Neste post, veremos os diferentes tipos de malware e o que eles fazem. Ao realizar uma análise de malware estática ou dinâmica, é essencial ter uma boa compreensão dos diferentes tipos de malware disponíveis para que você possa reconhecê-los e concentrar sua investigação. Durante a análise estática de malware, as DLLs e as funções importadas geralmente nos dizem muito sobre as intenções e o comportamento do malware. Por exemplo, quando o malware importa funções de rede junto com funções para editar as funções de registro do Windows, podemos estar lidando com spyware, trojan ou outro malware na inicialização. No caso mais simples de DLLs importadas estaticamente, você pode usar um aplicativo como o Dependency Walker para descobrir quais funções são usadas no malware. Uma inspeção mais detalhada das funções, cabeçalhos e recursos da DLL deve restringir muito os possíveis tipos de malware. Vamos analisar os diferentes tipos de malware disponíveis e o que exatamente eles fazem.
Adware
Adware como malware é um software malicioso que apresenta publicidade indesejada ao usuário. Esse tipo de malware geralmente usa janelas pop-up que não podem ser fechadas pelo usuário. Adware é frequentemente incluso em softwares grátis e nas barras de ferramentas do navegador (famosas toolbar). O malware também pode coletar dados de usuários, suas atividades e outras informações, entrando um pouco no tipo spyware.
Backdoor
Um backdoor é um código malicioso que permite que um invasor se conecte ao alvo infectado e assuma o controle do computador sem sua autorização. Na maioria dos casos, não é necessária autenticação para efetuar login na máquina remota. Além disso, esse tipo de malware é frequentemente gerado por um Trojan que passa despercebido se o host não tiver mecanismos de detecção eficazes, como firewalls e antivírus. Os backdoors podem usar muitos métodos para se comunicarem, mas usa principalmente a porta 80 já que essa porta está aberta na maioria das máquinas conectadas à Internet. Referente a esse malware, existem dois principais tipos: o shell reverso e o Acesso Remoto / Ferramenta de Administração (RAT).
Shell reverso
Um shell reverso é uma conexão iniciada a partir do host infectado e fornece ao hacker acesso ao host pelo shell. O shell reverso é geralmente criado por um cavalo de Troia, funcionando praticamente como um backdoor. Depois que o shell reverso for configurado, o invasor tem a possibilidade de executar comandos como se fossem executados localmente.
Os métodos comumente usados para shells reversos são o Netcat e o Windows CMD compactados dentro do malware. Um método simples usado por malware usando o Windows é criar um soquete para estabelecer uma conexão com o invasor e vinculá-lo aos fluxos padrão (entrada, saída e erro padrão) para o CMD. Assim o CMD é executado com a janela oculta da vítima e assim os comandos são executados sem a percepção do usuário que está sendo atacado.
RAT - Trojan de acesso remoto
Um RAT (Remote Access Trojan), ou às vezes chamado de Remote Administration Tool ou Remote Access Tool, é uma ferramenta que permite um invasor assumir o controle total do computador infectado. Essa é uma das ferramentas com o caráter mais malicioso, sendo comumente incluídos em cracks baixados na internet ou aqueles phising enviados por e-mail com um link de download do server malicioso.
Botnet
Uma botnet é uma rede de computadores com backdoors que estão sendo controlados por um servidor de comando e controle. Todos os hosts infectados na rede são controlados como um grupo e recebem as mesmas instruções do servidor que é controlado pelo invasor. As botnets são frequentemente usadas para enviar spam, executar ataques distribuídos de negação de serviço (DDoS) ou distribuição de malware.
Browser Hijacker
Um sequestrador de navegador é um código desenvolvido para controlar as configurações do seu navegador, como a página inicial, por exemplo, ou o provedor de pesquisa padrão. Os sequestradores de navegador geralmente são incluídos em programas gratuitos. Uma vez instalado, as barras de ferramentas dos navegadores podem ficar poluídas visualmente e no final das contas ainda ter um adware ou spyware escondido. Alguns sequestradores de navegador também alteram as configurações de proxy do seu navegador, o que compromete sua privacidade e segurança on-line.
