SlideShare une entreprise Scribd logo

Analise de Malware e Pesquisas Recentes

Luiz Amelotti
Luiz Amelotti

O documento fornece uma visão geral da análise de malware, discutindo os tipos de malware, vetores de infecção, técnicas de análise estática e dinâmica e pesquisas recentes na área, incluindo geração automática de vacinas, detecção de comportamento aleatório e uso de aprendizado de máquina.

Technologie
1  sur  46
Télécharger pour lire hors ligne
Análise de Malware Uma visão geral
Introdução • Uso crescente da Internet ▫ Redes sociais, Internet Banking, eCommerce, etc
Introdução • Uso crescente da Internet ▫ Redes sociais, Internet Banking, eCommerce, etc • Usuários mal intencionados ▫ Dinheiro ▫ Reputação
Introdução • Uso crescente da Internet ▫ Redes sociais, Internet Banking, eCommerce, etc • Usuários mal intencionados ▫ Dinheiro ▫ Reputação • Malware ▫ “Os malwares são a próxima bomba nuclear” [Kaspersky]
Introdução • Malware no Linux ▫ Winter, Winux/Lindose, Diesel, Coin, Mighty, Adore, Slapper, Kork, Millen, etc
Introdução • Malware no Linux ▫ Winter, Winux/Lindose, Diesel, Coin, Mighty, Adore, Slapper, Kork, Millen, etc • Malware em Android ▫ Crescimento de 472% em 2011
Introdução • Malware no Linux ▫ Winter, Winux/Lindose, Diesel, Coin, Mighty, Adore, Slapper, Kork, Millen, etc • Malware em Android ▫ Crescimento de 472% em 2011 • 2008: 1.6M de amostras ▫ É necessário um meio eficiente de identificação
Introdução • Ferramentas de proteção ▫ Baseadas em assinaturas e heurísticas  Base de dados de assinaturas  Padrão de comportamento
Introdução • Ferramentas de proteção ▫ Baseadas em assinaturas e heurísticas  Base de dados de assinaturas  Padrão de comportamento ▫ Assinaturas genéricas  Identificar variações  Não gerar falso-positivos
O que é “Malware”? • “Software that deliberately fulfills the harmful intent of an attacker” [Moser]
O que é “Malware”? • “Software that deliberately fulfills the harmful intent of an attacker” [Moser] • Vírus, os pioneiros ▫ Vulnerabilidades de segurança ▫ Habilidade técnica
O que é “Malware”? • “Software that deliberately fulfills the harmful intent of an attacker” [Moser] • Vírus, os pioneiros ▫ Vulnerabilidades de segurança ▫ Habilidade técnica • Enorme cadeia econômica
Tipos de malware • Worm ▫ “a program that can run independently and can propagate a fully working version of itself to other machines” [Spafford]
Tipos de malware • Vírus ▫ “A virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently” [Spafford]
Tipos de malware • Spyware ▫ Software que coleta informações sensíveis da vítima e envia para o atacante
Tipos de malware • Trojan horse ▫ Tenta se passar por um software útil – ou não malicioso – mas executa atividades maliciosas em segundo plano
Tipos de malware • Bot ▫ Um bot é um malware que permite que seu controlador (bot master) opere remotamente o sistema comprometido.
Tipos de malware • Rootkit ▫ A principal característica é a habilidade de esconder certas informações do usuário, como sua presença
Vetores de infecção • Explorando vulnerabilidade em serviços de rede ▫ Infectam através de vulnerabilidades em serviços de rede, como compartilhamento de arquivos
Vetores de infecção • Explorando vulnerabilidade em serviços de rede ▫ Infectam através de vulnerabilidades em serviços de rede, como compartilhamento de arquivos • Orientados a download ▫ Ataca vulnerabilidades no browser da vítima, baixando código malicioso sem seu conhecimento
Vetores de infecção • Explorando vulnerabilidade em serviços de rede ▫ Infectam através de vulnerabilidades em serviços de rede, como compartilhamento de arquivos • Orientados a download ▫ Ataca vulnerabilidades no browser da vítima, baixando código malicioso sem seu conhecimento • Engenharia social ▫ Convence o usuário a executar o código malicioso
Análise de malware • Obter informações para identificar e tratar uma infecção
Análise de malware • Obter informações para identificar e tratar uma infecção • Responder a um incidente de segurança envolvendo malware
Análise de malware • Obter informações para identificar e tratar uma infecção • Responder a um incidente de segurança envolvendo malware • Determinar o que um programa suspeito faz de fato
Análise de malware • Obter informações para identificar e tratar uma infecção • Responder a um incidente de segurança envolvendo malware • Determinar o que um programa suspeito faz de fato • Gerar informações para ferramentas automatizadas
Análise de malware • Análise estática ▫ Sem execução do código • ▫
Técnicas de análise de malware • Análise estática básica ▫ Determinar se o software é malicioso ▫ Informações sobre seu funcionamento ▫ Informações para gerar assinaturas simples
