sexta-feira, 17 de julho de 2020

22 tipos de Malware e como identiffica-los

Malware, ou software malicioso, é qualquer programa ou arquivo que prejudica um computador ou seu usuário. Tipos comuns de malware incluem vírus de computador, ransomware, worms, cavalos de Troia e spyware. Esses programas maliciosos podem roubar, criptografar ou excluir dados confidenciais, alterar ou sequestrar as principais funções de computação e monitorar a atividade do computador da vítima.

Os cibercriminosos usam uma variedade de meios físicos e virtuais para infectar dispositivos e redes com malware. Por exemplo, o WannaCry, um famoso ataque de ransomware foi capaz de se espalhar pela exploração de uma vulnerabilidade conhecida. O phishing é outro método comum de entrega de malware, no qual os emails disfarçados de mensagens legítimas contêm links maliciosos ou anexos de email que entregam malware executável a usuários inocentes.

Ataques sofisticados de malware usam um servidor de comando e controle para permitir que os atacantes se comuniquem com o sistema de computador infectado, roubem informações confidenciais do disco rígido ou obtenham acesso remoto ao dispositivo.

As cepas emergentes de ataques cibernéticos por malware incluem técnicas de evasão e ofuscação projetadas para enganar usuários, administradores de segurança e produtos anti-malware. As técnicas de evasão podem ser táticas simples para ocultar o endereço IP de origem e incluir malware polimórfico, que altera seu código para evitar a detecção de ferramentas de detecção baseadas em assinatura. Outro exemplo é o malware sem arquivo que existe apenas na RAM de um sistema para evitar ser detectado.

Diferentes tipos de malware têm características e características únicas, abordaremos 25 nesta postagem.

1. O que são vírus de computador?
Um vírus é um tipo de malware que, quando executado, se replica modificando outros programas de computador e inserindo seu próprio código. Quando essa replicação é bem-sucedida, as áreas afetadas são infectadas.

Os criadores de vírus usam engenharia social e exploram vulnerabilidades para infectar sistemas e espalhar o vírus. Os sistemas operacionais Microsoft Windows e Mac são os alvos da grande maioria dos vírus que costumam usar estratégias complexas de detecção para evitar software antivírus.

Os vírus são criados para obter lucro (por exemplo, ransomware), enviar uma mensagem, diversão pessoal, demonstrar vulnerabilidades existentes, sabotagem e negação de serviço ou simplesmente explorar problemas de segurança cibernética, vida artificial e algoritmos evolutivos.

Os vírus de computador causam bilhões de dólares em danos econômicos, causando falhas no sistema, desperdiçando recursos, corrompendo dados, aumentando os custos de manutenção, registrando pressionamentos de teclas e roubando informações pessoais (por exemplo, números de cartão de crédito).

2. O que é um worm de computador?
Um worm de computador é um programa de malware autorreplicante cujo objetivo principal é infectar outros computadores, duplicando-se e permanecendo ativo nos sistemas infectados.
Frequentemente, os worms usam redes de computadores para se espalhar, contando com vulnerabilidades ou falhas de segurança no computador de destino para acessá-lo. Os worms quase sempre causam pelo menos algum dano à rede, mesmo que consumindo largura de banda. Isso é diferente dos vírus que quase sempre corrompem ou modificam arquivos no computador da vítima.

O WannaCry é um exemplo famoso de uma cripta de ransomware que se espalha sem a ação do usuário, explorando a vulnerabilidade EternalBlue.

Embora muitos worms sejam projetados para espalhar e não alterar os sistemas pelos quais passam, mesmo os worms sem carga útil podem causar grandes interrupções. O worm Morris e o Mydoom causaram grandes interrupções ao aumentar o tráfego da rede, apesar de sua natureza benigna.

3. O que é um cavalo de Troia?
Um cavalo de Troia ou um "Trojan" é qualquer malware que engana os usuários sobre sua verdadeira intenção, fingindo ser um programa legítimo. O termo é derivado da história grega antiga do cavalo de Troia enganoso que levou à queda da cidade de Troia.

