Área do Aluno
EAD

Análise de malware em um ambiente de testes um estudo de caso

Análise de malware em um ambiente de testes – Estudo de caso

Introdução

Um malware pode ser definido como um programa que possui funções e objetivos maliciosos, e diante disso se faz necessário realizar a sua análise, que tem como principal objetivo entender o funcionamento deste software malicioso.

Observe que a análise de malware é uma das aplicações da engenharia reversa de software, afinal o objetivo é destrinchar o software malicioso, muitas vezes burlando proteções que eles mesmos possam conter, para procurar dados e informações relevantes acerca daquele software malicioso e seu funcionamento.

Análise de Malware – Estudo de caso

É importante ressaltar que em uma análise de malware é de extrema importância tomar medidas de segurança, como, por exemplo, a utilização de máquinas virtuais, de modo a tornar a análise mais segura e facilitá-la por conta dos recursos disponíveis às máquinas virtuais.

O estudo de caso apresentado, tem como objetivo desafiar o analista a responder algumas perguntas sobre a atividade maliciosa dele, entretanto, não será aplicada a análise estática e não nos aprofundaremos na análise dinâmica.

Na oportunidade, aproveitamos para ressaltar que, caso você deseje entender os fundamentos da forense digital e sobre a análise de malware, a Academia de Forense Digital possui um treinamento que servirá como seu ponto de partida, apresentando os temas relacionados a forense digital e suas subáreas, caso queira conhecer mais sobre clique aqui.

Analisando um Malware – Estudo de Caso

Após a execução da amostra do software é apresentando a tela a seguir declinada, a qual nos apresenta algumas informações, que informam procedimentos a serem realizados antes e depois da infecção. Além do mais, será apresentado um alerta que será aberto uma backdoor não maliciosa, para o analista procurar.

É importante frisar que um malware deve ser executado somente em um ambiente controlado, de preferência com privilégios de administrador e sem sistemas de proteção, com objetivo de entender a capacidade total dele sem barreiras e para que nossa análise dinâmica não possua nenhuma interferência desses sistemas de proteção.

Figura 1 – Captura de tela do Malware

Para resolver este estudo de caso é possível utilizar o Process Explorer, que faz parte do Sysinternals. Saiba mais sobre a identificação e análise de malware com Sysinternals, clicando aqui.

Observe a estrutura de processos do Process Explorer, em específico, a arvore de processos do “Lab Windows.exe

Figura 2 – Lista dos processos em execução no Process Explorer

Como observado na imagem acima, é possível identificar sem muitos esforços, o malware em execução, qual seja “Lab Windows.exe”.

Veja que o Process Explorer nos permite submeter o hash do executável no VirusTotal, nos trazendo alguns resultados sobre o executável.

Figura 3 – Submissão do hash do executável no VirusTotal

O Process Explorer permite ainda, visualizar as conexões ativas em um processo, basta abrir a caixa de opções no processo desejado e selecionar a opção “Properties”, logo em seguida, selecione a aba “TCP/IP”, a qual levará a uma tela similar a abaixo.

É possível utilizar outras ferramentas como TCPView ou Wireshark, contudo essas informações já são suficientes para completar desafio.

Figura 4 – Conexões de rede ativa

Respondendo às questões levantadas

É importante lembrar que neste caso em específico algumas respostas irão mudar a cada execução, ou seja, a cada execução, as respostas serão diferentes, necessitando que o processo de identificação e análise seja realizado novamente.

  • Em qual porta TCP o backdoor está escutando?

Como observado nas propriedades do processo do Powershell.exe na aba TCP/IP, temos como resposta a porta 49722:

Figura 5 – Pergunta e resposta da primeira questão

  • Qual é o PID da backdoor?

O Processo que desempenha o papel de backdoor é o powershell.exe, observe que o software em si não é malicioso, contudo, está realizando uma função com objetivos maliciosos, ou seja, nem todo software que executa funções consideradas “maliciosas”, realmente é um malware. Afinal, muitos softwares legítimos podem executar funções consideradas maliciosas, contudo possuírem objetivos legítimos.

O PID do mesmo pode ser identificado no Process Explorer na coluna “PID”, o qual nos traz que o PID do powershell.exe é 1592:

Figura 6 – Pergunta e resposta da segunda questão

  • Qual é o PID do processo pai da backdoor?

O processo pai da backdoor, que no caso está sendo desempenhado pelo powershell.exe, é o Lab Windows.exe, que é identificado pelo processo de número 5180:

Figura 7 – Pergunta e resposta da terceira questão

  • Qual a mensagem recebida ao se conectar a backdoor?

Com base nas informações coletadas na análise dinâmica será feito a conexão nessa backdoor. A backdoor está realizando uma Bind Shell, sendo necessário nos conectar nela para receber a mensagem.

Figura 8 – Conectando-se na backdoor

Após realizar a conexão na backdoor com telnet, nos é retornado a seguinte mensagem “TheFlagisBlack709469804”

Figura 9 – Mensagem exibida após conexão na backdoor

Basta responder a pergunta com a mensagem recebida, e, diante disso, finalizamos nosso estudo de caso.