Técnicas de análise de malware • Análise estática básica ▫ Determinar se o software é malicioso ▫ Informações sobre seu funcionamento ▫ Informações para gerar assinaturas simples ▫ Simples e rápida ▫ Ineficiente contra malwares avançados
Técnicas de análise de malware • Análise estática básica ▫ Execução contra antivírus ▫ Hashing ▫ Strings ▫ Packers ▫ Formato do Arquivo (PE, ELF, COFF, etc) ▫ Bibliotecas e Funções
Técnicas de análise de malware • Análise estática avançada ▫ Analisar software mais a fundo ▫ Entender melhor o que o software faz ▫ Entender interação com SO
Técnicas de análise de malware • Análise estática avançada ▫ Analisar software mais a fundo ▫ Entender melhor o que o software faz ▫ Entender interação com SO ▫ Curva de aprendizado mais longa ▫ Requer conhecimento especializado  Assembly  SO
Técnicas de análise de malware • Análise estática avançada ▫ Análise do código-fonte ▫ Fluxo de execução ▫ Inferência de parâmetros ▫ Strings ▫ Engenharia reversa ▫ Análise de código assembly
Técnicas de análise de malware • Problemas da análise estática ▫ Código-fonte indisponível ▫ Análise estática do binário é difícil ▫ Uso de packers/obfuscação ▫ Código auto-gerado ▫ Dependência de valores e estados em tempo de execução
Análise de malware • ▫ • Análise dinâmica ▫ Com execução do código
Técnicas de análise de malware • Análise dinâmica básica ▫ Executar o software ▫ Observar seu comportamento ▫ Remoção do sistema ▫ Assinaturas simples
Técnicas de análise de malware • Análise dinâmica básica ▫ Acesso a registros e configurações ▫ Uso de rede ▫ Uso de disco ▫ Processos e threads ▫ Coleta de pacotes de rede
Técnicas de análise de malware • Análise dinâmica avançada ▫ Análise avançada das ações do software ▫ Estudo aprofundado do comportamento ▫ Identificação de técnicas de evasão
Técnicas de análise de malware • Análise dinâmica avançada ▫ Análise avançada das ações do software ▫ Estudo aprofundado do comportamento ▫ Identificação de técnicas de evasão ▫ Conhecimento avançado no SO alvo ▫ Expertise em linguagem assembly e debbuging na arquitetura alvo
Técnicas de análise de malware • Análise dinâmica avançada ▫ Debbuging ▫ Interação com o kernel
Técnicas de evasão • Código auto-modificável e packers • Detecção de ambientes de análise • Bombas lógicas
Pesquisas recentes • Geração automática de vacinas • Análise de comportamento aleatório • Similaridade de funções • Usando aprendizado de máquina
Geração automática de vacinas • Motivação: estudo sobre o Conficker • Desenvolvimento de protótipo “AGAMI” para gerar as vacinas automaticamente • Gerou vacinas para malwares das famílias Conficker e Zeus • Simula a existência de recursos computacionais • Previne a criação de tais recursos pelo malware
Comportamento aleatório • Malware altera seu comportamento entre execuções ▫ Evadir técnicas de detecção • Software não-malicioso não precisa desse comportamento • Detecção baseada nas mudanças de comportamento • Lista de sequências de chamadas de sistema
Similaridade de funções • Famílias de malware compartilham funções similares • Base de comparação criada a partir de malwares conhecidos e já analisados • Similaridade usando algoritmos de filtros • Classificação das funções de acordo com as características
WinAPI e Machine Learning • Modelar sequência de chamadas a API usando Cadeias de Markov • Classificação baseada em mineração de associações • Número reduzido de regras, removendo redundantes • Processo de aprendizado interativo
Referências Egele, M., Scholte, T., Kirda, E., Kruegel, C. 2012. A survey on Automated Dynamic Malware-Analysis Techniques and Tools, ACM Computing Surveys, Vol 44. Hunt, R., Zeadally, S. 2012. Network Forensic - An Analysis of Techniques, Tools, and Trends, IEEE. Manoharan, R., Chandrasekar, R. 2012. Malware Detection using Windows API Sequence and Machine Learning, International Journal of COmputer Applications. Zabidi, M., Maarof, M., Zainal, A. 2012. Malware Analysis With Multiple Features. 14th International Conference on Modeling and Simulation. Xu, Z., Gu, G., Zhang, J., Lin, Z. 2012. Automatic Generation of Vaccines for Malware Immunization. ACM. Kasama, T., Yoshioka, K., Inoue, D., Matsumoto, T. 2012. Malware Detection Method by Catching Their Random Behavior in Multiple Executions, IEEE 12th International Symposium on Applications and the Internet. Zhong, Y., Yamaki, H., Takakura, H. 2012. A malware Classification Method based on Similarity of Functions Structure. IEEE 12th International Symposium on Applications and the Internet.

