Anlise de Malware

em Sistemas Windows

Rafael Siqueira
Samuel Macedo

Malware
Software

designado a se infiltrar em um sistema

de computador alheio de forma ilcita com o
intuito de causar algum dano ou roubo de
informaes.
Exemplos:

Vrus, Worms, Trojans, Bots, Spywares e outras

variantes

Curiosidade estatstica
Dados

do Cert.br

77.933 incidentes reportados em 2006

59% algum tipo de uso de Malwares

Novidades
Rootkits:

Capacidade de ocultar processos, arquivos e dados

do sistema.
Dificuldade de deteco
Variaes:
Kernel,

Aplicaes, Virtualised

Motivao para se realizar uma

Anlise de Malware
Aumento

do nmero de Malwares
Recuperao do sistema infectado

Clculo da extenso dos danos causados pelo

Malware

Desenvolvimento

de novas tecnicas de proteo

Pesquisa sobre novos tipos de ataque
Curiosidade, diverso...

Anlise de Malware
Processo

de anlise de um cdigo malicioso

para descoberta de suas funcionalidades
bsicas.
Tipos de anlise:

Anlise de Cdigo
Execuo e Anlise Comportamental

Anlise de Cdigo
Leitura

do cdigo
Uso de disassemblers e debuggers
Vantagens:
Maior conhecimento sobre o Malware e seu
funcionamento
Desvantagens:

Elevado conhecimento de linguagens de

programao
Tempo dedicado e pacincia

Anlise Comportamental
Ambiente

Controlado
Informaes iniciais de um ambiente sadio
Execuo e anlise dos passos de execuo
do Malware
Anlise forense comparativa

Ambiente Controlado

Mquina isolada ou mquina virtual

Confiana no conjunto de ferramentas a serem
utilizadas:

www.sleuthkit.org

VMware:

Acesso rede seja praticamente nulo (host-only)

Sistemas operacionais distintos

Dificultar comprometimento da mquina host

Uso de snapshots

Dados iniciais sobre o sistema

Arquivos,

processos em execuo, portas

abertas, cpia do registro, informaes sobre
usurios e grupos.
Ferramentas:

Winalysis:
Utiliza

snapshots para realizar uma anlise comparativa

Netstat e fport
Informaes

sobre portas abertas

Nmap
Scan

de portas

Anlise Esttica
Analisar

o Malware antes de sua execuo

Ferramentas:

Strings:
Analisar

as seqncias de caracteres

PEid:
Obter

informaes sobre a ferramenta utilizada na

compactao do malware

Resource hacker:
Visualizar

imagens, menus, tabelas de strings, e outras

informaes que seriam exibidas pelo executvel
analisado

Anlise Dinmica
Execuo

do Malware dentro de um ambiente

controlado
Anlise comparativa do sistema
finalizada quando o Malware termina sua
execuo ou entra em execuo estacionria
Ferramentas:

Regmon:
Alteraes

no registro do W indows em tempo real

Filemon:
Monitora

o sistema de arquivos possibilitando visualizar a

criao de arquivos, remoo e modificao

Anlise Dinmica
Ferramentas

Wireshark:
Trfego

(cont.):

de rede

Process Explorer:
Processos

em execuo no sistema

Anlise Comparativa
Analisar

as mudanas que ocorreram devido a

execuo do Malware
Anlise forense com informaes iniciais do
sistema
Ferramenta Winalysis.

Documentao
Relatrio

da anlise realizada:

MD5sum ou Sha1
Arquivos alterados
Alteraes no registro
Acesso rede
Processos executados
Strings

Concluso

A Anlise de Malwares deve seguir conceitos de Anlise

Forense como imparcialidade, troca de informaes
entre a equipe, pacincia e ateno.

Os resultados podem ser pouco conclusivos, o que

obrigaria o analista a realizar uma Anlise de Cdigo.

A utilizao de mquinas virtuais no totalmente

segura devido a evoluo dos Malwares na deteco
destas mquinas.

Perguntas
Dvidas

antes de iniciar as demonstraes?

Computer Security Incident Response Team - PoP-MG

www.csirt.pop-mg.rnp.br
seguranca@csirt.pop-mg.rnp.br