quinta-feira, 16 de julho de 2020

O que é análise de malware e como responder a ela

Antes de nos aprofundarmos na análise de malware, vamos entender o que é um malware. Malware (software malicioso) são programas ou arquivos criados para infligir danos ao computador e possivelmente ao usuário. Existem vários tipos de malware que estão presentes no grande mundo da Internet, como vírus, worms, cavalos de Troia, ransomware e spyware. O malware pode executar várias funções, como roubar dados, criptografar arquivos, excluir dados, alterar arquivos ou até mesmo adicionar esses sistemas a uma enorme botnet e monitorar esses sistemas sem que o usuário saiba que seus computadores estão infectados. Os hackers principalmente escrevem esses malwares e executam os ataques em duas metodologias diferentes, baseadas na superfície de ataque, sendo um ataque em massa onde eles escrevem um malware que supostamente infecta grandes massas, por exemplo, os ransomwares "WannaCry" e "NotPetya" e o segundo, ataques direcionados, nos quais o atacante escreve o malware projetado para uma tarefa extremamente focada, sendo o infame "Stuxnet" um desses ataques.

Agora que já entendemos o básico do malware, vamos nos aprofundar em como realizamos a análise de malware e quais são as técnicas utilizadas.

Técnicas de análise de malware
Existem dois tipos diferentes de técnicas de análise de malware, sendo uma análise estática e a outra análise dinâmica. Seus nomes são auto-explicativos sobre o que isso significa, mas deixe-me explicar melhor. Em termos leigos, a análise estática envolve todos os exames do malware em que você não executa o malware, mas tente descobrir o que o malware está tentando fazer. Análise dinâmica são todos os exames que você realiza quando realmente executa o malware (faça isso em um ambiente em área restrita) e, em seguida, tenta descobrir a funcionalidade do malware.


 Estes podem ser divididos em quatro categorias.

i) Análise estática básica

A análise estática básica consiste em examinar o arquivo executável sem exibir as instruções reais.
A análise estática básica pode confirmar se um arquivo é malicioso, fornecer informações sobre sua funcionalidade
Às vezes, forneça informações que permitirão a produção de assinaturas de rede simples.
É simples e rápido, mas é amplamente ineficaz contra malware sofisticado e pode perder comportamentos importantes.

ii) Análise dinâmica básica

As técnicas básicas de análise dinâmica envolvem a execução do malware e a observação de seu comportamento no sistema para remover a infecção, produzir assinaturas efetivas ou ambas.
Antes de executar o malware, você deve configurar um ambiente que permita estudar o malware em execução sem risco de danos ao seu sistema ou rede.
Técnicas básicas de análise dinâmica podem ser usadas pela maioria das pessoas sem profundo conhecimento de programação, mas não serão eficazes com todos os malwares e podem perder funcionalidades importantes.

iii) Análise estática avançada

Consiste na engenharia reversa dos componentes internos do malware, carregando o executável em um desmontador e observando as instruções do programa para descobrir o que o programa faz.
As instruções são executadas pela CPU; portanto, a análise estática avançada informa exatamente o que o programa faz.

No entanto, possui uma curva de aprendizado mais íngreme que a análise estática básica e requer conhecimento especializado de desmontagem, construções de código e conceitos de sistema operacional Windows.

iv) Análise dinâmica avançada

Ele usa um depurador para examinar o estado interno de um executável malicioso em execução.
Técnicas avançadas de análise dinâmica fornecem outra maneira de extrair informações detalhadas de um executável.
Essas técnicas são mais úteis quando você está tentando obter informações difíceis de coletar com as outras técnicas.

Estou planejando escrever mais artigos explicando detalhadamente essas técnicas e como executá-las da maneira mais otimizada possível.

Três regras de ouro

A análise de malware possui suas próprias três regras de ouro que você definitivamente deve ter em mente ao realizar o exame desses programas para aumentar sua produtividade e não cair na armadilha dos invasores.

I) Primeira

Não fique muito envolvido nos detalhes. A maioria dos programas de malware é grande e complexa e você não consegue entender todos os detalhes.
Concentre-se nos principais recursos. Quando você se deparar com seções difíceis e complexas, tente obter uma visão geral antes de ficar preso nas ervas daninhas.

II) Segunda

Lembre-se de que diferentes ferramentas e abordagens estão disponíveis para diferentes trabalhos. Não existe uma abordagem.
Cada situação é diferente, e as várias ferramentas e técnicas que você aprenderá terão funcionalidades semelhantes e, às vezes, sobrepostas.
Se você não está tendo sorte com uma ferramenta, tente outra. Se você ficar preso, não gaste muito tempo com nenhum problema; passar para outra coisa.
Tente analisar o malware de um ângulo diferente ou tente uma abordagem diferente.

III) Terceira

Lembre-se de que a análise de malware é como um jogo de gato e rato.
À medida que novas técnicas de análise de malware são desenvolvidas, os autores de malware respondem com novas técnicas para impedir a análise.
Para ter sucesso como analista de malware, você deve ser capaz de reconhecer, entender e derrotar essas técnicas e responder a mudanças na arte da análise de malware.
Agora que conhecemos as regras de ouro da análise de malware e o que são malware, agora temos uma perspectiva geral das coisas que precisamos fazer quando encontramos um malware em seu sistema ou em nossa rede.

O que fazer em um ataque de malware?

O objetivo da análise de malware geralmente é fornecer as informações necessárias para responder a uma invasão de rede. Normalmente, nossos objetivos são determinar exatamente o que aconteceu e garantir que localizamos todas as máquinas e arquivos infectados.

Ao analisar suspeitos de malware, seu objetivo normalmente é determinar exatamente: -

I) o que um binário suspeito em particular pode fazer

II) como detectá-lo na sua rede

III) como medir e conter seus danos.

Depois de identificar quais arquivos requerem análise completa, precisamos desenvolver assinaturas para detectar infecções por malware em nossa rede.

Assinaturas ou indicadores baseados em host são usados ​​para detectar código malicioso nos computadores das vítimas.

Os indicadores de malware se concentram no que o malware faz com um sistema, não nas características do próprio malware

As assinaturas de rede são usadas para detectar códigos maliciosos, monitorando o tráfego de rede.

As assinaturas de rede podem ser criadas sem análise de malware, mas as assinaturas criadas com a ajuda da análise de malware geralmente são muito mais eficazes.

O objetivo final é sempre descobrir exatamente como o malware funciona e quais são as funções que ele está tentando executar quando presente no sistema.

Aqui está uma imagem que fornecerá uma visão básica da Analise.
 


Fonte:Medium / BlueHacker

Nenhum comentário:

Ads Inside PostM

Teste