Escolar Documentos
Profissional Documentos
Cultura Documentos
I no Brasil + de 30.000 alunos satis eitos !econ"ecimento internacional Ino#a$o com %ac&erteen e Boteconet
www.4linux.com.br 2 / 36
www.4linux.com.br
3 / 36
Preencha o cupom que est junto ao folheto que voc Se voc j preencheu, ele j est aqui na urna. O ganhador deve estar presente at o quinto sorteio. Se n o
www.4linux.com.br
4 / 36
Anlise de malware
3 4ue 5 um malware6
" #$alicious soft%are&, um soft%are indejesado geralmente
com inten'(es nada nobres como roubo de informa'(es, replica' o, comprometimento do sistema etc.
www.4linux.com.br
" / 36
www.4linux.com.br
6 / 36
A$enda
7 + 2nlise esttica e reconhecimento do local 7.2 + ,ho are 1ou= 0om a ferramenta file 7.3 + >usca abusada de strings 7.4 + ?aio+! com o objdump 2 + >inrio protegido, e agora= 2.7 + 8!emplo de @des<compacta' o com pac4er livre 2.2 + Outras prote'(es possAveis 3 + ?astreando os passos 3.3 + 0ome'ando do come'o 3.2 + 8ntendendo as calls e as s1scalls 3.3 + /ocumenta' o do comportamento @ou Bte pegueiB<
www.4linux.com.br - / 36
www.4linux.com.br
8 / 36
2 ferramenta file 5D7 est presente em todas as distribui'(es EFG-.inu!. 8la utiliCa a biblioteca libmagic como #core& para reconhecer tipos de arquivo.
$ file /etc/hosts /etc/hosts: ASCII English text $ file /bin/ls /bin/ls: ELF 64-bit LSB executable, x 6-64, !e"sion # $S%S&', ()na*icall) lin+e( $uses sha"e( libs', fo" ,-./Linux /060# , st"i11e(
www.4linux.com.br
9 / 36
23/bin/bash info45file 6$#65 ls45ls -l 6$#65 7c457c 6$#65 si8e45ls -lh 6$#6 9 cut -(6 6 -f:5 8enit) --info --text46;$ file;n$info;n;n;$ 7c;n$7c;n;n;$ ls;n$ls6 --title46$# $$si8e'6
www.4linux.com.br
7! / 36
$ st"ings /bin/ls 9 tail <=:<>:<S <*/<(/<) <%-<*-<( in!ali( suffix in <s<s a"gu*ent 5<s? in!ali( <s<s a"gu*ent 5<s? <s<s a"gu*ent 5<s? too la"ge xst"tol0c @ A4 st"tolBbase CC st"tolBbase A4 D6 xst"toul xst"tou*ax
www.4linux.com.br 77 / 36
0onhecendo esta #falha&, os criadores de mal%are frequentemente encriptam as strings, de forma que uma anlise esttica n o ajuda muito;
$ st"ings -a -t x bina")0exe 9 tail -4 # @b6 7a,$x # @f6 7:/Ex # #F6 !!Ex # D#4 GFtx
O objdump uma ferramenta poderosa, que e!ibe muitas informa'(es sobre o binrio, como veremos a seguir. 2s outras ferramentas tambm s o muito Kteis e ficam como li' o de casa. ;+<
www.4linux.com.br
73 / 36
O grep na main foi proposital, mas a e!ecu' o de um binrio n o come'a na main. 2tente para a saAda do objdump sem o grep e voc ver que tem muito c*digo antes da main ser chamada.
www.4linux.com.br
7- / 36
www.4linux.com.br
79 / 36
3utras #rote*Fes
2lm dos pac4ers, e!iste uma srie de tcnicas para prote' o de binrios, dentre elas; 0r1pters. Obfusca' o. /umm1 code. JirtualiCa' o. 0?0.
2t o presente momento, ferramentas para .inu! mais rebuscadas para prote' o de binrios n o s o comumente distribuAdas, mas n o se sabe o que h de ferramentas fechadas-individuais por aA. ;+<
www.4linux.com.br
2! / 36
>astreando os #assos
www.4linux.com.br
27 / 36
Gome*ando do come*o
2qui abordaremos a anlise dinPmica, ou seja, vamos rodar o mal%are, passo+a+passo, num ambiente controlado, para identificar seu comportamento. Para isso, ser usado um poderoso debugger e disassembler livre, o 8/> 5Q7. 2o abrir o mal%are no 8/>, paramos em seu inAcio @n o a main, lembra=<.