Downloader Malware
O malware do download é um software malicioso que baixa outros softwares maliciosos. O malware do download infecta a máquina de destino silenciosamente através de instaladores não oficiais. Por exemplo, você está procurando o programa qualquer, como o Ccleaner, e então você baixa o programa de um site não oficial. Ao executar o programa, o mesmo afirma que será baixado o Ccleaner online, mas juntamente com o programa desejado é baixado um malware oculto.
Malware de Roubo de Informações
O malware de roubo de informações é uma coleção de tipos de malware desenvolvidos para roubar informações como números de cartão de crédito, detalhes de contas bancárias, detalhes de contas e outras informações pessoais. As informações coletadas geralmente são enviadas ao invasor que geralmente as usa para obter acesso à sua conta pessoal ou colocá-las à venda na dark web / deep web. O malware geralmente vem na forma de keyloggers, senhas (hash) e sniffers. As informações roubadas geralmente são enviadas para um servidor de comando ou controle para processamento adicional.
Keyloggers
O keylogger é um software (ou hardware) malicioso que registra as teclas digitadas para roubar senhas, conversas e outros detalhes pessoais. Um keylogger é uma maneira muito eficaz de os invasores roubarem senhas, porque não há necessidade de quebrar hashes, descriptografar informações ou farejar conexões seguras para senhas, pois todas as teclas digitadas são enviadas para o atacante.
Malware Lançador
Um lançador é um código malicioso usado para iniciar outro malware. Esta parte do software malicioso é frequentemente combinada com o malware do download. O malware lançador geralmente usa métodos furtivos e não convencionais para iniciar outro código malicioso e assim evitar a detecção.
Ransomware
Tecnicamente falando, todo malware que impede o usuário de acessar o computador ou arquivos e exigir dinheiro em troca de acesso é chamado de ransomware. O ransomware geralmente criptografa seu disco rígido ou arquivos e exige dinheiro em troca da chave de descriptografia. Esse tipo de ransomware também é chamado de crypto locker. Após a infecção, o ransomware apresenta ao usuário alguns métodos de pagamento que podem ser usados para desbloquear o computador ou descriptografar os arquivos. Se o ransomware ou o crypto locker realmente desbloquearem seu disco rígido ou arquivos, as chaves de descriptografia e o pagamento geralmente serão controlados por um servidor de comando e controle.
O ransomware se tornou cada vez mais popular, pois é altamente lucrativo para desenvolvedores de malware. Especialmente em combinação com métodos de pagamentos anônimos como monero ou bitcoin (menos seguro, já que é rastreável), minimizando os riscos de serem pegos.
Rootkit
Um rootkit é um software malicioso projetado para ocultar a existência de outro malware. O malware oculto é geralmente um backdoor para fornecer acesso total ao invasor. Os rootkits podem ser difíceis de detectar e remover com base em onde reside dentro do sistema operacional. Os rootkits no nível do firmware, por exemplo, podem requerer substituição de hardware e os rootkits no nível do kernel podem exigir uma nova instalação do sistema operacional.
Bootkit
Outro perigoso e quase impossível de detectar é o bootkit. O bootkit é um rootkit escondido no setor de inicialização que infecta o Master Boot Record (MBR). Esse tipo de rootkit é capaz de ignorar a criptografia da unidade, já que funciona através de um código que é executado antes do sistema operacional.
Scareware
Scareware é um software malicioso que obriga a vítima a comprar algo assustando-o, pois geralmente inclui vírus ou arquivos embaraçosos. Um dos scarewares mais comum são aqueles que "parecem" um antivírus, dizendo que detectou alguns vírus no seu computador e só poderão ser removidos após comprar o suposto antivírus. Por causa dessas táticas, muitas vítimas pagam pelo software para que o vírus ou outros materiais embaraçosos sejam removidos silenciosamente. Um malware de "proteção" ou chantagem funciona mais ou menos como um ransomware, além de ser muito lucrativo para esses desenvolvedores.
