Agora que já entendemos o básico do malware, vamos nos aprofundar em como realizamos a análise de malware e quais são as técnicas utilizadas.
Técnicas de análise de malware
Existem dois tipos diferentes de técnicas de análise de malware, sendo uma análise estática e a outra análise dinâmica. Seus nomes são auto-explicativos sobre o que isso significa, mas deixe-me explicar melhor. Em termos leigos, a análise estática envolve todos os exames do malware em que você não executa o malware, mas tente descobrir o que o malware está tentando fazer. Análise dinâmica são todos os exames que você realiza quando realmente executa o malware (faça isso em um ambiente em área restrita) e, em seguida, tenta descobrir a funcionalidade do malware.
i) Análise estática básica
A análise estática básica consiste em examinar o arquivo executável sem exibir as instruções reais.
A análise estática básica pode confirmar se um arquivo é malicioso, fornecer informações sobre sua funcionalidade
Às vezes, forneça informações que permitirão a produção de assinaturas de rede simples.
É simples e rápido, mas é amplamente ineficaz contra malware sofisticado e pode perder comportamentos importantes.
ii) Análise dinâmica básica
As técnicas básicas de análise dinâmica envolvem a execução do malware e a observação de seu comportamento no sistema para remover a infecção, produzir assinaturas efetivas ou ambas.
Antes de executar o malware, você deve configurar um ambiente que permita estudar o malware em execução sem risco de danos ao seu sistema ou rede.
Técnicas básicas de análise dinâmica podem ser usadas pela maioria das pessoas sem profundo conhecimento de programação, mas não serão eficazes com todos os malwares e podem perder funcionalidades importantes.
iii) Análise estática avançada
Consiste na engenharia reversa dos componentes internos do malware, carregando o executável em um desmontador e observando as instruções do programa para descobrir o que o programa faz.
As instruções são executadas pela CPU; portanto, a análise estática avançada informa exatamente o que o programa faz.
No entanto, possui uma curva de aprendizado mais íngreme que a análise estática básica e requer conhecimento especializado de desmontagem, construções de código e conceitos de sistema operacional Windows.
iv) Análise dinâmica avançada
Ele usa um depurador para examinar o estado interno de um executável malicioso em execução.
Técnicas avançadas de análise dinâmica fornecem outra maneira de extrair informações detalhadas de um executável.
Essas técnicas são mais úteis quando você está tentando obter informações difíceis de coletar com as outras técnicas.
Estou planejando escrever mais artigos explicando detalhadamente essas técnicas e como executá-las da maneira mais otimizada possível.
Três regras de ouro
A análise de malware possui suas próprias três regras de ouro que você definitivamente deve ter em mente ao realizar o exame desses programas para aumentar sua produtividade e não cair na armadilha dos invasores.
I) Primeira
Não fique muito envolvido nos detalhes. A maioria dos programas de malware é grande e complexa e você não consegue entender todos os detalhes.
Concentre-se nos principais recursos. Quando você se deparar com seções difíceis e complexas, tente obter uma visão geral antes de ficar preso nas ervas daninhas.
II) Segunda
Lembre-se de que diferentes ferramentas e abordagens estão disponíveis para diferentes trabalhos. Não existe uma abordagem.
Cada situação é diferente, e as várias ferramentas e técnicas que você aprenderá terão funcionalidades semelhantes e, às vezes, sobrepostas.
Se você não está tendo sorte com uma ferramenta, tente outra. Se você ficar preso, não gaste muito tempo com nenhum problema; passar para outra coisa.
Tente analisar o malware de um ângulo diferente ou tente uma abordagem diferente.
III) Terceira
Lembre-se de que a análise de malware é como um jogo de gato e rato.
À medida que novas técnicas de análise de malware são desenvolvidas, os autores de malware respondem com novas técnicas para impedir a análise.
Para ter sucesso como analista de malware, você deve ser capaz de reconhecer, entender e derrotar essas técnicas e responder a mudanças na arte da análise de malware.
Agora que conhecemos as regras de ouro da análise de malware e o que são malware, agora temos uma perspectiva geral das coisas que precisamos fazer quando encontramos um malware em seu sistema ou em nossa rede.
O que fazer em um ataque de malware?
O objetivo da análise de malware geralmente é fornecer as informações necessárias para responder a uma invasão de rede. Normalmente, nossos objetivos são determinar exatamente o que aconteceu e garantir que localizamos todas as máquinas e arquivos infectados.
Ao analisar suspeitos de malware, seu objetivo normalmente é determinar exatamente: -
I) o que um binário suspeito em particular pode fazer
II) como detectá-lo na sua rede
III) como medir e conter seus danos.
Depois de identificar quais arquivos requerem análise completa, precisamos desenvolver assinaturas para detectar infecções por malware em nossa rede.
Assinaturas ou indicadores baseados em host são usados para detectar código malicioso nos computadores das vítimas.
Os indicadores de malware se concentram no que o malware faz com um sistema, não nas características do próprio malware
As assinaturas de rede são usadas para detectar códigos maliciosos, monitorando o tráfego de rede.
As assinaturas de rede podem ser criadas sem análise de malware, mas as assinaturas criadas com a ajuda da análise de malware geralmente são muito mais eficazes.
O objetivo final é sempre descobrir exatamente como o malware funciona e quais são as funções que ele está tentando executar quando presente no sistema.
Aqui está uma imagem que fornecerá uma visão básica da Analise.
Fonte:Medium / BlueHacker
Nenhum comentário:
Postar um comentário