Cibersegurança

Análise de Malware

Angela Talyta Gomes Silva

6 min read
Análise de Malware

A análise de Malware é um processo crucial para identificar, compreender e mitigar ameaças cibernéticas. É a técnica de determinar e analisar arquivos suspeitos em endpoints e redes usando técnicas de análise dinâmica, técnicas de análise estática ou engenharia reversa.

Malware, também conhecido como código malicioso, refere-se a um programa que é secretamente inserido em outro programa com a intenção de destruir dados, executar programas destrutivos para comprometer a confidencialidade, integridade ou disponibilidade dos dados, aplicativos, ou sistema operacional.


Tipos de Malware

  • Vírus: Programas que se anexam a arquivos legítimos e se propagam quando esses arquivos são executados. Eles podem corromper ou danificar arquivos e se espalhar para outros sistemas.
  • Worms: Malware que se espalha automaticamente pela rede, explorando vulnerabilidades em sistemas. Diferente dos vírus, os worms não precisam se anexar a arquivos para se propagar.
  • Trojans (Cavalos de Troia): Softwares aparentemente legítimos que escondem funções maliciosas. Eles podem abrir backdoors, roubar informações, espionar atividades e causar danos aos sistemas.
  • Ransomware: Malware que criptografa os arquivos de um sistema e exige um resgate (geralmente em criptomoedas) para descriptografá-los. Pode causar perdas significativas de dados.
  • Adware: Software que exibe anúncios indesejados em computadores ou dispositivos móveis, muitas vezes acompanhando a instalação de outro software.
  • Spyware: Spyware é um software malicioso projetado para ao invés de simplesmente interromper as operações de um dispositivo, ele direciona informações confidenciais, normalmente financeiras ou pessoais e, pode conceder acesso remoto aos invasores. O keylogger, que registra as teclas digitadas para revelar senhas e informações pessoais, é um tipo de spyware.
  • Keyloggers: Malware que registra as teclas digitadas pelo usuário, incluindo senhas e informações confidenciais, que são posteriormente enviadas aos invasores.
  • Botnets: Redes de dispositivos infectados que são controlados remotamente por cibercriminosos. São usados para atividades maliciosas, como ataques DDoS, envio de spam ou mineração de criptomoedas.

Para ilustrar melhor sobre os conceitos de Malware, vamos usar um exemplo de um trojan bancário, conhecido como “BankerStealer”. Logo a seguir, veja o passo a passo:

  1. O primeiro passo é obter uma amostra autêntica do Malware. Isso pode ser feito por meio de várias fontes, como sistemas de sandbox, honeypots ou redes de sensores.
  2. Usar uma máquina virtual ou um sistema dedicado para criar um ambiente isolado e controlado para fazer a análise do Malware.
  3. Examine a amostra do Malware de forma estática, ou seja, sem executá-lo. Use ferramentas como um desmontador para examinar o código de montagem, identificar strings suspeitas, funções-chave e APIs usadas.

4. Execute o Malware em um ambiente controlado e monitore suas atividades usando ferramentas de análise dinâmica. Registre comportamentos suspeitos, como chamadas de sistema, criação de processos e alterações no sistema de arquivos e registro.

5. Vamos observar como o Malware interage com o sistema. Isso ajuda a entender o escopo das ações maliciosas e a identificar potenciais vítimas.

6. Capture e analise o tráfego de rede gerado pelo Malware. Isso pode fornecer informações sobre os servidores C&C, protocolos usados e dados exfiltrados. Ferramentas como Wireshark são úteis nessa etapa.

7. Realize engenharia reversa nas partes-chave do código para entender a lógica de funcionamento do Malware. Isso inclui análise de funções, estruturas de dados e algoritmos de criptografia, se houver.

8. Examine os artefatos deixados pelo Malware, como arquivos temporários, entradas de registro e arquivos maliciosos. Isso pode fornecer informações sobre a persistência do Malware e sua capacidade de evasão.

9. Com base nas informações coletadas, extraia IOCs, como hashes de arquivos, URLs, domínios e endereços IP relacionados ao Malware. Isso é fundamental para detectar e prevenir futuros incidentes.

10. Compile todas as descobertas em um relatório detalhado. O relatório deve incluir uma visão geral do Malware, seu funcionamento, comportamento, IOCs e recomendações para mitigação e prevenção.

Análise Binária

A análise binária envolve a investigação direta do código executável do Malware, seja por meio de desmontagem, engenharia reversa ou depuração. Ela oferece informações detalhadas sobre o comportamento do Malware, suas características e técnicas de evasão. Aqui estão algumas etapas-chave na análise binária de Malware:

Desmontagem: O código binário do Malware é convertido em código de montagem legível por humanos. Isso permite que os analistas examinem a lógica de funcionamento do Malware e identifiquem instruções-chave.