Recommandé

Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalClavis Segurança da Informação
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de RedesClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao gleydsonslim
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 

Recommandé

Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalClavis Segurança da Informação
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de RedesClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao gleydsonslim
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livreDiego Santos
 
Malwares
MalwaresMalwares
Malwaresguestd0a442b
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...Sandro Suffert
 
Spyware
SpywareSpyware
Spywareinstitutoduartelemos
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacionalJoão Freire Abramowicz
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
O que são virus informáticos
O que são virus informáticosO que são virus informáticos
O que são virus informáticosmrcelino
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livreLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Diogenes Freitas
 
Proposta de identificação de impressões digitais empregando redes neurais art...
Proposta de identificação de impressões digitais empregando redes neurais art...Proposta de identificação de impressões digitais empregando redes neurais art...
Proposta de identificação de impressões digitais empregando redes neurais art...Diogenes Freitas
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013GVTech
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaDeServ - Tecnologia e Servços
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Jump Call
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
 
3 ana pinto_4_ana_gouveia_virus
3 ana pinto_4_ana_gouveia_virus3 ana pinto_4_ana_gouveia_virus
3 ana pinto_4_ana_gouveia_viruslipinha16
 
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Adolfo Guimaraes
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbrBruno Guerreiro, COBIT, ITIL, MCSO, LPIC3 Security
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Thiago Finardi
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbrBruno Guerreiro, COBIT, ITIL, MCSO, LPIC3 Security
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbrBruno Guerreiro, COBIT, ITIL, MCSO, LPIC3 Security
 

Contenu connexe

En vedette

Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livreDiego Santos
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...Sandro Suffert
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
O que são virus informáticos
O que são virus informáticosO que são virus informáticos
O que são virus informáticosmrcelino
 

En vedette (7)

Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
 
Malwares
MalwaresMalwares
Malwares
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...
 
