice.
19/03/2018 Segurança da Informação 3
AGENDA
• Tipos de software malicioso
• Tipos de virus e contramedidas
• Tipos de vermes e contramedidas
• Bots
• Rootkits
19/03/2018 Segurança da Informação 4
MALWARE (SOFTWARE MALICIOSO)
• Programas que exploram vulnerabilidades do sistema
• Conhecido como software malicioso ou malware
– Fragmentos de programas que precisam de um programa host
• ex. virus, bombas lógicas, e backdoors 
– Programas autônomos independentes
• ex. vermes, bots
– Se replicam ou não
• Ameaças sofisticadas aos sistemas computacionais
19/03/2018 Segurança da Informação 5
TERMINOLOGIA
• Virus
• Verme
• Bomba lógica
• Cavalo de Tróia
• Backdoor (trapdoor)
• Código móvel
• Kit Auto-rooter (gerador de vírus)
• Programas Spammer e Flooder
• Keyloggers
• Rootkit
• Zombie, bot 
19/03/2018 Segurança da Informação 6
KITS DE ATAQUE
• Inicialmente, o desenvolvimento e a implantação de 
malwares requeriam habilidades técnicas consideráveis. 
• No início da década de 1990 foram desenvolvidas 
ferramentas de criação de vírus
• Em 2000 surgiram os kits de ataque mais gerais, que 
ajudaram muito no desenvolvimento e implantação de 
malware. 
– Conjuntos de ferramentas também conhecidos como crimeware
– Incluem diversos mecanismos de propagação e módulos de carga 
útil, que facilitam a combinação, seleção e implantação.
19/03/2018 Segurança da Informação 7
KITS DE ATAQUE
• [Symantec] Toolkit that is readily available on underground marketplaces used by 
online criminals. There are different versions available, from free ones (often back 
doored themselves) to those an attacker must pay up to $700 USD for in order to use.
19/03/2018 Segurança da Informação 8
KITS DE ATAQUE
• [Softpedia News, 2010] Researchers from security giant Symantec are announcing 
that a new botnet toolkit is threatening the infamous Zeus trojan. Dubbed SpyEye
and priced at $500, the crimeware comes with a "Zeus killer" feature.
19/03/2018 Segurança da Informação 9
CLASSIFICAÇÃO DE MALWARES
• Uma abordagem útil classifica o malware em duas grandes 
categorias: 
– Propagação: como se espalha ou se propaga para alcançar os 
alvos desejados
• Conteúdo infectado
• Exploração de vulnerabilidades
• Engenharia Social
– Carga útil: ações que executa uma vez atingido o alvo.
• Corrupção do sistema
• Agente de ataque
• Roubo de informações
• Camuflagem
19/03/2018 Segurança da Informação 10
PROPAGAÇÃO POR CONTEÚDO 
INFECTADO
Vírus Malware que, quando executado, tenta 
replicar-se em outra máquina executável 
ou código de script; quando é bem-
sucedido, o código é dito estar infectado. 
Quando o código infectado é executado, 
o vírus também é executado.
19/03/2018 Segurança da Informação 11
VÍRUS
• Trecho de software que infecta programas
– Modificam programas para incluir uma cópia do vírus
– São executados secretamente junto com o programa hospedeiro
• Específico para sistema operacional e hardware
– Se aproveitando de seus detalhes e fraquezas
• Os vírus biológicos são pequenos fragmentos de código 
genético que podem assumir o controle de uma célula viva 
e para fazer milhares de réplicas suas. 
• O vírus de computador carrega em seu código instruções 
para fazer cópias perfeitas de si mesmo
19/03/2018 Segurança da Informação 12
VÍRUS
• Um vírus de computador tem três componentes:
– Mecanismo de infecção: o meio pelo qual um vírus se espalha ou 
se propaga, permitindo sua replicação. O mecanismo também é 
denominado vetor de infecção.
– Carga útil: o que o vírus faz, além de se espalhar. Pode envolver 
danos ou pode envolver atividade benigna, mas notável.
– Mecanismo de ativação: o evento ou condição que determina 
quando a carga útil é ativada ou entregue, às vezes conhecida 
como uma bomba lógica.
