MODULE 12 - Malware Forensics

Machine Translated by Google
MT
CE-Conselho
D FE
Digital Princípios Forenses
Fundamentos de Perícia Forense Digital Exame 112-53

Análise Forense de Malware
Objetivos do Módulo
Compreendendo o malware e as técnicas comuns que os invasores usam para
1 Espalhar malware
Compreendendo os fundamentos da análise forense de malware e os tipos de malware

2
Análise
3 Visão geral da análise estática de malware
4 Visão geral da análise de documentos do Word suspeitos
5 Compreendendo os fundamentos e as abordagens da análise dinâmica de malware
Compreendendo a análise do comportamento do malware nas propriedades do sistema

6 em tempo real
7 Compreendendo a análise do comportamento do malware na rede em tempo real
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Objetivos do Módulo
Atualmente, o software malicioso, comumente chamado de malware, é a ferramenta mais eficiente para comprometer a
segurança de um computador ou qualquer outro dispositivo eletrônico conectado à internet. Isso se tornou uma ameaça devido
ao rápido progresso em tecnologias como criptografia fácil e técnicas de ocultação de dados. O malware é a principal fonte de
vários ataques cibernéticos e ameaças à segurança da Internet; portanto, os analistas forenses de computador precisam ter
experiência para lidar com eles.
Este módulo discute detalhadamente os diferentes tipos de malware, como eles podem entrar no sistema e as diferentes
técnicas usadas pelos invasores para espalhar malware. Ele também descreve os fundamentos forenses de malware e
diferentes tipos de análise de malware que os investigadores podem realizar para examinar o código malicioso e determinar
como o malware interage com os recursos do sistema e a rede durante o tempo de execução. Este módulo inclui a análise de
documentos do Word suspeitos.
Ao final deste módulo, você será capaz de:
ÿ Definir malware e identificar as técnicas comuns que os invasores usam para espalhar malware
ÿ Compreender os fundamentos forenses de malware e reconhecer os tipos de análise de malware
ÿ Compreender e realizar análises estáticas de malware
ÿ Analisar documentos do Word suspeitos
ÿ Compreender os fundamentos e abordagens da análise dinâmica de malware
ÿ Analisar o comportamento do malware nas propriedades do sistema em tempo real
ÿ Analisar o comportamento do malware na rede em tempo real
Módulo 12 Página 646 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.

Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Entenda o malware, seus componentes e métodos de distribuição

Esta seção detalha o que é um malware e as diferentes maneiras pelas quais ele pode entrar em qualquer
sistema. Ele também discute os diferentes componentes do malware e a que finalidade eles servem para o invasor.
Também é importante que os investigadores conheçam as várias técnicas que os invasores empregam para
espalhar software malicioso pela Web, o que também é resumido nesta seção.

ÿ Malware é um software malicioso que danifica ou desativa o

sistemas e dá controle limitado ou total dos sistemas ao criador do
malware para fins de roubo ou fraude
Introdução ao
ÿ Diferentes tipos de malware incluem vírus, worms, cavalos de Tróia, etc.
malware
Diferentes maneiras pelas quais o malware pode entrar em um sistema:
01 Aplicativos de mensagens instantâneas e Internet Relay Chat (IRC)
02 Dispositivos removíveis
03 Links e anexos em e-mails
04 NetBIOS (Compartilhamento de arquivos)
05 Programas falsos e software freeware
06 Bugs de navegador e software
07 Baixar arquivos, jogos e protetores de tela de sites não confiáveis
Introdução ao malware
Malware, uma forma abreviada de software malicioso, é um programa capaz de alterar as propriedades de um dispositivo ou
aplicativo de destino para fornecer controle limitado ou total do dispositivo ao seu criador. Um malware é útil quando uma
pessoa não autorizada deseja acessar ilegalmente um dispositivo bloqueado ou seguro.
Os programas de malware incluem vírus, worms, trojans, rootkits, adware, spyware, etc., que podem excluir arquivos, tornar
computadores lentos, roubar informações pessoais, enviar spam e cometer fraudes.
O malware pode executar várias atividades maliciosas, desde simples publicidade por e-mail até roubo complexo de identidade
e roubo de senha. Os programadores de malware desenvolvem e usam-no para:
ÿ Atacar navegadores e rastrear sites visitados
ÿ Alterar o desempenho do sistema, tornando-o muito lento
ÿ Causa falha de hardware, tornando os computadores inoperáveis
ÿ Roubar informações pessoais, incluindo contactos
ÿ Apague informações importantes, resultando em perdas de dados potencialmente enormes
ÿ Atacar sistemas de computador adicionais diretamente de um sistema comprometido
ÿ Caixas de entrada de spam com e-mails publicitários
Os invasores usam malware para quebrar a segurança cibernética. Portanto, é crucial que os analistas forenses tenham um
conhecimento sólido dos diferentes programas de malware: seu funcionamento, propagação, local de impacto, saída, juntamente
com diferentes métodos de detecção e análise.

As formas mais comuns de um invasor enviar um malware para um sistema são as seguintes:
ÿ Instant Messenger e Internet Relay Chat
Aplicativos de mensagens instantâneas (IM), como ICQ ou Yahoo Messenger, permitem a transferência de mensagens
de texto e arquivos. O malware pode se dispersar em um sistema por meio de arquivos recebidos durante a
transferência usando mensagens instantâneas. Os arquivos recebidos podem conter códigos ou programas altamente
maliciosos, pois os aplicativos de mensagens instantâneas não possuem um mecanismo de verificação adequado
para os arquivos transferidos.
O Internet Relay Chat (IRC), por outro lado, é um serviço de bate-papo que permite que vários usuários se
conectem e troquem dados e arquivos pela Internet. Malware, como trojans, usam o IRC como meio de
propagação. Os invasores renomeiam os arquivos Trojan como algo diferente para enganar a vítima e enviá-
los pelo IRC. Quando o usuário do IRC baixa e clica no arquivo, o Trojan executa e instala um programa
malicioso no sistema.
ÿ Dispositivos Removíveis
O malware pode se propagar por meio de mídia removível corrompida, como pen drives e CD-ROMs.
Quando um usuário conecta dispositivos de mídia corrompidos a um sistema de computador, o malware
também se espalha automaticamente para o sistema. CDs, DVDs e dispositivos de armazenamento USB,
como unidades flash ou discos rígidos externos, vêm com suporte para Autorun, que aciona certas ações
predeterminadas em um sistema ao conectar esses dispositivos. Os invasores exploram esse recurso para
executar malware junto com programas genuínos, colocando um arquivo Autorun.inf com o malware em um
CD/DVD ou USB.
ÿ E-mail e Anexos
Os invasores adotam uma técnica de envio em massa para enviar um grande número de mensagens de e-
mail, com o malware anexado como um arquivo ou embutido no próprio e-mail. Quando o usuário abre o e-
mail, o malware incorporado é instalado automaticamente no sistema e começa a se espalhar. Por outro lado,
um malware enviado como anexo exige que o usuário baixe e abra o arquivo anexado para que ele se torne
ativo e corrompa o sistema.
Alguns clientes de e-mail, como o Outlook Express, executam arquivos anexados automaticamente.
Os invasores também colocam links para sites maliciosos nos e-mails, juntamente com mensagens atraentes
que induzem a vítima a clicar no link. A maioria dos clientes da web detecta essas mensagens e as classifica
em categorias nocivas. Se o usuário clicar nesses links, o navegador navegará para um site prejudicial, que
pode baixar o malware no sistema sem o consentimento do usuário.
ÿ Bugs de navegador e software
Os usuários não atualizam o software e os aplicativos instalados em seu sistema. Esses elementos de um
sistema vêm com várias vulnerabilidades, que os invasores aproveitam para corromper o sistema usando um
malware.
Um navegador desatualizado pode não ser capaz de identificar se um usuário mal-intencionado está visitando
um site malicioso e não pode impedir que o site copie ou instale programas no site do usuário

computador. Às vezes, uma visita a um site malicioso pode infectar automaticamente a máquina sem baixar
ou executar qualquer programa.
ÿ Bluetooth e redes sem fio
Os invasores usam redes Bluetooth e Wi-Fi abertas para atrair usuários para se conectar a ela. Essas redes
abertas têm dispositivos de software e hardware instalados no nível do roteador que podem capturar o
tráfego de rede e os pacotes de dados e encontrar outros detalhes da conta, incluindo nomes de usuário e
senhas.
ÿ Downloads de Arquivos
Os invasores mascaram arquivos e aplicativos maliciosos com ícones e nomes de aplicativos caros ou
famosos. Eles colocam esses aplicativos em sites e os tornam disponíveis para download gratuitamente para
atrair vítimas. Além disso, eles criam os sites de forma que o programa gratuito afirma ter recursos como um
catálogo de endereços, acesso para verificar várias contas POP3 e outras funções para atrair muitos usuários.
Se um usuário baixar esses programas, rotulá-los como confiáveis e executá-los, um software de proteção
pode não verificar o novo software em busca de conteúdo malicioso. Esse malware pode solicitar e-mail,
senhas de contas POP3, senhas em cache e pressionamentos de tecla para os invasores por e-mail
secretamente.
Às vezes, funcionários insatisfeitos de uma empresa criam um pacote de software aparentemente legítimo
com malware e o colocam na rede interna da empresa.
Quando outros funcionários acessam esses arquivos e tentam baixá-los e executá-los, o malware compromete
o sistema e também pode causar perdas intelectuais e financeiras.
Além do software falso, o intruso também pode construir outros arquivos falsos, como tocadores de música,
arquivos, filmes, jogos, cartões comemorativos, protetores de tela, etc.
ÿ Compartilhamento de arquivos de rede (usando NetBIOS)
Se os usuários compartilharem uma rede comum com portas abertas, o malware poderá se propagar de um
sistema corrompido para outros sistemas por meio de arquivos e pastas compartilhados.

Componentes de malware
Os componentes de um software malicioso dependem dos requisitos do autor do malware, que o projeta para um
alvo específico para executar as tarefas pretendidas
Componentes básicos de um malware:
Componente de malware Descrição
criptografar Um tipo de software que disfarça o malware como um produto legítimo por meio de criptografia ou ofuscação, protegendo-o assim da detecção por programas de segurança
Um tipo de Trojan que baixa outro malware da Internet para o PC. Normalmente, os invasores instalam o software downloader quando obtêm acesso a um sistema pela primeira vez
Downloader
conta-gotas Um tipo de cavalo de Tróia que instala outros arquivos de malware no sistema a partir do pacote de malware ou da Internet
Explorar Um código malicioso que viola a segurança do sistema por meio de vulnerabilidades de software para acessar informações ou instalar malware
injetor Um programa que injeta seu código em outros processos em execução vulneráveis e altera a forma de execução para ocultar ou impedir sua remoção
Obfuscator Um programa que oculta seu código e a finalidade pretendida por meio de várias técnicas, tornando difícil para os mecanismos de segurança detectá-lo ou removê-lo
embalador Um programa que permite agrupar todos os arquivos em um único arquivo executável por meio de compactação para contornar a detecção de software de segurança
Carga útil Um pedaço de software que permite controlar um sistema de computador depois de ter sido explorado
Código malicioso Um comando que define as funcionalidades básicas do malware, como roubar dados e criar um backdoor
Um grupo de malware que não grava nenhum arquivo no disco e usa apenas ferramentas aprovadas do Windows para instalação e execução, contornando programas de segurança e
Malware sem arquivo
processos de lista branca de aplicativos
Componentes de malware
Os autores e invasores de malware criam malware usando os componentes que podem ajudá-los a atingir seus objetivos.
Eles podem usar malware para roubar informações, excluir dados, alterar configurações do sistema, fornecer acesso ou
simplesmente multiplicar e ocupar espaço. O malware é capaz de se propagar e funcionar secretamente. Alguns
componentes básicos da maioria dos programas de malware são os seguintes:
ÿ Criptografar
Refere-se a um programa de software que pode ocultar a existência de um malware. Os invasores usam esse
software para iludir a detecção de antivírus. O criptografador criptografa o arquivo malicioso em um malware ou
o próprio malware inteiro para evitar a detecção.
ÿ Descarregador
É um tipo de Trojan que baixa outro malware (ou) código malicioso e arquivos da Internet para o PC.
Normalmente, os invasores instalam um downloader quando obtêm acesso a um sistema pela primeira vez.
ÿ Conta-gotas
Os invasores precisam instalar o programa de malware ou código no sistema para executá-lo, e esse programa
pode executar a tarefa de instalação de forma oculta. O conta-gotas pode conter código de malware não
identificável que os scanners antivírus não podem detectar e pode baixar arquivos adicionais
necessários para executar o malware em um sistema de destino.
ÿ Explorar
É uma parte do malware que contém um código ou sequência de comandos para tirar proveito de um bug ou
vulnerabilidade em um sistema ou dispositivo digital.

Os invasores usam esse código para violar a segurança do sistema por meio de vulnerabilidades de software
para acessar informações ou instalar malware. Com base no tipo de vulnerabilidade de que abusam, os exploits
têm diferentes categorias, incluindo exploits locais e exploits remotos.
ÿ Injector
É um programa que injeta as explorações ou códigos maliciosos disponíveis no malware em outros processos
vulneráveis em execução e altera a forma de execução para ocultar ou impedir sua remoção.
ÿ Obfuscador
É um programa que oculta o código malicioso de um malware por meio de várias técnicas, dificultando a
detecção ou remoção pelos mecanismos de segurança.
ÿ Empacotador
É um software que comprime o arquivo de malware para converter o código e os dados do malware em um
formato ilegível. Os empacotadores utilizam técnicas de compactação para compactar o malware.
ÿ Carga útil
É uma parte do malware que executa uma atividade desejada quando ativado. O Payload pode ter a tendência
de excluir ou modificar arquivos, afetando assim o desempenho do sistema, abrindo portas, alterando
configurações etc. como parte do comprometimento da segurança.
ÿ Código Malicioso
É um trecho de código que define a funcionalidade básica do malware e compreende comandos que resultam
em brechas de segurança. Pode assumir várias formas como:
o Miniaplicativos Java
o Controles ActiveX
o Plug-ins do navegador
o Conteúdo enviado
ÿ Malware sem arquivo
Como o nome sugere, esse tipo de malware não usa nenhum arquivo para infectar um sistema. Existem
diferentes variantes deste grupo de malware. Alguns malwares sem arquivo podem vir empacotados como
firmware do dispositivo e residir na memória, o que os ajuda a serem executados mesmo após a formatação
do disco, reinstalação do sistema operacional e reinicialização do sistema.
Os invasores também usam recursos integrados do Windows e aplicativos autorizados, como PowerShell,
prompt de comando e Windows Management Instrumentation, para instalar e executar esse malware em
qualquer sistema. Assim, esse ataque malicioso sem arquivo pode facilmente ignorar os processos de lista
branca de aplicativos, pois usa apenas aplicativos aprovados. A ausência de qualquer arquivo físico também
permite que os invasores escapem dos programas de segurança e continuem o ataque.

Técnicas comuns que os invasores usam para distribuir

malware pela Web
Mecanismo de Busca Blackhat
ÿ Classificação de páginas atacadas por malware no resultado da página do mecanismo de pesquisa
Otimização (SEO)
ÿ Incorporação de malware em redes de anúncios exibidas em centenas de sites

Malvertising
legítimos de alto tráfego
comprometido
ÿ Hospedagem de sites de malware embutidos que se espalham para visitantes desavisados
Sites legítimos
ÿ Roubar credenciais de conta de domínio por meio de phishing para criar vários subdomínios
Sombreamento de domínio que direcionam o tráfego para páginas de destino que hospedam um kit de exploração
Engenharia Social ÿ Enganar os usuários para que cliquem em páginas da Web de aparência inocente
roubo de cliques
Sites de Spear Phishing ÿ Imitar instituições legítimas na tentativa de roubar credenciais de login
ÿ Vírus que exploram falhas em um software de navegador para instalar malware apenas
Transferências automáticas
visitando uma página da web
ÿ Malware sendo executado automaticamente quando o usuário passa o ponteiro do mouse sobre
Mouse pairando
qualquer texto ou imagem com hiperlink em uma apresentação de slides maliciosa do PowerPoint
http:// www.sophos.com
Técnicas comuns que os invasores usam para distribuir malware pela Web
Algumas das técnicas comuns usadas para distribuir malware na web são as seguintes:
ÿ Blackhat Search Engine Optimization (SEO)
O Blackhat SEO (também conhecido como SEO antiético) usa táticas agressivas de SEO, como preenchimento de
palavras-chave, páginas de entrada, troca de páginas e adição de palavras-chave não relacionadas para obter uma
classificação mais alta do mecanismo de pesquisa para suas páginas de malware.
ÿ Clickjacking de Engenharia Social
Os invasores injetam malware em sites de aparência legítima para induzir os usuários a clicar neles.
Quando clicado, o malware embutido no link é executado sem o conhecimento do usuário
ou consentimento.
ÿ Sites de Spear Phishing
A técnica ajuda o invasor a imitar instituições legítimas, como bancos, para roubar senhas, dados
de cartões de crédito e contas bancárias e outras informações confidenciais.
ÿ Malvertising
Envolve a incorporação de anúncios carregados de malware em canais de publicidade online

autênticos para espalhar malware nos sistemas de usuários desavisados.
ÿ Sites legítimos comprometidos
Frequentemente, os invasores usam sites comprometidos para infectar sistemas com malware.
Quando um usuário não suspeito visita o site comprometido, o malware se instala secretamente no
sistema do usuário e, posteriormente, realiza atividades maliciosas.