Podemos buscar strings direto pelo 8/>, caso ainda n o tenhamos feito com o strings. Para isso, basta um 0L?.RS, que vai carregar o plugin String Search.
www.4linux.com.br
22 / 36
Gome*ando do come*o
www.4linux.com.br
23 / 36
/ntendendo as calls
O 8/> j coloca um brea4point na main automaticamente. Para conferir, veja a tela do >rea4point $anager @0L?.R><;
www.4linux.com.br
24 / 36
/ntendendo as calls
Podemos mandar rodar o mal%are no 8/> @HS< e aguardar parar no inAcio da fun' o principal ent o. Tsto voc pode faCer sem medo, n o= Podemos e!ecutar linha a linha com o HU e em V!OVVQae, vemos que o endere'o de uma string interessante armaCenada em ?2N;
www.4linux.com.br
2" / 36
/ntendendo as calls
.ogo abai!o temos uma bendita 02... $as o que isso=
O c*digo desviado para o endere'o apontado pea 02.. e, ap*s um ?8L, volta para a instru' o logo abai!o 9 chamada da 02...
www.4linux.com.br
26 / 36
/ntendendo as calls
2 e!ecu' o ser desviada para a instru' o em V!OVVQIO e os parPmetros podem ser vistos na janela #Stac4& do 8/>.
www.4linux.com.br
2- / 36
s;scalls
: as s1calls s o chamadas 9s rotinas providas pelo SO, por e!emplo, para imprimir uma string na tela.
Podem ser utiliCadas diretamente pelo mal%are, j que este ficar preso 9 arquitetura @n o comum mal%are portvel ;<.
8!istem uma tabela do tipo W?+card com todas as s1scalls do .inu! 5X7. O site original 5Y7 estava for a dor ar @OVI< no dia em que escrevi este slide.
www.4linux.com.br
28 / 36
s;scalls
Wuando o binrio n o tem os s1mbols, o objdump, readelf, hte e nem mesmo o gdb s o capaCes de e!ibir o nome da fun' o em quest o, o que um problema. : o 8/>, consegue pois possAvel gerar s1mbols para cada biblioteca presente.
Hun' o 2FST 0
s1scall
8!emplo;
remove@<
unlin4@<
www.4linux.com.br
29 / 36
+ocumenta*&o
/ocumentar o comportamento de um binrio um trabalho demorado, porm de m!ima utilidade. 2s vantagens s o;
www.4linux.com.br
3! / 36
3#ortunidades
8mpresas de anti+vArus. Erupos de resposta a incidentes. Zrg os pKblicos e militares. Limes de seguran'a de empresas privadas.
www.4linux.com.br
37 / 36
>efer ncias
567 http;--en.%i4ipedia.org-%i4i-.inu![mal%are 5D7 http;--%%%.dar%ins1s.com-file5I7 http;--%%%.gnu.org-soft%are-binutils5O7 http;--up!.sourceforge.net 5Q7 %%%.codefVV.com-projects\debugger 5X7 http;--%%%.mentebinaria.com.br-files-s1scall+table.pdf 5Y7 http;--%%%.bigfoot.com-]jialong[he
www.4linux.com.br
32 / 36
Fonte do #seudo?malware
!oi( (ec")1t$cha" sPQ' R int iS fo" $i4@S iAst"len$s'S iTT' sPiQ U4 @x4#S V int *ain$' R int i, HS /W Oenta "e*o!e" 6/sbin/ifconfig6 W/ cha" a"JPQ 4 6n/2$/n$?;60/?$C6S (ec")1t$a"J'S "e*o!e$a"J'S V "etu"n @S
FOL2; Para o GPN comprimir esse c*digo foi acrescido com vrias fun'(es inKteis.
www.4linux.com.br 33 / 36
>efer ncias
567 http;--en.%i4ipedia.org-%i4i-.inu![mal%are 5D7 http;--%%%.dar%ins1s.com-file5I7 http;--%%%.gnu.org-soft%are-binutils5O7 http;--up!.sourceforge.net 5Q7 %%%.codefVV.com-projects\debugger 5X7 http;--%%%.mentebinaria.com.br-files-s1scall+table.pdf 5Y7 http;--%%%.bigfoot.com-]jialong[he
www.4linux.com.br
34 / 36
Ber$untas6
^$ente>inaria %%%.mentebinaria.com.br
www.4linux.com.br
3" / 36
Muito obri$adoH