• Muitos tipos contemporâneos de malware também incluem 
uma ou mais variantes de cada um desses componentes
19/03/2018 Segurança da Informação 13
VÍRUS
• Um vírus típico passa por fases de:
– Dormência - o vírus está ocioso. 
• Ativado por algum evento, como uma data, a presença de outro programa ou 
arquivo, ou a capacidade do disco excedendo algum limite. Nem todos os vírus 
têm esse estágio.
– Propagação - o vírus coloca uma cópia de si mesmo em outros programas ou 
em determinadas áreas do sistema no disco. 
• Geralmente se transformam para evadir a detecção. Programas infectados 
conterão clones do vírus.
– Ativação - o vírus está ativado para executar sua função
• Pode ser causada por uma variedade de eventos do sistema, incluindo uma 
contagem do número de vezes que essa cópia do vírus fez cópias.
– Execução - a função é executada. 
• Pode ser inofensiva, como uma mensagem na tela, ou prejudicial, como a 
destruição de programas e arquivos de dados.
19/03/2018 Segurança da Informação 14
ESTRUTURA DO VÍRUS
• O código do vírus pode ser anexado antes, depois ou 
embutido no programa hospedeiro
• Quando o programa infectado é invocado, executa código 
de vírus e então o código de programa original
• Pode-se bloquear a infecção inicial (difícil)
• Pode-se evitar a propagação (com controles de acesso)
19/03/2018 Segurança da Informação 15
ESTRUTURA DO VÍRUS
19/03/2018 Segurança da Informação 16
VÍRUS DE COMPRESSÃO
19/03/2018 Segurança da Informação 17
CLASSIFICAÇÃO DE VÍRUS
Por alvo
• Vírus de infectante de setor de inicialização (boot sector)
• Vírus de infectante de arquivo
• Vírus de macro
• Vírus multipartido
19/03/2018 Segurança da Informação 18
VÍRUS DE MACRO
• Tornou-se muito comum em meados da década de 1990
– Independentes de plataforma
– infectam documentos
– Se espalham facilmente
• Exploram a função macro de aplicativos de escritório
– programa executável incorporado em documentos de escritório
– muitas vezes uma forma de Basic
• Os lançamentos mais recentes incluem proteção
• Reconhecido por muitos programas anti-vírus
19/03/2018 Segurança da Informação 19
CLASSIFICAÇÃO DE VÍRUS
Por estratégia de ocultação
• vírus cifrado
• vírus camuflado
• vírus polimórfico
• vírus metamórfico
19/03/2018 Segurança da Informação 20
VÍRUS DE E-MAIL
• Desenvolvimento mais recente
• Exemplo: Melissa (1998)
– explora a macro MS Word no documento anexado
– se o anexo for aberto, a macro é ativada
– envia e-mail para todos na lista de endereços dos usuários
– e faz danos locais
• Propagação muito mais rápida
• Características de verme
19/03/2018 Segurança da Informação 21
PROPAGAÇÃO POR EXPLORAÇÃO 
DE VULNERABILIDADE
Verme Um programa de computador que pode 
ser executado de forma independente e 
pode propagar uma versão de trabalho 
completa de si mesmo em outros hosts 
em uma rede, geralmente explorando 
vulnerabilidades de software no sistema 
de destino.
19/03/2018 Segurança da Informação 22
VERMES
• Programa de replicação que se propaga sobre a rede
– Usando email, execução remota, login remoto
• Tem fases como um vírus:
– Dormência, propagação, ativação, execução
– Fase de propagação: busca outros sistemas, se conecta a eles, 
se copia e executa
• Pode disfarçar-se como um processo do sistema
• Conceito visto em “Shockwave Rider” de John Brunner
• Implementado pelos laboratórios Xerox Palo Altoem 1980
19/03/2018 Segurança da Informação 23
REPLICAÇÃO DE VERMES
• Meios para se replicar e acessar sistemas remotos:
– Correio eletrônico ou mensagens instantâneas
– Compartilhamento de arquivos
– Capacidade de execução remota
– Acesso remoto ao arquivo ou capacidade de transferência
– Capacidade de login remoto
19/03/2018 Segurança da Informação 24
REPLICAÇÃO DE VERMES
• Correio eletrônico ou mensagens instantâneas
– Envia uma cópia de si mesmo para outros sistemas ou se envia 
como anexo através de um serviço de mensagens instantâneas, 
de modo que seu código seja executado quando o e-mail ou 
anexo for recebido ou visualizado.
