quinta-feira, 26 de julho de 2018

Publicado quinta-feira, julho 26, 2018 por com 0 comentário

Ferramentas Dinâmicas de Análise de Malware

Nesse post será abordado as Ferramentas de Análise de Malware Dinâmico, que são usadas para analisar a atividade de um malware após a sua execução. Com isso, serão apresentadas as ferramentas como Procmon, Process Explorer, Regshot, ApateDNS, Netcat, Wireshark e INetSim para analisar o malware. Juntamente com a apresentação, será disponibilizado o link para download.

A análise dinâmica é normalmente executada após a análise de malware estática ter chegado ao fim. Você terá que partir para o segundo assim que perceber que malware estiver compactado ou ofuscado, por exemplo. Além disso, esse tipo de análise é uma ótima maneira de identificar rapidamente o tipo de malware; se você estiver enfrentando o Ransomware, observará os arquivos criptografados e métodos de pagamento forçados rapidamente após a execução do malware.

Riscos da Análise Dinâmica de Malware


Esteja ciente do fato de que a análise de malware  pode colocar seu sistema e sua rede em risco, pois você estará executando um malware real para analisar seu comportamento. É aconselhado executar um malware apenas em máquinas virtuais ou em sistemas dedicados com redes isoladas e que não estejam conectadas à Internet. Não precisamos de uma conexão com a Internet para fazer a análise de malware, pois existem ferramentas de servidor disponíveis para simular uma conexão com a Internet. Nós estaremos cobrindo algumas dessas ferramentas neste post. Embora estejamos executando o malware em máquinas virtuais, não é garantido que o host ou sua rede estejam perfeitamente seguros, pois os desenvolvedores de malware sempre encontram novas maneiras de nos surpreender e dificultam a realização dessas análises.

Process Monitor


O Procmon, ou Process Monitor, é uma ferramenta gratuita desenvolvida pelo Windows SysInternals e é usada para monitorar o sistema de arquivos, registros e atividade em tempo real. A ferramenta é uma combinação de duas ferramentas antigas: FileMon e RegMon, e tem excelentes recursos, como a filtragem não destrutiva de dados e o registro de dados do boottime. Filtragem não destrutiva significa que todos os dados são capturados, mas apenas os dados filtrados são exibidos para o usuário. 

A versão mais recente do Process Monitor é a versão 3.5, que pode ser baixada aqui diretamente do site da Microsoft.

Process Explorer


O Process Explorer é uma ferramenta gratuita disponibilizada também pela Microsoft, que é recomendadíssima durante a Análise de Malware. O Process Explorer é usado para monitorar os processos em execução e mostra quais identificadores e DLLs estão sendo executados e carregados para cada processo.

A versão mais recente do Process Explorer pode ser baixada aqui.


Regshot


Regshot é uma ótima ferramenta open source para monitorar as alterações no registro do windows, tirando snapshot atual para ser comprado depois. Isso permite que você veja as alterações feitas no seu registro após o malware ter sido executado em seu sistema.

A última versão do Regshot está disponível para download aqui.


ApateDNS


Outra ótima ferramenta para realizar a análise é o ApateDNS, que é uma ferramenta para controlar as respostas do DNS e atua como um servidor DNS no seu sistema local. Com essa ferramenta você poderá falsificar as respostas de DNS requisitas pelo malware para um endereço IP especificado na porta UDP 53. O endereço IP ou o nome do host geralmente é conseguido do malware por meio da análise estática, examinando as seções ou usando uma sandbox. O ApateDNS também é capaz de recuperar vários domínios usando o parâmetro nxdomain, já que o malware geralmente tenta conectar vários hosts.

O ApateDNS está disponível na FireEye e pode ser baixado usando o seguinte link: ApateDNS.


Netcat


O Netcat é uma ferramenta usada para analisar conexões de rede TCP e UDP. Além dessa análise, essa ferramenta possui outras inúmeras funções, como escaneamento de porta, encaminhamento de porta, encapsulamento, proxy, etc. O Netcat é uma ótima ferramenta para executar a Análise Dinâmica de Malware, pois pode fazer praticamente qualquer conexão de rede, seja tanto entrada, quanto de saída, usando qualquer porta. Além disso, pode ser usado no modo de cliente para conexão e no modo de servidor para escuta.

Muitos malwares se comunicam pela porta 80 (HTTP) e 443 (HTTPS) porque na maioria dos sistemas essas portas não são bloqueadas por um firewall. Ao executar a análise, poderíamos usar o ApateDNS para redirecionar uma solicitação de DNS feita pelo malware para um host que esteja executando o Netcat no modo de servidor, atendendo ao endereço IP especificado na porta especificada. Dessa forma, podemos monitorar e redirecionar as solicitações feitas por malware usando o ApateDNS. Nos próximos posts abordaremos com mais detalhes o uso do ApateDNS e do Netcat.O Netcat pode ser baixado do site do Nmap aqui e também está incluído no Kali Linux.

Download: Página Oficial 
Download: Link Direto

Wireshark


O Wireshark é uma das melhores ferramentas para análise de protocolo de rede disponível atualmente. Essa ferramenta é usada para analisar uma rede com o máximo de detalhes possíveis, para assim entender o que está acontecendo no tráfego de pacotes entre sua rede e a Internet. O Wireshark pode ser usado para captura e inspeção de pacotes, inspeção profunda de centenas de protocolos, navegação e filtragem de pacotes

O Wireshark está incluído no Kali Linux, mas também está disponível para Windows e Mac. O Wireshark pode ser baixado aqui.


