http://www.blog.clavis.com.br/webinar-17-analise-de-malware-em-forense-computacional/
Qual foi o objetivo deste novo webinar da Clavis Segurança da Informação?
Este Webinar apresentou algumas das técnicas para análise de malware, incluindo análise de strings, unpacking e análise do tráfego de rede. Os ouvintes aprenderam a adequar o ambiente de avaliação conforme demandado pelo código malicioso. Como demonstração, foi apresentado a análise do malware Slackbot.
Veja mais sobre o curso Análise de Malware em Forense Computacional(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/analise-de-malware-em-forense-computacional/). Este é um dos inúmeros assuntos abordados na Formação de 100 horas — Perito em Análise Forense Computacional — Academia Clavis Segurança da Informação(http://www.blog.clavis.com.br/formacao-de-100-horas-perito-em-analise-forense-computacional-academia-clavis-seguranca-da-informacao/).
Quem ministrou o Webinar?
Davidson Rodrigo Boccardo é Doutor em Engenharia Elétrica pela Universidade Estadual Paulista (UNESP) com período sanduíche no Center for Advanced Computer Studies da University of Louisiana at Lafayette. Atualmente é pesquisador no Instituto Nacional de Metrologia, Qualidade e Tecnologia, e tem atuado nos seguintes temas: engenharia reversa, análise de software/malware, ofuscação de software, incorruptibilidade de software e marca d’água em software.
Este Webinar foi realizado com a mesma infraestrutura de um treinamento EAD da Academia Clavis(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/). É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
2. Introdução
• Avaliar as ameaças de um malware
• Erradicar infecções
• Fortalecer suas defesas
• Realizar análise forense
• Construir um ferramental para análise
3. Análise de malware
• 2 fases
• Análise comportamental
• Análise de código
• Buscar a maior quantidade de informações através da
análise comportamental
• Execução em ambiente controlado
• Monitoramento das interações
• Criação de estímulos
• Preencher possíveis brechas que sobraram através da
análise de código
4. Motivação para análise
• Comportamento não usual de uma estação de trabalho
• Conexões de entrada para a porta TCP 113
• Conexões de saída para a porta TCP 6667
• Processo estranho em execução
• Antivírus não detecta nenhum código malicioso
5. Preparação do ambiente
• Utilizaremos o Vmware
• Emula hardware Intel (Windows, Linux, etc)
• Possui recursos de rede (ex. DHCP)
• Permite isolamento de rede
• Host-only
• Máquinas virtuais interagem com o host de uma
maneira limitada
• Recursos de snapshot
7. Análise de strings
• Permite revelar:
• Nomes de arquivo
• Nomes de hosts
• Chaves de regitros
• Permite verificar:
• Se o código está ofuscado
8. Packing
• Processo de esconder um código em outro executável
• Inserção de uma rotina de unpacking
• Embarca o código como dados
• Código é criptografado e compactado
• Dificulta a análise do código e de seu comportamento por
ferrmentas de engenharia reversa
13. Análise do tráfego rede
• Executar Wireshark
• Ctrl+E para iniciar a captura
• Execute o malware por um determinado tempo
• Ctrl+E para interromper a captura
17. Modificação do ambiente
• Com cada experimento, vamos entendendo o que o
malware precisa e moldamos o ambiente para que o
malware consiga interagir como se tivesse executando no
mundo real
• Vamos fazendo isso, passo a passo, para que tenhamos
uma visão controlada do comportamento do malware
• Vamos então iniciar um servidor de IRC através do
comando ircd start
• Comandos IRC (/join #canal, /leave, /list, /quit )