• Compartilhamento de arquivos
– Como um vírus, cria uma cópia de si mesmo ou infecta outros 
arquivos adequados em mídia removível; depois é executado 
automaticamente quando a unidade está conectada a outro 
sistema usando o mecanismo de execução automática, 
explorando alguma vulnerabilidade do software ou quando um 
usuário abre o arquivo infectado no sistema de destino.
19/03/2018 Segurança da Informação 25
REPLICAÇÃO DE VERMES
• Capacidade de execução remota
– Executa uma cópia de si mesmo em outro sistema, usando uma 
instalação de execução remota explícita ou explorando uma falha 
de programa em um serviço de rede.
• Acesso remoto ao arquivo ou capacidade de transferência
– Usa um acesso de arquivo remoto ou um serviço de 
transferência para outro sistema para se copiar de um sistema 
para o outro.
• Capacidade de login remoto
– Faz login em um sistema remoto como usuário e, em seguida, 
usa comandos para copiar-se de um sistema para o outro. 
19/03/2018 Segurança da Informação 26
PROPAGAÇÃO DE VERMES
• A primeira função na fase de propagação é que procurar 
outros sistemas para infectar, no processo chamado 
escaneamento ou impressão digital. 
– Deve identificar potenciais sistemas que executam o serviço 
vulnerável e depois infectá-los
– O verme depois de instalado nas máquinas infectadas repete o 
mesmo processo até que uma grande rede distribuída de 
máquinas infectadas seja criada.
19/03/2018 Segurança da Informação 27
PROPAGAÇÃO DE VERMES
• As estratégias de escaneamento de endereços de rede 
podem ser:
– Aleatório
– Lista de execução
– Topológico
– Sub-rede local
19/03/2018 Segurança da Informação 28
PROPAGAÇÃO DE VERMES
• Escaneamento Aleatório 
– Cada host comprometido examina endereços aleatórios no 
espaço de endereço IP, usando uma semente diferente. 
– Esta técnica produz um alto volume de tráfego na Internet, o que 
pode causar perturbações generalizadas mesmo antes do 
lançamento do ataque real.
19/03/2018 Segurança da Informação 29
PROPAGAÇÃO DE VERMES
• Escaneamento por Lista de Execução
– O atacante primeiro compila uma longa lista de potenciais 
máquinas vulneráveis. 
– Este pode ser um processo lento feito durante um longo período 
para evitar a detecção de que um ataque está em andamento. 
– Uma vez compilada a lista, o atacante começa a infectar 
máquinas na lista. Cada máquina infectada possui uma parte da 
lista a ser digitalizada. 
– Esta estratégia resulta em um período de varredura muito curto, 
o que pode dificultar a detecção de que a infecção esteja 
ocorrendo.
19/03/2018 Segurança da Informação 30
PROPAGAÇÃO DE VERMES
• Escaneamento Topológico
– Este método usa informações sobre a topologia da rede contidas 
em uma máquina vítima infectada para encontrar mais hosts 
para digitalizar.
19/03/2018 Segurança da Informação 31
PROPAGAÇÃO DE VERMES
• Escaneamento de Sub-rede Local 
– Se um host pode ser infectado por trás de um firewall, esse host 
então procura por destinos em sua própria rede local. 
– O host usa a estrutura de endereços da sub-rede para encontrar 
outros hosts que de outra forma seriam protegidos pelo firewall.