Análise de Fluxo de Controle: Os analistas rastreiam o fluxo de controle do programa, identificando pontos de entrada, loops e desvios condicionais. Isso ajuda a entender como o Malware toma decisões e executa diferentes ações. Um exemplo de análise de fluxo de controle: Vamos analisar um Malware que verifica se um arquivo chamado "password.txt" existe e, em seguida, realiza ações com base na presença desse arquivo.

O código de montagem simula um Malware que verifica a existência de um arquivo "password.txt", lê uma senha dele e a compara com uma senha esperada ("password1234"). Com base no resultado da comparação, o Malware exibe mensagens diferentes ("Acesso concedido" ou "Senha incorreta").

A análise de fluxo de controle envolve entender como as instruções condicionais (jnz, js) e de comparação (cmpsb) direcionam o fluxo de execução do programa. No caso do exemplo, o fluxo de controle é determinado pela comparação das senhas e pelas instruções de salto condicional.

Identificação de Funções e APIs: Ao examinar o código de montagem, os analistas podem identificar funções específicas e chamadas de APIs (Application Programming Interfaces) usadas pelo Malware. Isso ajuda a entender as operações que o Malware realiza.

Identificação de Strings e Constantes: As strings usadas pelo Malware, como URLs de C&C, chaves de criptografia e mensagens de erro, podem ser identificadas e analisadas para obter insights sobre o comportamento do Malware.

Análise de Looping Infinito: Muitos malwares usam loops infinitos para manter o controle e dificultar a análise. Identificar e entender esses loops é crucial para compreender o comportamento geral do Malware.

Assembly na Análise de Malware

O código de montagem (assembly) é a representação de baixo nível do código executável, e a análise de Malware frequentemente envolve a leitura e a compreensão do assembly para descobrir a funcionalidade e os métodos do Malware. Aqui estão algumas maneiras pelas quais o assembly é usado na análise de Malware:

Identificação de Comportamentos Maliciosos: Analisar o assembly permite aos analistas identificar as instruções que realizam atividades maliciosas, como a criação de arquivos, a comunicação com servidores C&C e a exfiltração de dados.

Reconhecimento de Padrões: Os analistas podem reconhecer padrões de instruções frequentemente usadas em técnicas de injeção de código, exploração de vulnerabilidades e criação de backdoors.

Entendimento de Criptografia e Codificação: Se o Malware usa criptografia ou codificação para ofuscar suas atividades, a análise do assembly pode revelar como os dados são manipulados e como as chaves são geradas.

Identificação de Vulnerabilidades de Software: Ao entender como o Malware explora vulnerabilidades, os analistas podem ajudar a desenvolver contramedidas e patches para proteger sistemas.

Desvendando Técnicas de Evasão: O assembly pode revelar técnicas de evasão usadas pelo Malware para escapar da detecção, como instruções anti-depuração e manipulação de APIs do sistema.

Demonstração de um código de montagem

Analisando um código de montagem de um Malware que busca roubar informações de um arquivo em um sistema.

Neste exemplo, o código de montagem ilustra um Malware fictício que realiza as seguintes etapas:

1 - Abre o arquivo "sensitive_data.txt" em modo de leitura.

2- Lê o conteúdo do arquivo para um buffer.

3 - Envia os dados lidos para um servidor C&C.

4 - Fecha o arquivo.

5 - Encerra a execução.

Este é um exemplo simplificado para demonstrar como o assembly pode ajudar a identificar o comportamento malicioso do Malware. Na realidade, a análise de Malware envolve investigações muito mais complexas, incluindo identificação de padrões de código, técnicas de ofuscação e muito mais.

A análise de códigos de montagem é uma habilidade avançada que exige conhecimento profundo de arquiteturas de CPU e assembly. Os analistas de segurança utilizam ferramentas como IDA Pro ou Ghidra para simplificar o processo de análise e entender o funcionamento interno do Malware.

A análise de Malware é um processo complexo e detalhado que exige conhecimento técnico especializado.

💡
As opiniões e comentários expressos neste artigo são de propriedade exclusiva de seu autor e não representam necessariamente o ponto de vista da Revelo.

A Revelo Content Network acolhe todas as raças, etnias, nacionalidades, credos, gêneros, orientações, pontos de vista e ideologias, desde que promovam diversidade, equidade, inclusão e crescimento na carreira dos profissionais de tecnologia.