Os cavalos de Troia geralmente são espalhados com engenharia social, como phishing.

Por exemplo, um usuário pode ser induzido a executar um anexo de email disfarçado para parecer genuíno (por exemplo, uma planilha do Excel). Depois que o arquivo executável é aberto, o cavalo de Troia é instalado.

Embora a carga útil de um Trojan possa ser qualquer coisa, a maioria age como um backdoor, fornecendo ao invasor acesso não autorizado ao computador infectado. Os cavalos de Troia podem dar acesso a informações pessoais, como atividade na Internet, credenciais de login bancário, senhas ou informações de identificação pessoal (PII). Os ataques de ransomware também são realizados usando cavalos de Troia.

Ao contrário dos vírus e worms de computador, os cavalos de Troia geralmente não tentam injetar código malicioso em outros arquivos ou se propagar.

4. O que são rootkits?
Um rootkit é uma coleção de malware projetada para fornecer acesso não autorizado a um computador ou área de seu software e muitas vezes mascara sua existência ou a existência de outro software.

A instalação do rootkit pode ser automatizada ou o invasor pode instalá-lo com acesso de administrador.
O acesso pode ser obtido como resultado de um ataque direto ao sistema, como exploração de vulnerabilidades, quebra de senhas ou phishing.

A detecção de rootkit é difícil, pois pode subverter o programa antivírus destinado a encontrá-lo. Os métodos de detecção incluem o uso de sistemas operacionais confiáveis, métodos comportamentais, verificação de assinaturas, verificação de diferenças e análise de despejo de memória.

A remoção do rootkit pode ser complicada ou praticamente impossível, especialmente quando os rootkits residem no kernel. Os rootkits de firmware podem exigir substituição de hardware ou equipamento especializado.

5. O que é o Ransomware?
O ransomware é uma forma de malware, projetada para negar o acesso a um sistema ou dados de computador até o pagamento do resgate. O ransomware se espalha através de e-mails de phishing, malvertising, visita a sites infectados ou exploração de vulnerabilidades.

Os ataques de ransomware causam tempo de inatividade, vazamento de dados, roubo de propriedade intelectual e violações de dados.
Os valores do pagamento do resgate variam de algumas centenas a centenas de milhares de dólares. Pagável em criptomoedas como Bitcoin.

6. O que é keylogger?
Registradores de teclas, registradores de pressionamento de tecla ou monitoramento do sistema são um tipo de malware usado para monitorar e registrar cada pressionamento de tecla digitado no teclado de um computador específico. Keyloggers também estão disponíveis para smartphones.

Os keyloggers armazenam as informações coletadas e as enviam ao invasor, que pode extrair informações confidenciais, como credenciais de login e detalhes do cartão de crédito.

7. O que é grayware?
O termo grayware foi criado em setembro de 2004 e descreve aplicativos ou arquivos indesejados que não são malware, mas pioram o desempenho do computador e podem causar riscos à segurança cibernética.

No mínimo, o grayware se comporta de maneira irritante ou indesejável e, na pior das hipóteses, monitora o sistema e telefona para casa com informações.

Grayware faz alusão a adware e spyware. A boa notícia é que a maioria dos softwares antivírus pode detectar programas potencialmente indesejados e oferecer a exclusão deles.

Adware e spyware geralmente são fáceis de remover, porque não são tão nefastos quanto outros tipos de malware.

A maior preocupação é o mecanismo usado pelo grayware para obter acesso ao computador, seja engenharia social, software sem patch ou outras vulnerabilidades. Outras formas de malware, como um ransomware, podem usar o mesmo método para obter acesso.

Use a presença de adware para servir como um aviso de que o dispositivo ou usuário tem uma fraqueza que deve ser corrigida.

8. O que é malware sem arquivo?
O malware sem arquivo é um tipo de malware que usa programas legítimos para infectar um computador. Ao contrário de outras infecções por malware, ele não depende de arquivos e não deixa pegada, tornando difícil o software anti-malware detectar e remover. Existe exclusivamente como um artefato baseado em memória de computador, ou seja, em RAM.

