O que é análise forense de malware?

Renan Cavalheiro

O que é análise forense de malware?

A análise forense de malware é um processo da computação forense, composto por diversas etapas, com o objetivo de compreender o comportamento de determinado software malicioso, para criação de ferramentas adequadas visando a identificação e combate desses malwares.

Você sabe o que é um malware?

Malware é a abreviação “malicious software”, que traduzido para o português, significa “software malicioso”. A maioria das ameaças online é uma forma de malware.

À luz do NIST SP 800-83, denominado “Guide to Malware Incident Prevention and Handling for Desktops and Laptops”, no português significa Guia de prevenção e tratamento de incidentes com malware para desktops e laptops, malware significa:

“Malware, também conhecido como código malicioso, refere-se a um programa que é secretamente inserido em outro programa com a intenção de destruir dados, executar programas destrutivos ou intrusivos ou comprometer a confidencialidade, integridade ou disponibilidade dos dados, aplicativos, ou sistema operacional “. [1]

Hostil, intrusivo e intencionalmente prejudicial, o malware invade, danifica ou desabilita computadores, sistemas de computador, redes, tablets e dispositivos móveis, em regra assumindo o controle parcial das operações de um dispositivo, interferindo e comprometendo no seu funcionamento habitual como um todo. [2]

Tipos mais comuns de Malwares

A seguir, citamos os 7 tipos de malwares mais utilizados pelos cibercriminosos [3]:

Vírus: Um vírus é um software malicioso alocado a um documento ou arquivo que se encontra como anexo, que, depois de baixado, permanece inativo, até que mencionado arquivo seja aberto e usado pelo usuário, que, a partir daí, suspenderá a operação do sistema invadido pelo vírus, podendo causar problemas operacionais significativos e perda de dados;
Worms: É um software malicioso capaz de multiplicar-se e espalhar-se rapidamente para os dispositivos, e, ao contrário dos vírus, os worms não precisam de programas hospedeiros para serem disseminados;
Trojan: São conhecidos como cavalo de Troia, e normalmente interagem disfarçados de programas de software verdadeiros, se propagando, via de regra, no momento em que o usuário faz o download do arquivo, obtendo acesso a dados confidenciais e, na sequência, conseguir alterar, bloquear ou deletar os dados;
Spyware: Refere-se a um software malicioso que tem a capacidade de encaminhar informações confidenciais, normalmente financeiras ou pessoais, e, ao invés de interromper as operações do dispositivo atacado, concede acesso remoto aos invasores. Como, por exemplo, o keylogger, que registra as teclas digitadas para evidenciar senhas e informações pessoais;
Adware: É um software mal-intencionado usado para coletar dados sobre o uso do seu dispositivo computacional e fornecer propositalmente anúncios que você tem interesse, redirecionando, a partir daí, seu navegador para sites maliciosos, podendo conter outras pragas virtuais como cavalos de Troia e spyware;
Ransomware: É um software nocivo que é usado para bloquear dados de computadores e servidores particulares, empresariais e/ou governamentais, mediante o uso de uma criptografia, bloqueando o acesso da vítima pelos hackers para exigir resgates (ransom), habitualmente cobrado em criptomoedas, como o bitcoin ou mediante cartão de crédito, para que os dados sejam novamente liberados;
Malwares Fileless: Esse malware se aloca diretamente na memória do computador da vítima, dificultando, demasiadamente, a sua detecção, considerando que não há arquivos para analisar, bem como que o malware desaparece quando o computador da vítima é reiniciado, entretanto, permanece residindo ativamente no dispositivo invadido.

O que é análise de malware

Diante da evolução dos ataques mediante a disseminação de malwares, emergiram, como consequência, novos desafios para a área de segurança da informação.

Por isso, conhecer o funcionamento de um malware é o ponto de partida para o desenvolvimento das ferramentas ideais e efetivas no que toca ao combate desses softwares maliciosos, ou até mesmo para ter o suporte necessário ao escolher os métodos apropriados para a identificação deles após o ataque, bem como mitigar os prejuízos e para possibilitar a segurança preventiva dos usuários.

Tais ferramentas adequadas permitem conhecer o contexto em que o código malicioso pretende agir, sendo por meio de coleta de dados, danos ao sistema, fraudes financeiras ou ameaças e extorsões.[4]

De acordo com Paulista e Marchi (2017), é necessário realizar a análise do comportamento de programas maliciosos, tendo em vista que é o caminho para a possibilitar a projeção de ferramentas, sistemas e mecanismos mais seguros e apropriados para defesa.

Paulista e Marchi (2017) ainda afirmam:

Milhares de códigos maliciosos são criados diariamente e para tanto, se faz necessário analisá-los. A análise do código e comportamento malicioso visa o entendimento profundo do funcionamento de um malware (Filho e outros, 2009), e a partir desta análise é possível projetar sistemas mais seguros e nos proteger de ataques futuros. Além disto, para realizar detecção de malware é necessário conhecer seus possíveis comportamentos e assim concluir se um dado programa ´e benigno ou malicioso.[5]

Para saber mais sobre análise e identificação de um malware, você precisa dar uma conferida no artigo sobre SysInternals em Identificação e Análise de Malware.

