Escolar Documentos
Profissional Documentos
Cultura Documentos
FORTALEZA
2018
1
FORTALEZA
2018
2
004
G199e Garcia, Leonardo Santiago.
Estudo de caso do Ransonware Wannacry: uma análise dos códigos
maliciosos através de uma abordagem prática / Leonardo Santiago Garcia.
– 2018.
54 f.: il.
_______________________________________________________________
Prof. Ms. Silvio Amarante (Orientador)
Centro Universitário Unifanor Wyden
_______________________________________________________________
Prof. Ms. Germano Fenner
Centro Universitário Unifanor Wyden
_______________________________________________________________
Prof. Ms. Luiz Gonzaga Mota Barbosa
Centro Universitário Unifanor Wyden
4
A Deus,
AGRADECIMENTOS
RESUMO
Nos dias atuais, o uso da internet já faz parte da maioria das populações ao
redor do mundo. A partir deste aumento no número de usuários,
concomitantemente, aumentaram os riscos com o uso da internet. Os ataques
de códigos maliciosos vêm crescendo a cada ano. Contudo, na contramão
deste avanço, as defesas frente a estas ameaças têm se mostrado bastante
ineficientes, visto que os números de ataques estão em constante avanço.
Diante deste cenário, esta pesquisa tem como objetivo geral observar o
comportamento de códigos maliciosos de diversos tipos, mais especificamente
o ransonware WannaCry, analisando o seu código e suas ações em
dispositivos informáticos. Ademais, tem como objetivos específicos:
contextualizar o cenário atual dos ataques cibernéticos; fornecer acesso aos
principais conceitos e discussões sobre as novas tendências de
desenvolvimento de códigos maliciosos; demonstrar algumas técnicas da
metodologia da análise forense de malwares; explanar os tipos de detecções e
respostas para mitigar os riscos de um ataque de conteúdos maliciosos;
divulgar o conhecimento necessário para os profissionais interessados em
análise de malware. Através das análises que este trabalho apresentará
acredita-se que seja possível agir contra estes ataques, mesmo antes das
grandes corporações de segurança e desenvolvedoras de antivírus encontrar
uma solução para um código malicioso que ainda não possui ações de
detecção e/ou remoção.
ABSTRACT
Nowadays, the use of the internet is already part of the majority of the
populations around the world. From this increase in the number of users,
concomitantly, increased risks with the use of the internet. Malicious code
attacks are growing every year. However, against this breakthrough, defenses
against these threats have been quite inefficient, as the numbers of attacks are
constantly advancing. In this scenario, this research has the general objective of
observing the behavior of malicious codes of various types, specifically
ransonware WannaCry, analyzing its code and its actions in computing devices.
In addition, it has specific objectives: to contextualize the current scenario of
cyber attacks; provide access to key concepts and discussions about new
trends in malicious code development; demonstrate some techniques of
malware forensics analysis methodology; explain the types of detections and
responses to mitigate the risks of a malicious content attack; disseminate the
necessary knowledge to professionals interested in malware analysis. Through
the analyzes that this work presents, it is believed that it is possible to act
against these attacks, even before the large security corporations and antivirus
developers find a solution to a malicious code that does not yet have detection
and / or removal actions.
LISTA DE ILUSTRAÇÕES
LISTA DE TABELAS
SUMÁRIO
AGRADECIMENTOS ......................................................................................... 5
RESUMO............................................................................................................ 7
ABSTRACT........................................................................................................ 8
LISTA DE ILUSTRAÇÕES ................................................................................ 9
LISTA DE TABELAS ....................................................................................... 10
LISTA DE ABREVIATURAS E SIGLAS .......................................................... 11
1. INTRODUÇÃO ............................................................................................. 14
1.1. OBJETIVOS GERAIS E ESPECÍFICOS ................................................... 16
2. REFERENCIAL TEÓRICO........................................................................... 19
2.1 SEGURANÇA DA INFORMAÇÃO ............................................................. 19
2.2.7 Zumbi...................................................................................................... 27
2.2.8. Spyware................................................................................................. 28
1. INTRODUÇÃO
Nos dias atuais, o uso da internet já faz parte da maioria das populações
ao redor do mundo. A partir da globalização, o acesso torna-se, a cada dia,
muito mais fácil. Seja através de computadores, de tablets, smartphones e até
dos televisores, estar conectado já faz parte da rotina e do cotidiano da grande
maioria. Com isso, surgiram muitas mudanças sociais, como a forma de se
relacionar, a forma de comprar, entre outras. Através da internet, você
consegue formar e manter uma rede de contatos pessoais e profissionais,
atualizar-se sobre as principais notícias, divertir-se em sites de jogos e afins,
comprar e vender diversos objetos, entre diversas outras ações.
