Malware, ou software malicioso, é frequentemente usado pelos criminosos cibernéticos para causar uma quantidade significativa de danos no final da vítima. A frase 'cibercriminosos' inclui atacantes, hacktivistas, grupo de hackers e até estados, nação. Os danos causados podem incluir interromper as operações normais de um computador ou rede de computadores, roubar informações armazenadas nos sistemas, ignorar os controles de acesso ou causar danos à vítima de todas as maneiras possíveis. As vítimas podem ser indivíduos, empresas, organizações e até o governo e seus órgãos. O malware inclui vírus, trojan, ransomware, keyloggers, rootkits, etc.
Conforme relatado por Barkly, [1] mais de 200.000 amostras de malware estão sendo capturadas todos os dias. Considerando a gravidade dessa situação e o quão adverso um ataque de malware pode afetar um negócio e suas operações, medidas de segurança apropriadas devem ser implementadas pelo negócio em questão. Ter um plano de resposta a incidentes é uma dessas medidas que ajuda uma empresa a minimizar os danos quando está sob ataque. Além disso, estabelece um procedimento adequado para reduzir o tempo de recuperação e os custos.
Durante uma resposta a um incidente, a análise de malware desempenha um papel vital para ajudar a equipe de segurança a entender a extensão do incidente, juntamente com a identificação de hosts ou sistemas que foram afetados ou podem ser afetados. Com a ajuda das informações coletadas durante a análise de malware, uma organização pode mitigar efetivamente as vulnerabilidades e impedir qualquer comprometimento adicional.
Por que é realizada uma análise de malware?
Uma análise de malware pode ser realizada mantendo uma variedade de objetivos em mente. Também depende dos requisitos de uma organização e do impacto do incidente de segurança. Alguns dos objetivos gerais incluem -
Avaliando os danos causados por uma invasão ou um incidente de segurança,
Descobrindo pontos ou indicadores de comprometimento e localização das máquinas afetadas,
Determinando o nível de sofisticação do malware envolvido,
Identificando a vulnerabilidade explorada pelo malware e preparando-o para corrigi-lo adequadamente,
Identificando a fonte do ataque e
Aprender com o presente incidente e tomar as medidas apropriadas para garantir que a mesma causa não seja a razão por trás de qualquer incidente de segurança no futuro.
Perguntas envolvidas em uma análise de malware
Quando um ataque de malware está sendo analisado, certas perguntas devem ser respondidas quando a análise é concluída. Essas perguntas podem ser -
Quais são as alterações feitas pelo malware?
O atacante é identificável? Se sim, qual é o seu propósito?
Alguns dados foram roubados?
Esse malware também se espalhou para outras máquinas?
O que deve ser feito para evitar que a infecção se espalhe para outras máquinas?
Esse malware é baseado em algum malware conhecido anteriormente? Se sim, qual?
Esse malware continua em execução mesmo após a reinicialização da máquina?
Quais são os vários indicadores baseados em host e em rede que revelam a presença de malware?
Qual idioma foi usado para escrever o código desse malware?
Quais são as medidas de precaução que devem ser tomadas para impedir que esse incidente aconteça no futuro?
Criando um ambiente seguro para análise de malware
Desde o início, um malware é criado com a intenção maliciosa de causar danos ou perdas à vítima. Portanto, definitivamente não é lógico para um analista executar análise de malware em um sistema que ele usa para trabalho ou coisas pessoais. Para resolver esse problema, um laboratório dedicado pode ser criado com vários computadores com suas próprias redes particionadas fisicamente. Esses computadores devem ter um sistema operacional padrão que possa ser facilmente restaurado usando a imagem do sistema após ter sido infectada por um malware e uma análise ter sido realizada. Várias ferramentas como Ghost, [2] UDPcast, [3] Truman, [4] etc. podem ser usadas na análise de malware.
Além disso, um analista também pode criar um ambiente de laboratório simulado usando máquinas virtuais. Vários softwares estão disponíveis na Internet que podem ser usados para criar VMs (máquinas virtuais). Um dos softwares mais importantes é o VMware, que tem a capacidade de criar uma árvore de instantâneos capturando o estado do sistema em vários momentos. Com a ajuda desses instantâneos, o analista pode facilmente voltar ao estado anterior do sistema. O uso de um ambiente de laboratório simulado tem suas próprias desvantagens, como -
O malware pode detectar que está sendo executado em uma VM e pode tentar modificar seu comportamento.
Uma parte da informação pode ser compartilhada pela máquina virtual para uma máquina host de maneira inesperada devido à infecção por malware.
Um malware de dia zero pode escapar da sandbox da VM, explorando um serviço de escuta no sistema operacional da sua máquina host.
Tipos de análise de malware
A análise de malware é classificada em dois tipos - estático e dinâmico. Técnicas estáticas envolvem análise de código, enquanto técnicas dinâmicas analisam o comportamento de um malware. A análise comportamental inclui questões como -
Como o malware é instalado?
O que acontece na sua execução?
Como funciona?
Ele tenta se conectar à Internet?
Ambos os tipos atingem o mesmo objetivo de explicar o funcionamento de um malware, mas surgem diferenças quando se trata do tempo necessário para realizar uma análise, ferramentas a serem usadas e conjunto de habilidades do pessoal implantado. É sempre recomendável realizar os dois tipos de análise para obter uma visão clara do funcionamento de um malware e seu impacto nos processos de negócios.
Além disso, a análise de malware também pode incorporar técnicas de engenharia reversa para analisar o código fonte de um malware. Com a ajuda do código-fonte, o resultado da análise comportamental pode ser verificado, bem como as etapas apropriadas podem ser tomadas para melhorar as defesas de uma organização.
Conclusão
Pode-se afirmar com segurança que 2017 foi o ano do ransomware. Ransomware, um tipo de malware, juntamente com outros tipos, são ameaças importantes a qualquer negócio. Quando ocorre um incidente de segurança e o malware é a razão por trás disso, a análise de malware desempenha um papel essencial na resposta a incidentes, pois é necessário saber o que aconteceu para executar as etapas necessárias para a recuperação.
Série Malware Analysis Series. As próximas publicações abordarão várias técnicas usadas na análise estática e dinâmica, além da importância da análise de malware em dispositivos de terminal.
[1] https://blog.barkly.com/cyber-security-statistics-2017.
[2] https://www.symantec.com/products/ghost-solutions-suite
[3] http://www.updcast.linux.lu
[4] http://www.lurhq.com/truman/
Nenhum comentário:
Postar um comentário