Pular para conteúdo

Fundamentos de Análise de Malware

O que é um malware?

Qualquer software que busca realizar ações maliciosas. Podemos considerar como ações maliciosas atividades que infrinjam a lei, privacidade, confidencialidade e segurança da vítima ou sistema.

Com um escopo tão abrangente do que pode ser considerado ou não malware, é de extrema importância a análise dos malwares. Através de sua análise, podemos extrair domínios, IPs, ferramentas utilizadas e TTPs, assim entendendo completamente suas estratégias e intenções.

Processo de padrão de análise

  1. Obter o Malware.
  2. Executar análises de malware estáticas e dinâmicas
  3. Criar um relatório sobre os resultados.

Aqui focaremos principalmente na 2ª etapa.

Tipos de análises de malware

Existem dois tipos de análise de malware: - Estática: análise sem executar o malware. - Dinâmica: análise executando o malware.

Nós normalmente implementamos ambos no processo de análise de malware, inclsuive indo e voltando em cada tipo de análise. Também é comum que ambos os tipos e suas várias técnicas empregadas NÃO dão todas a informação do malware, somente uma parte do quebra cabeça.

Direcionamento da análise:

Tente semrpre responder às seguintes questões (ou derivações delas): 1. Esse software é realmente malicioso? 2. Qual o comportamento do malware no sistema? Como ele modifica? Cria ou apaga arquivos? Envia dados? Etc... 3. Com quem o malware se comunica? Se envia dados a suspeitos, a quem? E por quê? 4. Como o malware pode ser detectado em nossos sitemas? 5. Como o malware pode ter sua entrada previnida em nossos sistemas? 6. Como o malware pode ser removido dos nossos sistemas caso ocorra uma infecção?

Ambientes controlados e práticas de segurança na análise de malware

Máquinas Virtuais

É recomendado o uso de Máquinas Virtuais, sendo elas locais ou por nuvem.

De preferência, NÃO INSTALE MALWARES EM SISTEMAS IMPORTANTES, mesmo com o uso de máquinas virtuais. Existe a chance do malware se mover e infectar o host.

Faça a sua máquina virtual parecer um sistema comum de usuário, com ao menos: - 2 CPUs - 1 GB de RAM - Aplicações comuns. - Múltiplos documentos e pastas abertas.

Snapshot

Máquinas virtuais possuem o recurso Snapshot, que permite você salvar um estado da máquina e voltar a esse mesmo estado depois. Elas são essenciais na análise de malware e serão muito úteis para voltar após erros ou danos.

Antes de criar um snapshot inicial do seu sistema virtual, faça:

  • [ ] Instale o sistema operacional, atualizações e ferramentas essenciais.
  • [ ] Configurações e personalizações importantes, como desativar o firewall e o antivírus.
  • [ ] Instale as ferramentas de análise a malware necessárias.
  • [ ] Defina a rede como Host-Only.

Caso instale VM Guest Tools, saiba que malwares também podem detectar isso. Portanto, é recomendado ter um snapshot com e outro sem os VM Guest Tools.

Rede

É importante que a máquina virtual NÃO TENHA ACESSO A INTERNET enquanto o malware estiver sendo testado e após.

Um malware com acesso a rede poderia:

  • Compartilhar seus dados com o atacante.
  • Avisar ao atacante quem está analisando o malware.
  • Infectar outros dispositivos na rede.

Por isso é importante sempre assegurar as seguintes caraterísticas da rede da sua máquina virtual:

  • Segmentação de rede: ao segmentar, você dificulta que ela navegue pela sua rede.

  • Rede Host-Only: essa configuração determina que a máquina virtual só se conecte ao seu sistema original e não ao resto da rede e internet.

  • Rede fingindo estar online: crie uma Storage Area Network virtual com aplicações como FakeNet. Ela criará endpoints falsos e dará um acesso a internet falso e monitorado.

Essas configurações em sua maioria são feitas através da máquina oiginal ou através das configurações da própria máquina virtual.

Manejo de malware

Muitos malwares possuem medidas anti-análise que podem detectar o ambiente emq uestão como Máquinas virtuais e pararem de funcionar por conta disso ou até mesmo lançarem um zero-day attack a fim de quebrar a máquina. Por isso os cuidados anteriores com a máquina virtual e a rede são necessários.

Outros cuidados agora com o próprio malware em mãos vem à tona:

  • Ao baixar um malware, sempre ponha senha em seus malware. É comum que se empacote os malware e ponha senhas nesses pacotes de malware a fim de evitar execuções indesejadas ou acidentais. A senha padrão costuma ser "infected".
  • Ao reportar URLs, evite a criação de hyperlinks automáticos. É comum trocar "http" por "hxxp" para isso e dificulta que alguém clique e entre no link sem querer.

Máquinas de Monitoramento

Lembrando que é aconselhável não utilizar máquinas importantes, mesmo que o malware seja aberto na máquina virtual. A máquina de monitoramento é também a máquina em que a máquina virtual está sendo executada, ou seja, é a máquina original.

Enquanto as máquinas virtuais são mínimas e tentam se parecer de usuários verídicos, as máquinas de montiramento são equipadas com uma série de ferramentas de monitoramento. Ferramentas comuns são: - Monitoramento de Rede, como Wireshark. - Simulador de Redes, como o FakeNet. - Monitor de tarefas do sistema. - Outras ferramentas que o analista julgue necessário.

Existem distribuições e sistemas operacionais já prontos para análise de malware, como o: - Kali Linux. - Renmux.

Ferramentas de Análise de Malware

Existem várias ferramentas por aí de análise de malware. Elas podem facilitar sua vida, mas sempre tenha cuidado! Às vezes ferramentas como essa podem realizar ações inesperadas e até maliciosas. Sempre analise muito bem suas ferramentas.

Fontes de Samples de Malware para análise e treinamento

  • Virus Total (premium)
  • Malware Baazar
  • Hybrid Analysis
  • Malpedia
  • vx-underground