Spyware
SpywareSpyware
Spyware
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacional
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
O que são virus informáticos
O que são virus informáticosO que são virus informáticos
O que são virus informáticos
 

Similaire à Analise de Malware e Pesquisas Recentes

Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Diogenes Freitas
 
Proposta de identificação de impressões digitais empregando redes neurais art...
Proposta de identificação de impressões digitais empregando redes neurais art...Proposta de identificação de impressões digitais empregando redes neurais art...
Proposta de identificação de impressões digitais empregando redes neurais art...Diogenes Freitas
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013GVTech
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Jump Call
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
 
3 ana pinto_4_ana_gouveia_virus
3 ana pinto_4_ana_gouveia_virus3 ana pinto_4_ana_gouveia_virus
3 ana pinto_4_ana_gouveia_viruslipinha16
 
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Adolfo Guimaraes
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Thiago Finardi
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitAmazon Web Services
 
[In]segurança mobile: Android na Segurança da Informação
[In]segurança mobile: Android na Segurança da Informação[In]segurança mobile: Android na Segurança da Informação
[In]segurança mobile: Android na Segurança da InformaçãoHenrique Galdino
 

Similaire à Analise de Malware e Pesquisas Recentes (20)

Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
Uma Proposta de identificação de Impressões Digitais empregando Redes Neurais...
 
Proposta de identificação de impressões digitais empregando redes neurais art...
Proposta de identificação de impressões digitais empregando redes neurais art...Proposta de identificação de impressões digitais empregando redes neurais art...
Proposta de identificação de impressões digitais empregando redes neurais art...
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informação
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
 
3 ana pinto_4_ana_gouveia_virus
3 ana pinto_4_ana_gouveia_virus3 ana pinto_4_ana_gouveia_virus
3 ana pinto_4_ana_gouveia_virus
 
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbr
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbr
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbr
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbr
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
 
Introducao redes
Introducao redesIntroducao redes
Introducao redes
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
 
[In]segurança mobile: Android na Segurança da Informação
[In]segurança mobile: Android na Segurança da Informação[In]segurança mobile: Android na Segurança da Informação
[In]segurança mobile: Android na Segurança da Informação
 