19/03/2018 Segurança da Informação 32
MODELO DE PROPAGAÇÃO DE 
VERMES
19/03/2018 Segurança da Informação 33
O VERME DE MORRIS
• Um dos vermes mais conhecidos
• Lançado por Robert Morris (1988)
• Vários ataques em sistemas UNIX
– arquivo de senha prováveis para usar login/senha e se logar em 
outros sistemas
– explorando um bug no sendmail
• Quando bem sucedido obtinha acesso remoto ao shell
– enviava programa de bootstrap para copiar o verme
19/03/2018 Segurança da Informação 34
ATAQUES RECENTES DE VERMES
• Code Red (julho de 2001)
– explorando o bug do MS IIS
– identifica o endereço IP aleatório, realiza ataque DDoS
– consome capacidade significativa quando ativo
• Code Red II (agosto de 2001)
– variante que inclui backdoor
• SQL Slammer (2003)
– ataca MS SQL Server
– distribuição compacta e muito rápida
• Mydoom (2004)
– verme que envia e-mails em massa
– instala backdoors de acesso remoto em sistemas infectados
19/03/2018 Segurança da Informação 35
VERMES EM SMARTPHONES
• Podem desativar completamente o telefone, excluir dados no 
telefone ou forçar o dispositivo a enviar mensagens dispendiosas 
para números com preço premium. 
• Cabir (2004), Lasco e CommWarrior (2005), CommWarrior (2007)
– Sistema operacional Symbian
– Se replicam por meio de Bluetooth para outros telefones na área de recepção.
– Também se enviam como um arquivo MMS para números no catálogo de 
endereços do telefone e em respostas automáticas para mensagens de texto 
– Se copiam no cartão de memória removível e insere-se nos arquivos de 
instalação do programa no telefone.
• Mais recentes visam sistemas Android e iPhone
• A grande maioria dos malwares de telefones celulares observados 
usam aplicativos cavalos de Tróia para se instalarem.
19/03/2018 Segurança da Informação 36
TECNOLOGIAS DE VERMES
• Multiplataforma
• Multiexploração
• Disseminação ultrarrápida
• Polimórfico 
• Metamórfico 
• Veículos de transporte
• Exploit (Exploração) de dia zero
19/03/2018 Segurança da Informação 37
CÓDIGO MÓVEL
Código 
Móvel
Softwares (por exemplo, script, macro, 
etc.) que podem ser enviados sem 
alterações para uma coleção heterogênea 
de plataformas e executar com semântica 
idêntica.
19/03/2018 Segurança da Informação 38
• Geralmente age como um mecanismo para que um vírus, verme ou 
cavalo de Tróia seja transmitido para a estação de trabalho do 
usuário.
• Pode aproveita vulnerabilidades para executar suas próprias 
explorações, como o acesso a dados não autorizados ou o 
comprometimento da raiz.
• Veículos populares para código móvel incluem applets Java, 
ActiveX, JavaScript e VBScript. 
• Os métodos mais comuns são scripts entre sites, sites interativos e 
dinâmicos, anexos de e-mail e downloads de sites não confiáveis ou 
de software não confiável.
CÓDIGO MÓVEL
19/03/2018 Segurança da Informação 39
• Técnica comum que explora as vulnerabilidades do navegador
• Quando o usuário visualiza uma página da Web controlada pelo 
invasor, esta contém código que explora o erro do navegador para 
baixar e instalar malware no sistema sem o conhecimento ou o 
consentimento do usuário.
• Na maioria dos casos, este malware não se propaga ativamente 
como um verme, mas espera que os usuários desavisados visitem a 
página da Web mal-intencionada para se espalharem para seus 
sistemas.
DOWNLOADS NÃO AUTORIZADOS
19/03/2018 Segurança da Informação 40
PROPAGAÇÃO POR ENGENHARIA 
SOCIAL
• Envolve engenharia social, "enganando" os usuários para 
ajudar no comprometimento de seus próprios sistemas ou 
informações pessoais. 
• Isso pode ocorrer quando um usuário visualiza e responde 
a algum e-mail de spam, ou permite a instalação e 
execução de algum programa de cavalo de Tróia ou código 
de script.
19/03/2018 Segurança da Informação 41SPAM POR E-MAIL
• Era enviado a partir de servidores de correio legítimos
• Mais recentemente é enviado por botnets usando sistemas 
de usuários comprometidos
• Parte significativa é apenas publicidade, tentando 
convencer o destinatário a comprar algum produto
• Pode ser usado em golpes do tipo scam
– oferta inacreditável para enganar o usuário e obter dinheiro
• Também é um importante suporte de malware.