Spam
O Malware de Spam é um software mal-intencionado que usa a máquina ou contas (facebook, whatsapp, por exemplo) infectadas para enviar spam. O malware de envio de spam pode fazer parte de uma botnet controlada por um servidor de comando ou controle funcionando como uma rede distribuída de envio de spam. Por causa da abordagem distribuída, não há um único ponto de falha, se ¼ das máquinas infectadas forem limpas, outros ¾ continuará enviando e-mails de spam. Grandes botnets podem enviar bilhões de mensagens de spam por semana e, com muita frequência, novos malwares são espalhados junto com as mensagens de spam.
O envio de malwares por spam pode causar problemas, pois a conexão com a Internet do ISP pode ser cortada ou o endereço de e-mail pode estar na lista negra, por isso, remova esse tipo de malware o mais rápido possível. Esse tipo de malware é lucrativo para desenvolvedores de malware porque eles podem vender os serviços de envio de spam.
Trojan
Um Trojan ou um cavalo de Troia é uns dos malwares mais perigosos, pois funcionam como um backdoor, com o intuito de roubar informações, disseminar outros malwares ou usar os recursos da máquina infectada em um botnet. Literalmente, tudo é possível quando infectado por um Trojan que foi instalado ou executado com privilégios de administrador. Trojans na computação existem há muito tempo, alguns cavalos de Troia antigos e populares são: Netbus, SubSeven ou Sub7 e Back Orifice ou BO
Vírus
Um vírus é um programa malicioso que se replica em outros aplicativos, arquivos ou até mesmo no setor de inicialização. Um vírus pode fazer qualquer coisa que seja programado, podendo roubar informações, registrar teclas digitadas ou até mesmo inutilizar um computador. A característica definidora de um vírus está na autorreplicação e inserção de código malicioso em outros programas sem o consentimento do usuário. Assim como a maioria dos outros malwares, um vírus é projetado para obter lucro.
Worm
Um worm é um malware que se replica para espalhar e infectar outros sistemas. Os worms de computador usam a rede, links, redes P2P, e-mail e exploram vulnerabilidades para se espalharem. Muitas vezes, mais de um malware é usado para espalhar o worm. A diferença com um vírus é que um vírus insere código em outros programas, já o worm se replica sozinho.
Fonte: Traduzido e adaptado de Hacking Tutorials
Adware
Adware como malware é um software malicioso que apresenta publicidade indesejada ao usuário. Esse tipo de malware geralmente usa janelas pop-up que não podem ser fechadas pelo usuário. Adware é frequentemente incluso em softwares grátis e nas barras de ferramentas do navegador (famosas toolbar). O malware também pode coletar dados de usuários, suas atividades e outras informações, entrando um pouco no tipo spyware.
Backdoor
Um backdoor é um código malicioso que permite que um invasor se conecte ao alvo infectado e assuma o controle do computador sem sua autorização. Na maioria dos casos, não é necessária autenticação para efetuar login na máquina remota. Além disso, esse tipo de malware é frequentemente gerado por um Trojan que passa despercebido se o host não tiver mecanismos de detecção eficazes, como firewalls e antivírus. Os backdoors podem usar muitos métodos para se comunicarem, mas usa principalmente a porta 80 já que essa porta está aberta na maioria das máquinas conectadas à Internet. Referente a esse malware, existem dois principais tipos: o shell reverso e o Acesso Remoto / Ferramenta de Administração (RAT).
Shell reverso
Um shell reverso é uma conexão iniciada a partir do host infectado e fornece ao hacker acesso ao host pelo shell. O shell reverso é geralmente criado por um cavalo de Troia, funcionando praticamente como um backdoor. Depois que o shell reverso for configurado, o invasor tem a possibilidade de executar comandos como se fossem executados localmente.