Analise de Malware e Pesquisas Recentes

  • 1. Análise de Malware Uma visão geral
  • 2. Introdução • Uso crescente da Internet ▫ Redes sociais, Internet Banking, eCommerce, etc
  • 3. Introdução • Uso crescente da Internet ▫ Redes sociais, Internet Banking, eCommerce, etc • Usuários mal intencionados ▫ Dinheiro ▫ Reputação
  • 4. Introdução • Uso crescente da Internet ▫ Redes sociais, Internet Banking, eCommerce, etc • Usuários mal intencionados ▫ Dinheiro ▫ Reputação • Malware ▫ “Os malwares são a próxima bomba nuclear” [Kaspersky]
  • 5. Introdução • Malware no Linux ▫ Winter, Winux/Lindose, Diesel, Coin, Mighty, Adore, Slapper, Kork, Millen, etc
  • 6. Introdução • Malware no Linux ▫ Winter, Winux/Lindose, Diesel, Coin, Mighty, Adore, Slapper, Kork, Millen, etc • Malware em Android ▫ Crescimento de 472% em 2011
  • 7. Introdução • Malware no Linux ▫ Winter, Winux/Lindose, Diesel, Coin, Mighty, Adore, Slapper, Kork, Millen, etc • Malware em Android ▫ Crescimento de 472% em 2011 • 2008: 1.6M de amostras ▫ É necessário um meio eficiente de identificação
  • 8. Introdução • Ferramentas de proteção ▫ Baseadas em assinaturas e heurísticas  Base de dados de assinaturas  Padrão de comportamento
  • 9. Introdução • Ferramentas de proteção ▫ Baseadas em assinaturas e heurísticas  Base de dados de assinaturas  Padrão de comportamento ▫ Assinaturas genéricas  Identificar variações  Não gerar falso-positivos
  • 10. O que é “Malware”? • “Software that deliberately fulfills the harmful intent of an attacker” [Moser]
  • 11. O que é “Malware”? • “Software that deliberately fulfills the harmful intent of an attacker” [Moser] • Vírus, os pioneiros ▫ Vulnerabilidades de segurança ▫ Habilidade técnica
  • 12. O que é “Malware”? • “Software that deliberately fulfills the harmful intent of an attacker” [Moser] • Vírus, os pioneiros ▫ Vulnerabilidades de segurança ▫ Habilidade técnica • Enorme cadeia econômica
  • 13. Tipos de malware • Worm ▫ “a program that can run independently and can propagate a fully working version of itself to other machines” [Spafford]
  • 14. Tipos de malware • Vírus ▫ “A virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently” [Spafford]
  • 15. Tipos de malware • Spyware ▫ Software que coleta informações sensíveis da vítima e envia para o atacante
  • 16. Tipos de malware • Trojan horse ▫ Tenta se passar por um software útil – ou não malicioso – mas executa atividades maliciosas em segundo plano
  • 17. Tipos de malware • Bot ▫ Um bot é um malware que permite que seu controlador (bot master) opere remotamente o sistema comprometido.
  • 18. Tipos de malware • Rootkit ▫ A principal característica é a habilidade de esconder certas informações do usuário, como sua presença
  • 19. Vetores de infecção • Explorando vulnerabilidade em serviços de rede ▫ Infectam através de vulnerabilidades em serviços de rede, como compartilhamento de arquivos
  • 20. Vetores de infecção • Explorando vulnerabilidade em serviços de rede ▫ Infectam através de vulnerabilidades em serviços de rede, como compartilhamento de arquivos • Orientados a download ▫ Ataca vulnerabilidades no browser da vítima, baixando código malicioso sem seu conhecimento
  • 21. Vetores de infecção • Explorando vulnerabilidade em serviços de rede ▫ Infectam através de vulnerabilidades em serviços de rede, como compartilhamento de arquivos • Orientados a download ▫ Ataca vulnerabilidades no browser da vítima, baixando código malicioso sem seu conhecimento • Engenharia social ▫ Convence o usuário a executar o código malicioso
  • 22. Análise de malware • Obter informações para identificar e tratar uma infecção
  • 23. Análise de malware • Obter informações para identificar e tratar uma infecção • Responder a um incidente de segurança envolvendo malware
  • 24. Análise de malware • Obter informações para identificar e tratar uma infecção • Responder a um incidente de segurança envolvendo malware • Determinar o que um programa suspeito faz de fato
  • 25. Análise de malware • Obter informações para identificar e tratar uma infecção • Responder a um incidente de segurança envolvendo malware • Determinar o que um programa suspeito faz de fato • Gerar informações para ferramentas automatizadas
  • 26. Análise de malware • Análise estática ▫ Sem execução do código • ▫
  • 27. Técnicas de análise de malware • Análise estática básica ▫ Determinar se o software é malicioso ▫ Informações sobre seu funcionamento ▫ Informações para gerar assinaturas simples
