Nesse post será abordado as Ferramentas de Análise de Malware Dinâmico, que são usadas para analisar a atividade de um malware após a sua execução. Com isso, serão apresentadas as ferramentas como Procmon, Process Explorer, Regshot, ApateDNS, Netcat, Wireshark e INetSim para analisar o malware. Juntamente com a apresentação, será disponibilizado o link para download.
A análise dinâmica é normalmente executada após a análise de malware estática ter chegado ao fim. Você terá que partir para o segundo assim que perceber que malware estiver compactado ou ofuscado, por exemplo. Além disso, esse tipo de análise é uma ótima maneira de identificar rapidamente o tipo de malware; se você estiver enfrentando o Ransomware, observará os arquivos criptografados e métodos de pagamento forçados rapidamente após a execução do malware.
Riscos da Análise Dinâmica de Malware
Esteja ciente do fato de que a análise de malware pode colocar seu sistema e sua rede em risco, pois você estará executando um malware real para analisar seu comportamento. É aconselhado executar um malware apenas em máquinas virtuais ou em sistemas dedicados com redes isoladas e que não estejam conectadas à Internet. Não precisamos de uma conexão com a Internet para fazer a análise de malware, pois existem ferramentas de servidor disponíveis para simular uma conexão com a Internet. Nós estaremos cobrindo algumas dessas ferramentas neste post. Embora estejamos executando o malware em máquinas virtuais, não é garantido que o host ou sua rede estejam perfeitamente seguros, pois os desenvolvedores de malware sempre encontram novas maneiras de nos surpreender e dificultam a realização dessas análises.
Process Monitor
O Procmon, ou Process Monitor, é uma ferramenta gratuita desenvolvida pelo Windows SysInternals e é usada para monitorar o sistema de arquivos, registros e atividade em tempo real. A ferramenta é uma combinação de duas ferramentas antigas: FileMon e RegMon, e tem excelentes recursos, como a filtragem não destrutiva de dados e o registro de dados do boottime. Filtragem não destrutiva significa que todos os dados são capturados, mas apenas os dados filtrados são exibidos para o usuário.
A versão mais recente do Process Monitor é a versão 3.5, que pode ser baixada aqui diretamente do site da Microsoft.
Process Explorer
O Process Explorer é uma ferramenta gratuita disponibilizada também pela Microsoft, que é recomendadíssima durante a Análise de Malware. O Process Explorer é usado para monitorar os processos em execução e mostra quais identificadores e DLLs estão sendo executados e carregados para cada processo.
A versão mais recente do Process Explorer pode ser baixada aqui.
Regshot
Regshot é uma ótima ferramenta open source para monitorar as alterações no registro do windows, tirando snapshot atual para ser comprado depois. Isso permite que você veja as alterações feitas no seu registro após o malware ter sido executado em seu sistema.
A última versão do Regshot está disponível para download aqui.
ApateDNS
Outra ótima ferramenta para realizar a análise é o ApateDNS, que é uma ferramenta para controlar as respostas do DNS e atua como um servidor DNS no seu sistema local. Com essa ferramenta você poderá falsificar as respostas de DNS requisitas pelo malware para um endereço IP especificado na porta UDP 53. O endereço IP ou o nome do host geralmente é conseguido do malware por meio da análise estática, examinando as seções ou usando uma sandbox. O ApateDNS também é capaz de recuperar vários domínios usando o parâmetro nxdomain, já que o malware geralmente tenta conectar vários hosts.
O ApateDNS está disponível na FireEye e pode ser baixado usando o seguinte link: ApateDNS.
Netcat
O Netcat é uma ferramenta usada para analisar conexões de rede TCP e UDP. Além dessa análise, essa ferramenta possui outras inúmeras funções, como escaneamento de porta, encaminhamento de porta, encapsulamento, proxy, etc. O Netcat é uma ótima ferramenta para executar a Análise Dinâmica de Malware, pois pode fazer praticamente qualquer conexão de rede, seja tanto entrada, quanto de saída, usando qualquer porta. Além disso, pode ser usado no modo de cliente para conexão e no modo de servidor para escuta.
Muitos malwares se comunicam pela porta 80 (HTTP) e 443 (HTTPS) porque na maioria dos sistemas essas portas não são bloqueadas por um firewall. Ao executar a análise, poderíamos usar o ApateDNS para redirecionar uma solicitação de DNS feita pelo malware para um host que esteja executando o Netcat no modo de servidor, atendendo ao endereço IP especificado na porta especificada. Dessa forma, podemos monitorar e redirecionar as solicitações feitas por malware usando o ApateDNS. Nos próximos posts abordaremos com mais detalhes o uso do ApateDNS e do Netcat.O Netcat pode ser baixado do site do Nmap aqui e também está incluído no Kali Linux.
Download: Página Oficial
Download: Link Direto
Wireshark
O Wireshark é uma das melhores ferramentas para análise de protocolo de rede disponível atualmente. Essa ferramenta é usada para analisar uma rede com o máximo de detalhes possíveis, para assim entender o que está acontecendo no tráfego de pacotes entre sua rede e a Internet. O Wireshark pode ser usado para captura e inspeção de pacotes, inspeção profunda de centenas de protocolos, navegação e filtragem de pacotes
O Wireshark está incluído no Kali Linux, mas também está disponível para Windows e Mac. O Wireshark pode ser baixado aqui.
INetSim
O INetSim é uma ferramenta baseada em Linux para simular os serviços de Internet mais comuns, como http, https, DNS, FTP e muito mais. Ao executar a análise em uma máquina Windows, você pode usar uma máquina virtual na mesma rede que sua máquina de análise para executar o INetSim. Assim o INetSim falsifica os serviços mais comuns de Internet e responde às solicitações feitas pelo malware. Por exemplo, quando um malware solicita um arquivo, o INetSim retornará o arquivo. Quando o malware scaneia um servidor da Web, o INetSim retorna um servidor da Web do Microsoft IIS para manter o malware em execução.
Ele também registra todas as conexões de entrada para que você possa analisar quais serviços o malware está usando e quais solicitações ele faz. O programa também é altamente configurável, quando um malware usa uma porta não padrão para um serviço, você pode alterar a porta do ouvinte em um serviço específico.O INetSim 1.2.8 é a versão atual incluída no Kali Linux 2.0 e pode ser baixada aqui.
OllyDbg
OllyDbg é um dos programas depuradores mais conhecidos na análise de malware. Outro depurador a altura é Windbg. Um depurador é um programa que é usado para testar ou examinar a execução de outro programa. Depurador de baixo nível rastreia registros, reconhece procedimentos, chamadas de API, switches, tabelas, constantes e cadeias de caracteres, além de localizar rotinas de arquivos e bibliotecas de objetos. Ele também fornece a função para pausar a execução do programa em teste e verificar seu estado.
Site Oficial: clique aqui
Download Direto V2.00: clique aqui
Download Direto V1.10: clique aqui
Outras Ferramentas
Nem precisamos dizer que cobrimos apenas uma ínfima quantidade de ferramentas disponíveis para análise de malware. Apenas foi apresentado as principais ferramentas. No próximo tutorial vamos usar algumas delas e ver como é o funcionamento na prática.
