ISCED Tipos de Softwares maliciosos, sua forma de atuação e as suas formas de mitigação

Prévia do material em texto

1. INTRODUÇÃO
A presença das redes de computadores no quotidiano vem aumentando de modo muito veloz há anos e apresentou um crescimento em especial com o advento das redes sem fio e da produção massiva e a queda do custo de dispositivos portáteis capazes de se conectarem à internet. De maneira proporcional, aumentaram-se também os riscos relacionados à segurança de redes e à privacidade de informações de diversas espécies que trafegam por entre elas e seus usuários. Numa proposição inicial, este trabalho define como Malware todo tipo de programa que seja capaz de alterar o comportamento de um software num dispositivo conectado a uma rede qualquer, feito com o desejo de vender informações de usuários, causar desordem, roubar credenciais, enviar spams, alimentar motores de optimização de busca (SEO) com informações falsas sobre visitas a páginas da Web ou ainda de chantagear usuários, como foi o caso do malware japonês denominado Kenzero, que publicava históricos de navegação juntamente com a identificação de seus usuários, a menos que os mesmos pagassem 1500 ienes para que seus dados fossem retirados do acesso ao público. SAWLE et al. (2014).
1.1 Problema
Os dispositivos móveis atuais ainda não possuem capacidade computacional disponível
para que se façam varreduras constantes que utilizem as técnicas de detecção dinâmicas em seus respectivos sistemas à procura de código malicioso, e com a abrangência da internet se tornando cada vez mais expressiva, o dano em potencial que um malware pode causar a um determinado indivíduo, ou ainda em grupos massivos também torna-se mais preocupante. Sob a ótica de Szewczyk (2012), as redes de computadores, principalmente sem fio, começam a apresentar problemas de vulnerabilidade a partir do momento da compra do hardware necessário para implementação da rede e da configuração desse equipamento, onde muitas vezes os vendedores destes produtos tentam passar a ideia de que os equipamentos por si são capazes de blindar uma rede contra qualquer intrusão, a fim de obter sucesso comercial valendo-se da ingenuidade de usuários leigos no assunto de segurança de redes. As técnicas de detecção por assinatura, apesar de não serem as mais eficazes à disposição, são muito mais simples de se implementar e resolverem o problema da infecção por malwares conhecidos ou ainda malwares novos com características semelhantes às dos conhecidos.
1.2 Objectivos e justificativa
1.2.1 Objectivo Geral
Analisar o resultado da ação de diferentes técnicas de detecção de malware baseadas
em assinatura num ambiente de testes para obter métricas relevantes quanto à eficiência nas varreduras realizadas, número de falsos positivos encontrados e se possível determinar qual delas é a mais apropriada para uso em ambientes mobile e de redes de computadores em geral.
1.2.2 Objectivos Específicos
- Para embasar o projeto, foi levantado um histórico sobre segurança em redes de computadores e assuntos correlacionados principalmente às técnicas de detecção a serem estudadas.
- Montar um ambiente para que ele seja populado com conjuntos de programas a serem investigados e executar diferentes algoritmos para que posteriormente classifiquem-se seus resultados. Por questões de relevância, o escopo do trabalho envolverá sistemas Windows e
Android pois a maioria dos usuários comuns utiliza estes sistemas operacionais.
- Comparar todos os métodos previamente escolhidos e testados para apresentar suas respectivas características e desempenhos.
1.2.3 Justificativa
O desenvolvimento de novas técnicas de segurança computacional, bem como a análise e aprimoramento de técnicas já construídas anteriormente, representam sempre um avanço na área de segurança de redes, pois todo tipo de sistema operacional possui alguma deficiência no quesito de segurança, haja visto que mesmo agências de inteligência como a NSA enfrentam de tempos em tempos problemas envolvendo vazamentos de dados e intrusões. De acordo com HASSAN (2010), os tipos de ataque mais poderosos e bem sucedidos ocorrem de dentro da rede, pois em diversas situações, o administrador de rede confia em todos os usuários internos e não suspeita de ataques vindos de seu próprio lado. Por isso, é sempre um investimento desenvolver e manter uma política de aprimorar as defesas das redes de computadores. O contexto do projeto é o da esfera do usuário comum, que utiliza dispositivos comuns mas também é alvo de ataques que às vezes são menores e até inofensivos, que contudo, ocorrem com frequência.
