Engenharia Reversa e

Análise de Malwares
Instrutor: Ronaldo Pinheiro de Lima
ronaldoplima@yahoo.com.br

1 Aula 20
Aula 20
12. Trabalhando com Web Malware

12.1. JavaScript

12.2. PHP

12.3. Applet Java

12.4. Flash e Action Script

12.5. Lab 12-01 Análise de web malware diversos

2 Aula 20
Web Malware
 tecnologia web utilizada maliciosamente
 web site é eficiente para armazenar e distribuir malwares
 invadir grandes portais e sites de muito acesso
 explora vulnerabilidade e alter o código-fonte do site
 todos os visitantes podem se infectarem
 tecnologias: JavaScript, PHP, Applet Java, Flash com Action Script
 ofuscação de código, complexa ou não
 criam vários hops (saltos) até o código principal
 tudo junto e ofuscado!

3 Aula 20
JavaScript
 linguagem client-side
 script JS é inserido no index do site invadido
 executado automaticamente quando acessado
<script src="http://www.qualquersite.com/scriptname.js"></script>

 JavaScript + Applet Java = drive-by download (instalar malware)

 ao analisar site, busque pelo script JS
 várias formas de ofuscação, ferramentas e sites para desofuscar:
 JavaScript Desofuscator Add-on Firefox (8.0 >)
 JSUNPACK web site e ferramenta standalone
 Sites de conversão Hex to ASCII
4 Aula 20
PHP
 linguagem interpretada server-side
 predileta dos bankers e phisers
 fácil de aprender e poderosa
 após invasam fazem upload de uma web shell PHP
 permite administrar o servidor pela web
 também é encontrado ofuscado / encriptado
 sites realizam desofuscação
 eval gzinflate base64_decode
 base64 decode

5 Aula 20
Applet Java
 mini programa Java embutido no HTML
<applet code=”AppletJava.class” archive=”Arquivos.jar”>
<param name=”mensagem” value=”Hello World!”>
<param name=”malware” value=”http://www.infected.com/malware.exe”>
</applet>

 code: nome da classe (programa) Java a ser executada

 archive: onde está a classe e demais arquivos para funcionar
 param: parâmetros para a classe utilizar
 .JAR = compactado, contém vários arquivos (WinRAR, Zip)
 .class = bytecode, código java “compilado” (intermediário)
 é possível “descompilar” (www.showmycode.com)
6 Aula 20
Flash e Action Script
 usado para layout e também lidar com dados dinâmicos, forms
 extensão SWF
 para salvar o SWF – no navegador “Salvar página completa”
 conteúdo dinâmico usa Action Script
 importante analisar o Action Script
 é possível “descompilar”
 www.showmycode.com
 ferramenta de descompilação
 Sothink SWF Decompiler (trial 30 dias)

7 Aula 20
Lab 12-01
Análise de web malware diversos

Material necessário:
 Máquina virtual com Windows XP 32-bit
 XAMMP usb lite (Apache e PHP)
(http://www.apachefriends.org/download.php?xampp-win32-1.7.7-usb-lite.exe)
 Firefox + Add-on JavaScript Deobfuscator
(https://addons.mozilla.org/firefox/downloads/latest/10345/addon-10345-latest.xpi)

 Acesso à Internet na VM
Arquivo: Lab-12-01.rar
(http://www.4shared.com/rar/HtZjgOwT/Lab-12-01.html)

8 Aula 20
Obrigado!

A explicação detalhada de todos os tópicos está na apostila dessa aula.

Todo o material estará disponível em: http://netclass.oys.com.br

Ronaldo Pinheiro de Lima

ronaldoplima@yahoo.com.br
http://www.crimesciberneticos.com
@crimescibernet

9 Aula 20