19/03/2018 Segurança da Informação 42
SPAM POR E-MAIL
• Pode ter um documento em anexo, que, se aberto, explora 
vulnerabilidades para instalar malwares
• Pode ter um programa anexado (cavalo de Tróia, código 
de script) que, se executado, instala malware no sistema
– Alguns cavalos de Tróia evitam a necessidade do aprovação do 
usuário para se instalarem
19/03/2018 Segurança da Informação 43
SPAM POR E-MAIL
• Pode ser usado em um ataque do tipo hoax
– Pede para completar algum formulário com detalhes pessoais 
suficientes para permitir que o invasor se faça representar o 
usuário em um roubo de identidade.
• Pode ser usado em um ataque de phishing
– Dirige o usuário para um site falso que espelha algum serviço 
legítimo, como um site bancário online, onde tenta capturar os 
detalhes de login e senha do usuário; 
19/03/2018 Segurança da Informação 44
CAVALOS DE TROIA
• Programa aparentemente útil com código oculto que 
executa funções indesejadas ou prejudiciais
• Pode ser usado para desempenhar indiretamente funções 
que o invasor não conseguiu realizar diretamente
– Para obter acesso a informações pessoais e confidenciais 
armazenadas nos arquivos de um usuário
• Os autores estimulam os usuários a executar o programa, 
incorporando-o em um jogo ou programa de utilidade, e 
tornando-o disponível através de um site de distribuição 
conhecido.
19/03/2018 Segurança da Informação 45
CAVALOS DE TROIA
• Alguns cavalos de troia exploram vulnerabilidades do 
software para permitir a sua instalação e execução 
automática. 
– Compartilham característica de um verme, mas ao contrário, eles 
não se replicam.
• Hydraq (2009) usado na Operação Aurora. 
– Explorou uma vulnerabilidade no Internet Explorer para instalar-
se e direcionou várias empresas de alto perfil.
– Geralmente, ele era distribuído usando e-mail de spam ou 
através de um site comprometido usando um ataque de 
download não-autorizado.
19/03/2018 Segurança da Informação 46
CAVALOS DE TROIA EM 
SMARTPHONES
• Os primeiros atacavam aparelhos Symbian - Skuller (2004)
• Mais recentemente, detectaram-se números significativos que visam 
telefones Android e iPhones, distribuídos pelos sites de aplicativos 
respectivos.
• Em 2011, o Google removeu uma série de aplicativos que continham 
o malware DroidDream.
– Poderoso agente zumbi que explorou vulnerabilidades para obter acesso total 
ao sistema, monitorar dados e instalar código extra.
• Em 2012 um estudo identificou 49 famílias de malware para o 
Android.
– 90% são agentes zumbis com suporte para acessar serviços premium ou para 
colher informações do usuário.
– Nenhum dos antivírus móveis testados foi capaz de detectar todas essas 
famílias.
19/03/2018 Segurança da Informação 47
CARGA ÚTIL – CORRUPÇÃO DO 
SISTEMA
• Inicialmente, vários vírus e vermes resultavam na destruição de 
dados no sistema infectado quando certas condições de disparo 
eram atendidas. 
– Chernobyl [1998], Klez [2001]
– Alternativamente, malware podem criptografar os dados do usuário e exigir 
pagamento para acessar a chave necessária para recuperar essa informação. 
Ransomware
• Uma carga útil relacionada é aquela que exibe mensagens 
indesejadas ou conteúdo no sistema do usuário quando acionado. 
• Uma variante mais grave tenta infligir danos no mundo real
– Chernobyl tenta reescrever o código BIOS tornando o sistema é inutilizável até 
o chip da BIOS ser reprogramado ou substituído
– Stuxnet visa softwares específicos de sistemas de controle industrial da 
Siemens
19/03/2018 Segurança da Informação 48
BOMBA LÓGICA
• Componente-chave do malware de corrupção de dados
• Código incorporado ao malware que está configurado para 
“explodir” quando determinadas condições são atendidas.
– A presença ou ausência de determinados arquivos ou 
dispositivos no sistema, 
– Um determinado dia da semana ou data, 
– Uma versão específica ou configuração de algum software
– Um usuário específico executado a aplicação.