2. MALWARE 
É um tipo de ameaça criada com o objectivo de obter lucro financeiro, roubo de dados privados, autopromoção e vandalismo, pois são capazes de executar comandos e a cessar os dados do computador infectado.
Um usuário pode ser infectado por códigos maliciosos de diversas formas. Fora de uma rede de computadores, o usuário pode ser vítima com o uso de pen drives infectados, com programas auto-executáveis, com a execução de arquivos contendo o código malicioso. Por meio da rede, os malwares encontram-se, por exemplo, em páginas web maliciosas (pode ser direccionado para tais páginas através de falsos links) e-mails e arquivos infectados disponíveis para download. O usuário pode até mesmo ser infectado devido à uma invasão e instalação directa de tais arquivos mal-intencionados.
2.1. Tipos de Malware
2.1.1 Backdoor
É um tipo de código malicioso que tem como objectivo utilizar falhas e vulnerabilidades do sistema para garantir ao atacante um futuro acesso remoto ao computador comprometido, sem a necessidade de uma nova invasão.
Existem algumas formas para inserir backdoors em aplicações. Frequentemente, o backdoor é inserido no código por pessoas que possuem um acesso legítimo à este, disponibilizando uma versão alterada do serviço. Outra forma para o backdoor ser incluído na aplicação, é a exploração de vulnerabilidades existentes em programas. Também existe a possibilidade do backdoor ser incluído propositalmente pelo fabricante de software, o que acaba comprometendo a privacidade do usuário e ainda pode ser usado por invasores mal-intencionados.
2.1.2 Bot
O bot é um programa que explora as vulnerabilidades e possibilita o controlo remoto do invasor sobre o computador da vítima. O controle é feito sem o conhecimento da vítima e o invasor consegue executar acções maliciosas directo do computador controlado (chamado de “computador zumbi”) . Com o uso do computador zumbi, é possível atacar outras vítimas, roubar dados e enviar spam .
O bot é capaz de se propagar de forma automática por meio de vírus e worms, aumentando seu número de forma exponencial, pois cada nova máquina infectada passa a retransmiti-lo. A rede formada por centenas ou milhares de computadores zumbis é chamada de botnet .
Os objectivos da criação de uma botnet são realizar ataques de negação de serviço, roubar informações e dinheiro, consumir recursos do sistema, enviar mensagens de spam, propagar códigos maliciosos e ampliar a própria botnet. O fato de o atacante utilizar um grande número de computadores zumbis para tais actos maliciosos, dificulta a identificação do atacante .
Devido à gravidade dos problemas gerados pelas botnets, elas são consideradas uma das ameaças mais sérias da segurança da Internet, assim, é muito abordada actualmente por artigos que tentam neutralizá-la com a utilização de técnicas de aprendizado de máquina.
2.1.3 Cavalo de Tróia
Também conhecido como trojan-horse, o Cavalo de Tróia é um tipo de código malicioso oculto em outro programa aparentemente inofensivo. Difere-se do vírus e dos worms pois não consegue criar cópias de si mesmo e nem infectar outros programas.
Existem diversos tipos de Cavalos de Tróia, classificados de acordo com suas respectivas funções:
· Data-sending Trojans: enviar os dados da vítima (senhas, conversas, informações pessoais, etc.) de volta para o atacante;
· Trojan Downloader: baixar e instalar outros códigos maliciosos de sites da Internet;
· Trojan Backdoor: dar acesso remoto do atacante através do backdoor;
· Trojan DoS: instalarferramentas de negação de serviço;
· Trojan Destrutivo: danificar o computador formatando o disco rígido;
· Trojan Spy: coletar dados do computador infectado;
· Trojan Clicker: redireccionar a navegação do usuário para outros sites como os de propagandas.
2.1.4 Spyware
O spyware é um programa criado com o objectivo de monitorar e colectar informações e actividades realizadas em um sistema. Não é necessariamente para uso malicioso, pois pode ser utilizado pelo próprio usuário a fim de monitorar o uso de seu sistema por terceiros. Logo, um spyware é classificado como legítimo ou malicioso de acordo com a forma que é instalado, o tipo da informação monitorada e a forma que esta informação é utilizada. Pode ser obtido através de downloads, mensagens de e-mail, mensagens instantâneas, conexões directas com compartilhamento de arquivos e contratos de licença para o uso de um software.