ÿ Downloads Drive-by
Refere-se ao download não intencional de software pela Internet. Aqui, um invasor explora as falhas em um
software de navegador para instalar malware simplesmente visitando uma página da web.
ÿ Sombreamento de Domínio
Isso se refere a uma técnica na qual os invasores obtêm acesso às credenciais da conta do domínio por meio
de phishing e criam várias camadas de subdomínios para realizar atividades maliciosas, como redirecionar os
usuários para páginas de destino que oferecem explorações. Esses subdomínios, que direcionam o tráfego
para servidores maliciosos, estão associados a domínios confiáveis e não afetam de forma alguma o
funcionamento de seus domínios pais. Além disso, os subdomínios vinculados a um único domínio são
rapidamente rotacionados pelos invasores, o que dificulta bastante sua detecção.
ÿ Mouse pairando
Essa é uma técnica relativamente nova e exclusiva usada por invasores para infectar sistemas com malware.
Os invasores enviam e-mails de spam para os usuários-alvo, juntamente com um anexo de arquivo do Microsoft
PowerPoint com extensão .PPSX ou .PPS. Quando os usuários baixam e abrem o arquivo malicioso, eles, sem
saber, permitem que o malware seja executado em seus sistemas. O malware é executado automaticamente
com a simples ação de os usuários passarem o ponteiro do mouse sobre qualquer texto ou foto com hiperlink
dentro do arquivo malicioso.

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Entenda os fundamentos da análise forense de malware e reconheça os

tipos de análise de malware
Quando há suspeita de que uma máquina está infectada com malware, uma equipe forense digital é
frequentemente chamada para verificação e investigação adicional. Os investigadores forenses
precisam localizar o software malicioso e determinar sua funcionalidade, origem e possível impacto no
sistema e na rede. Os investigadores examinam um software malicioso em um ambiente controlado
usando uma variedade de ferramentas e técnicas forenses. Esta seção expõe os aspectos fundamentais
da análise forense de malware e destaca os diferentes tipos de metodologias de análise de malware
que os investigadores podem seguir.

Introdução à análise forense de malware
Freqüentemente, os invasores usam malware como vírus, worm, trojan, spyware e

ransomware para cometer um crime no sistema de destino pretendido
A análise forense de malware lida com a identificação e contenção de código

malicioso e examina seu comportamento em um ambiente controlado
A realização da análise de malware permite que os investigadores conheçam o tipo de

malware, como ele funciona, seu comportamento e seu impacto no sistema de destino
Você pode usar um conjunto de ferramentas e técnicas para realizar análises estáticas e
análises dinâmicas (em tempo de execução) do código malicioso
Introdução à análise forense de malware
Frequentemente, os invasores usam malware como vírus, worm, trojan, spyware e ransomware para cometer um
crime no sistema de destino pretendido. Um malware pode infligir perdas intelectuais e financeiras ao alvo, que pode
ser um indivíduo, um grupo de pessoas ou uma organização. A pior parte é que ele se espalha de um sistema para
outro com facilidade e discrição.
A análise forense de malware é o método de encontrar, analisar e investigar várias propriedades de malware para
encontrar os culpados e o motivo por trás do ataque. O processo também inclui tarefas como encontrar o código
malicioso e determinar sua entrada, método de propagação, impacto no sistema, portas que ele tenta usar, etc. Os
investigadores forenses usam um conjunto de ferramentas e técnicas para realizar análises estáticas e dinâmicas
(executar -time) análise do código malicioso.

Por que analisar malware?
Para determinar o que Para identificar a

01
exatamente aconteceu 05 vulnerabilidade explorada
Para determinar a intenção Para identificar a extensão dos danos

maliciosa do malware 02 06 causados por uma intrusão
Para capturar o criminoso

Para descobrir os IoCs 03 07 responsável pela instalação do
malware
Para encontrar assinaturas para

Para determinar o nível de
complexidade de uma intrusão 04 08 sistemas de detecção de intrusão
baseados em host e rede
Por que analisar malware?
Alguns dos objetivos básicos por trás da análise de um programa malicioso incluem:
ÿ Determinar o que exatamente aconteceu
ÿ Listando os IoCs para diferentes máquinas e diferentes programas de malware
ÿ Determinar a intenção do malware
ÿ Avaliar o nível de complexidade de uma intrusão
ÿ Encontrar assinaturas para sistemas de detecção de intrusão baseados em host e rede
ÿ Encontrar a vulnerabilidade do sistema que o malware explorou ÿ
Identificar a extensão dos danos causados por uma invasão
ÿ Distinguir entre um invasor de portão e um insider responsável pela entrada de malware
ÿ Rastrear o perpetrador responsável pela invasão do malware
Algumas das perguntas de negócios mais comuns respondidas pela análise de malware são as seguintes:
ÿ Qual é a intenção do malware?
ÿ Como passou?
ÿ Quem são os autores?

ÿ Como aboli-lo?
ÿ Qual é a extensão da perda?
ÿ Há quanto tempo o sistema está infectado?

ÿ Qual é o meio de malware?
ÿ Quais são as medidas preventivas?

Desafios da análise de malware
Precisão do processo de análise 01
Detecção de partes e traços de malware 02
Quantidade de dados a serem analisados 03
Mudança de tecnologias e dinâmicas de

criação e propagação de malware
04
Procedimentos anti-análise, como criptografia,

ofuscação de código e exclusão de registros
05
https:// www.hhs.gov
Desafios da análise de malware

Fonte: https:// www.hhs.gov
Os desafios enfrentados durante a análise de malware geralmente pertencem às seguintes áreas:
ÿ Precisão do processo de análise
ÿ Detecção de partes e traços de malware
ÿ Quantidade de dados a analisar
ÿ Mudança de tecnologias e dinâmicas de criação e propagação de malware
ÿ Procedimentos de anti-análise, como criptografia, ofuscação de código e exclusão de registros

Identificando e extraindo malware

Se um usuário relatou uma atividade suspeita em seu sistema, você deve examinar as seguintes áreas do
sistema comprometido para encontrar vestígios de instalação de malware:
Programas instalados Trabalhos agendados Histórico Entradas de registro
Executáveis suspeitos Serviços Contas de usuário e atividades de Rastreamentos de aplicativos

login
Locais de início automático Módulos Sistemas de arquivos pontos de restauração
Você pode usar ferramentas, como Balbuzard e Cryptam Malware Document Detection Suite, para extrair padrões de arquivos maliciosos para investigação
Você pode realizar análises estáticas e dinâmicas juntas para identificar a intenção e os recursos do malware
Identificando e extraindo malware
Quando os investigadores obtêm relatórios de atividades suspeitas das vítimas, eles devem realizar um exame completo
dos sistemas suspeitos, redes e outros dispositivos conectados para encontrar vestígios de malware. Os investigadores
devem examinar as seguintes áreas do sistema comprometido para encontrar vestígios de instalação de malware:
ÿ Programas instalados ÿ Registros
ÿ Executáveis suspeitos ÿ Contas de usuário e atividades de login
ÿ Locais de início automático ÿ Sistemas de arquivos
ÿ Trabalhos agendados ÿ Entradas de registo
ÿ Serviços ÿ Traços de aplicação
ÿ Módulos ÿ Restaurar pontos
Os programas de malware exibem propriedades específicas, que podem ajudar os investigadores a identificá-los ou
distingui-los dos programas de software normais. Os investigadores podem usar ferramentas de software e hardware,
bem como ferramentas online e bancos de dados para identificar o malware.
Os investigadores podem usar ferramentas como Balbuzard, Cryptam Malware Document Detection Suite, etc., para
extrair padrões de interesse investigativo de arquivos maliciosos. Essas ferramentas oferecem varredura automatizada
do sistema em busca de vestígios de malware para facilitar a identificação. Os investigadores podem realizar análises
estáticas e dinâmicas em conjunto para identificar a intenção e os recursos do malware. A análise estática é o processo
de procurar vestígios e valores conhecidos que indiquem a presença de um malware. Esses vestígios incluem a presença
de códigos maliciosos, strings, executáveis, etc. no programa de software. A análise dinâmica usa uma abordagem
diferente, como a verificação do comportamento do programa de software durante sua execução em um ambiente
controlado.

Proeminência do cenário
Subir um Controlado
Laboratório de Análise de Malware
ÿ Geralmente, a análise de malware é realizada infectando um sistema com um código malicioso e, em seguida, avaliando seu comportamento usando um conjunto de
ferramentas de monitoramento
ÿ Portanto, é necessário um sistema de laboratório dedicado que possa ser infectado enquanto mantém o ambiente de produção seguro ÿ A melhor maneira de
configurar esse sistema de laboratório envolve:
ÿ Usando um sistema físico isolado da rede de produção para evitar a propagação de malware ÿ Usando software de virtualização
como Virtualbox, VMware, Parallels, etc. (para configurar um único sistema físico com várias VMs instaladas nele, cada
executando um sistema operacional diferente)
Importância do ambiente virtual para análise de malware:
Protege sistemas e redes reais de serem infectados

1 3 Permite a captura de tela durante a análise
pelo malware em análise
Fácil de analisar a interação de malware com outros sistemas Capacidade de tirar instantâneos do sistema de laboratório, que podem
2 4 ser usados para reverter facilmente para um estado anterior do sistema
Destaque da configuração de um laboratório de análise de malware controlado
Laboratório de Análise de Malware
Um laboratório controlado de análise de malware é fundamental para avaliar o padrão comportamental de um malware,
pois os programas de malware são dinâmicos por natureza e interagirão com várias partes do sistema, bem como com
a rede, quando executados. Os investigadores devem criar um ambiente onde possam executar o malware sem
interromper ou corromper outros dispositivos.
Isso requer um sistema de laboratório para que o ambiente de produção seja seguro. A maneira mais eficaz de
configurar esse laboratório envolve o uso de software de virtualização, que permite aos investigadores hospedar vários
sistemas virtuais executando diferentes sistemas operacionais em um único computador. Alguns softwares comumente
usados para simular sistemas em tempo real em um ambiente virtual incluem:
ÿ VirtualBox
ÿ Hipervisor VMware vSphere
ÿ Virtualização do Microsoft Windows Server
Um malware se conecta a redes e outros sistemas para roubar dados, obter instruções do invasor ou copiar a si mesmo.
Os pesquisadores podem usar várias máquinas virtuais interconectadas em um único computador físico para analisar o
comportamento do malware em sistemas conectados e aprender sobre seus métodos de propagação, bem como outras
características.
Os investigadores devem tomar precauções, como isolar o laboratório de análise de malware da rede de produção
usando um firewall para inibir a propagação de malware. Pode-se usar mídia removível, principalmente DVDs, para
instalar ferramentas e malware. Os DVDs suportam principalmente o formato somente leitura de transferência de dados
e impedem que softwares mal-intencionados gravem ou se copiem no DVD.

Os investigadores também podem usar uma chave USB protegida contra gravação. O uso de um laboratório de análise de
malware também permite que os investigadores realizem a captura de tela durante a análise. Além disso, permite que eles
tirem instantâneos do sistema de laboratório, que podem ser usados para reverter facilmente a um estado anterior do sistema.

Preparando o ambiente de teste para análise de malware
Isole o sistema da rede certificando-se

Alocar um sistema físico para o laboratório
1 de análise
4 de que o 7 Instale ferramentas de análise de malware
A placa NIC está no modo “somente host”
Instalar máquina virtual (VMware, Hyper-V, Simular serviços de internet usando Gerar valor de hash de cada sistema operacional
2 etc.) no sistema
5 ferramentas como INetSim
8 e ferramenta
Instale sistemas operacionais

Desative as “pastas compartilhadas” Copie o malware coletado das máquinas
convidados nas máquinas virtuais, como
3 Windows e Linux (Ubuntu). Essas máquinas
6 e o “isolamento de convidados”
9 suspeitas para as estações de trabalho forenses
servem como estações de trabalho forenses
Preparando o ambiente de teste para análise de malware
A análise de malware fornece uma compreensão aprofundada de cada amostra individual e identifica tendências técnicas emergentes de
uma grande coleção de amostras de malware. As amostras de malware são em sua maioria compatíveis com executáveis binários do
Windows. Existem diferentes objetivos por trás da realização de uma análise de malware.
É muito perigoso analisar malware em dispositivos de produção conectados a redes de produção. Portanto, deve-se sempre analisar
amostras de malware em um ambiente de teste.
Requisitos para construir uma cama de teste para análise de malware
ÿ Alocação de um sistema físico para o laboratório de análises
ÿ Instalação de máquina virtual (VMware, Hyper-V, etc.) no sistema
ÿ Instalação de sistemas operacionais convidados nas máquinas virtuais, como Windows e Linux (Ubuntu), que
servir como estações de trabalho forenses
ÿ Isolar o sistema da rede, garantindo que a placa NIC esteja no modo “somente host”
ÿ Simulação de serviços de internet usando ferramentas como INetSim
ÿ Desabilitando “pastas compartilhadas” e o “isolamento de convidado”
ÿ Instalação de ferramentas de análise de malware
ÿ Gerando valor de hash de cada sistema operacional e ferramenta
ÿ Copiar o malware recolhido das máquinas suspeitas para as estações de trabalho forenses
ÿ Manutenção de instantâneos de virtualização e ferramentas de re-imagem para capturar o estado da máquina

Várias ferramentas são necessárias para testar
ÿ Ferramenta de imagem: Para obter uma imagem limpa para forense e acusação
ÿ Análise de arquivo/dados: Para realizar análise estática de arquivos de malware em potencial
ÿ Ferramentas de registro/configuração: Malware infecta o registro do Windows e outros

variáveis de configuração. Essas ferramentas ajudam a identificar as últimas configurações salvas
ÿ Sandbox: Para realizar análises dinâmicas manualmente
ÿ Analisadores de log: Os dispositivos sob ataque registram as atividades de malware e geram log
arquivos. Analisadores de log são usados para extrair arquivos de log
ÿ Captura de rede: Para entender como o malware aproveita uma rede

Ferramentas de suporte para análise de malware

ÿ Caixa Virtual (https:// www.virtualbox.org)
Hipervisores ÿ Parallels Desktop 14 (https:// www.parallels.com)

ÿ VMware vSphere Hypervisor (https:// www.vmware.com)
ÿ NetSim (https:// www.tetcos.com)
Rede e Internet ÿ ns-3 (https:// www.nsnam.org)

Ferramentas de Simulação ÿ Riverbed Modeler (https:// www.riverbed.com)
ÿ QualNet (https:// www.scalable-networks.com)
ÿ Snagit (https:// www.techsmith.com)

Captura de tela e
ÿ Camtasia (https:// www.techsmith.com)
Ferramentas de Gravação
ÿ Ezvid (https:// www.ezvid.com)
ÿ Genie Backup Manager Pro (https:// www.zoolz.com)
Backup do sistema operacional e

ÿ Macrium Reflect Server (https:// www.macrium.com)
Ferramentas de imagem ÿ R-Drive Image (https:// www.drive-image.com)
ÿ O&O DiskImage 16 (https:// www.oo-software.com)
Ferramentas de suporte para análise de malware
Hipervisores
ÿ Caixa Virtual
Fonte: https:// www.virtualbox.org
O VirtualBox é um poderoso produto de virtualização x86 e AMD64/Intel64 para uso corporativo e doméstico.
Atualmente, o VirtualBox é executado em hosts Windows, Linux, Macintosh e Solaris e oferece suporte a um
grande número de sistemas operacionais convidados, incluindo, entre outros, Windows (NT 4.0, 2000, XP,
Server 2003, Vista, Windows 7, Windows 8, Windows 10 ), DOS/Windows 3.x, Linux (2.4, 2.6, 3.xe 4.x),
Solaris e OpenSolaris, OS/2 e OpenBSD.
ÿ Parallels Desktop 16
Fonte: https:// www.parallels.com
Ele ajuda a desenvolver e testar em vários sistemas operacionais em uma máquina virtual para Mac. Ele
também permite acessar o Microsoft Office para Windows e o Internet Explorer de um sistema MAC e importar
arquivos, aplicativos e muito mais de um PC para um Mac.
ÿ Hipervisor VMware vSphere
Fonte: https:// www.vmware.com
Sphere Hypervisor é um hypervisor bare-metal que virtualiza servidores. Ele vem com gerenciamento de VM
integrado, alocação de armazenamento escalável e recursos de proteção de driver.