  • 28. Técnicas de análise de malware • Análise estática básica ▫ Determinar se o software é malicioso ▫ Informações sobre seu funcionamento ▫ Informações para gerar assinaturas simples ▫ Simples e rápida ▫ Ineficiente contra malwares avançados
  • 29. Técnicas de análise de malware • Análise estática básica ▫ Execução contra antivírus ▫ Hashing ▫ Strings ▫ Packers ▫ Formato do Arquivo (PE, ELF, COFF, etc) ▫ Bibliotecas e Funções
  • 30. Técnicas de análise de malware • Análise estática avançada ▫ Analisar software mais a fundo ▫ Entender melhor o que o software faz ▫ Entender interação com SO
  • 31. Técnicas de análise de malware • Análise estática avançada ▫ Analisar software mais a fundo ▫ Entender melhor o que o software faz ▫ Entender interação com SO ▫ Curva de aprendizado mais longa ▫ Requer conhecimento especializado  Assembly  SO
  • 32. Técnicas de análise de malware • Análise estática avançada ▫ Análise do código-fonte ▫ Fluxo de execução ▫ Inferência de parâmetros ▫ Strings ▫ Engenharia reversa ▫ Análise de código assembly
  • 33. Técnicas de análise de malware • Problemas da análise estática ▫ Código-fonte indisponível ▫ Análise estática do binário é difícil ▫ Uso de packers/obfuscação ▫ Código auto-gerado ▫ Dependência de valores e estados em tempo de execução
  • 34. Análise de malware • ▫ • Análise dinâmica ▫ Com execução do código
  • 35. Técnicas de análise de malware • Análise dinâmica básica ▫ Executar o software ▫ Observar seu comportamento ▫ Remoção do sistema ▫ Assinaturas simples
  • 36. Técnicas de análise de malware • Análise dinâmica básica ▫ Acesso a registros e configurações ▫ Uso de rede ▫ Uso de disco ▫ Processos e threads ▫ Coleta de pacotes de rede
  • 37. Técnicas de análise de malware • Análise dinâmica avançada ▫ Análise avançada das ações do software ▫ Estudo aprofundado do comportamento ▫ Identificação de técnicas de evasão
  • 38. Técnicas de análise de malware • Análise dinâmica avançada ▫ Análise avançada das ações do software ▫ Estudo aprofundado do comportamento ▫ Identificação de técnicas de evasão ▫ Conhecimento avançado no SO alvo ▫ Expertise em linguagem assembly e debbuging na arquitetura alvo
  • 39. Técnicas de análise de malware • Análise dinâmica avançada ▫ Debbuging ▫ Interação com o kernel
  • 40. Técnicas de evasão • Código auto-modificável e packers • Detecção de ambientes de análise • Bombas lógicas
  • 41. Pesquisas recentes • Geração automática de vacinas • Análise de comportamento aleatório • Similaridade de funções • Usando aprendizado de máquina
  • 42. Geração automática de vacinas • Motivação: estudo sobre o Conficker • Desenvolvimento de protótipo “AGAMI” para gerar as vacinas automaticamente • Gerou vacinas para malwares das famílias Conficker e Zeus • Simula a existência de recursos computacionais • Previne a criação de tais recursos pelo malware
  • 43. Comportamento aleatório • Malware altera seu comportamento entre execuções ▫ Evadir técnicas de detecção • Software não-malicioso não precisa desse comportamento • Detecção baseada nas mudanças de comportamento • Lista de sequências de chamadas de sistema
  • 44. Similaridade de funções • Famílias de malware compartilham funções similares • Base de comparação criada a partir de malwares conhecidos e já analisados • Similaridade usando algoritmos de filtros • Classificação das funções de acordo com as características
  • 45. WinAPI e Machine Learning • Modelar sequência de chamadas a API usando Cadeias de Markov • Classificação baseada em mineração de associações • Número reduzido de regras, removendo redundantes • Processo de aprendizado interativo
  • 46. Referências Egele, M., Scholte, T., Kirda, E., Kruegel, C. 2012. A survey on Automated Dynamic Malware-Analysis Techniques and Tools, ACM Computing Surveys, Vol 44. Hunt, R., Zeadally, S. 2012. Network Forensic - An Analysis of Techniques, Tools, and Trends, IEEE. Manoharan, R., Chandrasekar, R. 2012. Malware Detection using Windows API Sequence and Machine Learning, International Journal of COmputer Applications. Zabidi, M., Maarof, M., Zainal, A. 2012. Malware Analysis With Multiple Features. 14th International Conference on Modeling and Simulation. Xu, Z., Gu, G., Zhang, J., Lin, Z. 2012. Automatic Generation of Vaccines for Malware Immunization. ACM. Kasama, T., Yoshioka, K., Inoue, D., Matsumoto, T. 2012. Malware Detection Method by Catching Their Random Behavior in Multiple Executions, IEEE 12th International Symposium on Applications and the Internet. Zhong, Y., Yamaki, H., Takakura, H. 2012. A malware Classification Method based on Similarity of Functions Structure. IEEE 12th International Symposium on Applications and the Internet.