O malware sem arquivo surgiu em 2017 como uma ameaça cibernética convencional, mas existe há algum tempo. Frodo, Number of the Beast e Dark Avenger foram todos os primeiros ataques de malware sem arquivo. Mais recentemente, o Comitê Nacional Democrata e a violação do Equifax foram vítimas de ataques de malware sem arquivo.

O malware sem arquivo não grava nenhuma parte de sua atividade no disco rígido do computador, tornando-o resistente às estratégias forenses anti-computador existentes para incorporar lista de permissões baseada em arquivo, detecção de assinatura, verificação de hardware, análise de padrões ou registro de tempo.

Deixa muito pouca evidência que possa ser usada por investigadores forenses digitais para identificar atividades ilegítimas. Dito isto, como foi projetado para funcionar na memória, geralmente só existe até que o sistema seja reiniciado.

9. O que é adware?
Adware é um tipo de grayware projetado para colocar anúncios na tela, geralmente em um navegador da web ou pop-up.

Normalmente, ele se distingue como legítimo ou nas costas de outro programa para induzi-lo a instalá-lo no seu computador, tablet ou smartphone.

O adware é uma das formas de malware mais lucrativas e menos prejudiciais e está se tornando cada vez mais popular em dispositivos móveis. O Adware gera receita exibindo automaticamente o anúncio para o usuário do software.

10. O que é malvertising?
Malvertising, um portmanteau de publicidade maliciosa, é o uso de publicidade para espalhar malware. Geralmente envolve a injeção de anúncios maliciosos ou carregados de malware em redes e páginas da Web legítimas.

A publicidade é uma ótima maneira de espalhar malware, porque um esforço significativo é colocado nos anúncios para atraí-los aos usuários para vender ou anunciar um produto.

O Malvertising também se beneficia da reputação dos sites em que está inserido, como sites de notícias de alto perfil e respeitáveis.

11. O que é spyware?
Spyware é um malware que reúne informações sobre uma pessoa ou organização, às vezes sem o conhecimento delas, e envia as informações ao invasor sem o consentimento da vítima.

O spyware geralmente tem como objetivo rastrear e vender seus dados de uso da Internet, capturar informações de seu cartão de crédito ou conta bancária ou roubar informações de identificação pessoal (PII).

Alguns tipos de spyware podem instalar software adicional e alterar as configurações do seu dispositivo. O spyware geralmente é simples de remover, porque não é tão nefasto quanto outros tipos de malware.

12. O que são bots e botnets?
Um bot é um computador infectado por malware que permite que ele seja controlado remotamente por um invasor.
O bot (ou computador zumbi) pode ser usado para lançar mais ataques cibernéticos ou se tornar parte de uma botnet (uma coleção de bots).

As redes de bots são um método popular para ataques de negação de serviço distribuído (DDoS), espalhando ransomware, keylogging e espalhando outros tipos de malware.

13. O que é um backdoor?
Um backdoor é um método secreto de ignorar a autenticação ou criptografia normal em um computador, produto, dispositivo incorporado (por exemplo, roteador) ou outra parte de um computador.

Backdoors são comumente usados ​​para proteger o acesso remoto a um computador ou obter acesso a arquivos criptografados.

A partir daí, ele pode ser usado para obter acesso, corromper, excluir ou transferir dados confidenciais.

Os backdoors podem assumir a forma de uma parte oculta de um programa (um cavalo de Troia), um programa ou código separado no firmware e nos sistemas operacionais.

Além disso, backdoors podem ser criados ou amplamente conhecidos. Muitas backdoors possuem casos de uso legítimos, como o fabricante, que precisa de uma maneira de redefinir senhas de usuários.

14. O que é um seqüestrador de navegador?
Um seqüestrador de navegador ou hijackware altera o comportamento de um navegador da Web enviando o usuário para uma nova página, alterando sua página inicial, instalando barras de ferramentas indesejadas, exibindo anúncios indesejados ou direcionando os usuários para um site diferente.