Ferramentas de simulação de rede e Internet
ÿ NetSim
Fonte: https:// www.tetcos.com
O NetSim é um simulador e emulador de rede de ponta a ponta, pilha completa e nível de pacote. Ele vem com
um ambiente de desenvolvimento de tecnologia para modelagem de protocolo, P&D de rede e comunicações
militares.
ÿ ns-3
Fonte: https:// www.nsnam.org
O ns-3 é um simulador de rede de eventos discretos para sistemas de Internet, voltado principalmente para
pesquisa e uso educacional. ns-3 é um software livre, licenciado sob a licença GNU GPLv2, e está disponível
publicamente para pesquisa, desenvolvimento e uso.
ÿ Modelador Riverbed
Fonte: https:// www.riverbed.com
O Riverbed Modeler fornece um ambiente de desenvolvimento para modelar e analisar redes de comunicação e
sistemas distribuídos. Ele ajuda a simular todos os tipos e tecnologias de rede (incluindo VoIP, TCP, OSPFv3,
MPLS, LTE, WLAN, protocolos IoT, IPv6 e mais) para analisar e comparar os impactos de diferentes designs de
tecnologia no comportamento de ponta a ponta.
ÿ QualNet
Fonte: https:// www.scalable-networks.com
O software de simulação de rede QualNet® (QualNet) é uma ferramenta de planejamento, teste e treinamento
que “imita” o comportamento de redes de comunicação reais. Ele permite que os usuários simulem o
comportamento de redes de comunicação complexas e de grande escala.
Ferramentas de captura e gravação de tela
ÿ Snagit
Fonte: https:// www.techsmith.com
É um software de captura e gravação de tela que permite aos usuários capturar a tela rapidamente, adicionar
contexto adicional e compartilhá-los como imagem, vídeo ou GIF. Ele pode ser usado para marcar capturas de
tela, aparar vídeos ou para modelos que ajudam a criar instruções e guias visuais.
ÿ Camtasia
Fonte: https:// www.techsmith.com
É um gravador de tela e editor de vídeo que ajuda a gravar qualquer coisa na tela do computador – sites,
software, videochamadas ou apresentações em PowerPoint. Possui um editor de arrastar e soltar que permite
adicionar, remover, recortar ou mover seções de vídeo ou áudio.

ÿ Ezvid
Fonte: https:// www.ezvid.com
Ezvid é um editor de vídeo e gravador de tela completo que vem com recursos de gravação de voz, facecam,
síntese de voz, desenho de tela e controle de velocidade. Permite desenhar diretamente na tela ou gravar
uma região da tela conforme os requisitos. Está disponível para Windows XP3, 7, 8 e 10.
Ferramentas de backup e imagem do sistema operacional
ÿ Genie Backup Manager Pro
Fonte: https:// www.zoolz.com
Essa ferramenta usa quatro tipos de backups: completo, incremental, diferencial e espelhado. O backup pode
ser feito em qualquer mídia, como local, externo, FTP/FTPS, Amazon S3, rede, CD, DVD e Blu-ray. Esta
ferramenta está disponível para Windows XP, Vista, 7, 8 e 10.
ÿ Servidor Macrium Reflect
Fonte: https:// www.macrium.com
O Macrium Reflect Server Edition vem com um conjunto completo de recursos que fornece restaurações
completas de imagens ou arquivos e pastas. Ele é projetado para backup de endpoint de servidores críticos
para os negócios em um ambiente comercial.
ÿ Imagem R-Drive
Fonte: https:// www.drive-image.com
R-Drive Image é um utilitário que facilita a criação de arquivos de imagem de disco para backup ou duplicação
propósitos.
ÿ O&O DiskImage 16
Fonte: https:// www.oo-software.com
O&O DiskImage 16 permite fazer backup de um computador inteiro ou de arquivos individuais, mesmo enquanto o
computador está sendo usado. Ele permite que os usuários executem uma restauração do sistema e dupliquem ou
clonem um PC ou disco rígido inteiro.

Regras Gerais para Análise de Malware
Durante a análise de malware, preste atenção aos principais

recursos em vez de olhar para cada detalhe
Experimente diferentes ferramentas e abordagens para analisar o

malware, pois uma única abordagem pode não ser útil
Identifique, entenda e derrote novas técnicas de prevenção de

análise de malware
Regras Gerais para Análise de Malware
Durante a análise de malware, os investigadores devem prestar mais atenção aos principais recursos de um malware
e não devem tentar observar todos os detalhes, pois o malware é dinâmico e pode alterar suas propriedades. Em
seções difíceis e complexas, os investigadores devem tentar obter uma visão geral.
Os investigadores devem experimentar ferramentas e abordagens diferentes, pois elas produzem resultados diferentes
em situações diferentes. Embora várias ferramentas e técnicas tenham funcionalidades semelhantes, uma abordagem
diferente ou um ângulo diferente pode fornecer um resultado diferente.
À medida que os investigadores adotam novas técnicas de análise de malware, os autores e invasores de malware
também tentam encontrar novas técnicas de evasão para impedir a análise. Os investigadores devem ser capazes de
identificar, entender e derrotar essas técnicas de aversão.

Tipos de malware
Análise
Análise de Malware Estático Análise Dinâmica de Malware

ÿ Ambas as técnicas visam entender como
ÿ Também conhecida como análise de código, ÿ Também conhecida como análise comportamental , o malware funciona, mas diferem nas
envolve passar pelo código binário executável envolve a execução do código do malware para ferramentas usadas, tempo e
sem sua execução real para entender melhor saber como ele interage com o sistema host e a habilidades necessárias para realizar
o malware e sua finalidade rede a análise ÿ Tanto estática quanto
dinâmica
ÿ Este tipo de análise requer
máquinas e sandboxes para impedir a
ÿ Desmontadores como o IDA Pro podem ser análises são recomendadas para
propagação de malware entender melhor a funcionalidade
usado para desmontar o arquivo binário
de um malware
ÿ Depuradores como GDB, OllyDbg, WinDbg, etc.,
são usados para depurar um malware no momento
de sua execução para estudar seu comportamento
Tipos de Análise de Malware
A análise de malware pode ser categorizada em dois tipos: análise estática ou análise dinâmica. Ambas as
abordagens demonstram a funcionalidade do malware suspeito que está sendo examinado; no entanto, as
ferramentas, o tempo e as habilidades necessárias para realizar a análise são diferentes.
1. Análise estática: É uma análise básica do código binário e compreensão do malware que explica suas
funções. A análise comportamental ou análise dinâmica lida com o estudo do comportamento do malware
durante a instalação, na execução e durante a execução.
Um escrutínio estático geral envolve a análise de um malware sem executar o código ou as instruções. O
processo inclui o uso de diferentes ferramentas e técnicas para determinar a parte maliciosa do programa
ou arquivo. Ele também reúne informações sobre a funcionalidade do malware e coleta indicadores técnicos
ou assinaturas simples que gera.
Esses ponteiros incluem nomes de arquivo, somas de verificação MD5 ou hashes, tipos de arquivo e tamanhos de arquivo.
Desmontadores como o IDA Pro podem ser usados para desmontar o arquivo binário.
2. Análise dinâmica: envolve a execução de um malware para examinar sua conduta e impacto nos recursos
do sistema e na rede. Ele identifica assinaturas técnicas que confirmam uma intenção maliciosa e revela
várias informações úteis, como nomes de domínio, locais de caminho de arquivo, chaves de registro
criadas, endereços IP, arquivos adicionais, arquivos de instalação, DLLs e arquivos vinculados localizados
no sistema ou na rede.
Esse tipo de análise requer máquinas virtuais e sandboxes para impedir a disseminação de malware.
Depuradores como GDB, OllyDbg, WinDbg, etc., são usados para depurar um malware no momento de
sua execução para estudar seu comportamento.
Ambas as técnicas são recomendadas para entender melhor a funcionalidade de um malware, mas diferem nas
ferramentas usadas, no tempo e nas habilidades necessárias para realizar a análise.

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Executar análise estática de malware

A análise estática refere-se ao processo de investigação de um arquivo executável sem executá-lo ou instalá-lo. É
seguro realizar análises estáticas porque o investigador não instala ou executa o arquivo suspeito. No entanto,
alguns malwares não precisam de instalação para realizar atividades maliciosas; portanto, é melhor para os
investigadores realizar análises estáticas em um ambiente controlado. Esta seção discute várias técnicas de análise
estática de malware e detalha os métodos e ferramentas necessários para realizá-las.

Análise de malware: estático

ÿ A análise do código binário fornece informações como estruturas de dados, chamadas de funções, gráficos de chamadas, etc.
ÿ Carregue o código binário no sistema de teste (de preferência o sistema operacional no qual o malware não foi projetado para ser executado) para analisar suas propriedades estáticas
ÿ Algumas das propriedades estáticas do código binário a serem examinadas incluem strings embutidas no arquivo, detalhes do cabeçalho, hashes, recursos embutidos, assinaturas
do empacotador, metadados, etc.
Algumas técnicas estáticas de análise de malware:
Identificando métodos de empacotamento/

Impressão digital de arquivo
ofuscação
Encontrando os executáveis portáteis

Verificação on-line de malware
(PE) informações
Realizando pesquisa de strings Identificando dependências de arquivos
Desmontagem de malware
Análise de malware: estático
A análise estática envolve o processo de acessar o código-fonte ou o código binário para encontrar as estruturas de
dados, chamadas de função, gráficos de chamada, etc. que podem representar malícia. Os investigadores podem
usar várias ferramentas para analisar o código binário para entender sua arquitetura de arquivo e impacto no sistema.
Compilar o código-fonte de um sistema em um executável binário resultará em perdas de dados, dificultando a análise
do código.
O procedimento para examinar um determinado binário sem sua execução é principalmente manual e requer a
extração de dados intrigantes, como estruturas de dados, funções utilizadas e gráficos de chamada do arquivo
malicioso. Algumas das propriedades estáticas do código binário a serem examinadas incluem strings incorporadas
ao arquivo, detalhes de cabeçalho, hashes, recursos incorporados, assinaturas de empacotador, metadados, etc.
Diferentes procedimentos utilizados para análise estática de malware são os seguintes:
ÿ Impressão digital de ficheiros
Ele examina os elementos evidentes do código binário, que inclui processos em nível de documento. Este
processo inclui o cálculo de hashes criptográficos do código binário para reconhecer sua função e compará-
lo com outros códigos binários e programas de cenários anteriores.
ÿ Varredura de malware online
Depois que o valor de hash de um arquivo suspeito é gerado, os investigadores podem compará-lo com
bancos de dados de malware on-line para encontrar o código malicioso reconhecido. Esse processo simplifica
uma investigação mais aprofundada, oferecendo uma visão melhor do código, sua funcionalidade e outros
detalhes importantes.

ÿ Realização de pesquisa de strings
Os programas de software incluem algumas strings que são comandos para executar funções específicas.
Várias strings existentes podem representar a intenção maliciosa de um programa, como ler a memória interna
ou dados de cookies, etc. embutidos no código binário compilado. Os investigadores podem procurar essas
sequências incorporadas para tirar conclusões sobre o arquivo suspeito.
ÿ Identificar métodos de embalagem ou ofuscação
Os invasores usam empacotamento e ofuscação usando uma estrutura confusa ou um empacotador para
evitar a detecção. Os investigadores devem descobrir se o arquivo inclui elementos compactados e localizar a
ferramenta ou método usado para compactar.
ÿ Encontrando as informações dos executáveis portáteis (PE)
O formato PE armazena as informações exigidas por um sistema Windows para gerenciar o código executável.
O PE armazena metadados sobre o programa, o que ajuda a encontrar os detalhes adicionais do arquivo,
como o número exclusivo em sistemas UNIX para localizar o tipo de arquivo e dividir as informações do formato
do arquivo.
Por exemplo, o binário do Windows está no formato PE e consiste em informações como tempo de criação e
modificação, funções de importação e exportação, tempo de compilação, DLLs, arquivos vinculados, juntamente
com strings, menus e símbolos.
ÿ Identificando dependências de arquivos
Qualquer programa de software depende de várias bibliotecas embutidas de um sistema operacional para
executar ações específicas em um sistema. Os investigadores precisam encontrar as bibliotecas e dependências
de arquivo, pois elas contêm informações sobre os requisitos de tempo de execução de um aplicativo.
ÿ Desmontagem de Malware
A análise estática também inclui a desmontagem de um determinado executável em formato binário para
estudar suas funcionalidades e recursos. Esse processo ajudará os investigadores a encontrar a linguagem
usada para programar o malware, procurar APIs que revelem sua função etc. Esse processo usa ferramentas
de depuração como OllyDbg e IDAPro.

Análise estática de malware: impressão digital de arquivos
1 Recomenda-se calcular o valor de hash para um determinado código binário antes de realizar a investigação
2 Calculadoras de hash comuns incluem HashTab, HashMyFiles, HashCalc, md5sum, md5deep, etc.
3 Você pode usar o valor de hash calculado para verificar periodicamente se alguma alteração é feita no código binário
durante a análise
https:// www.nirsoft.net
Análise estática de malware: impressão digital de arquivos A
impressão digital de arquivos é um método de prevenção contra perda de dados usado para identificar e rastrear
dados em uma rede. O processo envolve a criação de cadeias de texto mais curtas para os arquivos chamados
valores de hash. Valores de hash exclusivos ou impressões digitais são desenvolvidos usando vários algoritmos
criptográficos que utilizam dados como strings, metadados, tamanho e outras informações.
Essas impressões digitais ajudam os investigadores a reconhecer arquivos sensíveis ao rastreamento e a identificar
programas semelhantes em um banco de dados. A impressão digital geralmente não funciona para determinados
tipos de registro, incluindo arquivos criptografados ou protegidos por senha, imagens, áudio e vídeo, que têm conteúdo
diferente de uma impressão digital predefinida. O Message-Digest Algorithm 5 (MD5) é a função de hash mais
comumente usada para análise de malware. Os investigadores podem usar ferramentas como HashTab, HashMyFiles,
HashCalc, md5sum, md5deep, etc. para criar uma impressão digital do arquivo suspeito como parte da análise
estática.
ÿ HashMyFiles
Fonte: https:// www.nirsoft.net

HashMyFiles produz o valor de hash de um arquivo usando os algoritmos MD5, SHA1, CRC32, SHA-256,
SHA-512 e SHA-384. O programa também fornece outras informações sobre o arquivo, como caminho
completo, data de criação, data de modificação, tamanho do arquivo, atributos do arquivo, versão do arquivo
e extensão.
Figura 12.1: Saída obtida da ferramenta HashMyFiles

Análise estática de malware: verificação de malware on-line

O VirusTotal é um serviço gratuito que
Escaneie o código binário usando um VirusTotal
analisa arquivos e URLs suspeitos e facilita
software antivírus renomado e atualizado
a detecção de vírus, worms, cavalos de Troia, etc.
Se o código em análise for um componente de
um malware conhecido, ele já pode ter sido
descoberto e documentado por muitos
fornecedores de antivírus
Percorra a documentação para reconhecer os

recursos de código, assinaturas, etc.
Você também pode enviar o código para sites como

o VirusTotal para que seja verificado por diferentes
mecanismos de verificação
https:// www.virustotal.com
Análise estática de malware: verificação de malware on-line
Os investigadores podem escanear o código binário usando ferramentas de análise de malware online. Se o código
em análise for um componente de um malware conhecido, ele já pode ter sido descoberto e documentado por muitos
fornecedores de antivírus. A documentação desse malware pode fornecer informações importantes, como recursos
de código e modus operandi dos ataques que ele realizou.
O VirusTotal é um desses sites que possui os recursos mencionados acima.
ÿ VirusTotal
Fonte: https:// www.virustotal.com
O VirusTotal gera um relatório que fornece o número total de mecanismos que marcaram o arquivo como
malicioso, o nome do malware e informações adicionais sobre o malware, se disponível. Ele também
oferece detalhes importantes da análise de arquivos online, como a máquina de destino, registro de data e
hora de compilação, tipo de arquivo, processadores compatíveis, ponto de entrada, seções PE, bibliotecas
de links de dados (DLLs), recursos PE usados, valores de hash diferentes, IP endereços acessados ou
contidos no arquivo, código do programa e tipos de conexões estabelecidas.