19/03/2018 Segurança da Informação 49
CARGA ÚTIL – AGENTE DE ATAQUE
• Conhecido como um bot, zumbi ou drone
– Secretamente assume outro computador conectado à Internet 
– Usa esse computador para iniciar ou gerenciar ataques que são 
difíceis de rastrear até o criador do bot. 
• O bot é tipicamente plantado em centenas ou milhares de 
computadores pertencentes a terceiros desavisados. 
– O conjunto de bots muitas vezes é capaz de atuar de forma 
coordenada ⇒ botnet
• Este tipo de carga útil ataca a integridade e a 
disponibilidade do sistema infectado.
19/03/2018 Segurança da Informação 50
BOTS
• Características:
– facilidade de controle remoto
• via IRC/HTTP etc
– mecanismo de propagação
• software de ataque, vulnerabilidade, estratégia de digitalização
• Várias contramedidas aplicáveis
19/03/2018 Segurança da Informação 51
CARGA ÚTIL – ROUBO DE 
INFORMAÇÕES
• Malware reúne dados armazenados no sistema infectado 
para uso pelo atacante
• Um alvo comum são as credenciais de login e senha do 
usuário para bancos, jogos e sites relacionados
– Invasor usa esses dados para se passar pelo o usuário, acessar 
esses sites e obter ganhos. 
• Menos comumente, pode ter como alvo documentos ou 
detalhes de configuração do sistema com o objetivo de 
reconhecimento ou espionagem
19/03/2018 Segurança da Informação 52
KEYLOGGER
• Captura as teclas pressionadas na máquina infectada para 
permitir que um invasor monitore essas informações 
sensíveis.
– Geralmente implementam alguma forma de mecanismo de 
filtragem que apenas retorna informações próximas às palavras-
chave desejadas (“login”, “senha”, “paypal.com”, etc).
• Alguns bancos e outros sites passaram a usar um applet
gráfico para inserir informações críticas, como senhas.
– Como estes não utilizam texto inserido através do teclado, os 
keyloggers tradicionais não capturam essas informações.
19/03/2018 Segurança da Informação 53
SPYWARE
• Subvertem a máquina comprometida para permitir o 
monitoramento de uma ampla gama de atividades no 
sistema
– Monitoramento do histórico e do conteúdo da atividade de 
navegação, 
– Redirecionamento de determinados pedidos de páginas da Web 
para sites falsos controlados pelo invasor
– Modificação dinâmica de dados trocados entre o navegador e 
determinados sites de interesse. 
• Estas ações podem resultar em comprometimento 
significativo das informações pessoais do usuário.
19/03/2018 Segurança da Informação 54
PHISHING E ROUBO DE IDENTIDADE
• Abordagem usada para capturar as credenciais de login e 
senha de um usuário 
• Consiste em incluir um URL em um e-mail de spam que 
leva a um site falso, que imita a página login bem 
conhecida, mas é controlado pelo atacante.
– Associado a mensagem sugerindo que uma ação urgente é 
necessária pelo usuário para autenticar sua conta, para evitar 
que ela seja bloqueada.
– Se o usuário é descuidado, não percebe que é uma fraude, e 
fornece os detalhes solicitados, resulta em invasores explorando 
sua conta usando as credenciais capturadas.
19/03/2018 Segurança da Informação 55
SPEAR-PHISHING
• Uma variante mais perigosa do phishing
• Também é um e-mail afirmando ser de uma fonte confiável
– Destinatários são cuidadosamente pesquisados pelo atacante
– Cada e-mail é cuidadosamente elaborado para seadequar ao 
seu destinatário especificamente
– Cita informações reais para convencer de sua autenticidade. 
– Aumenta consideravelmente a probabilidade de o destinatário 
responder conforme desejado pelo atacante. 
• Este tipo de ataque é particularmente usado em formas 
industriais e outras formas de espionagem por grandes 
organizações.
19/03/2018 Segurança da Informação 56
RECONHECIMENTO DE TERRENO, 
ESPIONAGEM E EXTRAÇÃO DE DADOS
• Roubo de credencial e roubo de identidade são casos 
especiais de uma carga útil de reconhecimento mais geral, 
que visa obter certos tipos de informações desejadas e 
devolver isso ao atacante. 
• Estes casos especiais são certamente os mais comuns, 
mas há outros alvos conhecidos.
