LABORATÓRIO DE PERÍCIA DIGITAL

Transcrição

1 PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL LABORATÓRIO DE PERÍCIA DIGITAL PROFESSOR: DIEGO AJUKAS

2 ANÁLISE DE MALWARE Conceitos Tipos de Análise Tipos de Malware Análise Automatizada: cuckoo Volatility: Parte 2 Estudo de Caso: Dark Comet Exercício

3 TIPOS DE ANÁLISE Análise Estática Examina o malware sem executá-lo. Ferramentas: VirusTotal, strings, disassembler (IDA Pro, OllyDbg etc.) Análise Dinâmica Executa o malware e monitora seus efeitos. Normalmente usa técnicas de VM e snapshots. Ferramentas: RegShot, Process Monitor, Process Hacker, CaptureBAT. Ferramentas específicas para RAM: Volatility e Mandant Redline.

4 TIPOS DE ANÁLISE Análise Estática Básica Examina o malware sem analisar as instruções do código. Pró: Rápido e fácil de realizar. Contra: Pode deixar escapar comportamentos importantes sobre o malware. Análise Dinâmica Básica Roda em ferramentas automatizadas. Pró: Rápido e fácil de executar. Contra: Não é efetivo em todos os malwares (Muitas combinações de versões de OS, software etc.)

5 TIPOS DE ANÁLISE Análise Estática Avançada Combina técnicas de engenharia reversa e disassembler. Pró: Abrangente e mais detalhada. Contra: Complexa e requer conhecimento de código assembly. Análise Dinâmica Avançada Análise realizada em tempo real com auxilio de ferramentas como debuggers. É capaz de examinar o estado interno de cada processo em tempo de execução. Pró: Efetivo contra técnicas antidetecção e anti-análise (detecção de VM, Contra: Complexa, requer conhecimento de código assembly e normalmente consome muito recurso (pessoal, tempo etc.)

6 TIPOS DE MALWARE Backdoor Permite ao atacante controle do sistema do alvo. Botnet Rede de computadores infectados que recebem instruções de um servidor central (C&C Command-and-Control). Downloader Código utilizado para realizar download de outros códigos. Normalmente usado no começo de uma invasão/infecção.

7 TIPOS DE MALWARE Information-stealing malware Incluem sniffers, keyloggers, password hash grabbers etc. Launcher Código usado para iniciar outros códigos maliciosos. Normalmente usa técnicas não tradicionais para obter acesso stealth. Rootkit Malware que objetiva esconder a existência de outros malwares. Normalmente combinado com o backdoor.

8 TIPOS DE MALWARE Scareware e Ransomware Obriga a vítima a comprar algo (anti-vírus falso ou senhas de recuperação). Spam-sending malware Utiliza a máquina para envio de spam. Worms e Virus Códigos que objetivam a sua replicação e infecção de outros computadores.

9 ANÁLISE AUTOMATIZADA Cuckoo

10 ANÁLISE AUTOMATIZADA Instalação:

11 VOLATILITY: PARTE 2 Plugins Importantes: imageinfo/kdbgscan psxview dlllist dumpfiles pslist memdump printkey yarascan

12 VOLATILITY: PARTE 2 Ver ainda: _and_rootkits

13 ESTUDO DE CASO: DARK COMET DarkComet é uma ferramenta de acesso remoto (RAT), que foi desenvolvido por Jean-Pierre Lesueur (conhecido como DarkCoderSc), um programador independente da França. O DarkComet permite ao usuário controlar um sistema remoto com uma interface gráfica (GUI). Ele tem muitas características que permite que um usuário possa usá-lo de fato como ferramenta de administração remoto. No entanto, DarkComet possui também muitas características que podem ser usadas de forma maliciosa. Na prática, ele é comumente usado para espionar vítimas realizando capturas de tela e key-logging.

14 ESTUDO DE CASO: DARK COMET

15 ESTUDO DE CASO: DARK COMET Dump de memória: WIN-TTUMF6EI3O raw Ferramentas: Volatility e strings

16 EXERCÍCIO Perguntas no site. Material: baixar online

17 PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL LABORATÓRIO DE PERÍCIA DIGITAL PROFESSOR: DIEGO AJUKAS