Figura 12.2: Analisando amostra de malware no VirusTotal

Análise estática de malware: realizando pesquisa de strings

Strings comunicam informações do programa para seu
01 do utilizador
Analise strings incorporadas do texto legível no arquivo executável do

02 programa
Ex: strings de atualização de status e strings de erro
Use ferramentas como Strings, ResourcesExtract, Bintext, Hex

03 Workshop, etc. para extrair strings incorporadas de arquivos executáveis
Certifique-se de que as strings extraídas da ferramenta sejam

04 representadas nos formatos ASCII e Unicode
Ao extrair, você pode ver a entrada de strings de interesse no

05 mecanismo de pesquisa para obter mais informações
Observação: as strings podem ser enganosas ou fazer com que você ative uma espécie de pote de mel reverso https:// www.nirsoft.net
Análise estática de malware: realizando pesquisa de strings
Strings comunicam informações do programa para seu usuário. Pesquisar nas strings pode fornecer informações sobre
a funcionalidade básica de qualquer programa.
Durante a análise de malware, os investigadores procuram a string maliciosa comum que pode determinar ações
prejudiciais que um programa pode executar. Por exemplo, se o programa acessar uma URL, ele terá essa string de
URL armazenada nela. Os investigadores devem estar atentos ao procurar strings e também procurar as strings
incorporadas e criptografadas no arquivo suspeito, como strings de atualização de status e strings de erro.
Como investigador forense, você pode usar ferramentas como Strings, ResourcesExtract, Bintext e Hex Workshop para
extrair todos os tipos de strings de arquivos executáveis. Certifique-se de que a ferramenta também pode digitalizar e
exibir strings ASCII e Unicode.
Algumas ferramentas têm a capacidade de extrair todas as strings e copiá-las para um arquivo de texto ou documento.
Use essas ferramentas e copie as strings para um arquivo de texto para facilitar a pesquisa de strings maliciosas.
ÿ Extrato de Recursos
ResourcesExtract é um pequeno utilitário que verifica arquivos dll/ocx/exe e extrai todos os recursos (bitmaps,
ícones, cursores, filmes AVI, arquivos HTML e mais...) armazenados neles na pasta que você especificar.
Você pode usar essa ferramenta no modo de interface do usuário ou, como alternativa, pode executá-la no
modo de linha de comando sem exibir nenhuma interface do usuário.
O ResourcesExtract não requer nenhum processo de instalação ou arquivos DLL adicionais. Na janela principal
da ferramenta, você pode escolher um único nome de arquivo para verificar ou vários nomes de arquivo
usando curinga. Na 'Pasta de destino', digite a pasta que você deseja extrair o

arquivos de recursos em. Depois de selecionar todas as outras opções, clique no botão 'Iniciar'
para extrair os recursos.
Figura 12.3: Extraindo strings de uma amostra de malware com ResourcesExtract
Figura 12.4: Analisando strings de uma amostra de malware com ResourcesExtract

Análise de malware estático: identificando

Métodos de embalagem/ofuscação
Os invasores geralmente usam compactadores para

compactar, criptografar ou modificar um arquivo executável
de malware
Isso complica a tarefa dos engenheiros reversos em

encontrar a lógica real do programa e outros metadados
por meio de análise estática
Use ferramentas como PEiD, que detecta

empacotadores, criptadores e compiladores
mais comuns para arquivos executáveis PE https:// github.com
Análise de malware estático: identificando métodos de empacotamento/ofuscação
Os invasores geralmente usam compactadores para compactar, criptografar ou modificar um arquivo executável de malware.
Isso complica a tarefa dos engenheiros reversos em encontrar a lógica real do programa e outros metadados por meio de
análise estática. A ofuscação também oculta a execução dos programas. Quando o usuário executa um programa
compactado, ele também executa um pequeno programa wrapper para descompactar o arquivo compactado e, em seguida,
executar o arquivo descompactado.
Os investigadores podem usar ferramentas como o PEiD para descobrir se o arquivo contém programas compactados ou código ofuscado.
Esta ferramenta também exibe o tipo de empacotador usado no empacotamento do programa. Detalhes adicionais exibidos
por ele incluem ponto de entrada, deslocamento de arquivo, seção EP e subsistema usado para empacotamento. Encontrar
o compactador facilitará a tarefa de selecionar uma ferramenta para descompactar o código.
ÿ PEiD
Fonte: https:// github.com
O PEiD detecta os empacotadores, criptografadores e compiladores mais comuns para arquivos PE. Atualmente,
ele pode detectar mais de 600 assinaturas diferentes em arquivos PE. Existem 3 modos de digitalização diferentes
e únicos no PEiD:
o Normal Mode
Como qualquer outro identificador, este modo varre os arquivos PE em seu ponto de entrada para todas as
assinaturas documentadas.
o Modo Profundo
Este modo verifica a seção contendo o ponto de entrada do arquivo PE para todas as assinaturas
documentadas. Isso garante a detecção de cerca de 80% dos arquivos modificados e embaralhados.

o Modo Hardcore
Isso faz uma verificação completa de todo o arquivo PE para as assinaturas documentadas. Você deve usar
este modo como uma última opção, pois as assinaturas pequenas tendem a ocorrer muito em muitos
arquivos e, portanto, saídas errôneas podem resultar.
Características
o Modos de varredura especiais para detecções avançadas de arquivos modificados e desconhecidos.
o Integração de shell e suporte de linha de comando
o Varredura de vários arquivos e diretórios com recursão
o Plugin Interface com plugins como Generic OEP Finder e Krypto ANALyzer.
o Técnicas de varredura extras usadas para detecções
o Opções de verificação heurística
o Novo desmontador rápido integrado e novo visualizador hexadecimal integrado
o Interface de assinatura externa que pode ser atualizada pelo usuário
Figura 12.5: A ferramenta PEiD

Análise de malware estático: encontrando o portátil

Informações de Executáveis (PE)
O formato PE é o formato de arquivo executável usado
em sistemas operacionais Windows
Informações disponíveis para examinar os metadados de

um arquivo PE:
ÿ Hora e data da compilação
ÿ Funções importadas e exportadas pelo programa
ÿ Bibliotecas vinculadas
ÿ Ícones, menus, informações de versão, strings, etc.

em recursos
Você pode usar ferramentas como Pestudio,

PEview, PE Explorer, Dependency Walker,
etc.
https:// www.winitor.com
Análise estática de malware: encontrando informações de executáveis portáteis (PE)
O formato Portable Executable (PE) armazena as informações necessárias para instalar e executar qualquer programa
executável em um sistema operacional Windows.
O formato PE contém um cabeçalho e seções, que armazenam metadados sobre o arquivo e o mapeamento de código
em um sistema operacional. Os investigadores podem usar as informações do cabeçalho para coletar detalhes adicionais
de um arquivo ou programa. PE de um arquivo contém as seguintes seções:
ÿ .text: Contém instruções e códigos de programa que a CPU executa
ÿ .rdata: Contém informações de importação e exportação, bem como outros dados somente leitura usados por
o programa
ÿ .data: Contém os dados globais do programa, que o sistema pode acessar de qualquer lugar
ÿ .rsrc: Compreende os recursos empregados pelo executável, como ícones, imagens,

menus e strings, pois esta seção oferece suporte multilíngue
Os investigadores podem usar ferramentas de análise de PE, como Pestudio, PEview, PE Explorer, Dependency Walker,
etc., para coletar as seguintes informações:
ÿ Importações: denotam funções de outras bibliotecas usadas pelo malware
ÿ Exportações: denotam funções no malware que outros programas ou bibliotecas chamam enquanto
correndo
ÿ Carimbo de data e hora: mostra a hora da compilação do programa
ÿ Subsistema: Mostra se o programa é um aplicativo de linha de comando ou GUI
ÿ Recursos: Inclui strings, ícones, menus e outras informações armazenadas no arquivo

ÿ Seções: Mostra os nomes de todas as seções em um arquivo junto com seus tamanhos em disco e em
memória
Lavandaria
Fonte: https:// www.winitor.com
O objetivo do pestudio é detectar artefatos de arquivos executáveis para facilitar e acelerar a avaliação inicial de
malware. A ferramenta é usada por equipes de Resposta a Emergências de Computadores (CERT), Centros de
Operações de Segurança (SOC) e Laboratórios em todo o mundo.
Características
ÿ Recupera metadados e detecta anomalias em um arquivo malicioso
ÿ Detecta arquivos embutidos e coleta importações, exportações, strings, etc.
ÿ Fornece dicas e indicadores
ÿ Transforma dados RAW em informação
ÿ Executa análise estática no modo de lote, bem como no modo interativo
ÿ Consome arquivos de configuração XML e cria relatório XML
ÿ Fornece indicadores de ataque MITRE e recupera pontuações de @Virustotal
Figura 12.6: A ferramenta Pestudio

Análise de malware estático:

Arquivo de Identificação
Dependências
ÿ Os programas armazenam as funções de importação e exportação em

arquivo kernel32.dll
ÿ Examine as bibliotecas vinculadas dinamicamente no arquivo executável do

malware
ÿ Encontrar todas as funções da biblioteca pode permitir que você adivinhe

o que o programa de malware pode fazer
ÿ Você pode usar ferramentas como Dependency Walker, que lista todos os
módulos dependentes dentro do arquivo executável
http:// www.dependencywalker.com
Análise de malware estático: identificando dependências de arquivos
As dependências de arquivos contêm informações sobre os arquivos internos do sistema de que o programa precisa para
funcionar corretamente, o processo de registro e a localização na máquina. Os investigadores precisam verificar se
podem encontrar e examinar esses arquivos, pois eles podem fornecer informações sobre malware em um arquivo. As
dependências de arquivo incluem bibliotecas vinculadas, funções e chamadas de função.
Um investigador deve conhecer as várias DLLs usadas para carregar e executar um programa, pois elas podem permitir
que eles adivinhem o que um malware pode fazer após a execução. Por exemplo, os programas armazenam as funções
de importação e exportação no arquivo kernel32.dll.
Algumas das DLLs padrão estão listadas abaixo:
DLL Descrição do conteúdo
Kernel32.dll Funcionalidade principal, como acesso e manipulação de memória, arquivos e hardware
Fornece acesso a componentes básicos avançados do Windows, como o Serviço

Advapi32.dll
Gerente e Registro
Componentes da interface do usuário, como botões, barras de rolagem e componentes

User32.dll
para controlar e responder às ações do usuário
WSock32.dll
DLLs de rede que ajudam a conectar-se a uma rede ou executar tarefas relacionadas à rede
Ws2_32.dll
Wininet.dll Suporta funções de rede de alto nível

Gdi32.dll Funções para exibir e manipular gráficos
Ntdll.dll Interface com o kernel do Windows
Tabela 12.1: DLLs padrão

Os investigadores devem procurar DLLs com nomes diferentes ou com erros ortográficos, ou funções das DLLs para
identificar DLLs maliciosas. Os investigadores podem usar ferramentas como o Dependency Walker para esse fim.
ÿ Andador de Dependência
Fonte: https:// www.dependencywalker.com
Esta ferramenta lista todos os módulos dependentes dentro de um arquivo executável e constrói um diagrama
de árvore hierárquico. Também registra todas as funções exportadas e chamadas por cada módulo. A
ferramenta GUI também pode detectar muitos problemas comuns de aplicativos, como os seguintes:
o Módulos ausentes e inválidos
o Incompatibilidades de importação/exportação
o Erros de dependência circular
o Módulos de máquina incompatíveis
o Falhas de inicialização do módulo
Ele pode processar qualquer módulo Windows de 32 ou 64 bits, incluindo os projetados para Windows CE.
Ele pode ser executado como um aplicativo gráfico ou como um aplicativo de console.
Dependency Walker lida com todos os tipos de dependências de módulo, incluindo implícito, explícito
(dinâmico/tempo de execução), encaminhado, carregado com atraso e injetado.
Figura 12.7: Ferramenta Dependency Walker

Análise estática de malware: desmontagem de malware
Desmonte o código binário e analise as

instruções do código assembly
Você pode usar ferramentas como IDA Pro que podem

reverter o código de máquina para linguagem
assembly
Com base no código assembly reconstruído,

você pode inspecionar a lógica do programa
e reconhecer seu potencial de ameaça
Este processo é realizado usando ferramentas de

depuração como OllyDbg e WinDbg http:// www.ollydbg.de
Análise estática de malware: desmontagem de malware
Desmontar um malware é uma parte importante da análise estática de malware. Nesse processo, os investigadores usam
uma variedade de ferramentas, como o IDA Pro, para analisar as instruções do código de montagem para entender o que o
malware foi projetado para fazer e as vulnerabilidades que ele pode explorar. Isso permite que os investigadores formulem
soluções destinadas a impedir a propagação de malware.
Ferramentas de dublagem como OllyDbg podem ajudar os investigadores a revisar todas as strings incorporadas em um
arquivo PE e examinar as funções importadas.
ÿ OllyDbg
Fonte: http:// www.ollydbg.de
OllyDbg é um depurador de análise de nível de montador de 32 bits para Microsoft Windows. A ênfase na análise
de código binário o torna particularmente útil nos casos em que a fonte não está disponível.
Depois que a amostra de malware suspeito for carregada no OllyDbg, ela mostrará mnemônicos do montador,
opcodes e endereços virtuais. Os investigadores podem definir pontos de interrupção e executar o código para ver
como o malware funciona. Também é possível modificar o fluxo de execução de um arquivo de malware com
OllyDbg.
Características
o Análise de código - rastreia registros, reconhece procedimentos, loops, chamadas de API, switches,
tabelas, constantes e strings
o Carrega e depura DLLs diretamente
o Varredura de arquivo de objeto - localiza rotinas de arquivos de objeto e bibliotecas
o Permite rótulos, comentários e descrições de função definidos pelo usuário
o Compreende informações de depuração no formato Borland®

Figura 12.8: Ferramenta OllyDbg

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Analisar Documentos do Word Suspeitos

Esta seção discute como analisar quaisquer documentos do Word suspeitos e encontrar códigos ou strings
mal-intencionados sem executá-los.

Analisando documentos suspeitos do MS Office

Encontrar componentes suspeitos
ÿ Analise o documento suspeito do Office com oleid para detectar quaisquer componentes específicos que possam ser rotulados como
malicioso/suspeito
ÿ Para usar o oleid, abra um novo terminal na estação de trabalho linux (Ubuntu)
e digite oleid '<caminho para o documento suspeito>'
ÿ Aqui, a análise revelou que o documento do Word chamado infect_doc contém macros VBA
Analisando MS Office suspeito

Documento (continuação)
Encontrando Fluxos de Macro
ÿ Analisar o documento suspeito do Office com oledump
para identificar os fluxos que contêm macros
ÿ Execute o seguinte comando- python

oledump.py '<caminho para o documento
suspeito>'
ÿ Neste documento do Word, o fluxo 8 foi identificado

para armazenar códigos de macro maliciosos

Analisando EM Suspeita
Documento de escritório (continuação)
Despejando Fluxos de Macro
ÿ Extraia o conteúdo de qualquer fluxo de macro específico com

oledump executando o seguinte comando python oledump.py
-s <número do fluxo> '<caminho para o documento
suspeito>'
ÿ A captura de tela abaixo mostra o código de macro armazenado

no fluxo 8 do documento do Word
Analisando documentos suspeitos do MS Office (continuação)
Identificando palavras-chave VBA suspeitas
ÿ Analise o documento suspeito com olevba para visualizar

os códigos-fonte de todas as macros VBA e detecte as
palavras-chave suspeitas e IOCs em potencial
ÿ Execute o seguinte comando: olevba '<caminho para

o documento suspeito>'
ÿ Aqui, as palavras-chave e IOCs detectados pelo olevba

mostram que as macros no documento do Word:
ÿ ter funcionalidade AutoOpen
ÿ contém shellcode e strings ofuscadas com Base64 e

dridex
ÿ pode baixar arquivos chamados test.exe e sfjozjero.exe

de http:// germanya.com.ec/ logs e armazená-los no
diretório Temp
Analisando documentos suspeitos do MS Office
O uso de documentos do MS Office, como documentos do Word e apresentações do PowerPoint, é

amplamente difundido nas organizações. No entanto, os invasores costumam usar esses documentos para
instalar e espalhar malware. Como investigador forense, você deve estar bem familiarizado com a estrutura
de uma variedade de documentos do MS Office e ser capaz de analisar um documento suspeito com as
ferramentas certas para localizar elementos suspeitos/maliciosos.