Keyloggers, screenloggers e adware são três tipos de spywares. O primeiro atua gravando todas as teclas digitadas pelo usuário, o segundo atua capturando a posição do cursor e gravando uma captura de tela quando o mouse é clicado e o último funciona apresentando propagandas para o usuário.
2.1.5 Vírus
O vírus é um código malicioso que, sem o conhecimento do usuário, infecta inserindo cópias de si mesmo em outros programas e arquivos quando é executado. Uma forma comum para a propagação desse código malicioso acontece por meio da Internet, com anexo em e-mails. Os atacantes tentam fazer com que o usuário clique e execute o anexo, infectando o computador e repassando tal e-mail com o anexo infectado para a própria lista de contactos. Outra forma para a propagação é com o vírus de script, o qual é enviado para o usuário ao acessar uma página web ou como parte do próprio e-mail em formato HTML.
2.1.6 Worm
O worm é um código malicioso que se propaga pela rede enviando cópias de si mesmo de forma automática. Diferencia-se do vírus por ser um programa independente de outros programas ou arquivos. Por causa da grande quantidade de cópias que cria,normalmente, torna a rede e o computador mais lentos. O processo da propagação de um worm é descrito em quatro passos principais:
1. Depois de infectar com sucesso um computador, o worm identifica seus próximos computadores alvos para se propagar.
2. Após a identificação dos alvos, o worm cria cópias de si mesmo e envia para tais alvos identificados.
3. Depois do envio, o worm deve ser executado de alguma forma, pode ser por meio de outros programas que já estão sendo executados no computador alvo ou directamente pelo usuário.
4. Repete-se todo o processo.
2.2 Spam
Os spams são mensagens de e-mail indesejadas, geralmente anúncios não solicitados enviados para um grande número de destinatários. O primeiro spam registrado aconteceu em 1994, e, com a sua evolução, as preocupações são cada vez maiores: eles são responsáveis por propagar Cavalos de Troia, vírus, worms, spywares, realizar ataques de phishing e vendas ilegais de produtos. Além disso, o spam é um método que necessita de um baixo investimento e pode alcançar uma escala muito grande.
Existem várias técnicas usadas com o objectivo de encontrar e-mails para os quais serão enviados os spams. Uma técnica é o “Ataque de dicionário”, que gera e-mails combinando nomes de pessoas, palavras presentes no dicionário e caracteres alfanuméricos.
Outra técnica é utilizando os códigos maliciosos, os quais buscam endereços de e-mail no computador infectado. E por fim, a técnica “Harvesting”, que busca endereços de correio electrónico em, por exemplo, páginas Web.
O spam pode ser responsável por diversos problemas para o usuário que o recebe:
· Perda de mensagens importantes;
· Conteúdo ofensivo;
· Perda de tempo para identificar e remover os spams;
2.3.3 Malware Comum
O Malware comum, em contraste com o de rede, é feito para ser executado em ambiente local sem a necessidade de qualquer conexão a rede, pois também pode ser propagado via dispositivos físicos como pendrives, HDs externos e periféricos com software malicioso embarcado. Nessa categoria, classificam-se os vírus, worms e bombas lógicas.
Vírus de computador é um conceito que muitas vezes acaba generalizando o Malware. É muito comum um usuário que foi infectado apenas com adware dizer que “está com vírus no PC” e assim segue; Na verdade, um vírus de computador é um código capaz de se replicar durante a infecção em qualquer programa ou documento. Por exemplo, sistemas Windows em
muitas mídias se utilizam de um arquivo “autorun.inf” para automatizar a execução de tarefas para montagem de pastas ou imagens de disco. Logo, um código maldoso que possa se acoplar silenciosamente a esse tipo de arquivo, com certeza conseguirá infectar um sistema Windows.
Os Worms são códigos capazes de se replicar em múltiplas máquinas de modo independente,
isto é, sem precisar se atrelarem a um determinado programa para iniciar seu ciclo de vida. Eles podem, entre outras coisas, consumir a banda da rede e privar o usuário infectado de utilizá-la, além de criarem várias cópias de si para aumentar a taxa de programação. Esta última característica é o que os softwares de anti-vírus utilizam para identificar Worms; se um arquivo está se repetindo muitas vezes com atributos iguais, ele é considerado suspeito nesses sistemas de detecção.