15. O que é crimeware?
Crimeware é uma classe de malware projetada para automatizar o cibercrime.

Ele foi projetado para perpetrar roubo de identidade por meio de engenharia social ou furtividade, para acessar as contas financeiras e de varejo da vítima para roubar fundos ou fazer transações não autorizadas. Como alternativa, pode roubar informações confidenciais ou sensíveis como parte da espionagem corporativa.

16. O que são aplicativos móveis maliciosos?
Nem todos os aplicativos disponíveis na App Store e no Google Play são legítimos. Dito isto, a App Store é geralmente mais segura devido à melhor pré-seleção de aplicativos de terceiros.
Aplicativos maliciosos podem roubar informações do usuário, tentar extorquir usuários, obter acesso a redes corporativas, forçar os usuários a visualizar anúncios indesejados ou instalar um backdoor no dispositivo.

17. O que é um raspador de RAM?
Um raspador de RAM é um tipo de malware que coleta os dados armazenados temporariamente na memória ou RAM. Esse tipo de malware geralmente tem como alvo sistemas de ponto de venda (POS), como caixas registradoras, porque eles podem armazenar números de cartão de crédito não criptografados por um breve período de tempo antes de criptografá-los e passá-los para o back-end.

18. O que é um software de segurança não autorizado?
O software de segurança invasor engana o usuário a pensar que seu sistema tem um problema de segurança, como um vírus, e o leva a pagar para removê-lo. Na realidade, o software de segurança falso é o malware que precisa ser removido.

19. O que é cryptojacking?
O criptojacking é um tipo de malware que usa o poder de computação da vítima para minerar criptomoedas.

20. O que é malware híbrido?
Hoje, a maioria dos malwares é uma combinação de ataques de malware existentes, geralmente cavalos de tróia, worms, vírus e ransomware.

Por exemplo, um programa de malware pode parecer um cavalo de Troia, mas, uma vez executado, pode atuar como um worm e tentar atacar as vítimas na rede.

21. O que é engenharia social e phishing?
Embora a engenharia social e o phishing não sejam malware, por exemplo. Eles são mecanismos de entrega populares para ataques de malware. Por exemplo, um phisher pode estar tentando convencer um usuário a entrar em um site de phishing, mas também pode anexar um anexo infectado ao email para aumentar suas chances de sucesso.

22. O que são bugs?
Como engenharia social e phishing, os bugs não são malware, mas podem abrir vulnerabilidades para exploração de malware. Um ótimo exemplo é a vulnerabilidade EternalBlue, que estava nos sistemas operacionais Windows, que levou à disseminação da criptografia WannaCry ransomware.

23. Como o malware se espalha?
Existem seis maneiras comuns de propagação do malware:

Vulnerabilidades: Um defeito de segurança no software permite que o malware o explore para obter acesso não autorizado ao computador, hardware ou rede
Backdoors: uma abertura intencional ou não intencional em software, hardware, redes ou segurança do sistema
Downloads drive-by: download não intencional de software com ou sem o conhecimento do usuário final
Homogeneidade: se todos os sistemas estiverem executando o mesmo sistema operacional e conectados à mesma rede, o risco de um worm bem-sucedido se espalhar para outros computadores aumentará
Escalonamento de privilégios: uma situação em que um invasor obtém acesso escalado a um computador ou rede e o usa para montar um ataque
Ameaças combinadas: pacotes de malware que combinam características de vários tipos de malware, tornando-os mais difíceis de detectar e parar, porque podem explorar diferentes vulnerabilidades
24. Como encontrar e remover malware
A sofisticação crescente dos ataques de malware significa que encontrá-los e removê-los pode ser mais difícil do que nunca.

Muitos programas de malware começam como um cavalo de Tróia ou verme e, em seguida, adicionam o computador da vítima a uma botnet, permitindo que o invasor entre no computador e na rede da vítima.