1. Encontrar componentes suspeitos
Como primeira etapa, você deve analisar o documento suspeito do Office com uma ferramenta baseada em
python chamada oleid para revisar todos os componentes que podem ser rotulados como suspeitos/maliciosos.
É uma ferramenta usada para examinar arquivos OLE.
Para usar oleid, execute o comando oleid '<caminho para o documento suspeito>' na estação de trabalho
Linux. A captura de tela abaixo mostra que o documento do Word suspeito chamado infectado_doc contém
macros VBA.
Figura 12.9: Usando a ferramenta oleid para procurar componentes suspeitos

2. Encontrando Fluxos de Macro
A próxima etapa é analisar o documento suspeito do Office com oledump para identificar os fluxos que
contêm macros. Execute o comando python oledump.py '<caminho para o documento suspeito>'.
Isso solicitaria que a ferramenta mostrasse a estrutura do documento suspeito, incluindo todos os fluxos.
Se algum fluxo no documento contiver macros, o oledump colocará um M maiúsculo ao lado dele para
identificação. Neste documento do Word, conforme ilustrado na captura de tela abaixo, o fluxo 8 foi
identificado para armazenar códigos de macro maliciosos.
Figura 12.10: Usando a ferramenta oledump para procurar fluxos de macro suspeitos

3. Despejando Fluxos de Macro
Agora, extraia o conteúdo de qualquer fluxo de macro específico com oledump executando o
seguinte comando: python oledump.py -s <número do fluxo> <caminho para o documento
suspeito>.
Aqui, o argumento -s define o número do stream que você deseja visualizar. A captura de tela
abaixo mostra o código de macro armazenado no fluxo 8 do documento do Word.
Figura 12.11: Usando a ferramenta oledump para despejar o conteúdo de fluxos de macro suspeitos
4. Identificando palavras-chave VBA suspeitas

Agora você pode usar a ferramenta olevba para visualizar os códigos-fonte de todas as macros
VBA incorporadas ao documento e identificar palavras-chave VBA suspeitas e métodos de
ofuscação usados pelo malware.
Para usar olevba, execute o seguinte comando: olevba '<caminho para o documento suspeito>'.
Isso os ajudará a revisar os códigos-fonte de todas as macros VBA, detectar se o documento
contém macros autoexecutáveis/strings ofuscadas e identificar quaisquer indicadores de
comprometimento (IOCs), como nomes de arquivos, endereços IP e URLs.
As capturas de tela abaixo mostram a análise do arquivo infectado_doc por olevba, que mostra
que ele contém macros autoexecutáveis que possuem shellcode e strings ofuscadas com Base64
e dridex.
Após a execução, essas macros podem baixar arquivos maliciosos denominados test.exe e
sfjozjero.exe da Internet e armazená-los no diretório temporário do sistema comprometido.

Os seguintes URLs são identificados como IOCs:
o http:// germanya.com.ec/ logs/ test.exe
o http:// germanya.com.ec/ logs/ counter.php
Figura 12.12: Usando a ferramenta olevba para identificar palavras-chave VBA suspeitas
Figura 12.13: Usando a ferramenta olevba para identificar palavras-chave VBA suspeitas

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Executar análise dinâmica de malware

Ao contrário da análise estática, a análise dinâmica de malware envolve a execução do malware
em um ambiente controlado para monitorar como ele interagiria com os recursos do sistema e
se inclui quaisquer recursos de rede. Esta seção discute os aspectos fundamentais e as
diferentes abordagens da análise dinâmica de malware.

Análise de malware: dinâmica

ÿ Refere-se ao processo de estudar o comportamento de um malware executando-o
em um ambiente monitorado
ÿ A análise dinâmica de malware facilita para os investigadores observar em tempo real como
o malware interage com as propriedades do sistema e a rede
Duas abordagens para análise dinâmica de malware:
Monitorando a Integridade do Host Observando o comportamento do tempo de execução
Envolve tirar instantâneos do estado do Envolve o monitoramento ao vivo do

sistema usando as mesmas ferramentas antes comportamento do malware escolhido conforme
e depois da análise para detectar alterações ele é executado no sistema

feitas nas entidades que residem no sistema
Análise de malware: dinâmica
A análise dinâmica de malware refere-se ao processo de estudar o comportamento de um malware executando-o em um

ambiente monitorado. O design do ambiente deve incluir ferramentas que possam capturar cada movimento de um malware em
detalhes e fornecer feedback ao investigador. Principalmente, os sistemas virtuais atuam como base para a realização de tais
experimentos.
Os investigadores usam a análise dinâmica para coletar informações valiosas sobre atividades de malware, incluindo arquivos
e pastas criados, portas e URLs acessados, chamadas de funções e bibliotecas, aplicativos e ferramentas acessados,
informações transferidas, configurações modificadas e processos e serviços iniciados pelo malware. Um investigador deve
projetar e configurar o ambiente para realizar a análise dinâmica de forma que o malware não possa se propagar para a rede de
produção e o sistema de teste possa retornar a um período de tempo previamente definido caso algo dê errado durante o teste.
A análise dinâmica de malware pode ser realizada de duas maneiras:
ÿ Monitoramento da integridade do host
O monitoramento da integridade do host é o processo de estudar as alterações que ocorreram em um sistema ou

máquina após uma série de ações ou incidentes. Essa abordagem dinâmica de análise de malware envolve tirar um
instantâneo do sistema antes e depois da execução do espécime malicioso usando as mesmas ferramentas e
analisando as alterações para avaliar seu impacto no sistema e suas propriedades.
ÿ Observando o comportamento do tempo de execução
Nessa abordagem, os investigadores monitoram as atividades maliciosas do espécime enquanto ele é executado no
sistema. Observar o malware em um ambiente de tempo de execução permite que os investigadores vejam como ele
interage com o sistema e a rede em tempo real, o que os ajuda a detectar sua funcionalidade e finalidade reais.

Análise Dinâmica de Malware: Preparação Pré-Execução
1 Crie uma nova linha de base das estações de trabalho forenses
Faça um instantâneo das chaves de registro, sistema de arquivos, processos em execução e

2 arquivos de log de eventos
3 Liste todos os serviços do Windows, drivers de dispositivo e programas de inicialização
Instale ferramentas que irão capturar as alterações realizadas pelo malware nos recursos do sistema,
4 como registro, sistema de arquivos, processos, etc., bem como nas propriedades da rede
5 Gere valores de hash dos sistemas operacionais e das ferramentas
6 Execute o malware nas estações de trabalho forenses
Análise Dinâmica de Malware: Preparação Pré-Execução
Como a análise dinâmica de malware requer a execução de um malware, você precisa criar um ambiente de teste
adequado mais adequado para essa finalidade. O procedimento para preparar um testbed para análise dinâmica de
malware é fornecido abaixo:
ÿ Crie uma nova linha de base de estações de trabalho Windows e Linux, que deve incluir
detalhes do sistema de arquivos, registro, processos em execução, arquivos de log de eventos, etc.
ÿ Você pode comparar esse estado de linha de base com o estado do sistema após a execução do malware.
Isso ajudará a entender as alterações que o malware fez no sistema.
ÿ
Liste todos os drivers de dispositivo, serviços do Windows e programas de inicialização
ÿ Instalar as ferramentas que seriam usadas para capturar as alterações realizadas pelo malware nas propriedades
de rede e outros recursos do sistema, como sistema de arquivos, registro e
processos
ÿ Gerar valores de hash dos sistemas operacionais e ferramentas usadas
ÿ Execute o malware que foi coletado das máquinas suspeitas nas estações de trabalho forenses e inicie o
monitoramento

Monitorando a Integridade do Host
Ao criar a imagem de linha de base, execute o malware no

Estação de trabalho forense do Windows por um determinado período de tempo
Observação: neste cenário, executaremos um malware chamado payload.exe
Faça o segundo instantâneo da estação de trabalho e compare-o com a linha de

base para detectar todas as alterações feitas nos sistemas de arquivos e registros
Use ferramentas como o WhatChanged Portable , que verifica arquivos

modificados e entradas de registro e os lista em formato de arquivo de texto
Monitorando a Integridade do Host
Para monitorar a integridade do host, os investigadores devem obter um instantâneo do estado de linha de base da
estação de trabalho forense antes da execução do malware.
Após o estabelecimento da linha de base, que já foi feita para a estação de trabalho Windows como parte da preparação
de pré-execução, os investigadores precisam fazer o seguinte:
ÿ Execute o malware na estação de trabalho do Windows por um determinado período e leve um segundo
instantâneo da estação de trabalho
Observação: para fins de demonstração, executaremos um malware chamado payload.exe+
ÿ Compare o segundo instantâneo com a linha de base para detectar as alterações feitas no
propriedades do sistema pelo malware, como sistemas de arquivos e chaves de registro
Os investigadores podem usar ferramentas como o WhatChanged Portable que permite a captura e comparação dos
estados do sistema antes e depois da execução do malware. Ele procura por arquivos modificados e entradas de
registro e os lista em formato de arquivo de texto. A ferramenta deve ser executada em segundo plano enquanto o
malware está sendo executado na estação de trabalho para registrar as alterações no sistema de arquivos e no registro.
ÿ WhatChanged Portátil
Fonte: https:// portableapps.com
WhatChanged é um utilitário de sistema que procura arquivos modificados e entradas de registro. É útil para
verificar as instalações do programa. O WhatChanged Portable pode ser executado a partir de uma pasta na
nuvem, unidade externa ou pasta local sem instalar no Windows. WhatChanged usa o 'método de força bruta'
para verificar arquivos e o registro.

Há duas etapas para usar o WhatChanged Portable:
1. Tire um instantâneo para obter o estado atual do computador
2. Execute-o novamente para verificar as diferenças desde o instantâneo anterior
Figura 12.14: Ferramenta portátil WhatChanged

Observando o comportamento do tempo de execução

ÿ Refere-se à execução do malware na estação de trabalho forense e observação de suas operações em tempo real para
entender sua intenção e funcionalidade
ÿ Você pode aprender sobre as características comportamentais do malware monitorando suas atividades no sistema e o
rede
ÿ A análise do comportamento do malware em tempo de execução pode ser feita de duas maneiras: análise do comportamento do sistema e análise do comportamento da rede
Análise de Comportamento do Sistema Análise de Comportamento de Rede
ÿ Envolve o monitoramento das alterações nos recursos do ÿ Envolve o rastreamento das atividades de nível de rede do
sistema operacional durante a execução do malware. malware . A análise do comportamento da rede inclui:
A análise do comportamento do sistema inclui:
ÿ Registo de Acompanhamento ÿ Examinando Logs de Eventos ÿ Monitoramento de endereços IP

artefatos
ÿ Monitoramento de chamadas de API ÿ Procurando por portas conectadas
ÿ Acompanhamento de Processos ÿ Dispositivo de Monitorização ÿ Examinando as entradas DNS

motoristas
ÿ Serviços de Monitoramento
e Pastas de Inicialização ÿ Monitoramento de Arquivos e
Pastas
Observando o comportamento do tempo de execução
A observação do comportamento em tempo de execução de uma amostra de malware refere-se à execução do malware na estação de trabalho
forense e à observação de suas operações em tempo real para entender sua intenção e funcionalidade.
A execução do malware nas estações de trabalho forenses permite que os investigadores observem em tempo real como o malware se
descompacta, as operações maliciosas que executa no registro, nos arquivos do sistema e nos recursos do kernel e se tenta estabelecer qualquer
comunicação com o ambiente externo, como como a rede.
Isso permite que os investigadores detectem e entendam as características comportamentais do malware sob exame. Eles podem registrar e
coletar informações em tempo real sobre o comportamento dinâmico de diferentes tipos de amostras de malware, o que pode ser muito útil na
aplicação de medidas preventivas contra ameaças maliciosas.
Os investigadores podem monitorar o comportamento do malware em tempo de execução de duas maneiras:
1. Análise de Comportamento do Sistema
Envolve monitorar as alterações nos recursos do sistema operacional após a execução do malware. A análise do comportamento do
sistema inclui o monitoramento das alterações nos seguintes componentes do sistema após a execução do malware:
o Monitorando artefatos de registro
o Processos de monitoramento
o Serviços de monitoramento e pastas de inicialização
o Examinando logs de eventos

o Monitoramento de chamadas de API
o Monitoramento de drivers de dispositivo
o Monitoramento de arquivos e pastas
2. Análise do Comportamento da Rede
Envolve o rastreamento das atividades de nível de rede do malware. A análise do comportamento da rede inclui o
monitoramento das seguintes propriedades de rede:
o Monitoramento de Endereços IP
o Procurando por portas conectadas
o Examinando as entradas de DNS

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Realizar análise de comportamento do sistema

Durante o tempo de execução, um malware pode interagir com vários componentes do sistema, como registro,
arquivos e pastas, processos e serviços do Windows e drivers de dispositivo. Ele pode atualizar/excluir chaves
de registro ou criar serviços/processos maliciosos do Windows para realizar o que foi projetado para fazer.
Depois de executar o malware, os investigadores podem analisar as alterações no registro, processos ou

serviços comparando o resultado com a imagem de linha de base e usando várias ferramentas forenses. Eles
também podem examinar as chamadas de API feitas pelo malware e monitorar os logs de eventos para ver as
alterações nas propriedades do sistema realizadas pelo malware.
Esta seção descreve como analisar vários componentes do sistema e rastrear alterações maliciosas durante a
análise dinâmica de malware.

Análise do Comportamento do Sistema: Monitorando Artefatos do Registro
ÿ O malware manipula o registro para garantir Registro de monitoramento

que seja executado automaticamente artefatos
sempre que o computador for inicializado ou

o usuário fizer login
ÿ Ao executar o malware em uma estação de

trabalho forense, você pode observar sua Analisando AutoStart
atividade no registro e procurar chaves ou Locais de registro
valores específicos que são lidos, criados,

modificados ou excluídos por ele
ÿ Procure locais de registro do Windows

AutoStart que são comumente visados por
malware para persistir no sistema Executar Chaves Chaves RunOnce Chaves de inicialização
Análise do Comportamento do Sistema: Monitorando Artefatos do Registro
O registro do Windows armazena os detalhes de configuração do sistema operacional e do programa, como configurações e
opções. Se o malware for um programa, o registro armazena sua funcionalidade. O malware manipula o registro para garantir
que ele seja executado automaticamente sempre que um computador ou dispositivo for inicializado ou um usuário fizer login.
Os investigadores forenses podem executar o malware em uma estação de trabalho forense do Windows e observar como ele
interage com os arquivos de registro do sistema, particularmente as chaves e valores do registro que são criados, modificados
ou excluídos por ele.
Os investigadores podem examinar locais de registro específicos enquanto realizam uma análise de tempo de execução do
malware para saber mais sobre sua funcionalidade. O monitoramento das chaves de registro do AutoStart pode ser bastante
útil, pois esses são os locais mais comuns visados por malware.
Figura 12.15: Chaves de registro do Windows AutoStart

Chaves de registro do Windows AutoStart
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Executar/Executar uma vez
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Chaves
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Chaves de inicialização
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Chaves de registro do Windows AutoStart
As chaves AutoStart no registro do Windows, que permitem que os programas sejam executados automaticamente na
reinicialização do sistema ou no login do usuário, são os locais mais comuns visados por malware para obter persistência em
qualquer máquina comprometida.
Algumas das chaves de registro do Windows AutoStart visadas por programas maliciosos são discutidas abaixo:
ÿ Teclas Run/RunOnce
O malware geralmente modifica as chaves de registro mencionadas abaixo para continuar em execução no sistema
sempre que o usuário fizer login:
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Um programa malicioso também pode modificar as seguintes chaves relacionadas ao sistema:
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policie
s\Explorer\Run
ÿ Teclas de Inicialização
Os autores de malware também tentam colocar seu arquivo executável malicioso no diretório de inicialização do
sistema comprometido e criar uma entrada de atalho no local apontado pela subchave Startup, que é definida para
executar o serviço automaticamente em cada logon/reinicialização.

Esses locais de inicialização são encontrados no nível do usuário e no nível do

sistema: o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore
r\Shell Folders, Common Startup
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore
r\Pastas do shell do usuário, inicialização comum
o HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Pastas Shell, Inicialização
o HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Pastas do shell do usuário, inicialização

Analisando chaves de registro do Windows AutoStart

ÿ Aqui, a extração de dados das chaves AutoStart mostra que o malware anexou
ÿ Use ferramentas como Regripper que vem com
um arquivo de script VB persistente sob a chave Run para executar
GUI e ferramentas de linha de comando que
automaticamente no login do usuário: ÿ PiQyyECwr: Novo valor de nome criado
podem analisar chaves, valores e dados do registro
sob a chave Run ÿ CaoCIboog.vbs: script VB malicioso arquivo instalado
para obter persistência ÿ Caminho do arquivo de script: C:
Comando para analisar o conteúdo da chave de
registro de inicialização automática do arquivo NTUSER.dat \Users\Robert\AppData\Local\Temp\CaoCIboog.vbs
de um usuário específico (Robert) no Regripper
Analisando chaves de registro do Windows AutoStart
Depois que o malware é executado em uma estação de trabalho forense do Windows, os investigadores podem examinar os
locais de registro do AutoStart por meio de ferramentas como o Regripper para ver se ele segue algum mecanismo de persistência.
A captura de tela abaixo mostra o comando usado para analisar o conteúdo da chave de registro AutoStart do arquivo
NTUSER.dat de um usuário específico (neste cenário, Robert) para um arquivo de texto chamado Output.txt via Regripper após
a execução do malware. O NTUSER.dat é um arquivo de log de registro que armazena configurações e preferências específicas
para qualquer conta de usuário.
Figura 12.16: Comando usado para analisar o arquivo NTUSER.dat de um usuário específico usando o Regripper
A análise dos valores da chave de registro AutoStart mostra uma entrada adicionada à chave Run na seção
HKEY_CURRENT_USER pelo malware em tempo de execução. O malware anexou um arquivo de script VB persistente na
chave Run para ser executado automaticamente no login do usuário:
ÿ PiQyyECwr: Novo valor de nome criado na tecla Executar
ÿ CaoCIboog.vbs: arquivo de script VB malicioso instalado para obter persistência
ÿ Caminho do arquivo de script: C:\Users\Robert\AppData\Local\Temp\CaoCIboog.vbs

Figura 12.17: Análise do arquivo output.txt
ÿ RegRipper
Fonte: https:// github.com
RegRipper é uma ferramenta de código aberto, escrita em Perl, para extrair/analisar informações (chaves,
valores, dados) do Registro e apresentá-las para análise.
O RegRipper consiste em duas ferramentas básicas, ambas com recursos semelhantes. A GUI do RegRipper
permite que o analista selecione um hive para analisar, um arquivo de saída para os resultados e um perfil
(lista de plug-ins) para executar no hive. Ele também inclui uma ferramenta de linha de comando (CLI) chamada
rip. Rip pode ser apontado para uma seção e pode executar um perfil (uma lista de plug-ins) ou um plug-in
individual nessa seção, com os resultados sendo enviados para STDOUT.
Essa ferramenta é executada por meio de plug-ins que são scripts Perl individuais, cada um executando uma
função específica. Os plug-ins podem localizar chaves específicas e listar todas as subchaves, bem como
valores e dados, ou podem localizar valores específicos.

