Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Análise Manual de Ataques RAT-C&C

    Enviado por

    Joao Pedro Podlasnisky
    25 visualizações16 páginas
    Análise manual de ataques RAT-C&C

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PPTX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Análise manual de ataques RAT-C&C

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    25 visualizações16 páginas

    Análise Manual de Ataques RAT-C&C

    Enviado por

    Joao Pedro Podlasnisky
    Análise manual de ataques RAT-C&C

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 16

    Anlise Manual de

    Ataques RAT
    Servidores C&C

    C&C
    Coleta dos E-mails fraudulentos
    HTML
    HTA
    VBE/VBS
    JSE

    Diferentes tipos arquivos usado para infeco




    JS
    JAR
    OUTROS

    A anlise RAT comea a


    partir do acionamento do
    arquivo final.

    Normalmente esses
    arquivos no so o RAT,
    mas apenas um
    downloader
    Aps
    download do
    arquivo anexo
    no email
    necessrio
    extrair o
    contedo do
    arquivo
    compactado
    No necessrio
    Download do malware No necessrio
    reverter o cdigo
    reverter o cdigo
    para analisar, as
    para analisar, as
    Normalment URLS e
    URLS e
    acionamentos. Isso
    e cada acionamentos. Isso
    ser feitos com o
    arquivo ser feitos com o
    auxilio de outras
    possui uma auxilio de outras
    ferramentas
    URL para o ferramentas
    download
    do
    verdadeiro
    malware
    RAT

    HTML
    Ferramentas para anlise

    Mquina Ferramentas
    Virtual

    Avalia registros de
    boot
    Captura trfego
    http/https
    Analisa processos
    ativos

    Identifica processos
    ativos, portas e
    conexes com a
    Internet
    Analisando

    Abra as Acione o
    ferramentas Capturar URL malware
    do
    Downloader

    (opcional)
    Fiddler

    Artefato disponvel.
    Artefato disponvel.
    Boto direito URL http://107.170.77.218/iqtqm.zip
    URL http://107.170.77.218/iqtqm.zip
    copy >> just
    url

    Artefato indisponvel
    Artefato indisponvel para
    para
    Download.
    Download.
    Erro HTTP
    Erro HTTP 503
    503

    Artefato disponvel
    Artefato disponvel .. Dividido
    Dividido
    em mltiplos
    em mltiplos sites.
    sites.
    Process Explorer
    possvel
    possvel detectar
    detectar pelo
    pelo Process
    Process Explorer
    Explorer
    o path
    o path dos
    dos arquivos
    arquivos e
    e se
    se o
    o malware
    malware foi
    foi
    verdadeiramente acionado
    verdadeiramente acionado ee est
    est em
    em
    memria, bem
    memria, bem como
    como seu
    seu path.
    path.
    Autoruns

    possvel detectar pelo Autoruns se o


    malware se auto injetou para ser
    acionado a cada boot .
    TCPVIEW

    Com o processo rodando em memria (+


    acesso a Internet) possvel descobrir o IP
    do C&C e sua porta

    Cadastre esse IP e
    Cadastre esse IP e
    porta
    porta
    Dicas
    Dica: Fiddler

    Habilite a
    Habilite a captura
    captura do
    do
    https
    https
    Regras de conteno de Malware no
    AntiSpam
    Aps
    identificar
    os tipos
    de
    arquivos
    que
    geram a
    infeco ,
    so
    criadas as
    regras de
    conteno
    e coleta.
    Usando TCPVIEW

    Acione o Abra o TCPview aps o boot


    malware

    3
    3 idores
    vores
    sevrid
    Aguarde o(s) r
    se C&C
    download(s) C&C
    RAT
    boo
    t ou use o comando: netstat
    Cadastre no Ludovico / Notifique o RAT

    http://www.cert.br/docs/whitepapers/notificacoes/#8.15

    Você também pode gostar