Os métodos comumente usados para shells reversos são o Netcat e o Windows CMD compactados dentro do malware. Um método simples usado por malware usando o Windows é criar um soquete para estabelecer uma conexão com o invasor e vinculá-lo aos fluxos padrão (entrada, saída e erro padrão) para o CMD. Assim o CMD é executado com a janela oculta da vítima e assim os comandos são executados sem a percepção do usuário que está sendo atacado.
RAT - Trojan de acesso remoto
Um RAT (Remote Access Trojan), ou às vezes chamado de Remote Administration Tool ou Remote Access Tool, é uma ferramenta que permite um invasor assumir o controle total do computador infectado. Essa é uma das ferramentas com o caráter mais malicioso, sendo comumente incluídos em cracks baixados na internet ou aqueles phising enviados por e-mail com um link de download do server malicioso.
Botnet
Uma botnet é uma rede de computadores com backdoors que estão sendo controlados por um servidor de comando e controle. Todos os hosts infectados na rede são controlados como um grupo e recebem as mesmas instruções do servidor que é controlado pelo invasor. As botnets são frequentemente usadas para enviar spam, executar ataques distribuídos de negação de serviço (DDoS) ou distribuição de malware.
Browser Hijacker
Um sequestrador de navegador é um código desenvolvido para controlar as configurações do seu navegador, como a página inicial, por exemplo, ou o provedor de pesquisa padrão. Os sequestradores de navegador geralmente são incluídos em programas gratuitos. Uma vez instalado, as barras de ferramentas dos navegadores podem ficar poluídas visualmente e no final das contas ainda ter um adware ou spyware escondido. Alguns sequestradores de navegador também alteram as configurações de proxy do seu navegador, o que compromete sua privacidade e segurança on-line.
Downloader Malware
O malware do download é um software malicioso que baixa outros softwares maliciosos. O malware do download infecta a máquina de destino silenciosamente através de instaladores não oficiais. Por exemplo, você está procurando o programa qualquer, como o Ccleaner, e então você baixa o programa de um site não oficial. Ao executar o programa, o mesmo afirma que será baixado o Ccleaner online, mas juntamente com o programa desejado é baixado um malware oculto.
Malware de Roubo de Informações
O malware de roubo de informações é uma coleção de tipos de malware desenvolvidos para roubar informações como números de cartão de crédito, detalhes de contas bancárias, detalhes de contas e outras informações pessoais. As informações coletadas geralmente são enviadas ao invasor que geralmente as usa para obter acesso à sua conta pessoal ou colocá-las à venda na dark web / deep web. O malware geralmente vem na forma de keyloggers, senhas (hash) e sniffers. As informações roubadas geralmente são enviadas para um servidor de comando ou controle para processamento adicional.
Keyloggers
O keylogger é um software (ou hardware) malicioso que registra as teclas digitadas para roubar senhas, conversas e outros detalhes pessoais. Um keylogger é uma maneira muito eficaz de os invasores roubarem senhas, porque não há necessidade de quebrar hashes, descriptografar informações ou farejar conexões seguras para senhas, pois todas as teclas digitadas são enviadas para o atacante.
Malware Lançador
Um lançador é um código malicioso usado para iniciar outro malware. Esta parte do software malicioso é frequentemente combinada com o malware do download. O malware lançador geralmente usa métodos furtivos e não convencionais para iniciar outro código malicioso e assim evitar a detecção.
Ransomware
Tecnicamente falando, todo malware que impede o usuário de acessar o computador ou arquivos e exigir dinheiro em troca de acesso é chamado de ransomware. O ransomware geralmente criptografa seu disco rígido ou arquivos e exige dinheiro em troca da chave de descriptografia. Esse tipo de ransomware também é chamado de crypto locker. Após a infecção, o ransomware apresenta ao usuário alguns métodos de pagamento que podem ser usados para desbloquear o computador ou descriptografar os arquivos. Se o ransomware ou o crypto locker realmente desbloquearem seu disco rígido ou arquivos, as chaves de descriptografia e o pagamento geralmente serão controlados por um servidor de comando e controle.