Análise do Comportamento do Sistema: Processos de Monitoramento
ÿ Alguns malwares também usam PEs Process Monitor mostra o sistema de arquivos em tempo real,
Monitor de processo
Registro e atividade de processo/thread
(Executável Portátil) para se
injetar em vários processos (como
explorer.exe ou navegadores da
web)
ÿ Acompanhamento do processo após a

a execução do malware na estação de
trabalho forense ajuda a identificar os
processos que o malware inicia ou
assume
ÿ Use ferramentas de monitoramento de processo como

Process Monitor para verificar
processos suspeitos criados pelo malware
https:// docs.microsoft.com
Análise do Comportamento do Sistema: Processos de Monitoramento
Alguns malwares também usam PEs (Portable Executable) para se injetar em vários processos (como explorer.exe ou
navegadores da web). Os investigadores devem realizar o monitoramento do processo, pois isso os ajudará a entender
os processos iniciados e controlados por um malware após a execução.
Eles também devem observar os processos filho, identificadores associados, bibliotecas carregadas e funções para
definir a natureza de um arquivo ou programa, coletar informações sobre os processos em execução antes da execução
do malware e compará-los com os processos em execução após a execução. Este método reduzirá o tempo necessário
para analisar os processos e facilitará a identificação de todos os processos iniciados pelo malware.
ÿ Monitor de Processos
Fonte: https:// docs.microsoft.com
Process Monitor é uma ferramenta de monitoramento para Windows que mostra sistema de arquivos em
tempo real, registro e atividade de processo/thread. Ele combina os recursos de dois utilitários Sysinternals,
Filemon e Regmon, e adiciona aprimoramentos, incluindo filtragem avançada e não destrutiva, propriedades
abrangentes de eventos, como IDs de sessão e nomes de usuário, informações confiáveis sobre o processo,
pilhas completas de threads com suporte a símbolos integrados para cada operação, registrar em um arquivo
e muito mais. Seus recursos exclusivos e poderosos farão do Process Monitor um utilitário essencial no kit de
ferramentas de solução de problemas e caça a malware do sistema.
O Process Monitor inclui recursos de monitoramento e filtragem, que incluem o seguinte:
o Mais dados capturados para parâmetros de entrada e saída da operação
o Filtros não destrutivos permitem que você defina filtros sem perder dados

o Captura de pilhas de threads para cada operação torna possível em muitos casos identificar
a causa raiz de uma operação
o Captura confiável de detalhes do processo, incluindo caminho da imagem, linha de comando e usuário e
IDs de sessão
o Colunas configuráveis e móveis para qualquer propriedade de evento
o Os filtros podem ser definidos para qualquer campo de dados, incluindo campos não configurados como colunas
o A arquitetura de registro avançada escala para dezenas de milhões de eventos capturados e

gigabytes de dados de registro
o Ferramenta de árvore de processo mostra a relação entre todos os processos referenciados em um rastreamento
o O formato de log nativo preserva todos os dados para carregamento em uma instância diferente do Process Monitor
o Dica de ferramenta do processo para facilitar a visualização das informações da imagem do processo
o A dica de ferramenta de detalhes permite acesso conveniente a dados formatados que não cabem no
coluna
o Pesquisa cancelável
o Registro do tempo de inicialização de todas as operações
Figura 12.18: A ferramenta Process Monitor

Análise do Comportamento do Sistema: Monitorando os Serviços do Windows
ÿ Esta ferramenta pode ajudar a rastrear serviços maliciosos iniciados pelo Serviço do Windows
malware. Ele pode criar serviços sem reiniciar o Windows, excluir serviços Gerente
existentes e alterar a configuração do serviço. (SrvMan)
ÿ Malware gera serviços do Windows que permitem que

invasores controlem remotamente a máquina da
vítima e passem instruções maliciosas
ÿ O malware também pode empregar técnicas de rootkit para

manipular
Chaves de registro
HKEY_LOCAL_MACHINE\System\CurrentContr
olSet\Services para ocultar seus processos
ÿ Examinar os serviços do Windows durante a execução

do malware ajuda a identificar quaisquer serviços
suspeitos criados pelo malware que possam ser
executados automaticamente ou exigir intervenção
manual para serem iniciados https:// sysprogs.com
Análise do Comportamento do Sistema: Monitorando os Serviços do Windows
Os invasores projetam malware e outros códigos maliciosos de forma a serem instalados e executados em um dispositivo de
computador na forma de um serviço. Um malware pode gerar serviços do Windows que permitem que os invasores controlem
remotamente a máquina da vítima e passem instruções maliciosas ou apliquem técnicas de rootkit para manipular as chaves de
registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services e evitar a detecção.
Como muitos serviços do Windows são executados em segundo plano para dar suporte a processos e aplicativos, os serviços
mal-intencionados ficam invisíveis mesmo quando executam atividades nocivas no sistema e podem funcionar mesmo sem
qualquer intervenção ou entrada.
Esses serviços maliciosos são executados como uma conta SYSTEM ou outras contas privilegiadas, que fornecem mais acesso
do que as contas de usuário. Isso os torna mais perigosos do que um malware comum e código executável. Os invasores também
tentam enganar os usuários e os investigadores, nomeando os serviços maliciosos com nomes semelhantes aos dos serviços
genuínos do Windows para evitar a detecção.
Os investigadores precisam rastrear os serviços maliciosos iniciados por um malware durante a análise de tempo de execução
usando ferramentas que podem detectar alterações nos serviços. Os investigadores podem usar ferramentas como o Windows
Service Manager para essa finalidade.
ÿ Gerenciador de Serviços do Windows (SrvMan)
Fonte: https:// sysprogs.com
Windows Service Manager é uma pequena ferramenta que simplifica todas as tarefas comuns relacionadas aos serviços
do Windows. Ele pode criar serviços (Win32 e Legacy Driver) sem reiniciar o Windows, excluir serviços existentes e
alterar a configuração do serviço.

Possui modos GUI e linha de comando. Ele também pode ser usado para executar aplicativos Win32 arbitrários
como serviços (quando esse serviço é interrompido, a janela principal do aplicativo é fechada automaticamente).
Características:
o Permite a criação de drivers e serviços Win32 sem reiniciar
o Suporta GUI e linha de comando
o Suporta todas as versões modernas de 32 bits e 64 bits do Windows
o Permite a execução de aplicativos Win32 arbitrários como serviços
o Permite instalar e executar serviços de driver herdados em uma única chamada de linha de comando
Você pode usar a interface de linha de comando do SrvMan para executar as seguintes tarefas:
o Criação de serviços
Use a seguinte linha de comando para criar serviços usando SrvMan (os parâmetros entre colchetes são
opcionais):
srvman.exe add <file.exe/file.sys> [nome do serviço] [nome de exibição] [/type:<tipo de

serviço>]
[/start:<modo de início>] [/interactive:no] [/overwrite:yes]
o Excluindo serviços
Use o seguinte comando para excluir serviços usando SrvMan:
srvman.exe delete <nome do serviço>
o Iniciar/parar/reiniciar serviços
Normalmente, SrvMan aguarda o início do serviço. No entanto, se você especificar o parâmetro /nowait,
SrvMan retornará o controle imediatamente após a emissão da solicitação de início/parada. A seguir estão
alguns comandos para iniciar/parar/reiniciar serviços usando SrvMan:
• srvman.exe start <nome do serviço> [/nowait] [/delay:<atraso no

ms>]
• srvman.exe stop <nome do serviço> [/nowait] [/delay:<atraso no

ms>]
• srvman.exe restart <nome do serviço> [/delay:<atraso em ms>]
o Testando o driver legado
Teste os drivers herdados usando o seguinte comando com SrvMan:
srvman.exe run <driver.sys> [nome do serviço] [/copy:yes] [/overwrite:no] [/stopafter:<msec>]

Figura 12.19: Gerenciador de Serviços do Windows

Análise de comportamento do sistema: monitoramento de programas de inicialização
O malware pode alterar as configurações do sistema e se adicionar ao menu de inicialização para realizar atividades maliciosas
sempre que o sistema for iniciado
Etapas para detectar manualmente malware oculto ÿ Verifique as
entradas do programa de inicialização no registro ÿ Verifique os drivers
carregados automaticamente
ÿ C:\Windows\System32\drivers
ÿ Verifique as entradas boot.ini ou bcd (bootmgr) ÿ
Verifique os serviços de inicialização do Windows
ÿ Vá para Executar ÿ Digite services.msc ÿ Classifique por tipo de inicialização
ÿ Verifique as pastas de inicialização
ÿ C:\ProgramData\Microsoft\Windows\Menu Iniciar\Programas\Inicialização
ÿ C:\Users\<UserName>\AppData\Roaming\Microsoft\Windows\Start
Menu\Programas\Inicialização
Análise de comportamento do sistema: monitoramento de programas de inicialização
Vários cavalos de Tróia e malware podem alterar as configurações do sistema e se adicionar ao menu de inicialização
para executar atividades maliciosas continuamente sempre que o sistema é iniciado. Portanto, os investigadores devem
monitorar minuciosamente os programas de inicialização enquanto detectam cavalos de Tróia. Abaixo estão as maneiras
de detectar cavalos de Tróia ocultos em um sistema suspeito:
Verifique boot.ini
Verifique as entradas boot.ini ou bcd (bootmgr) usando o prompt de comando. Abra o prompt de comando como
administrador, digite bcdedit e pressione o botão enter para visualizar todas as entradas do gerenciador de inicialização.
Figura 12.20: comando bcdedit exibindo as entradas do gerenciador de inicialização do Windows

Verifique os serviços do Windows
Para encontrar o processo de inicialização, os investigadores podem verificar a lista de serviços do Windows para ver os
serviços que iniciam automaticamente quando o sistema inicializa. Para verificar os serviços do Windows, os investigadores
podem navegar até Executar ÿ Digite services.msc ÿ Classificar por tipo de inicialização
Figura 12.21: Janela Serviços mostrando informações sobre serviços em um sistema local
Verifique as pastas de inicialização
As pastas de inicialização armazenam os aplicativos ou atalhos de aplicativos que iniciam automaticamente quando o
sistema inicializa. Para verificar os aplicativos de inicialização, pesquise os seguintes locais no Windows 10:
ÿ C:\ProgramData\Microsoft\Windows\Menu Iniciar\Programas\Inicialização
ÿ C:\Users\(UserName)\AppData\Roaming\Microsoft\Windows\StartMenu\P rograms\Startup
Outro método para acessar as pastas de inicialização é o seguinte:
1. Pressione os botões Windows e r simultaneamente para abrir a caixa Executar
2. Digite shell:startup na caixa e clique no botão OK para navegar até a pasta de inicialização
Figura 12.22: shell: comando de inicialização na caixa Executar

Ferramenta de monitoramento de programas de inicialização: Autoruns para Windows
Autoruns para Windows exibe programas configurados para serem executados automaticamente durante o login
do usuário ou inicialização do sistema e pode ajudar a detectar programas e processos de inicialização suspeitos
https:// docs.microsoft.com
Ferramenta de monitoramento de programas de inicialização: Autoruns para Windows
Este utilitário mostra quais programas estão configurados para serem executados durante a inicialização ou login do
sistema e quando você inicia vários aplicativos integrados do Windows, como Internet Explorer, Explorer e reprodutores
de mídia. Esses programas e drivers incluem aqueles na pasta de inicialização e em Run, RunOnce e outras chaves
de registro. Autoruns relata extensões de shell do Explorer, barras de ferramentas, objetos auxiliares do navegador,
notificações de Winlogon, serviços AutoStart e muito mais.
Execute o Autoruns e ele mostra os aplicativos AutoStart atualmente configurados, bem como toda a lista de locais de
registro e sistema de arquivos disponíveis para configuração do AutoStart. Os locais de início automático exibidos pelo
Autoruns incluem entradas de logon, complementos do Explorer, complementos do Internet Explorer, incluindo objetos
auxiliares do navegador (BHOs), Appinit DLLs, seqüestros de imagem, imagens de execução de inicialização,
notificação de Winlogon DLLs, Windows Services e Winsock Layered Service Providers, codecs de mídia e muito
mais . Alterne as guias para ver os inícios automáticos de diferentes categorias.
Uso do Autorunsc
Autorunsc é a versão de linha de comando do Autoruns.
Sintaxe:
autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[- z ] | [do utilizador]]]

Parâmetros:
-a Seleção de entrada de início automático

*
Todos
B Executar inicialização
D DLLs do Appinit
E
Extras do Explorer
G Gadgets da barra lateral (Vista e superior)
H Sequestros de imagem
EU
complementos do Internet Explorer
k DLLs conhecidas
eu
Inicializações de logon (este é o padrão)
M entradas WMI
N protocolo Winsock e provedores de rede
O codecs
P DLLs do monitor da impressora
R Provedores de segurança LSA
S Serviços de inicialização automática e drivers não desativados
T Atividades agendadas
EM Entradas de logon
-c Saída de impressão como CSV
-ct Saída de impressão como valores delimitados por tabulações
-h Mostrar hashes de arquivo
-m Ocultar entradas da Microsoft (entradas assinadas se usadas com -v)
-s Verificar assinaturas digitais
-t Mostrar carimbos de data/hora em UTC normalizado (AAAAMMDD-hhmmss)
Se a verificação do VirusTotal estiver ativada, mostra os arquivos que são desconhecidos pelo VirusTotal ou
-em
têm detecção diferente de zero, caso contrário, mostra apenas os arquivos não assinados
-x Imprimir saída como XML
Consulte o VirusTotal em busca de malware com base no hash do arquivo. Adicione 'r' para abrir relatórios
de arquivos com detecção diferente de zero. Os arquivos relatados como não verificados anteriormente
-v[rs]
serão carregados no VirusTotal se a opção 's' for especificada. Nota Os resultados da varredura podem não
estar disponíveis por cinco ou mais minutos.
Antes de usar os recursos do VirusTotal, você deve aceitar os termos de serviço do VirusTotal. Se você não
-vt aceitou os termos e omitiu esta opção, você será questionado interativamente.
-Com
Especifica o sistema Windows offline a ser verificado.
Especifica o nome da conta de usuário para a qual os itens de execução automática serão exibidos.
Do utilizador
“*”
Especificamos para verificar todos os perfis de usuário
Tabela 12.2: Parâmetros Autorunsc

Figura 12.23: Autoruns para Windows mostrando modificações na chave de registro de inicialização automática e na pasta de inicialização por malware

Análise de comportamento do sistema: monitoramento de logs de eventos do Windows
ÿ Os logs de eventos do Windows são armazenados em

Pasta C:\Windows\System32\winevt\Logs
com extensão .etvx
ÿ Execute o malware no
Estação de trabalho forense do Windows e
monitorar os eventos desencadeados por
sua execução e operações
ÿ Use o utilitário Event Viewer interno do

Windows para monitorar eventos com base
em detalhes específicos, como ID do evento,
nome do evento, descrição do evento, etc.,
para procurar indicadores de malware na
estação de trabalho
Análise de comportamento do sistema: monitoramento de logs de eventos do Windows
A análise dos logs de eventos, que armazenam um registro detalhado de todas as atividades realizadas no sistema operacional
Windows com base nas políticas de auditoria executadas, pode fornecer aos investigadores forenses informações valiosas
enquanto procuram sinais de um ataque de malware em um sistema específico.
Os logs de eventos podem ser encontrados na pasta C:\Windows\System32\winevt\Logs em todas as edições do sistema
operacional Windows e são armazenados com a extensão.etvx.
Figura 12.24: Caminho para os logs de eventos do Windows
Depois de executar o malware na estação de trabalho forense do Windows, os investigadores podem monitorar os eventos
acionados por suas atividades por meio do utilitário integrado Visualizador de eventos do Windows. Eles podem examinar esses
eventos em tempo real com base em detalhes específicos, como ID do evento, nome do evento, descrição do evento etc., para
extrair dados sobre como o malware está interagindo com os recursos do sistema e usá-los para análise posterior.

