Practical Malware

Analysis
Ricardo Sant´Ana
 Sumário

1 Introdução

2 Motivacional

3 Teoria Básica

4 Conclusão
 Introdução

• Análise de Malware
– Por que desenvolver malware ?
• fama
• dinheiro
• é um negócio
– E um governo ?
• armas cibernéticas
• capacidades
 Introdução

• Análise de Malware
– Segurança da Informação
– Até 2020, 60% das empresas digitas sofrerão
falhas em seus principais serviços, devido à
incapacidade das equipes de segurança de
gerenciar o risco digital.
 Introdução

• Análise de Malware
– Segurança da Informação
– Até 2020, 60% dos orçamentos das empresas
para segurança da informação serão alocados
para a detecção rápida e abordagens de resposta
a ameaças, o que representa um aumento de
menos de 30% em relação a 2016.
 Introdução

• Análise de Malware
– Segurança da Informação
– Até 2018, 25% do tráfego de dados corporativos
fluirão diretamente a partir de dispositivos móveis
para a nuvem, ignorando os controles de
segurança da empresa.
 Introdução

• Análise de Malware
– Segurança da Informação
– Em 2018, mais 50% dos fabricantes de
dispositivos móveis não serão capazes de conter
as ameaças devido a autenticação fraca.
 Introdução

• Análise de Malware
– Por que analisar malware?
• para avaliar o dano
• para identificar os IoC
• para identificar a vulnerabilidade
• para pegar o “Bad Guy”
– Quando estamos analisando um malware, nosso
objetivo será, tipicamente, determinar exatamente o
que um binário suspeito pode fazer, como detectá-
lo na sua rede, e como medir e conter os danos.
 Introdução

• Análise de Malware
– Uma vez que você identifica quais arquivos requerem full-
analysis, é hora de desenvolver assinaturas para detectar as
infecções na sua rede.
• host-based signatures: geralmente identificam arquivos
criados ou modificados pelo malware ou mudanças
específicas no registro. Ao contrário do antivirus, os
indicadores de malware se concentram em o que o malware
faz em um sistema.
• network signatures: usado para detectar código malicioso ao
monitorar tráfico de rede. Esse tipo de assinatura pode ser
criado sem análise do malware – de qualquer forma, a análise
do malware ajuda a diminuir o número de falso positivos.
 Introdução

• Pesquisa realizada pela HP

– HP Security Research
– Cyber Risk Report 2016
• https://www.thehaguesecuritydelta.com/media/
com_hsd/report/57/document/4aa6-
3786enw.pdf
 Motivacional

• Pesquisa realizada pela HP

 Motivacional

• Pesquisa realizada pela HP

 Motivacional

• Pesquisa realizada pela HP

 Teoria Básica

• Análise de Malware
Engenharia
Reversa

Análise
Comportamental II

Análise III
Estática

IV
Análise
Automatizada
 Teoria Básica

• Análise Automatizada
– Uma ferramenta muito utilizada para análise
automatizada que é open source é a Cuckoo.
 Teoria Básica

• Análise Manual de Malware

Análise Estática Análise Dinâmica

Básica Básica

Análise Estática Análise Dinâmica

Avançada Avançada
 Teoria Básica

• Análise Estática Básica

– examina o arquivo executável sem acessar suas
instruções assembly.
• Análise Dinâmica Básica
– envolve executar o malware e observar seu
comportamento no sistema de forma a remover a
infecção e produzir assinaturas efetivas. O ambiente
de execução é controlado. Sem necessidade de
conhecimento de programação por parte do analista.
 Teoria Básica

• Análise Estática Avançada

– fazer engenharia reversa do malware carregando o
executável em um disassembler e observando as
instruções de forma a descobrir o que o programa faz.
• Análise Dinâmica Avançada
– O analista utiliza um debugger para examinar o estado
interno de um executável malicioso. É a técnica que
fornece informações detalhadas sobre o executável.
 Teoria Básica

• Tipos de Virus
– Backdoor
– Botnet
– Downloader
– Information Stealing malware
• keylogger
– Launcher
– Rootkit
– Scareware
– Worms
– Trojan
– Ransonware
 Teoria Básica

• Tipos de Virus
– Backdoor
– Botnet
– Downloader
– Information Stealing malware
• keylogger
– Launcher
– Rootkit
– Scareware
– Worms
– Trojan
– Ransonware
 Teoria Básica

• Regras Gerais para Análise de

Malware
– No início, buscar por key features
– Lembrar que diferentes ferramentas estão
disponíveis para diferentes trabalhos
– Ciclo de Análise → ciclo e não caminho ordenado
– É um jogo de cat-and-mouse
– Anotar todos os passos
 Teoria Básica

• Mirai é um malware que transforma computadores Linux

em bots que são controlados remotamente.
 Teoria Básica

• Esses bots podem ser usados como parte de uma botnet

em ataques de larga escala. Seu alvo principal eram
câmeras remotas e roteadores caseiros.
– O meu roteador da NET !!!
• A botnet Mirai foi usada para o maior ataque de DdoS
(20/09/2016)

• Linux ??
– Não consegui analisar porque não consegui montar
uma plataforma em que ele executasse.
 Teoria Básica

• https://www.incapsula.com/blog/malware-analysis-mirai-
ddos-botnet.html
 Teoria Básica

• https://www.incapsula.com/blog/malware-analysis-mirai-
ddos-botnet.html
Teoria Básica
 Teoria Básica
• root xc3511 • root 7ujMko0admin • guest 12345
• root vizxv • root system • admin1 password
• root ikwb • administrator 1234
• root admin
• 666666 666666
• admin admin • root dreambox
• 888888 888888
• root • root user
888888 • ubnt ubnt
• root realtek • root klv1234
• root xmhdipc
• root 00000000 • root Zte521
• root default
• admin 1111111 • root hi3518
• root juantech • root jvbzd
• admin 1234
• root 123456 • root anko
• admin 12345
• root zlxx.
• root 54321 • admin 54321 • root 7ujMko0vizxv
• admin 1111 • admin 123456 • support support
• root 666666 • admin • root (none)

• root password 7ujMko0admin • admin password

• admin • root root

• root 1234 1234
• root 12345
• admin pass
• root klv123 • user user
• admin meinsm
• Administrator admin • admin (none)
• tech tech • root pass
• service service
• supervisor supervisor • admin admin1234
• guest 12345 • root 1111
• guest guest
• mother fuker • admin smcadmin
 Conclusão

• Perguntas ?
 Ricardo Sant´Ana
ricksant2003@gmail.com
www.facebook.com/ricksant2003