Se você tiver sorte, poderá ver os executáveis ​​de malware em seus processos ativos, mas, como sabemos, o aumento do malware sem arquivo está tornando isso mais difícil.

Infelizmente, encontrar e remover está se tornando mais difícil, porque você nunca sabe a extensão da infecção. Muitas vezes, é melhor fazer backup de dados e criar imagens novamente no computador.

Prevenção é a chave. Mantenha seus sistemas atualizados, monitore continuamente as vulnerabilidades e instrua sua equipe sobre os perigos da execução de anexos e programas a partir de emails suspeitos. E lembre-se, existem riscos de terceiros e de terceiros.

Você precisa garantir que a estrutura de gerenciamento de riscos de terceiros e o programa de gerenciamento de riscos de fornecedores obriguem seus fornecedores a manter seus sistemas seguros e livres de malware, como você. Os clientes não se importam se você ou seus fornecedores causaram uma violação ou vazamento de dados. Não faça parte da nossa lista das maiores violações de dados.

25. Como o UpGuard pode ajudar a prevenir malware
O UpGuard ajuda empresas como Intercontinental Exchange, Taylor Fry, Bolsa de Valores de Nova York, IAG, First State Super, Akamai, Morningstar e NASA a protegerem seus dados e evitar violações.

Fonte:SaM - Onehack

quinta-feira, 16 de julho de 2020

O que é análise de malware e como responder a ela

Antes de nos aprofundarmos na análise de malware, vamos entender o que é um malware. Malware (software malicioso) são programas ou arquivos criados para infligir danos ao computador e possivelmente ao usuário. Existem vários tipos de malware que estão presentes no grande mundo da Internet, como vírus, worms, cavalos de Troia, ransomware e spyware. O malware pode executar várias funções, como roubar dados, criptografar arquivos, excluir dados, alterar arquivos ou até mesmo adicionar esses sistemas a uma enorme botnet e monitorar esses sistemas sem que o usuário saiba que seus computadores estão infectados. Os hackers principalmente escrevem esses malwares e executam os ataques em duas metodologias diferentes, baseadas na superfície de ataque, sendo um ataque em massa onde eles escrevem um malware que supostamente infecta grandes massas, por exemplo, os ransomwares "WannaCry" e "NotPetya" e o segundo, ataques direcionados, nos quais o atacante escreve o malware projetado para uma tarefa extremamente focada, sendo o infame "Stuxnet" um desses ataques.

Agora que já entendemos o básico do malware, vamos nos aprofundar em como realizamos a análise de malware e quais são as técnicas utilizadas.

Técnicas de análise de malware
Existem dois tipos diferentes de técnicas de análise de malware, sendo uma análise estática e a outra análise dinâmica. Seus nomes são auto-explicativos sobre o que isso significa, mas deixe-me explicar melhor. Em termos leigos, a análise estática envolve todos os exames do malware em que você não executa o malware, mas tente descobrir o que o malware está tentando fazer. Análise dinâmica são todos os exames que você realiza quando realmente executa o malware (faça isso em um ambiente em área restrita) e, em seguida, tenta descobrir a funcionalidade do malware.


 Estes podem ser divididos em quatro categorias.

i) Análise estática básica

A análise estática básica consiste em examinar o arquivo executável sem exibir as instruções reais.
A análise estática básica pode confirmar se um arquivo é malicioso, fornecer informações sobre sua funcionalidade
Às vezes, forneça informações que permitirão a produção de assinaturas de rede simples.
É simples e rápido, mas é amplamente ineficaz contra malware sofisticado e pode perder comportamentos importantes.

ii) Análise dinâmica básica

As técnicas básicas de análise dinâmica envolvem a execução do malware e a observação de seu comportamento no sistema para remover a infecção, produzir assinaturas efetivas ou ambas.
Antes de executar o malware, você deve configurar um ambiente que permita estudar o malware em execução sem risco de danos ao seu sistema ou rede.
Técnicas básicas de análise dinâmica podem ser usadas pela maioria das pessoas sem profundo conhecimento de programação, mas não serão eficazes com todos os malwares e podem perder funcionalidades importantes.

iii) Análise estática avançada

Consiste na engenharia reversa dos componentes internos do malware, carregando o executável em um desmontador e observando as instruções do programa para descobrir o que o programa faz.
As instruções são executadas pela CPU; portanto, a análise estática avançada informa exatamente o que o programa faz.