Figura 12.25: Visualizador de eventos do Windows

Análise de comportamento do sistema: monitoramento de chamadas de API
ÿ Programas maliciosos geralmente usam

APIs do Windows para acessar informações do
sistema operacional , como sistemas de arquivos,
threads, registro e kernel
ÿ O monitoramento de chamadas de API

ajuda a entender a interação de um malware com o
sistema operacional e pode fornecer informações valiosas
sobre seu sistema e atividades em nível de rede
ÿ Use ferramentas como API Monitor para interceptar

Chamadas de API feitas pelo malware durante o tempo
de execução
http:// www.rohitab.com
Análise de comportamento do sistema: monitoramento de chamadas de API (continuação)
O exame das chamadas de API feitas pelo

malware durante a execução por meio da ferramenta
API Monitor revela o seguinte: ÿ O malware usou
repetidamente “CreateFileA” e
Funções “NtCreateFile” para criar arquivos maliciosos
na pasta do sistema da estação de trabalho forense do
Windows
ÿ Ele tentou criar uma série de HTML e

Arquivos SCR com os seguintes nomes:
ÿ molani.scr
ÿ evan.html
ÿ avril.html
ÿ nemo.html
Análise de comportamento do sistema: monitoramento de chamadas de API
Interfaces de programação de aplicativos (APIs) são partes do sistema operacional Windows que permitem que aplicativos
externos acessem informações do sistema operacional, como sistemas de arquivos, threads, erros, registro, kernel, botões,
ponteiro do mouse, serviços de rede, web e internet. Os programas de malware também usam essas APIs para acessar as
informações do sistema operacional.

Os investigadores precisam reunir as APIs relacionadas a programas de malware e analisá-las para revelar sua
interação com o sistema operacional, bem como as atividades que estão realizando no sistema. Eles podem
usar ferramentas como API Monitor para realizar a análise.
O exame das chamadas de API, conforme mostrado nas capturas de tela abaixo, feitas por uma amostra de malware
durante a execução por meio da ferramenta API Monitor revela o seguinte:
ÿ O malware usou repetidamente as funções “CreateFileA” e “NtCreateFile” para criar

arquivos maliciosos na pasta do sistema da estação de trabalho forense
ÿ
Ele tentou criar vários arquivos HTML e SCR com os seguintes nomes:
o molani.scr
ou evan.html
o avril.html
o nemo.html
Figura 12.26: Criação do arquivo molani.scr na unidade do sistema
Figura 12.27: Criação do arquivo evan.html na unidade do sistema
Figura 12.28: Criação do arquivo avril.html na unidade do sistema
Figura 12.29: Criação do arquivo meno.html na unidade do sistema

Monitor de API
Fonte: http:// www.rohitab.com
O API Monitor é um software gratuito que permite monitorar e controlar chamadas de API feitas por aplicativos e
serviços. Essa ferramenta ajuda a visualizar como os aplicativos e serviços funcionam ou a rastrear problemas nos
aplicativos.
Características
ÿ Suporte de 64 bits
O API Monitor oferece suporte ao monitoramento de aplicativos e serviços de 64 bits. A versão de 64 bits só
pode ser usada para monitorar aplicativos de 64 bits e a versão de 32 bits só pode ser usada para monitorar
aplicativos de 32 bits. Para monitorar um aplicativo de 32 bits no Windows de 64 bits, você deve usar a versão
de 32 bits. Observe que o instalador de 64 bits do API Monitor inclui ambos
Versões de 64 bits e 32 bits.
ÿ Visualização resumida com realce de sintaxe
A janela Resumo exibe informações sobre a chamada de API. Isso inclui o ID do encadeamento e o nome da
DLL que fez a chamada de API, a chamada de API realçada pela sintaxe com todos os parâmetros e o valor
de retorno. Se a chamada da API falhar, as informações sobre o erro também serão exibidas.
ÿ Definições de API e Interfaces COM
O API Monitor vem com definições de API para mais de 13.000 APIs de quase 200 DLLs e mais de 17.000
métodos de mais de 1.300 interfaces COM (Shell, navegador da web, DirectShow, DirectSound, DirectX,
Direct2D, DirectWrite, Windows Imaging Component, Debugger Engine, MAPI, etc.) . As APIs são organizadas
em categorias e subcategorias (conforme especificado no MSDN). O filtro API Capture permite selecionar APIs
para monitoramento.
ÿ Estruturas, Uniões, Enums e Flags
O API Monitor pode decodificar e exibir 2.000 estruturas e uniões diferentes, mais de 1.000 tipos de dados
enumerados e mais de 800 sinalizadores. Buffers e arrays dentro de estruturas também podem ser visualizados.
ÿ Visualização do Buffer
API Monitor pode exibir buffers de entrada e saída. A quantidade de dados exibidos é calculada automaticamente
a partir de outros argumentos para a API ou do valor de retorno da API.
A quantidade máxima de dados a serem capturados é configurável.
O comprimento lpBuffer é calculado observando o valor de lpNumberOfBytesRead após a execução da

chamada de API. Nesse caso, o valor retornado é 174, que é o comprimento exibido do buffer.
ÿ Árvore de Chamadas
O API Monitor exibe uma árvore de chamadas que mostra a hierarquia das chamadas de API. A captura de
tela a seguir exibe uma árvore de chamadas para uma chamada CoGetClassObject feita por um aplicativo VB que

carrega o controle Microsoft Winsock ActiveX. O controle ActiveX MSWINSCK.OCX faz chamadas para
WSAStartup e CreateWindowExA de DllMain.
ÿ Parâmetros de decodificação e valores de retorno
Ambos os parâmetros e valores de retorno podem ser exibidos em um formato amigável. A primeira captura
de tela abaixo mostra a exibição normal com os valores de parâmetro exibidos como estão. Para dwShareMode,
o API Monitor exibe FILE_SHARE_DELETE | FILE_SHARE_READ em vez de 5 quando a opção Decode
Parameter Values está habilitada. Essa opção está disponível no painel de parâmetros e no painel de resumo.
Figura 12.30: ferramenta API Monitor

Análise do Comportamento do Sistema: Monitoramento de Drivers de Dispositivos
ÿ O malware é instalado junto com os

drivers de dispositivo baixados
de fontes não confiáveis e usá-los
como um escudo para evitar a
detecção
ÿ Você deve verificar se há

drivers de dispositivo e verifique
se eles são genuínos e baixados do
site original do editor
ÿ Vá em Executar ÿ Digite msinfo32 ÿ

Ambiente de Software ÿ Sistema
motoristas
Análise do Comportamento do Sistema: Monitoramento de Drivers de Dispositivos
O malware é instalado junto com os drivers de dispositivo baixados de fontes não confiáveis e os usa como um escudo
para evitar a detecção. Você deve procurar drivers de dispositivo suspeitos e verificar se eles são genuínos e baixados
do site original do editor. Para visualizar os drivers de dispositivo em uma máquina Windows, navegue até Executar ÿ
Digite msinfo32 ÿ Ambiente de software ÿ Drivers do sistema.
Figura 12.31: Lista de drivers do sistema em uma máquina Windows local

Ferramenta de monitoramento de drivers de dispositivo: DriverView
O utilitário DriverView exibe uma lista de todos os drivers de dispositivo atualmente carregados no sistema. Para
cada driver na lista, são exibidas informações adicionais, como o endereço de carregamento do driver, descrição,
versão, nome do produto e a empresa que criou o driver.
Ferramenta de monitoramento de driver de dispositivo: DriverView
O utilitário DriverView exibe uma lista de todos os drivers de dispositivo atualmente carregados no sistema. Para cada
driver na lista, são exibidas informações adicionais, como o endereço de carregamento do driver, descrição, versão,
nome do produto e a empresa que criou o driver.
Figura 12.32: Ferramenta DriverView

Análise do Comportamento do Sistema: Monitoramento de Arquivos e Pastas
Você pode usar arquivos e ferramentas de monitoramento de integridade de pastas para examinar o sistema de arquivos e a atividade de pastas
em tempo real em um sistema infectado
ASSINAR VERIFICAR FCIV TRIPWIRE ENTERPRISE
ÿ Verifica a integridade de arquivos críticos ÿ É um utilitário de linha de comando que ÿ É um verificador de integridade do sistema
assinados digitalmente pela Microsoft calcula hashes criptográficos MD5 ou de classe empresarial que verifica e
SHA1 para arquivos relata alterações em arquivos críticos
do sistema
ÿ Para iniciar o SIGVERIF, vá para Iniciar ÿ Você pode baixar o FCIV em
ÿ Executar, digite sigverif e pressione https:// docs.microsoft.com
Digitar
Análise do Comportamento do Sistema: Monitoramento de Arquivos e Pastas
O malware também pode modificar os arquivos e pastas do sistema para salvar algumas informações neles.
Os investigadores devem ser capazes de encontrar os arquivos e pastas que um malware cria e analisá-los para coletar
qualquer informação importante armazenada neles. Esses arquivos e pastas também podem conter código de programa oculto
ou sequências maliciosas que o malware agendará para execução em um horário específico.
ÿ Visibilidade
A verificação de assinatura de arquivo, também chamada de Sigverif, é um utilitário integrado da Microsoft no

Windows 10/8/7. Ele verifica a integridade de arquivos críticos que foram assinados digitalmente pela Microsoft.
Assim, pode ajudar os investigadores a encontrar drivers não assinados. Para iniciar o SIGVERIF, vá para Executar,
digite sigverif e pressione Enter.
ÿ FCIV
O File Checksum Integrity Verifier (FCIV) é um utilitário de prompt de comando que gera e verifica valores de hash
de arquivos usando algoritmos MD5 ou SHA-1.
O utilitário FCIV tem os seguintes recursos:
o Suporta algoritmos de hash MD5 ou SHA1 (o padrão é MD5)
o Pode enviar valores de hash para o console ou armazenar o valor de hash e o nome do arquivo em um
arquivo XML
o Pode gerar valores de hash recursivamente para todos os arquivos em um diretório e em todos os subdiretórios
(por exemplo, fciv.exe c:\ -r)

o Fornece uma lista de exceções para especificar arquivos ou diretórios para hash
o Pode armazenar valores de hash para um arquivo com ou sem o caminho completo do arquivo
ÿ Tripwire Enterprise
Fonte: https:// www.tripwire.com
O Tripwire Enterprise é uma ferramenta para avaliar configurações de TI e detectar, analisar e relatar qualquer
atividade de mudança na infraestrutura de TI. O Tripwire Enterprise pode monitorar servidores, desktops, servidores
de diretório, hipervisores, bancos de dados, aplicativos de middleware e dispositivos de rede.
O Tripwire Enterprise captura uma linha de base de sistemas de arquivos de servidor, sistemas de arquivos de
desktop, servidores de diretório, bancos de dados, sistemas virtuais, aplicativos de middleware e configurações de
dispositivos de rede em bom estado. Ele realiza verificações de integridade contínuas e, em seguida, compara os
estados atuais com essas linhas de base para detectar alterações. Ao fazer isso, ele coleta informações essenciais
para a reconciliação das alterações detectadas.
O Tripware Enterprise pode verificar as alterações detectadas com políticas de conformidade de TI definidas (filtragem
baseada em políticas); alterações documentadas em tickets em um sistema CCM ou uma lista de alterações
aprovadas; listas geradas automaticamente por ferramentas de gerenciamento de patches e provisionamento de
software; e contra recursos adicionais do ChangeIQ™. Isso permite que ele reconheça as alterações desejadas e
exponha as alterações indesejadas automaticamente.

Ferramenta de monitoramento de arquivos e pastas: PA File Sight
ÿ PA file sight é um utilitário de monitoramento de arquivos que

audita qual usuário/aplicativo está excluindo arquivos,
movendo arquivos ou lendo arquivos. Pode gerar relatórios
com detalhes, como:
ÿ Conta de usuário, incluindo

domínio/Active Directory
ÿ Nome do computador do usuário
ÿ Arquivo e pasta de destino
ÿ Atividade realizada no arquivo

(ler, escrever, deletar)
ÿ Data e hora da ação
https:// www.poweradmin.com
Ferramenta de monitoramento de arquivos e pastas: PA File Sight
Fonte: https:// www.poweradmin.com
O PA File Sight é um software de monitoramento de arquivos e auditoria de acesso que rastreia quem está excluindo arquivos,
movendo arquivos ou lendo arquivos; detecta usuários copiando arquivos; e, opcionalmente, bloqueia o acesso.
Com seus recursos de monitoramento de arquivos, ele pode determinar coisas como as seguintes:
ÿ quando um arquivo ou pasta foi excluído
ÿ observe as modificações do arquivo de log, o que é útil para o monitoramento da integridade do arquivo PCI DSS (FIM)
ÿ quem excluiu ou moveu arquivos ou pastas
ÿ de qual computador eles leram/escreveram/excluíram o arquivo ou as pastas (endereço IP* e

nome do computador)
ÿ quem está lendo e escrevendo arquivos confidenciais
ÿ quando um novo arquivo ou pasta é criado, renomeado ou movido
Recursos de auditoria de arquivos
ÿ Monitoramento de Arquivos
o Todos os arquivos ou apenas um subconjunto
o Criação, exclusão, acesso (leituras) e alterações (gravações) de arquivos e pastas
o Alterações de permissão de arquivos e pastas
o Ações bem-sucedidas e falhas
o Monitoramento em tempo real que não requer ativação de eventos de auditoria do sistema

ÿ Monitoramento de Integridade de Arquivos (FIM)
o Prova que os arquivos de log são apenas anexados e não alterados no meio
o Alertar se um usuário ou processo inesperado alterar arquivos
ÿ Detalhes do Alerta
o Conta de usuário, incluindo domínio/Active Directory
o Endereço IP do usuário e nome do computador
o Arquivo e pasta de destino
o Atividade realizada no arquivo (ler, gravar, excluir)
o Data e hora da ação
ÿ Relatórios
o Relatório sobre usuários, arquivos ou atividades específicas (por exemplo, exclusão de arquivo)
o Relatório sobre intervalo de tempo específico
o Período de retenção de dados configurável
o Relatórios em formatos de texto, HTML, CSV ou PDF
o Os relatórios são protegidos por senha
Conformidade de auditoria de acesso a arquivos
Muitos mandatos de conformidade exigem acesso a arquivos de auditoria e garantia de integridade de arquivos. O PA
File Sight pode ajudar a atender a esses requisitos, incluindo os listados abaixo:
ÿ PCI (Payment Card Industry) DSS 10.5.5, 11.5, 12.9.5
ÿ SOX (Sarbanes-Oxley) DS5.5
ÿ GLBA 16 CFR Parte 312.4(b) e (3)
ÿ HIPAA 164.312(b)
ÿ FISMA AC-19, CP-9, SI-1, SI-7
ÿ ISO 27001/27002 12.3, 12.5.1, 12.5.3, 15.3

Figura 12.33: Ferramenta PA File Sight

Verificadores de integridade de arquivos e pastas: FastSum e WinMD5

ÿ FastSum é usado para verificar a integridade ÿ WinMD5 é uma ferramenta utilitária do Windows para
dos arquivos calcular os hashes MD5 de arquivos
FastSum WinMD5
ÿ Calcula somas de verificação de acordo com o ÿ Essas impressões digitais podem ser usadas para garantir
algoritmo de soma de verificação MD5 que o arquivo não esteja corrompido
https:// www.fastsum.com https:// www.winmd5.com
Verificadores de integridade de arquivos e pastas: FastSum e WinMD5

ÿ FastSum
Fonte: https:// www.fastsum.com

FastSum, construído sobre o algoritmo de soma de verificação MD5, é uma ferramenta para verificar a integridade
dos arquivos. O FastSum calcula as somas de verificação de acordo com o algoritmo de soma de verificação MD5,
o que facilita a comparação e o armazenamento das saídas.
Figura 12.34: ferramenta FastSum

ÿ WinMD5
Fonte: https:// www.winmd5.com
WinMD5Free é um utilitário para calcular valores de hash MD5 para arquivos. Funciona com Microsoft
Windows 98, 2000, XP, 2003, Vista, 7 e versões posteriores.
Como um padrão da Internet (RFC 1321), o MD5 tem sido usado em uma ampla variedade de aplicativos de
segurança e também é comumente usado para verificar a integridade do arquivo e verificar o download.
Para usar esta ferramenta, é necessário baixar o arquivo EXE, descompactá-lo e colocá-lo em qualquer lugar
do disco rígido.
Algumas de suas características são as seguintes:
o Suporta quase todas as plataformas Windows, incluindo Microsoft Windows 95, 98, 2000,
Eu, XP, 2003, Vista e Windows 7
o Suporta arquivos grandes e baixo uso de recursos
o Não requer tempo de execução .NET pré-instalado na máquina para ser executado
o Suporta “arrastar e soltar”
o Suporta a verificação dos valores MD5 originais e atuais
o Devido à sua embalagem menor, suporta segurança de dados
Figura 12.35: Ferramenta WinMD5

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Realizar análise de comportamento de rede

O monitoramento das comunicações de rede é uma parte importante da análise dinâmica de malware,
pois pode exibir as operações de malware nas propriedades da rede. Entender como um malware se
infiltra na rede pode ser a chave para prevenir sua propagação e mitigar riscos. Portanto, os investigadores
devem monitorar o ambiente de rede durante o tempo de execução e ver como o malware interage com
as propriedades da rede.
Esta seção discute várias técnicas e ferramentas usadas por investigadores forenses para detectar sinais
de propagação de malware em uma rede em tempo real.

