Capítulo 0 - Introdução à Análise de Malware
Capítulo 0 - Introdução à Análise de Malware
Qualquer software que cause danos ao usuário, computador ou rede — como vírus, trojan, worms, rootkits, scareware e spyware — pode ser considerado malware. Embora o malware apareça em várias formas, técnicas comuns são usadas para sua análise. A escolha da técnica a ser empregada dependerá de seus objetivos.
Os Objetivos da Análise de Malware
O propósito da análise de malware geralmente é fornecer as informações necessárias para responder a uma intrusão na rede. Seus objetivos típicos incluem determinar exatamente o que aconteceu e garantir que todas as máquinas e arquivos infectados sejam localizados. Ao analisar um malware suspeito, o foco será entender o que um determinado binário suspeito pode fazer, como detectá-lo em sua rede e como medir e conter seus danos.
Uma vez identificados os arquivos que requerem análise completa, é hora de desenvolver assinaturas para detectar infecções por malware em sua rede. Ao longo deste livro, você aprenderá que a análise de malware pode ser utilizada para desenvolver assinaturas baseadas em host e assinaturas de rede.
Assinaturas baseadas em host, ou indicadores, são usadas para detectar códigos maliciosos em computadores vítimas. Esses indicadores geralmente identificam arquivos criados ou modificados pelo malware ou alterações específicas que ele faz no registro. Diferentemente das assinaturas de antivírus, os indicadores de malware focam no que o malware faz em um sistema, em vez de nas características do malware em si, tornando-os mais eficazes na detecção de malwares que mudam de forma ou que foram excluídos do disco rígido.
Assinaturas de rede são usadas para detectar códigos maliciosos monitorando o tráfego da rede. Assinaturas de rede podem ser criadas sem análise de malware, mas aquelas elaboradas com a ajuda da análise tendem a ser muito mais eficazes, oferecendo uma maior taxa de detecção e menos falsos positivos.
Após obter as assinaturas, o objetivo final é descobrir exatamente como o malware funciona. Esta é frequentemente a pergunta mais feita pela alta administração, que deseja uma explicação completa de uma intrusão significativa.
Técnicas de Análise de Malware
Existem duas abordagens fundamentais para a análise de malware: estática e dinâmica. A análise estática envolve examinar o malware sem executá-lo, enquanto a análise dinâmica implica em executar o malware. Ambas as técnicas podem ser classificadas como básicas ou avançadas.
(Os métodos básicos descritos são inúteis em cenários reais, então ignoremos-lhes)
Análise Estática Avançada
A análise estática avançada envolve a engenharia reversa dos componentes internos do malware, carregando o executável em um disassembler e analisando as instruções do programa para descobrir o que ele faz. As instruções são executadas pela CPU, permitindo que a análise estática avançada revele exatamente o que o programa faz.
Análise Dinâmica Avançada
A análise dinâmica avançada utiliza um depurador para examinar o estado interno de um executável malicioso em execução. As técnicas de análise dinâmica avançada oferecem uma maneira adicional de extrair informações detalhadas de um executável. Essas técnicas são especialmente úteis quando se busca obter informações que são difíceis de coletar com outras abordagens.
Tipos de Malware
⚠️
Isto vai ser melhor explicado em uma pesquisa específica. Há muitos tipos e famílias de malwares. (https://malpedia.caad.fkie.fraunhofer.de/families)
Dicas dos autores
Não se prenda aos detalhes: A maioria dos programas maliciosos é grande e complexa, e não é possível entender todos os detalhes. Concentre-se nas características principais. Quando se deparar com seções difíceis e complexas, procure obter uma visão geral antes de se perder em detalhes.
Use as ferramentas e abordagens certas: Existem diferentes ferramentas e métodos disponíveis para diferentes tarefas. Não há uma única abordagem. Cada situação é única, e as várias ferramentas e técnicas que você aprenderá terão funcionalidades semelhantes e, às vezes, sobrepostas. Se não estiver tendo sucesso com uma ferramenta, experimente outra. Se você ficar preso, não passe muito tempo em um único problema; passe para algo diferente. Tente analisar o malware de outra perspectiva ou simplesmente mude a abordagem.
Lembre-se do jogo de gato e rato: A análise de malware é semelhante a um jogo de gato e rato. À medida que novas técnicas de análise de malware são desenvolvidas, os autores de malware respondem com novas técnicas para dificultar a análise. Para ter sucesso como analista de malware, é necessário reconhecer, entender e vencer essas técnicas, além de se adaptar às mudanças na arte da análise de malware.
Atualizado