– Obter acesso e modificar repositórios de código fonte em uma 
variedade de grandes empresas - Operação Aurora [2009]
– Capturar detalhes de configuração de hardware e software para 
determinar se comprometeu os sistemas alvo específicos 
desejados - Stuxnet [2010]
19/03/2018 Segurança da Informação 57
CARGA ÚTIL – CAMUFLAGEM
• Diz respeito às técnicas utilizadas pelo malware para 
ocultar sua presença no sistema infectado e para fornecer 
acesso secreto a esse sistema
– Backdoors e Rootkits
• Este tipo de carga útil também ataca a integridade do 
sistema infectado.
19/03/2018 Segurança da Informação 58
BACKDOORS
• Ponto de entrada secreto em um programa que permite 
que alguém obtenha acesso sem passar pelos 
procedimentos habituais de acesso à segurança.
– Também conhecidas como trapdoors
• Usada legitimamente por muitos anos para que 
programadores pudessem depurar e testar programas
• Tornam-se ameaças quando programadores sem 
escrúpulos as utilizam para obter acesso não autorizado.
19/03/2018 Segurança da Informação 59
ROOTKITS
• Conjunto de programas instalados para acesso de 
administrador
• Pode esconder sua existência
– subvertendo mecanismos de relatório em processos, arquivos, 
registros, etc.
• Talvez:
– persisitente ou baseado na memória
– usuário ou kernel
• Instalado pelo usuário através de cavalo de Troia ou 
intruso no sistema
• Gama de contramedidas necessárias
19/03/2018 Segurança da Informação 60
ROOTKITS
• Há três técnicas que podem ser usadas para mudar as 
chamadas do sistema:
– Modificar a tabela de chamadas do sistema
• o invasor modifica os endereços syscall selecionados armazenados na 
tabela de chamadas do sistema. Permite que o rootkit direcione uma 
chamada do sistema para longe da rotina legítima para a substituição do 
rootkit.
– Modificar alvos da tabela de chamada do sistema
• o invasor substitui as rotinas de chamada de sistema legítimas 
selecionadas por código malicioso. A tabela de chamadas do sistema não 
é alterada.
– Redirecionar a tabela de chamadas do sistema
• o invasor redireciona as referências para toda a tabela de chamadas do 
sistema para uma nova tabela em uma nova localização da memória do 
kernel.
19/03/2018 Segurança da Informação 61
MODIFICAÇÕES DAS TABELAS DO 
SISTEMA POR ROOTKIT
19/03/2018 Segurança da Informação 62
CONTRAMEDIDAS PARA MALWARE
• Prevenção - solução ideal, mas difícil
• Elementos da prevenção:
– Política
– Conscientização
– Mitigação de vulnerabilidades
– Mitigação de ameaças
19/03/2018 Segurança da Informação 63
CONTRAMEDIDAS PARA MALWARE
• Política adequada em relação à prevenção oferece uma 
base para implementar contramedidas preventivas
– Sistemas em sua versão mais atualizada
– Controles de acesso adequados às aplicações e dados
– Visam prevenir contra vírus, vermes e cavalos de Troia
• Propagação por engenharia social pode ser combatida 
com treinamento e concientização
19/03/2018 Segurança da Informação 64
CONTRAMEDIDAS PARA MALWARE
• Se a prevenção falhar, mecanismos técnicos podem dar 
suporte às seguintes opções de mitigação das ameaças:
– detecção
– identificação
– remoção
• Se for detectado, mas não é possível identificar ou 
remover, deve-se descartar e substituir os arquivos ou 
programas infectados ou maliciosos
• Infecções perniciosas podem exigir limpeza completa dos 
dispositivos de armazenamento
19/03/2018 Segurança da Informação 65
CONTRAMEDIDAS PARA MALWARE
• Requisitos:
– Generalidade
– Ação imediata
– Resiliência
– Custos mínimos de negação de serviço
– Transparência
– Abrangência global e local
19/03/2018 Segurança da Informação 66
CONTRAMEDIDAS PARA MALWARE
• A detecção pode ocorrer
– No sistema infectado, por programas antivírus que monitoram 
