Your SlideShare is downloading. ×
Webinar # 17 – Análise de Malware em Forense Computacional
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Webinar # 17 – Análise de Malware em Forense Computacional

21,184
views

Published on

http://www.blog.clavis.com.br/webinar-17-analise-de-malware-em-forense-computacional/ …

http://www.blog.clavis.com.br/webinar-17-analise-de-malware-em-forense-computacional/

Qual foi o objetivo deste novo webinar da Clavis Segurança da Informação?
Este Webinar apresentou algumas das técnicas para análise de malware, incluindo análise de strings, unpacking e análise do tráfego de rede. Os ouvintes aprenderam a adequar o ambiente de avaliação conforme demandado pelo código malicioso. Como demonstração, foi apresentado a análise do malware Slackbot.

Veja mais sobre o curso Análise de Malware em Forense Computacional(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/analise-de-malware-em-forense-computacional/). Este é um dos inúmeros assuntos abordados na Formação de 100 horas — Perito em Análise Forense Computacional — Academia Clavis Segurança da Informação(http://www.blog.clavis.com.br/formacao-de-100-horas-perito-em-analise-forense-computacional-academia-clavis-seguranca-da-informacao/).

Quem ministrou o Webinar?
Davidson Rodrigo Boccardo é Doutor em Engenharia Elétrica pela Universidade Estadual Paulista (UNESP) com período sanduíche no Center for Advanced Computer Studies da University of Louisiana at Lafayette. Atualmente é pesquisador no Instituto Nacional de Metrologia, Qualidade e Tecnologia, e tem atuado nos seguintes temas: engenharia reversa, análise de software/malware, ofuscação de software, incorruptibilidade de software e marca d’água em software.

Este Webinar foi realizado com a mesma infraestrutura de um treinamento EAD da Academia Clavis(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/). É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
21,184
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
67
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Webinar # 17Análise de Malware Davidson Boccardodrboccardo@inmetro.gov.br
  • 2. Introdução • Avaliar as ameaças de um malware • Erradicar infecções • Fortalecer suas defesas • Realizar análise forense • Construir um ferramental para análise
  • 3. Análise de malware • 2 fases • Análise comportamental • Análise de código • Buscar a maior quantidade de informações através da análise comportamental • Execução em ambiente controlado • Monitoramento das interações • Criação de estímulos • Preencher possíveis brechas que sobraram através da análise de código
  • 4. Motivação para análise • Comportamento não usual de uma estação de trabalho • Conexões de entrada para a porta TCP 113 • Conexões de saída para a porta TCP 6667 • Processo estranho em execução • Antivírus não detecta nenhum código malicioso
  • 5. Preparação do ambiente • Utilizaremos o Vmware • Emula hardware Intel (Windows, Linux, etc) • Possui recursos de rede (ex. DHCP) • Permite isolamento de rede • Host-only • Máquinas virtuais interagem com o host de uma maneira limitada • Recursos de snapshot
  • 6. Preparação do ambiente
  • 7. Análise de strings • Permite revelar: • Nomes de arquivo • Nomes de hosts • Chaves de regitros • Permite verificar: • Se o código está ofuscado
  • 8. Packing • Processo de esconder um código em outro executável • Inserção de uma rotina de unpacking • Embarca o código como dados • Código é criptografado e compactado • Dificulta a análise do código e de seu comportamento por ferrmentas de engenharia reversa
  • 9. Demonstração Malware Slackbot
  • 10. Análise de strings
  • 11. Unpacking
  • 12. Análise de strings
  • 13. Análise do tráfego rede • Executar Wireshark • Ctrl+E para iniciar a captura • Execute o malware por um determinado tempo • Ctrl+E para interromper a captura
  • 14. Análise do tráfego rede
  • 15. Modificação do ambiente ...system32driversetchosts 192.168.13.128 => malware.clavis.com.br
  • 16. Análise do tráfego de rede
  • 17. Modificação do ambiente • Com cada experimento, vamos entendendo o que o malware precisa e moldamos o ambiente para que o malware consiga interagir como se tivesse executando no mundo real • Vamos fazendo isso, passo a passo, para que tenhamos uma visão controlada do comportamento do malware • Vamos então iniciar um servidor de IRC através do comando ircd start • Comandos IRC (/join #canal, /leave, /list, /quit )
  • 18. Análise do tráfego de rede
  • 19. Análise do tráfego de rede
  • 20. Análise do tráfego de rede
  • 21. Análise do tráfego de rede
  • 22. Ofuscação de strings • Métodos simples de ofuscar strings dentro do executável • XOR (exclusive OR) • ROL (rotate left) • ROR (rotate right) • XorSearch • http://blog.didierstevens.com/programs/xorsearch
  • 23. Revelação de strings importantes
  • 24. Autenticação e controle
  • 25. Autenticação e controle
  • 26. Muito Obrigado! Davidson Boccardo drboccardo@inmetro.gov.br