INetSim


O INetSim é uma ferramenta baseada em Linux para simular os serviços de Internet mais comuns, como http, https, DNS, FTP e muito mais. Ao executar a análise em uma máquina Windows, você pode usar uma máquina virtual na mesma rede que sua máquina de análise  para executar o INetSim. Assim o INetSim falsifica os serviços mais comuns de Internet e responde às solicitações feitas pelo malware. Por exemplo, quando um malware solicita um arquivo, o INetSim retornará o arquivo. Quando o malware scaneia um servidor da Web, o INetSim retorna um servidor da Web do Microsoft IIS para manter o malware em execução. 

Ele também registra todas as conexões de entrada para que você possa analisar quais serviços o malware está usando e quais solicitações ele faz. O programa também é altamente configurável, quando um malware usa uma porta não padrão para um serviço, você pode alterar a porta do ouvinte em um serviço específico.O INetSim 1.2.8 é a versão atual incluída no Kali Linux 2.0 e pode ser baixada aqui.

OllyDbg


OllyDbg é um dos programas depuradores mais conhecidos na análise de malware. Outro depurador a altura é Windbg. Um depurador é um programa que é usado para testar ou examinar a execução de outro programa. Depurador de baixo nível rastreia registros, reconhece procedimentos, chamadas de API, switches, tabelas, constantes e cadeias de caracteres, além de localizar rotinas de arquivos e bibliotecas de objetos. Ele também fornece a função para pausar a execução do programa em teste e verificar seu estado.

Site Oficial: clique aqui
Download Direto V2.00:  clique aqui
Download Direto V1.10: clique aqui

Outras Ferramentas

Nem precisamos dizer que cobrimos apenas uma ínfima quantidade de ferramentas disponíveis para análise de malware. Apenas foi apresentado as principais ferramentas. No próximo tutorial vamos usar algumas delas e ver como é o funcionamento na prática.
Ver mais
      edit

sexta-feira, 20 de julho de 2018

Publicado sexta-feira, julho 20, 2018 por com 0 comentário

Ferramentas Básicas de Análise de Malware

Neste tutorial, veremos ferramentas simples para realizar análises básicas em malwares estáticos como: PEiD para detectar empacotadores, Dependency Walker para visualizar funções vinculadas dinamicamente, Resource Hacker para visualizar os recursos do malware e PEview e FileAlyzer para examinar os cabeçalhos e as seções dos arquivos . Essas ferramentas são usadas para análises básicas de malware para tentar determinar o tipo de malware e sua função sem executar o malware.

Ferramentas Básicas de Análise de Malware

Para sua conveniência, forneceremos um link de download para as ferramentas, para que você possa preparar sua caixa de ferramentas de análise de malware para os próximos tutoriais. Os programas aqui apresentados serão:
PEiD, Dependency Walker, Resource Hacker, PEview e FileAlyzer.

PEiD



PEiD é um programa usado para detectar empacotadores, cryptors e compiladores comuns. Os criadores de malware geralmente tentam ofuscar seu malware para dificultar a detecção e a análise. A versão atual do PEiD pode detectar mais de 470 assinaturas diferentes em arquivos PE que são carregados de um arquivo txt chamado userdb. O site oficial do PEiD não está mais ativo, mas você pode fazer o download do PEiD usando o seguinte link: PEiD-0.95

Caso você precise substituir o arquivo userdb.txt para adicionar as assinaturas, basta fazer o download aqui.


Dependency Walker

 
Outra ótima ferramenta básica de análise de malware é o Dependency Walker, sendo distribuída gratuitamente. A ferramenta é utilizada para digitalizar módulos do Windows de 32 e 64 bits (.exe, .dll, .ocx, etc.) e é usada para listar todas as funções importadas e exportadas de um módulo. O Dependency Walker também exibe as dependências do arquivo, o que resultará em um conjunto mínimo de arquivos necessários. O Dependency Walker também exibe informações detalhadas sobre esses arquivos, incluindo o caminho de arquivo, o número da versão, o tipo de máquina, as informações de depuração etc.

Download Dependency Walker 32 bits

Download Dependency Walker 64 bits
Site Oficial

Resource Hacker
 

O Resource Hacker é um aplicativo gratuito usado para extrair recursos de programas do Windows. O Resource Hacker pode extrair, adicionar e modificar a maioria dos recursos como strings, imagens, menus, diálogos, informação de versões, recursos de manifesto, etc. A versão mais recente do Resource Hacker, que é a versão 4.2.4, foi lançada em julho de 2015.

O Resource Hacker pode ser baixado usando o seguinte link: Resource Hacker


PEview


PEview é um aplicativo gratuito e fácil de usar para navegar pelas informações armazenadas nos cabeçalhos de arquivo do Portable Executable (PE) e as diferentes seções do arquivo. Nos tutoriais a seguir, aprenderemos a ler esses cabeçalhos quando estivermos examinando um malware real.

PEview pode ser baixado usando o seguinte link: PEview.


FileAlyzer

 
O FileAlyzer também é uma ferramenta gratuita para ler informações armazenadas em cabeçalhos e seções de arquivos PE, mas oferece um pouco mais de recursos e funcionalidades que o PEview. Os ótimos recursos são a guia VirusTotal, que pode ser usada para enviar malware ao VirusTotal para análise e a funcionalidade para descompactar arquivos empacotados do UPX e do PECompact.


FileAlyzer: Download Direto
Site Oficial: FileAlyzer.

Mais ferramentas básicas de análise de malware

É desnecessário dizer que cobrimos apenas uma pequena parte das ferramentas básicas de análise de malware disponíveis. Nos próximos dias, adicionaremos mais ferramentas para você baixar e explorar, portanto, visite este blog para se manter informado sobre as atualizações. Se você tiver alguma dúvida sobre as ferramentas, deixe nos comentários. Informe-nos também quando tiver sugestões para outras ferramentas.
Ver mais
      edit