No entanto, possui uma curva de aprendizado mais íngreme que a análise estática básica e requer conhecimento especializado de desmontagem, construções de código e conceitos de sistema operacional Windows.

iv) Análise dinâmica avançada

Ele usa um depurador para examinar o estado interno de um executável malicioso em execução.
Técnicas avançadas de análise dinâmica fornecem outra maneira de extrair informações detalhadas de um executável.
Essas técnicas são mais úteis quando você está tentando obter informações difíceis de coletar com as outras técnicas.

Estou planejando escrever mais artigos explicando detalhadamente essas técnicas e como executá-las da maneira mais otimizada possível.

Três regras de ouro

A análise de malware possui suas próprias três regras de ouro que você definitivamente deve ter em mente ao realizar o exame desses programas para aumentar sua produtividade e não cair na armadilha dos invasores.

I) Primeira

Não fique muito envolvido nos detalhes. A maioria dos programas de malware é grande e complexa e você não consegue entender todos os detalhes.
Concentre-se nos principais recursos. Quando você se deparar com seções difíceis e complexas, tente obter uma visão geral antes de ficar preso nas ervas daninhas.

II) Segunda

Lembre-se de que diferentes ferramentas e abordagens estão disponíveis para diferentes trabalhos. Não existe uma abordagem.
Cada situação é diferente, e as várias ferramentas e técnicas que você aprenderá terão funcionalidades semelhantes e, às vezes, sobrepostas.
Se você não está tendo sorte com uma ferramenta, tente outra. Se você ficar preso, não gaste muito tempo com nenhum problema; passar para outra coisa.
Tente analisar o malware de um ângulo diferente ou tente uma abordagem diferente.

III) Terceira

Lembre-se de que a análise de malware é como um jogo de gato e rato.
À medida que novas técnicas de análise de malware são desenvolvidas, os autores de malware respondem com novas técnicas para impedir a análise.
Para ter sucesso como analista de malware, você deve ser capaz de reconhecer, entender e derrotar essas técnicas e responder a mudanças na arte da análise de malware.
Agora que conhecemos as regras de ouro da análise de malware e o que são malware, agora temos uma perspectiva geral das coisas que precisamos fazer quando encontramos um malware em seu sistema ou em nossa rede.

O que fazer em um ataque de malware?

O objetivo da análise de malware geralmente é fornecer as informações necessárias para responder a uma invasão de rede. Normalmente, nossos objetivos são determinar exatamente o que aconteceu e garantir que localizamos todas as máquinas e arquivos infectados.

Ao analisar suspeitos de malware, seu objetivo normalmente é determinar exatamente: -

I) o que um binário suspeito em particular pode fazer

II) como detectá-lo na sua rede

III) como medir e conter seus danos.

Depois de identificar quais arquivos requerem análise completa, precisamos desenvolver assinaturas para detectar infecções por malware em nossa rede.

Assinaturas ou indicadores baseados em host são usados ​​para detectar código malicioso nos computadores das vítimas.

Os indicadores de malware se concentram no que o malware faz com um sistema, não nas características do próprio malware

As assinaturas de rede são usadas para detectar códigos maliciosos, monitorando o tráfego de rede.

As assinaturas de rede podem ser criadas sem análise de malware, mas as assinaturas criadas com a ajuda da análise de malware geralmente são muito mais eficazes.

O objetivo final é sempre descobrir exatamente como o malware funciona e quais são as funções que ele está tentando executar quando presente no sistema.

Aqui está uma imagem que fornecerá uma visão básica da Analise.
 


Fonte:Medium / BlueHacker

Ads Inside PostM

Teste