Anlise de Malware em Sistemas Windows

Rafael Siqueira Samuel Macedo

Malware
Software

designado a se infiltrar em um sistema de computador alheio de forma ilcita com o intuito de causar algum dano ou roubo de informaes. Exemplos:

Vrus, Worms, Trojans, Bots, Spywares e outras variantes

Curiosidade estatstica
Dados

do Cert.br

77.933 incidentes reportados em 2006 59% algum tipo de uso de Malwares

Novidades
Rootkits:

Capacidade de ocultar processos, arquivos e dados do sistema. Dificuldade de deteco Variaes:

Kernel,

Aplicaes, Virtualised

Motivao para se realizar uma Anlise de Malware

Aumento

do nmero de Malwares Recuperao do sistema infectado

Clculo da extenso dos danos causados pelo Malware
Desenvolvimento

de novas tecnicas de proteo Pesquisa sobre novos tipos de ataque Curiosidade, diverso...

Anlise de Malware
Processo

de anlise de um cdigo malicioso para descoberta de suas funcionalidades bsicas. Tipos de anlise:

Anlise de Cdigo Execuo e Anlise Comportamental

Anlise de Cdigo
Leitura

do cdigo Uso de disassemblers e debuggers Vantagens: Maior conhecimento sobre o Malware e seu funcionamento Desvantagens:

Elevado conhecimento de linguagens de programao Tempo dedicado e pacincia

Anlise Comportamental
Ambiente

Controlado Informaes iniciais de um ambiente sadio Execuo e anlise dos passos de execuo do Malware Anlise forense comparativa

Ambiente Controlado

Mquina isolada ou mquina virtual Confiana no conjunto de ferramentas a serem utilizadas:

www.sleuthkit.org Acesso rede seja praticamente nulo (host-only) Sistemas operacionais distintos

VMware:

Dificultar comprometimento da mquina host

Uso de snapshots

Dados iniciais sobre o sistema

Arquivos,

processos em execuo, portas abertas, cpia do registro, informaes sobre usurios e grupos. Ferramentas:

Winalysis:
Utiliza

snapshots para realizar uma anlise comparativa sobre portas abertas

Netstat e fport
Informaes

Nmap
Scan

de portas

Anlise Esttica
Analisar

o Malware antes de sua execuo Ferramentas:

Strings:
Analisar

as seqncias de caracteres

PEid:
Obter

informaes sobre a ferramenta utilizada na compactao do malware imagens, menus, tabelas de strings, e outras informaes que seriam exibidas pelo executvel analisado

Resource hacker:
Visualizar

Anlise Dinmica
Execuo

do Malware dentro de um ambiente controlado Anlise comparativa do sistema finalizada quando o Malware termina sua execuo ou entra em execuo estacionria Ferramentas:

Regmon:
Alteraes

no registro do W indows em tempo real

Filemon:
Monitora

o sistema de arquivos possibilitando visualizar a criao de arquivos, remoo e modificao

Anlise Dinmica
Ferramentas

(cont.):

Wireshark:
Trfego

de rede em execuo no sistema

Process Explorer:
Processos

Anlise Comparativa
Analisar

as mudanas que ocorreram devido a execuo do Malware Anlise forense com informaes iniciais do sistema Ferramenta Winalysis.

Documentao
Relatrio

da anlise realizada:

MD5sum ou Sha1 Arquivos alterados Alteraes no registro Acesso rede Processos executados Strings

Concluso

A Anlise de Malwares deve seguir conceitos de Anlise Forense como imparcialidade, troca de informaes entre a equipe, pacincia e ateno. Os resultados podem ser pouco conclusivos, o que obrigaria o analista a realizar uma Anlise de Cdigo. A utilizao de mquinas virtuais no totalmente segura devido a evoluo dos Malwares na deteco destas mquinas.

Perguntas
Dvidas

antes de iniciar as demonstraes?

Computer Security Incident Response Team - PoP-MG www.csirt.pop-mg.rnp.br seguranca@csirt.pop-mg.rnp.br