SysInternals em Identificação e Análise de Malware

SysInternals em Identificação e Análise de Malware

Introdução 

O Sysinternals da Microsoft foi criado em 1996 por Mark Russinovich, como um conjunto de utilitários avançados dos sistemas e coleta de informações técnicas, que nos auxilia a gerenciar, solucionar e diagnosticar problemas no sistema operacional Windows. Além de colaborar com a Análise de Malware.

A análise forense em malware tem o objetivo de identificar um software malicioso ou suspeito, identificar ataque que utilize malware ou malware como elemento secundário.

As ferramentas incluem utilitários como o Process Explorer, parecido com o gerenciador de tarefas com uma infinidade de recursos extras, o AutoRuns, que ajuda a lidar com processos de inicialização, e O TCPView, que mostra o que está se conectando a recursos na Internet.

Utilizaremos os três para essa análise inicial de malware.

Nesta pesquisa realizaremos todos os procedimentos, como identificação do arquivo, identificação de persistência, conexão, análise online e coleta do artefato pelo Process Explorer, ou seja, realizaremos a utilização avançada deste utilitário (SysInternals). 

Para download do suíte SysInternals utilize o site: Sysinternals Suite – Sysinternals | Microsoft Learn.

Figura 1 - Captura de tela da página da microsoft, exibindo a opção de download do suite de ferramentas sysinternals
Figura 1 – Exibindo a opção de download do suite de ferramentas sysinternals

Como a coleta de um Malware pode nos ajudar? 

Além de nos ajudar a entender o malware e seu funcionamento, dependendo da área em que atua essa coleta de artefato malicioso, te possibilita a criação de uma vacina ou a criação de um bloqueio para esse determinado tipo de malware. 

Já no entender o malware, você conseguirá verificar o seu funcionamento, descobrir sua possível autoria e identificar ataques a um dispositivo ou infraestrutura. 

Utilizaremos um malware criado por nós com o utilitário vsfvenom, e com um nome malware_.exe, apenas para melhor entendimento.

Entenderemos o por que ele cria uma persistência, por que ele utiliza as chaves de registro do sistema operacional e como podemos coletar o artefato, entender e verificar a cadeia de processos usados pelo malware, extrair e verificar se o arquivo é mesmo malicioso em uma plataforma já conhecia, por exemplo o Vírus Total.

Caso o arquivo não seja identificado em ferramentas online, é aconselhado realizar uma análise de malware avançada, onde será realizado uma análise estática do artefato e também uma análise dinâmica. 

Vamos para nossa caçada. 

[Treinamento Gratuito] Cyber Security Starter – Acesse clicando AQUI!

Utilizando o Process Explorer 

Quando você iniciar o Process Explorer pela primeira vez, é apresentado muitos dados visuais imediatamente.

É aconselhado minimizar a árvore de processos para melhor visualização e ir expandindo conforme análise. 

Nas ultimas versões do Process Explorer, é possível realizar as mesmas ações que seriam realizada no TCPView e AutoRuns, por isso, focaremos apenas nele. 

a) Exibição inicial, fornece um conjunto de colunas que incluem: 

  • Processo: O nome do arquivo do executável junto com o ícone, se houver.
  • CPU: A porcentagem de tempo da CPU no último segundo.
  • Bytes privados: A quantidade de memória alocada para este programa sozinho.
  • Conjunto de Trabalho: A quantidade de RAM real alocada a este programa pelo Windows.
  • PID: O identificador do processo.
  • Descrição: A descrição, se o aplicativo tiver uma.
  • Nome da empresa: Este é mais útil do que você pensa. Se algo não estiver certo, comece procurando processos que não são da Microsoft.
Figura 2 - Captura de tela inicial do Process Explorer
Figura 2 – Captura de tela inicial do Process Explorer

b) Personalizar Colunas

Perceba que nas colunas clicando com o botão direito do mouse, será apresentado a você a opção selecionar colunas (em inglês: Select Columns).

Após clicar, a tela selecionar colunas será mostrada em sua tela, nela teremos várias abas e várias colunas que podemos selecionar.

Aqui podemos adicionar as colunas Linha de comando (em inglês: Command Line) e Vírus Total. 

Figura 3 - Captura de tela do botão Select Columns e suas opções
Figura 3 – Captura de tela do botão Select Columns e suas opções

c) Propriedades de um processo e Aba Image 

Apesar de ter o nome malware_.exe, em nossa sample vamos verificar o comportamento do artefato e realizar algumas verificações.

De início, verificaremos os subprocessos do explorer.exe, já que é um dos mais usados.