dados importados para dentro do sistema e a execução e o 
comportamento de programas
– No perímetro do sistema, com o uso de firewalls e sistemas de 
detecção de intrusão (IDS)
– De forma distribuída, por mecanismos que coletam dados de 
sensores em estações e no perímetor
19/03/2018 Segurança da Informação 67
EVOLUÇÃO DOS ANTIVÍRUS
• Vírus e tecnologia antivírus ambos evoluíram
• Código simples dos primeiros vírus, facilmente removido
• Como se tornam mais complexas, também devem as 
contramedidas
• Gerações
– primeira - escaneadores simples (de assinatura)
– segunda - escaneadores heurísticos
– terceira - armadilhas de atividade
– quarta - proteção total
19/03/2018 Segurança da Informação 68
DECODIFICAÇÃO GENÉRICA
• Executa arquivos executáveis através da tecnologia de 
decifração genérica:
– Emulador de CPU para interpretar instruções
– Scanner de vírus para verificar assinaturas de vírus conhecidas
– Módulo de controle de emulação para gerenciar o processo
• Permite que o vírus se decodifique no interpretador
• Verifica periodicamente as assinaturas de vírus
• O problema é longo para interpretar e digitalizar
– detecção x tempo
19/03/2018 Segurança da Informação 69
SOFTWARE DE BLOQUEIO DE 
COMPORTAMENTO
• Monitora os seguintes comportamentos
– Tentativas de abrir, acessar, remover e/ou modificar arquivos
– Tentativa de formatar drives de disco e outras operações 
irreversíveis de disco
– Modificações na lógica de arquivos ou macros executáveis
– Modificações de configurações críticas dos sistema, como as de 
inicialização
– Exploração de scripts de clientes de e-mail e de mensagens 
instantâneas para enviar conteúdo executável
– Iniciação de comunicações em rede
19/03/2018 Segurança da Informação 70
SOFTWARE DE BLOQUEIO DE 
COMPORTAMENTO
19/03/2018 Segurança da Informação 71
ABORDAGENS DE ESCANEAMENTO 
DE PERÍMETRO
• Usado no firewall ou IDS de uma organização
• Está limitada a escanear o conteúdo do malware, já que 
não fornece acesso ao comportamento de execução
• Firewalls externos ou honeypots
• Monitores de entrada
– Localizados na borda entre a rede organizacional e a Internet
• Monitores de saída
– Localizados nos pontos de saída de LANs
19/03/2018 Segurança da Informação 72
CONTRAMEDIDAS DE VERMES
• Sobrepõe-se a técnicas antivírus (A/V)
• Uma vez que o verme está no sistema, A/V pode detectar
• Os vermes também causam atividade significativa na rede
• As abordagens de defesa de vermes incluem:
– filtragem de verificação de vermes baseada em assinatura
– contenção de vermes baseada em filtro
– contenção de vermes baseada na classificação da carga útil
– detecção de varredura de caminhada aleatória
– limitação de taxa e parada de taxa
19/03/2018 Segurança da Informação 73
CONTENÇÃO PROATIVA DE VERMES
19/03/2018 Segurança da Informação 74
ABORDAGENS DE COLETA DE 
INFORMAÇÃO DISTRIBUÍDA
• Sistema de análise central que recebe dados de sensores 
baseados em estação e de perímetro distribuídos
• Sistema imunológico digital
– Abordagem abrangente de proteção desenvolvida pela IBM
– Em 2010: 240 mil sensores 133 milhõesde sistemas clientes
19/03/2018 Segurança da Informação 75
SISTEMA IMUNOLÓGICO DIGITAL
19/03/2018 Segurança da Informação 76
DEFESA DE VERMES BASEADA EM 
REDE
19/03/2018 Segurança da Informação 77
TAREFAS
• Ler o Capítulo 6 de “Segurança de 
Computadores: Princípios e Práticas”, de 
Stallings e Brown. 
– Resolver as Perguntas de Revisão 6.1 a 6.15 (pág. 
200)
– Resolver os Problemas 6.1 a 6.13 (pág. 201)
19/03/2018 Segurança da Informação 78
REFERÊNCIAS
• William Stallings and Lawrie Brown. Segurança de 
Computadores: Princípios e Práticas, 2ª Ed. Editora 
Elsevier.