A partir deste aumento no número de usuários, concomitantemente,
aumentaram os riscos com o uso da internet. De acordo com a Cúpula Latino
Americana de Analistas de Segurança da Kaspersky Lab, 2017, os números
recentes mostram que ataques de códigos maliciosos vêm crescendo a cada
ano. Estes códigos, segundo a Cartilha de Segurança para internet, “são
programas especificamente desenvolvidos para executar ações danosas e
atividades maliciosas em um computador. ” (CERT.br, 2012, p.39), podendo
ser denominados como vírus, worm, bot e botnet, spyware, backdoor, rootkit e,
por fim, trojan, ou mais comumente denominado, cavalo de tróia.
Somente na América Latina, ocorrem 33 ataques por segundo, o que
representa um aumento de 59% em relação ao mesmo estudo realizado no ano
anterior. Segundo a Kaspersky Lab, nos oito primeiros meses do ano de 2017 a
região sofreu um total de 677.216.733 ataques por códigos maliciosos. Como
ressaltado anteriormente, esse aumento acompanha o crescimento de
números de usuários e dispositivos que acessam a internet.
Segundo a cartilha,
1.2. METODOLOGIA
O delineamento da presente pesquisa consistirá em observar o
comportamento dos principais malwares analisando os seus códigos e suas
ações maliciosas em dispositivos informáticos, bem como analisar trechos de
códigos dos seus principais tipos, fornecer acesso aos principais conceitos e
discussões sobre as novas tendências de desenvolvimento de códigos
maliciosos, demonstrar algumas técnicas da metodologia da análise forense de
malwares e, por fim, divulgar o conhecimento necessário para os profissionais
interessados nesta temática.
Segundo Deslandes (1994, p. 42-43), a metodologia de um projeto de
pesquisa é "mais que uma descrição formal dos métodos e técnicas a serem
utilizados, indica as opções e a leitura opcional que o pesquisador fez do
quadro teórico". Então se baseando neste e noutros autores, a metodologia
desta pesquisa representará não só a parte técnica, mas sim, uma forma
completa de pesquisar-se delimitado tema. Neste sentido, a proposta que aqui
17
2. REFERENCIAL TEÓRICO
Fonte: https://periciacomputacional.com/psi-politica-de-seguranca-da-informacao/
21
2.2.1 Vírus
2.2.3 Ransomware
2.2.4 Backdoor
2.2.5 Worm
27
2.2.7 Zumbi
28
2.2.8. Spyware
2.2.9 Rootkit
São programas utilizados para esconder atividades maliciosas. Esses
programas camuflam o malware, para evitar que os mesmos não sejam
descobertos pelos aplicativos antivírus.
A função do rootkit é esconder a sua presença e de outros códigos
maliciosos no sistema operacional. Técnicas avançadas são utilizadas para
dificultar a detecção por parte do usuário, geralmente faz isso alterando
funções internas do sistema operacional fazendo com que passe despercebido
pelas ferramentas anti-malware.
Os rootkits também podem modificar o sistema operacional do
equipamento, além de substituir suas principais funções para disfarçar sua
presença e ações que o violador faz no computador infectado.
Segundo MELO (2009, p. 12):
3. ESTUDO DE CASO
3.1. WANNACRY
Figura 12 – PEStudio
Na análise estática:
1º passo: Identificar o tipo de arquivo e para qual arquitetura ele foi
desenvolvido.
2º passo: Escanear o artefato com um antivírus
3º passo: Pesquisar o hash do artefato para comparar arquivos
4º passo: Buscar por strings no arquivo
5º passo: Analisar o formato do arquivo suspeito
Na análise dinâmica:
1º passo: Começar a partir de um estado limpo do sistema, realizando
snapshots.
2º passo: Executar o malware
51
4. CONSIDERAÇÕES FINAIS
REFERÊNCIAS BIBLIOGRÁFICAS
SIDDIQUI, M., WANG, M. C., e LEE, J. (2008). Detecting trojans using data
mining techniques. In IMTIC, páginas 400–411.