O ransomware se tornou cada vez mais popular, pois é altamente lucrativo para desenvolvedores de malware. Especialmente em combinação com métodos de pagamentos anônimos como monero ou bitcoin (menos seguro, já que é rastreável), minimizando os riscos de serem pegos.
Rootkit
Um rootkit é um software malicioso projetado para ocultar a existência de outro malware. O malware oculto é geralmente um backdoor para fornecer acesso total ao invasor. Os rootkits podem ser difíceis de detectar e remover com base em onde reside dentro do sistema operacional. Os rootkits no nível do firmware, por exemplo, podem requerer substituição de hardware e os rootkits no nível do kernel podem exigir uma nova instalação do sistema operacional.
Bootkit
Outro perigoso e quase impossível de detectar é o bootkit. O bootkit é um rootkit escondido no setor de inicialização que infecta o Master Boot Record (MBR). Esse tipo de rootkit é capaz de ignorar a criptografia da unidade, já que funciona através de um código que é executado antes do sistema operacional.
Scareware
Scareware é um software malicioso que obriga a vítima a comprar algo assustando-o, pois geralmente inclui vírus ou arquivos embaraçosos. Um dos scarewares mais comum são aqueles que "parecem" um antivírus, dizendo que detectou alguns vírus no seu computador e só poderão ser removidos após comprar o suposto antivírus. Por causa dessas táticas, muitas vítimas pagam pelo software para que o vírus ou outros materiais embaraçosos sejam removidos silenciosamente. Um malware de "proteção" ou chantagem funciona mais ou menos como um ransomware, além de ser muito lucrativo para esses desenvolvedores.
Spam
O Malware de Spam é um software mal-intencionado que usa a máquina ou contas (facebook, whatsapp, por exemplo) infectadas para enviar spam. O malware de envio de spam pode fazer parte de uma botnet controlada por um servidor de comando ou controle funcionando como uma rede distribuída de envio de spam. Por causa da abordagem distribuída, não há um único ponto de falha, se ¼ das máquinas infectadas forem limpas, outros ¾ continuará enviando e-mails de spam. Grandes botnets podem enviar bilhões de mensagens de spam por semana e, com muita frequência, novos malwares são espalhados junto com as mensagens de spam.
O envio de malwares por spam pode causar problemas, pois a conexão com a Internet do ISP pode ser cortada ou o endereço de e-mail pode estar na lista negra, por isso, remova esse tipo de malware o mais rápido possível. Esse tipo de malware é lucrativo para desenvolvedores de malware porque eles podem vender os serviços de envio de spam.
Trojan
Um Trojan ou um cavalo de Troia é uns dos malwares mais perigosos, pois funcionam como um backdoor, com o intuito de roubar informações, disseminar outros malwares ou usar os recursos da máquina infectada em um botnet. Literalmente, tudo é possível quando infectado por um Trojan que foi instalado ou executado com privilégios de administrador. Trojans na computação existem há muito tempo, alguns cavalos de Troia antigos e populares são: Netbus, SubSeven ou Sub7 e Back Orifice ou BO
Vírus
Um vírus é um programa malicioso que se replica em outros aplicativos, arquivos ou até mesmo no setor de inicialização. Um vírus pode fazer qualquer coisa que seja programado, podendo roubar informações, registrar teclas digitadas ou até mesmo inutilizar um computador. A característica definidora de um vírus está na autorreplicação e inserção de código malicioso em outros programas sem o consentimento do usuário. Assim como a maioria dos outros malwares, um vírus é projetado para obter lucro.
Worm
Um worm é um malware que se replica para espalhar e infectar outros sistemas. Os worms de computador usam a rede, links, redes P2P, e-mail e exploram vulnerabilidades para se espalharem. Muitas vezes, mais de um malware é usado para espalhar o worm. A diferença com um vírus é que um vírus insere código em outros programas, já o worm se replica sozinho.
Fonte: Traduzido e adaptado de Hacking Tutorials
