Suporte
Fale com o especialista
NOSSOS EVENTOS

Como fazer análise de malware

Com base nas descobertas da Análise de Ameaças por uma pesquisa em 2022, 40 milhões de ameaças em computadores empresariais com Windows foram detectadas em 2021. Para combater e evitar esses tipos de ataques, a análise de malware é essencial. Neste artigo, detalharemos o objetivo da investigação de programas maliciosos e como fazer a análise de malware com um sandbox.

O que é análise de malware?

A análise de malware é um processo de estudo de uma amostra maliciosa. Durante o estudo, o objetivo de um pesquisador é entender o tipo, as funções, o código e os perigos potenciais de um programa malicioso. Receba as informações que a organização precisa para responder à intrusão.

Resultados da análise que você obtém:

  • como o malware funciona: se você investigar o código do programa e seu algoritmo, poderá impedir que ele infecte todo o sistema.
  • características do programa: melhorar a detecção usando dados sobre malware como sua família, tipo, versão, etc.
  • qual é o objetivo do malware: acionar a execução da amostra para verificar para quais dados ela é direcionada, mas é claro, faça isso em um ambiente seguro.
  • quem está por trás do ataque: obtenha os IPs, origem, TTPs usados ​​e outras pegadas que os hackers escondem.
  • um plano sobre como evitar esse tipo de ataque.

Tipos de análise de malware

Análise Padrão de Malware

  • Análise de código malicioso
  • Detecção de malwares por uso de assinaturas
  • Funciona com ataques simples e famílias de malware conhecidas
  • Envolve o uso de ferramentas de antivírus, analisando strings de arquivos, funções e cabeçalhos, impressões digitais, analisando despejos de memória, etc.

Análise Funcional de Malware

  • Análise de comportamento de malware em ambiente virtual
  • Detecta o malware por seu comportamento
  • Funciona com novos tipos de malware e ataques avançados
  • Executa o malware e observa o seu comportamento: arquivos e mudanças nos registros, chamadas de APIs, criação de processos, etc. Também examina o estado interno do malware com debuggers.

Principais etapas da análise de malware

Nessas cinco etapas, o foco principal da investigação é descobrir o máximo possível sobre a amostra maliciosa, o algoritmo de execução e a forma como o malware funciona em vários cenários.

Acreditamos que o método mais eficaz para analisar software malicioso é misturar métodos estáticos e dinâmicos. Aqui está um pequeno guia sobre como fazer análise de malware. Basta seguir os seguintes passos:

Etapa 1. Configure sua máquina virtual

Você pode personalizar uma VM com requisitos específicos, como navegador, Microsoft Office, escolher o número de bits do SO e localidade. Adicione ferramentas para a análise e instale-as em sua VM: FakeNet, proxy MITM, Tor, VPN.

Etapa 2. Revise as propriedades estáticas

Este é um estágio para a análise estática de malware. Examine o arquivo executável sem executá-lo: verifique as strings para entender a funcionalidade do malware. O conteúdo de hashes, strings e cabeçalhos fornecerá uma visão geral das intenções de malware, assim podemos ver os hashes, o cabeçalho PE, o tipo mime e outras informações.

Etapa 3. Monitore o comportamento do malware

Aqui está a abordagem dinâmica para análise de malware. Carregue uma amostra de malware em um ambiente virtual seguro. Interaja diretamente com o malware para fazer o programa agir e observar sua execução. Verifique o tráfego de rede, as modificações de arquivo e as alterações do registro. E quaisquer outros eventos suspeitos.

Etapa 4. Divida o código

Se os agentes de ameaças ofuscaram ou compactaram o código, use técnicas de desofuscação e engenharia reversa para revelar o código. Identifique os recursos que não foram expostos durante as etapas anteriores. Mesmo apenas procurando uma função usada por malware, você pode dizer muito sobre sua funcionalidade. Por exemplo, a função “InternetOpenUrlA” informa que esse malware fará uma conexão com algum servidor externo.

Ferramentas adicionais, como depuradores e desmontadores, são necessárias neste estágio.

Etapa 5. Escreva um relatório de malware

Inclua todas as suas descobertas e dados que você descobriu. Providencie a seguinte informação:

  • Resumo de sua pesquisa com o nome, a origem e os principais recursos do programa malicioso.
  • Informações gerais sobre o tipo de malware, nome do arquivo, tamanho, hashes e capacidades de detecção de antivírus.
  • Descrição do comportamento malicioso, o algoritmo de infecção, técnicas de disseminação, coleta de dados e formas de comunicação С2.
  • Bitness do SO, software, executáveis ​​e arquivos de inicialização necessários, DLLs, endereços IP e scripts.
  • Revisão das atividades de comportamento, como de onde ele rouba credenciais, se modifica, descarta ou instala arquivos, lê valores e verifica o idioma.
  • Resultados da análise de código, dados de cabeçalhos.
  • Capturas de tela, logs, linhas de string, trechos, COIs, etc.

REFERÊNCIAS:

https://thehackernews.com/2022/09/how-to-do-malware-analysis.html

https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEgMN9L6mUWsOO9lZ8qibSkaeoXlSJ1WZh5Y31-1wkiddLdvINjvys5RUmJEwXIHLQ8LDgMvirZBgX3xQOHaTTDPYJPb6mFh2pTuKQAfKWdlG_whW-rKsJGaodZzLja0-vX2F0n6gYrbpGvqr3YiR5wBaA0uJEEgSFRfQNH5B1VfsSFNriFRUAkAyWeg/s728-e100/ma.jpg

Compartilhe nas redes sociais:

Outros eventos

Suporte
Fale conosco
Facebook Instagram Linkedin Youtube
Politica de Privacidade

Mais informações sobre nossa Politica de Privacidade