Figura 10 – Pergunta e resposta da quarta e última questão

Conheça o treinamento de fundamentos de forense digital, a qual apresentará os conceitos fundamentais sobre o mercado de trabalho, legislações, metodologias aplicáveis e uma breve introdução a cada subárea da Forense Digital, confira clicando aqui.

Conclusão

Como constatado nesse estudo de caso, é possível entender o funcionamento de um programa malicioso com base em sua análise dinâmica, ou seja, com o malware em execução.

Contudo, é importante lembrar que a análise dinâmica e análise estática são complementares, ou seja, para extrair o máximo de informações sobre o funcionamento de um malware, é necessário utilizar as duas técnicas de forma complementar.

Sobre o autor do artigo

  • Nome: João Tsukahara (https://www.linkedin.com/in/joaotsukahara/)
  • Sua Minibiografia: Pesquisador de forense digital e segurança da informação.
  • Treinamentos concluídos na AFD:
    • Forense em Dispositivos Móveis;
    • Forense em Internet e OSINT;
    • Computação Forense;
    • Fundamentos de Forense Digital.
logotipo

Contato

Atendimento Comercial

Seg – Sex: 09:00 – 18:00

Endereço:

Rua São Bento, 365, 8º andar, Centro, São Paulo-SP

CNPJ/Razão Social:

26.140.618/0001-40 / Academia de Forense Digital LTDA

Telefone:

+55 11 98594-6809

Menu

  • Copyright © 2024. Todos os direitos reservados
Close

Plano Expert

  • ABNT ISO 27037;
  • Análise Forense de Malware;
  • Autopsy Forensics: do Zero ao Avançado;
  • Computação Forense;
  • Criptografia com Passware Forensics;
  • Cyber Security Pentest;
  • Forense em Assinatura Eletrônica;
  • Forense em Dispositivos Móveis;
  • Forense em Internet e OSINT;
  • Forense em Memória;
  • Investigação de Ataques Ransomware;
  • IPED-Forensics: do Zero ao Avançado;
  • Metodologias Nacionais de Perícia Digital;
  • Passware Kit Forensics;
  • Resposta a Incidentes;
  • Threat Intelligence.

Plano Detective

  • Análise de Malware Starter;
  • Análise de Superfície de Ataque Externa (EASM) usando ThingsRecon;
  • Caça a Infraestruturas de Malwares;
  • Conceitos de Telefonia Digital e Analógica;
  • Critical Security Controls;
  • Cyber Kill Chain;
  • Dns Da CloudFlare Proteja Seus Servidores;
  • Due Care e Due Dilligence;
  • Engenharia Social e Conscientização;
  • Entendendo TCP/IP e Equipamentos de Redes;
  • Fundamentos de Direito Digital;
  • Fundamentos de Forense Digital;
  • Fundamentos de Redes de Computadores;
  • Indústria 4.0 - Tecnologias Emergentes;
  • Internet Desvendada Aprenda como tudo se conecta;
  • Introdução a Ataques Ransomware;
  • Introdução à Cloud Computing;
  • Introdução à Criptografia;
  • Introdução à Teoria Psicanalítica em Direção à Saúde Mental;
  • Introdução ao Cloud Security;
  • Introdução ao Plano de Continuidade de Negócios;
  • Introdução ao RDStation Marketing;
  • LGPD para Profissionais de Tecnologia;
  • Mapeamento de Processos de Negócios;
  • Mitre Attack;
  • Noções Fundamentais de Telefonia IP;
  • OWASP Top 10;
  • PKI e Certificações Digitais;
  • Planejamento Proativo Capacitação em Continuidade de Negócios para o Sucesso Empresarial;
  • Ransomware e Segurança Defensiva;
  • Ransomware sob Controle Governança Corporativa para uma Defesa Ativa;
  • Resolvendo Desafios de CTF;
  • Roadmap para implantação do sistema de gestão de privacidade e proteção de dados no contexto LGPD;
  • Segurança Cibernética: Fundamentos e Estratégias de Defesa;
  • Segurança e Gerenciamento de Risco;
  • Setup 360º Instalação e Configuração do ISSABEL;
  • Setup 360º Instalação e Configuração do Linux CentOS9;
  • Shell Linux Básico;
  • Triagem de Malwares;
  • Volatility3 para Análise de Memória voltado a Identificação de Malware.

Plano Agent

  • Auditoria de TI na prática;
  • Como enriquecer eventos utilizando plugins no MISP;
  • Comunicação Não-Violenta;
  • Cyber Security Essentials;
  • DFIR Starter;
  • Fundamentos de Cibersegurança;
  • Fundamentos de Segurança da Informação;
  • Gestão de Riscos;
  • HTML5 e CSS3 para Iniciantes;
  • Introdução ao Direito;
  • LGPD para Profissionais de Tecnologia;
  • Linkedin Campeão;
  • Mergulhando no submundo online;
  • Mobile Forensics Starter;
  • Oratória e Comunicação;
  • Os perigos da Desinformação
  • Perito Forense Digital;
  • Português Instrumental;
  • Setup 360º Instalação e Configuração do Linux Debian 11;
  • Setup 360º Instalação e Configuração do PFSense;
  • Threat Intelligence Starter;
  • Webinar Profissional Com Obs Studio.