Análise de comportamento de rede: monitoramento de atividades de rede
ÿ O malware tenta se ÿ Ao inspecionar a estação

comunicar com o de trabalho forense após a
rede para vários execução do malware, você
atividades, como deve verificar os seguintes
propagação, download de aspectos:
conteúdo malicioso, transmissão ÿ Endereços IP indo e conectando-
de arquivos e informações se à estação de trabalho
confidenciais , oferta de
controle remoto para invasores, ÿ Portas sendo abertas na estação
etc. de trabalho
ÿ Lista de entradas de DNS

gravadas na estação
de trabalho
Análise de comportamento de rede: monitoramento de atividades de rede
O malware depende da rede para várias atividades, como propagação, download de conteúdo malicioso, transmissão
de arquivos e informações confidenciais, oferta de controle remoto para invasores, etc. Alguns grupos de malware,
como trojans, worms e bots, também manipulam a configuração da rede do computador de destino para chamar um
URL, endereço IP ou nome de domínio específico e aguardar mais instruções do invasor. Portanto, os investigadores
devem adotar técnicas que possam detectar os artefatos de malware nas redes.
Para monitorar a atividade da rede, os investigadores podem executar o malware na estação de trabalho forense e
monitorar os seguintes aspectos:
ÿ
Endereços IP indo e conectando-se à estação de trabalho
ÿ Portas sendo abertas na estação de trabalho

ÿ
Lista de entradas DNS gravadas na estação de trabalho
Analisar os dados coletados dessas áreas pode ajudar os investigadores a entender os artefatos de rede, assinaturas,
funções e outros elementos do malware.
A análise de rede é o processo de capturar o tráfego de rede e investigá-lo cuidadosamente para determinar a atividade
do malware. Ajuda a encontrar o tipo de pacotes de tráfego/rede ou dados transmitidos pela rede.

Monitorando Endereços IP
Execute o Wireshark na estação de trabalho forense do Windows 01
Execute o arquivo suspeito de ser um malware na

estação de trabalho
02
Monitore o tráfego de rede ao vivo para procurar

atividades suspeitas
03
Localize qualquer endereço IP remoto com o

qual a estação de trabalho esteja tentando se comunicar
04
Examine o endereço IP por meio de ferramentas de verificação

de malware on-line para saber se é realmente suspeito
05
https:// scanner.pcrisk.com
Monitorando Endereços IP
Para determinar se um arquivo suspeito de ser um malware está tentando chamar algum endereço IP remoto/mal-
intencionado, os investigadores precisam fazer o seguinte:
1. Eles precisam executar a ferramenta Wireshark na estação de trabalho forense do Windows que irá
exibir todo o tráfego sendo transmitido pela rede.
2. Com o Wireshark em execução em segundo plano, eles devem executar o arquivo suspeito
para ser um malware na estação de trabalho.
3. Em seguida, eles devem monitorar o tráfego de rede ao vivo para ver se há algum suspeito
Atividades.
4. Se eles encontrarem algum endereço IP remoto/desconhecido ao qual a estação de trabalho está tentando se
conectar, ele deve ser marcado como incomum.
5. Por fim, eles devem examinar o endereço IP obtido por meio de ferramentas de verificação de malware on-line
para determinar se é malicioso.
As capturas de tela apresentadas abaixo mostram a detecção de um endereço IP incomum 192.185.72.225 na estação
de trabalho forense via Wireshark após a execução de um arquivo suspeito, e o resultado da análise fornecido pelo PC
Risk, uma ferramenta de verificação de malware online, revela que ele é suspeito.

Figura 12.36: Detecção de um IP remoto na estação de trabalho após a execução do malware
Figura 12.37: O IP remoto é considerado suspeito no scanner on-line PCRisk

Comportamento da rede
Análise: porta de monitoramento
ÿ Programas maliciosos abrem portas do sistema ÿ Revisão da atividade portuária em tempo real ÿ Use a ferramenta de linha de comando como
para estabelecer uma conexão com sistemas, tempo na estação de trabalho forense Netstat para monitorar todos os ativos
redes ou servidores remotos e realizar várias após a execução do malware ajuda a entender portas e seus status na estação de
tarefas maliciosas seus recursos de rede trabalho
ÿ Exemplo: um malware solicitando a porta

número 25 pode indicar que está tentando
se conectar a um servidor de e-mail
Análise do Comportamento da Rede: Porta de Monitoramento
Programas maliciosos abrem portas do sistema para estabelecer uma conexão com sistemas remotos, redes ou
servidores para realizar várias tarefas maliciosas. Essas portas abertas também podem fornecer um backdoor
para outros malwares e programas nocivos. Os investigadores podem descobrir se o malware está tentando
acessar uma porta específica durante a análise de tempo de execução usando um utilitário de linha de comando
chamado netstat. A revisão da atividade de porta aberta em tempo real na estação de trabalho forense pode
ajudar a entender os recursos de rede do malware. Por exemplo, se o malware chamar qualquer sistema remoto
pela porta 25, que é a porta padrão do Simple Mail Transfer Protocol (SMTP), ele pode estar tentando estabelecer
uma conexão com um servidor de e-mail. Os investigadores também podem usar ferramentas de monitoramento
de portas que oferecem detalhes, como protocolo usado, endereço local, endereço remoto e estado da conexão.
Recursos adicionais podem incluir nome do processo, ID do processo, protocolo de conexão remota, etc.
ÿ Netstat
É um utilitário de linha de comando que exibe conexões TCP ativas, portas nas quais o computador está
escutando, estatísticas Ethernet, tabela de roteamento IP, estatísticas IPv4 (para protocolos IP, ICMP,
TCP e UDP) e estatísticas IPv6 (para IPv6, protocolos ICMPv6, TCP sobre IPv6 e UDP sobre IPv6).
Quando usado sem parâmetros, netstat exibe conexões TCP ativas.
Sintaxe
netstat [-a] [-e] [-n] [-o] [-p Protocolo] [-r] [-s] [Intervalo]

Parâmetros
o -a: Exibe todas as conexões TCP ativas e as portas TCP e UDP nas quais o
computador está ouvindo.
o -e: Exibe estatísticas Ethernet, como o número de bytes e pacotes enviados e

recebido. Este parâmetro pode ser combinado com -s.
o -n: Exibe conexões TCP ativas. No entanto, endereços e números de porta são expressos numericamente
e nenhuma tentativa é feita para determinar nomes.
o -o: Exibe as conexões TCP ativas e inclui o ID do processo (PID) para cada conexão. Você pode
encontrar o aplicativo com base no PID na guia Processos no Gerenciador de Tarefas do Windows.
Esse parâmetro pode ser combinado com -a, -n e -p.
o -p Protocol: Mostra conexões para o protocolo especificado por Protocol. Nesse caso, o protocolo pode
ser tcp, udp, tcpv6 ou udpv6. Se este parâmetro for usado com -s para exibir estatísticas por protocolo,
o protocolo pode ser tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 ou ipv6.
o -s: Exibe estatísticas por protocolo. Por padrão, as estatísticas são mostradas para os protocolos TCP,
UDP, ICMP e IP. Se o protocolo IPv6 para Windows XP estiver instalado, as estatísticas serão
mostradas para os protocolos TCP sobre IPv6, UDP sobre IPv6, ICMPv6 e IPv6. O parâmetro -p pode
ser usado para especificar um conjunto de protocolos.
o -r: Exibe o conteúdo da tabela de roteamento IP. Isso é equivalente à impressão de rota
comando.

Ferramentas de monitoramento de porta: TCPView e CurrPorts
TCPViewName Correntes
TCPView mostra uma lista detalhada de todos os TCP e CurrPorts é um software de monitoramento de rede que
Endpoints UDP em seu sistema, incluindo endereços exibe a lista de todas as portas TCP/IP e UDP atualmente
locais e remotos e estado das conexões TCP abertas em seu computador local
https:// docs.microsoft.com https:// www.nirsoft.net
Ferramentas de monitoramento de porta: TCPView e CurrPorts
ÿ TCPView
TCPView é um programa do Windows que mostra listagens detalhadas de todos os terminais TCP e UDP em
seu sistema, incluindo os endereços locais e remotos e o estado das conexões TCP.
No Windows Server 2008, Vista e XP, o TCPView também relata o nome do processo que possui o endpoint. O
TCPView fornece um subconjunto mais informativo e convenientemente apresentado do programa Netstat
fornecido com o Windows. O download do TCPView inclui Tcpvcon, uma versão de linha de comando com a
mesma funcionalidade.

Figura 12.38: ferramenta TCPView
ÿ Correntes
CurrPorts é um software de monitoramento de rede que exibe a lista de todas as portas TCP/IP e
UDP atualmente abertas em seu computador local. Para cada porta da lista, também são exibidas
informações sobre o processo que abriu a porta, incluindo o nome do processo, caminho completo
do processo, informações sobre a versão do processo (nome do produto, descrição do arquivo e
assim por diante), a hora em que o processo foi criado e o usuário que o criou.
Além disso, o CurrPorts permite que você feche conexões TCP indesejadas, elimine o processo que
abriu as portas e salve as informações das portas TCP/UDP em arquivo HTML, arquivo XML ou
arquivo de texto delimitado por tabulações. Os CurrPorts também marcam automaticamente com a
cor rosa as portas TCP/UDP suspeitas pertencentes a aplicativos não identificados (aplicativos sem
informações de versão e ícones).

Figura 12.39: Ferramenta CurrPorts

Análise de comportamento de rede: monitoramento de DNS
Programas maliciosos usam Domain Name System (DNS) para se comunicar com o Comando e Controle (C&C)
servidor
Após a execução do malware, revise os registros DNS armazenados na estação de trabalho para entender se ele está tentando
chamar um nome de domínio específico
Observação: antes de executar o malware, limpe o cache DNS existente na estação de trabalho digitando o comando “ipconfig /
flushdns” no prompt de comando
Análise de comportamento de rede: monitoramento de DNS
Programas maliciosos usam DNS para se comunicar com o servidor C2, configurado pelo criminoso.
O malware usa um algoritmo de geração de domínio ou técnicas DGA para evitar a detecção por engenheiros
reversos e envia várias consultas de DNS para diferentes domínios em um curto período de tempo para se conectar
com seu C2.
Um software malicioso chamado DNSChanger também é capaz de alterar as configurações do servidor DNS do
sistema e fornecer aos atacantes o controle dos servidores DNS das vítimas. Usando esse controle, os invasores
podem controlar os sites aos quais o usuário tenta se conectar na Internet, fazer com que a vítima se conecte a um
site fraudulento ou interferir na navegação online na web.
Portanto, durante a análise do tempo de execução, os investigadores devem verificar as entradas DNS registradas
na estação de trabalho (também conhecidas como cache DNS) para entender se o malware está tentando entrar
em contato com um nome de domínio específico. Eles precisam limpar as entradas do cache DNS da estação de
trabalho digitando ipconfig /flushdns no prompt de comando e pressionando Enter e, em seguida, execute o
malware para identificar o nome de domínio mal-intencionado.

Ferramenta de monitoramento de DNS:
DNSQuerySniffer
ÿ DNSQuerySniffer é um utilitário sniffer de

rede que mostra as consultas DNS
enviadas em seu sistema
ÿ Ajuda na identificação do DNS

servidores aos quais o malware tenta se
conectar e o tipo de conexão
Ferramenta de monitoramento de DNS: DNSQuerySniffer
DNSQuerySniffer é um utilitário sniffer de rede que mostra as consultas DNS enviadas em seu sistema. Para cada
consulta DNS, as seguintes informações são exibidas: Nome do host, Número da porta, ID da consulta, Tipo de
solicitação (A, AAAA, NS, MX e assim por diante), Tempo da solicitação, Tempo de resposta, Duração, Código de
resposta, Número de registros , e o conteúdo dos registros DNS retornados.
Você pode exportar facilmente as informações das consultas DNS para o arquivo csv/delimitado por tabulações/
xml/html ou copiar as consultas DNS para a área de transferência e colá-las no Excel ou em outro aplicativo de
planilha.

Figura 12.40: ferramenta DNSQuerySniffer

Resumo do módulo
Este módulo discutiu malware e as técnicas comuns que os invasores usam
para espalhar malware
Ele abordou os fundamentos da análise forense de malware e tipos de

análise de malware, incluindo uma discussão detalhada sobre a análise
estática de malware
Além disso, este módulo examinou a análise de documentos do Word

suspeitos e discutiu os fundamentos e abordagens da análise dinâmica de
malware
Por fim, este módulo terminou com uma discussão detalhada sobre a
análise do comportamento do malware em tempo real em relação às
propriedades do sistema e à rede
Resumo do módulo
Este módulo discutiu malware e as técnicas comuns que os invasores usam para espalhar malware.
Ele cobriu os fundamentos da análise forense de malware e tipos de análise de malware, incluindo
uma discussão detalhada sobre a análise estática de malware. Além disso, este módulo examinou a
análise de documentos do Word suspeitos e discutiu os fundamentos e as abordagens da análise
dinâmica de malware. Por fim, este módulo terminou com uma discussão detalhada sobre a análise
do comportamento do malware em tempo real em relação às propriedades do sistema e da rede.

MODULE 12 - Malware Forensics

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MODULE 12 - Malware Forensics

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Fundamentos de Perícia Forense Digital Exame 112-53

Compreendendo os fundamentos da análise forense de malware e os tipos de malware

3 Visão geral da análise estática de malware

4 Visão geral da análise de documentos do Word suspeitos

5 Compreendendo os fundamentos e as abordagens da análise dinâmica de malware

Compreendendo a análise do comportamento do malware nas propriedades do sistema

7 Compreendendo a análise do comportamento do malware na rede em tempo real

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Ao final deste módulo, você será capaz de:

ÿ Compreender os fundamentos forenses de malware e reconhecer os tipos de análise de malware

ÿ Compreender e realizar análises estáticas de malware

ÿ Analisar documentos do Word suspeitos

ÿ Compreender os fundamentos e abordagens da análise dinâmica de malware

ÿ Analisar o comportamento do malware nas propriedades do sistema em tempo real

ÿ Analisar o comportamento do malware na rede em tempo real

Fundamentos de Perícia Forense Digital Exame 112-53

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Entenda o malware, seus componentes e métodos de distribuição

Fundamentos de Perícia Forense Digital Exame 112-53

ÿ Malware é um software malicioso que danifica ou desativa o

01 Aplicativos de mensagens instantâneas e Internet Relay Chat (IRC)

03 Links e anexos em e-mails

04 NetBIOS (Compartilhamento de arquivos)

05 Programas falsos e software freeware

06 Bugs de navegador e software

07 Baixar arquivos, jogos e protetores de tela de sites não confiáveis

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

ÿ Atacar navegadores e rastrear sites visitados

ÿ Alterar o desempenho do sistema, tornando-o muito lento

ÿ Causa falha de hardware, tornando os computadores inoperáveis

ÿ Roubar informações pessoais, incluindo contactos

ÿ Apague informações importantes, resultando em perdas de dados potencialmente enormes

ÿ Atacar sistemas de computador adicionais diretamente de um sistema comprometido

ÿ Caixas de entrada de spam com e-mails publicitários

Fundamentos de Perícia Forense Digital Exame 112-53

ÿ Instant Messenger e Internet Relay Chat

ÿ Bugs de navegador e software

Fundamentos de Perícia Forense Digital Exame 112-53

ÿ Bluetooth e redes sem fio

ÿ Compartilhamento de arquivos de rede (usando NetBIOS)

Fundamentos de Perícia Forense Digital Exame 112-53

Componentes básicos de um malware:

Componente de malware Descrição

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Fundamentos de Perícia Forense Digital Exame 112-53

ÿ Malware sem arquivo

Fundamentos de Perícia Forense Digital Exame 112-53

Técnicas comuns que os invasores usam para distribuir

ÿ Incorporação de malware em redes de anúncios exibidas em centenas de sites

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

ÿ Blackhat Search Engine Optimization (SEO)

ÿ Clickjacking de Engenharia Social

ÿ Sites de Spear Phishing

Envolve a incorporação de anúncios carregados de malware em canais de publicidade online

ÿ Sites legítimos comprometidos

Fundamentos de Perícia Forense Digital Exame 112-53

Fundamentos de Perícia Forense Digital Exame 112-53

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Entenda os fundamentos da análise forense de malware e reconheça os

Fundamentos de Perícia Forense Digital Exame 112-53

Introdução à análise forense de malware

Freqüentemente, os invasores usam malware como vírus, worm, trojan, spyware e

A análise forense de malware lida com a identificação e contenção de código