Perceba que temos um arquivo com extensão .exe abrindo um terminal e que não é assinado coluna nome da empresa (em inglês: Company Name).

Aqui já é um ponto suspeito e vamos seguir com a análise neste artefato.

Clique com o botão direito do mouse no processo suspeito e depois em propriedades (em inglês: Properties).

Figura 4 - Captura da tela propriedades de um processo
Figura 4 – Captura da tela propriedades de um processo

Nesta primeira aba chamada Image, conseguimos observar a localização do arquivo em Path e se existe o Autostart Location para esse arquivo.

Aqui, sendo a persistência para o arquivo malicioso, muitos malwares preferem alocar sua persistência nessa chave, já que ela tem o seguinte comportamento: tudo que estiver nesta localização vai inicializar assim que algum usuário abrir uma sessão na máquina, independente de quem seja o usuário.

d) Aba Threads e propriedade de arquivo

Na aba Threads, temos a opção de modulo onde podemos ver as configurações do arquivo:

Figura 5 - Captura de tela aba Threads
Figura 5 – Captura de tela aba Threads

Verifique que aqui temos as informações de local, data de criação, último acesso e os atributos do arquivo.

Aqui vemos que o arquivo está alocado na área de trabalho e com atributo de oculto, mais um fator de suspeita. 

Figura 6 - Captura de tela de propriedades de um arquivo
Figura 6 – Captura de tela de propriedades de um arquivo

e) Conexão e aba TCP/IP

O Process Explorer tem uma excelente opção para verificar se existe relação entre um processo e uma conexão.

Aqui conseguimos verificar que existe uma conexão estabelecida com um IP (Internet Protocol) externo:

Figura 7 - Captura de tela aba TCP:IP
Figura 7 – Captura de tela aba TCP:IP

 

f) Análise do artefato com api do vírus total

No começo dessa análise tínhamos habilitado a coluna Vírus Total, agora realizaremos uma verificação do artefato no vírus total, diretamente no Process Explorer.  

As novas versões integram o Vírus Total na interface, para que você possa verificar se há vírus em um processo sem sair do Process Explorer. 

Clicando novamente no processo com o botão direito do mouse, teremos a opção de Check Vírus Total, conforme imagem:

Figura 8 - Captura opção Check Vírus Total
Figura 8 – Captura opção Check Vírus Total

Após a solicitação de checagem, perceba que será apresentada a avaliação do arquivo realizada pelo Vírus Total.

Veja que na nossa avaliação o artefato é de fato um malware já conhecido. 

Figura 9 - Captura de tela após avaliação do Vírus Total
Figura 9 – Captura de tela após avaliação do Vírus Total

g) Realizando o dump apenas do processo malicioso

Para realizar uma análise estática no artefato malicioso, precisamos extrair o arquivo do equipamento infectado, e para isso alterar a extensão para um formato que o Windows não consiga abrir é aconselhado e também para não executar no momento da análise e o Process Explorer tem essa função. 

Figura 10 - Captura de tela do processo de criação do dump
Figura 10 – Captura de tela do processo de criação do dump

Por padrão, o Process Explorer salva o dump no formato .DMP

Figura 11 - Captura de tela da realização do dump de um arquivo malicioso
Figura 11 – Captura de tela da realização do dump de um arquivo malicioso

Conclusão 

Este projeto de pesquisa demonstrou a utilização avançada do utilitário Process Explorer, que é uma das melhores ferramentas a nível para análise dinâmica de um equipamento infectado por um artefato malicioso.

Essa ferramentas tem diversas outras opções que podemos abordar. Para continuação dessa investigação usaríamos outras ferramentas que não fazem parte do sysinternals e que provavelmente abordaremos em um estudo posterior. 

O importante a relatar é que um malware é capaz de se esconder atrás de um executável legitimo do Windows, que nesse caso foi o explorer.exe, então devemos ficar sempre de olho em arquivos que estão para iniciar junto ao sistema operacional. 


Sobre o autor: 

Nome: José Aurélio de Oliveira Terceiro (Linkedin)

Minibiografia: José Aurélio é analista de segurança da informação, especialista em Forense Digital e análise de malware com mais de 12 anos de atuação na área de tecnologia, pós-graduado em Computação Forense e Perícia Digital, líder técnico da equipe de forense e analise de malware em uma das maiores instituições financeiras do Brasil.

 


Referências:

 

 

Conheça nossos treinamentos

Investigação de Crimes Eletrônicos [Exclusivo para Agentes de Segurança Pública]

Cyber Kill Chain

Bootcamp de Avilla Forensics

ABNT ISO/27037

Fundamentos de Compliance

Fundamentos de GRC