Tipos de análises forense em malwares

A análise forense de malware é dividida em 3 espécies, que, a grosso modo, podem ser definidas da seguinte maneira:

Análise estática: Neste tipo de análise o código do malware, na maioria das vezes, não precisa ser executado, tendo que vista que se trata de uma análise conduzida de forma mais cautelosa, com o objetivo de identificar potenciais sinais de intenção maliciosa por parte de determinado arquivo suspeito.

Na análise estática, de acordo com Mangialardo e Duarte (2015), o código estudado é desmontado e uma engenharia reversa é realizada, com o intuito de entender as ações do malware analisado.[6]

Análise dinâmica: Aqui o malware é executado dentro de um ambiente integralmente controlado, permitindo que os analistas verifiquem o seu comportamento, facilitando a compreensão detalhada do comportamento do arquivo.

“A análise dinâmica estuda o código malicioso em um ambiente controlado, em que os processos do malware serão monitorados e os pacotes de dados feitos pelo código serão analisados. ” (PRAYUDI; RIADI; YUSIRWAN, 2015)[7]

Analise híbrida: A análise em tela é a fusão dos dois procedimentos acima citados, considerando que, quando se trata de malware, seus desenvolvedores dominam as duas técnicas anteriores e, em alguns casos, colocam mecanismos de proteção para identificação do ambiente.

Por isso, malwares aprimorados podem burlar os dois tipos de análises anteriormente citados, sendo necessário, em alguns casos, combinar técnicas de análise de malware estática e hibrida.

Dá uma conferida no nosso Webinar sobre Análise de Malware Voltado à Forense, com Caique Barqueta, onde você entenderá o que é e como funciona um Malware, quais meios ocorrem as infecções de Malware, quais os tipos de Malware, como cada tipo de Malware funciona, exemplos de Ataque, como identificar um Malware e muito mais:

E aí, gostou do conteúdo? Que tal se especializar nessa área?

Nosso time preparou um treinamento intensivo sobre Fundamentos de Forense Digital, inscreva-se pois esse treinamento não pode faltar no currículo dos profissionais da área de forense digital, considerando que ele é o ponto de partida para uma ampla gama de possibilidades de aprendizados, visando apresentar ao estudante os primeiros conceitos de Forense Digital e muito mais!

Esse treinamento é especialmente voltado para Peritos em Computação Forense, Investigadores Digitais, Analistas de Segurança de Informação, membros de Times de Resposta a Incidentes, Investigadores Forense, Administradores de Sistema, Pesquisadores em Segurança de Informação, Analistas de Suporte e Entusiastas sobre o assunto e muito mais!

Além do mais, a Academia de Forenses Digital também ministra o treinamento intensivo sobre Análise Forense de Malware, o qual fornece a base de conhecimento para que os alunos se tornem profissionais qualificados para trabalharem com análise de artefatos maliciosos. Não deixe de conferir!

Referências:

[1] Guide to Malware Incident Prevention and Handling for Desktops and Laptops. NIST Special Publication 800-83 – Revision 1. 2013. Disponível em: <https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-83r1.pdf>. Acesso em 07/03/2023.
[2] Alwarebytes. Malware. Disponível em: <https://br.malwarebytes.com/malware/#:~:text=Hostil%2C%20intrusivo%20e%20intencionalmente%20prejudicial,ele%20interfere%20no%20funcionamento%20normal>. Acesso em 07/03/2023.
[3] Cisco Systems, Inc. What is malware? Disponível em: <https://www.cisco.com/c/en/us/products/security/advanced-malware-protection/what-is-malware.html>. Acesso em 07/03/2023.
[4] ALVES, Rafaela Donassolo. Análises estática e dinâmica de programas maliciosos (malwares). 2020. Disponível em: < https://www.comp.uems.br/~ricardo/PFCs/PFC%20211.pdf>. Acesso em 07/03/2023.
[5] [5] PAULISTA, C. L.; MARCHI, A. C. de. Uma plataforma de modelagem colaborativa de ontologias para análise de programas maliciosos. 2017. Disponível em: <https://www.comp.uems.br/~ricardo/PFCs/PFC%20211.pdf>. Acesso em 07/03/2023.
[6] MANGIALARDO, R. J.; DUARTE, J. C. Integrating static and dynamic malware analysis using machine learning. IEEE Latin America Transactions. 2015. Disponível em: <https://www.comp.uems.br/~ricardo/PFCs/PFC%20211.pdf>. Acesso em 07/03/2023.
[7] PRAYUDI, Y.; RIADI, I.; YUSIRWAN, S. S. Implementation of malware analysis using static and dynamic analysis method. International Journal of Computer Applications, Foundation of Computer Science. 2015. Disponível em: <https://www.comp.uems.br/~ricardo/PFCs/PFC%20211.pdf>. Acesso em 07/03/2023.