A bomba lógica é um software que permanece quieto até que se atinja uma determinada condição. Para isso, o programa fica apenas checando a data do sistema até que seja a data especificada e só então ele vai, de fato, executar seu código.(SAHEED, 2013)
Dadas essas classificações, pode-se ilustrar os tipos de malware e suas características com o quadro 1:
Quadro 1: Famílias de Malware e fatores comparativos
Fonte: Saeed (2013) (traduzida pelo autor).
2.3.4 Código fonte de Malware
Alguns malwares acabam tendo seu código aberto e disponibilizado para estudos, ora por vontade de seus próprios autores, ou por vazamento de informações feito por outros hackers interessados em tornar público esse tipo de informação. A cada ano, o nível de complexidade para a construção de malwares fica maior, pois como a maior parte deles é voltada para ataques
em rede, é preciso pensar numa aplicação funcional com arquitectura do tipo cliente-servidor, contendo além de todos os algoritmos que explorem vulnerabilidades, os meios de encriptação e disfarce do malware. Ou seja, até mesmo o menor dos malwares construídos hoje em dia, possui muito código embutido e embaralhado dentro de si, a fim de dificultar o processo de detecção e mapeamento de assinaturas.
2.4. Sua forma de actuação e as suas formas de mitigação
Diante das informações apresentadas, fica bastante claro que os malwares são ameaças que estão à espreita daqueles que utilizam a internet. Portanto, é muito importante tomarmos alguns tipos de acções preventivas que visam mitigar os riscos de termos os nossos sistemas infectados por tais pragas virtuais.
Uma das formas mais básicas e eficazes de prevenção contra malwares, consiste na instalação de antivírus – que na maioria dos casos detectam vírus, worms e trojans – e antispywares. Porém, tal acção terá maior eficácia, quando for acompanhada pela constante actualização tanto dos softwares de segurança, quanto do sistema operacional e seus programas. Dessa forma, o ambiente contará com as soluções mais recentes para sanar as brechas.
Outra ponto que deve ser observado diz respeito às mensagens de e-mail e à navegação por meio de sites duvidosos. Muitos e-mails de remetentes maliciosos costumam conter anexos infectados ou, até mesmo, links com textos do tipo “olha esta foto que tirei com você…” ou “actualize as suas informações bancárias…”. Ao pairar o mouse sobre estes tipos de links, o usuário pode notar no seu próprio navegador uma referência para arquivos do tipo zip, exe, ou até mesmo para páginas web que contenham possíveis armadilhas. Portanto, além de possuir um bom antivírus e um antispyware instalado em seu sistema, analise com bastante calma estes tipos de mensagens e sites.
3.CONCLUSÃOCom os estudos levantados e uma análise do cenário actual da computação, pode-se afirmar que as técnicas estudadas e aplicadas no desenvolvimento deste trabalho estão, em termos de desempenho, chegando ao seu máximo, pois a manipulação de assinaturas de malware implica características no processo de detecção que limitam uma possível abordagem com o uso de técnicas de programação mais inovadoras. Embora a eficácia das ferramentas actualmente empregadas seja satisfatória e as mesmas apresentem uma boa precisão de detecção, elas estão
sempre atuando num contexto do que pode-se chamar de ‘pós-infecção’ ou pelo menos de uma infecção iminente, onde os arquivos maliciosos já estão trafegando por pontos de rede ou até mesmo se encontram latentes dentro dos ambientes vulneráveis infiltrados, seja por estarem à espera de um comando do usuário ou por terem execução agendada. O panorama dos estudos nesse segmento da área de segurança de redes está, em maior parte, tomando um viés para a prevenção de infecções e episódios de vulnerabilidade, onde os métodos de detecção de intrusão por anomalia e comportamento apresentam a vantagem de estarem constantemente procurando se antecipar a possíveis ataques e a novas formas de quebra de segurança, com a utilização de conceitos como redes neurais, grafos, e até mesmo aprendizado de máquina.
4.BIBLIOGRAFIA 
HASSAN, A. M. F. Master’s thesis in network engineering. 2010. Acesso em: 15/03/2020.
Disponível em: <http://www.diva-portal.org/smash/get/diva2:300733/FULLTEXT01.pdf>.
SAEED ALI SELAMAT, A. M. A. A. I. A. A survey on malware and malware detection systems. International Journal of Computer Applications (0975 – 8887), 2013.
SAWLE PRAJAKTA D.; GADICHA, A. Analysis of malware detection techniques in android. International Journal of Computer Science and Mobile Computing, 2014.