Escolar Documentos
Profissional Documentos
Cultura Documentos
Ataques RAT
Servidores C&C
C&C
Coleta dos E-mails fraudulentos
HTML
HTA
VBE/VBS
JSE
Normalmente esses
arquivos no so o RAT,
mas apenas um
downloader
Aps
download do
arquivo anexo
no email
necessrio
extrair o
contedo do
arquivo
compactado
No necessrio
Download do malware No necessrio
reverter o cdigo
reverter o cdigo
para analisar, as
para analisar, as
Normalment URLS e
URLS e
acionamentos. Isso
e cada acionamentos. Isso
ser feitos com o
arquivo ser feitos com o
auxilio de outras
possui uma auxilio de outras
ferramentas
URL para o ferramentas
download
do
verdadeiro
malware
RAT
HTML
Ferramentas para anlise
Mquina Ferramentas
Virtual
Avalia registros de
boot
Captura trfego
http/https
Analisa processos
ativos
Identifica processos
ativos, portas e
conexes com a
Internet
Analisando
Abra as Acione o
ferramentas Capturar URL malware
do
Downloader
(opcional)
Fiddler
Artefato disponvel.
Artefato disponvel.
Boto direito URL http://107.170.77.218/iqtqm.zip
URL http://107.170.77.218/iqtqm.zip
copy >> just
url
Artefato indisponvel
Artefato indisponvel para
para
Download.
Download.
Erro HTTP
Erro HTTP 503
503
Artefato disponvel
Artefato disponvel .. Dividido
Dividido
em mltiplos
em mltiplos sites.
sites.
Process Explorer
possvel
possvel detectar
detectar pelo
pelo Process
Process Explorer
Explorer
o path
o path dos
dos arquivos
arquivos e
e se
se o
o malware
malware foi
foi
verdadeiramente acionado
verdadeiramente acionado ee est
est em
em
memria, bem
memria, bem como
como seu
seu path.
path.
Autoruns
Cadastre esse IP e
Cadastre esse IP e
porta
porta
Dicas
Dica: Fiddler
Habilite a
Habilite a captura
captura do
do
https
https
Regras de conteno de Malware no
AntiSpam
Aps
identificar
os tipos
de
arquivos
que
geram a
infeco ,
so
criadas as
regras de
conteno
e coleta.
Usando TCPVIEW
3
3 idores
vores
sevrid
Aguarde o(s) r
se C&C
download(s) C&C
RAT
boo
t ou use o comando: netstat
Cadastre no Ludovico / Notifique o RAT
http://www.cert.br/docs/whitepapers/notificacoes/#8.15