Análise de Malware com Software Livre
17º GTS - 2011

Apresentação
Luiz Vieira
●

Construtor 4Linux

●

Consultor de Segurança

●

16 anos de experiência em TI

●

Pen-Tester, Perito Forense (CHFI)

●

Articulista sobre Segurança de vários sites:
VivaOLinux, SegurançaLinux, Imasters,
HackProofing e etc

●

Entusiasta do Software Livre

●

Filósofo e Psicoterapeuta

●

Blog: http://hackproofing.blogspot.com

Tópicos de hoje
Definição
●
Por que analisar?
●
O que procurar?
●
Processo investigativo
●
Ferramentas
●
Sandboxes
●
TRUMAN
●
TWMAN
●
Cuckoo
●
Demo
●

Definição
Malware = Malicious + Software
●
●
●
●
●
●

Vírus
Worms
Trojans
Spyware
Adware
Rootkits

Por que analisar?
Desenvolver regras para NIDS
●
Desenvolver vacinas
●
Entender o comportamento e funcionamento
●
Realizar resposta a incidentes mais efetivamente
●
Desenvolver patchs de correção
●
Ganhar o controle do código malicioso e utilizá-lo para outros fins
●

Fases da análise:
●
Fase 1: Preservação e análise de dados voláteis
●
Fase 2: Análise de memória
●
Fase 3: Análise de discos
●
Fase 4: Análise estática de malware
●
Fase 5: Análise dinâmica de malware

O que procurar?
Ao analisar um programa suspeito, há uma série de perguntas que o pesquisador deve considerar:
Qual é a natureza e a finalidade do programa?
●
Como funciona o programa para cumprir a sua finalidade?
●
Como funciona o programa ao interagir com o sistema vítima?
●
Como o programa interage com a rede?
●
O que o programa sugere sobre o nível de sofisticação do atacante? ●
Há um vetor de ataque identificável que o programa usa para infectar um hospedeiro?
●
Qual é a extensão da infecção ou comprometimento do sistema ou rede? ●

Processo investigativo
Alguns dos preceitos básicos que precisamos explorar incluem: Estabelecer a linha de base do ambiente
●
Preparação pré-execução: monitoramento do sistema e da