Dr Marcius
Sumário
Resumo executivo
2
Introdução 3
1. Layout do teclado
3
2. Metadados do malware
5
3. Fontes incorporadas
6
4. Registro de DNS
7
5. Idioma
8
6. Configuração da ferramenta de administração remota
10
7. Comportamento
12
Conclusão 13
Sobre a FireEye
FireEye, Inc.
Migalhas de pão digitais: sete pistas para identificar quem está por trás dos ataques cibernéticos avançados
14
1
Resumo executivo
No atual cenário de ameaças cibernéticas, identificar o seu inimigo é parte fundamental de qualquer plano de defesa. Descobrir quem são os seus atacantes, como eles atuam e o que desejam é crucial para a proteção dos seus dados e da sua propriedade intelectual.
Felizmente, sistemas de computador invadidos, como qualquer cena de crime, contêm uma série de pistas. No que se refere a ataques cibernéticos avançados, os atacantes podem denunciar a si mesmos no código do malware, em e-mails de phishing, nos servidores de comando e controle (CnC) utilizados e até mesmo pelo comportamento. Assim como a ciência das impressões digitais, exames de
DNA e análise de fibras tornou-se inestimável nas investigações criminais, ligar os pontos de um ataque cibernético avançado pode ajudar a identificar até mesmo os elementos por trás das ameaças mais sofisticadas — caso os pesquisadores saibam o que procurar.
Baseando-se em uma amostra de quase 1.500 campanhas rastreadas pela FireEye®, este documento descreve as seguintes facetas dos ataques de malware e o que elas costumam revelar sobre os culpados:
• Layout do teclado. Ocultas nas tentativas de phishing estão informações sobre o teclado escolhido pelo atacante, que varia conforme o idioma e a região.
• Metadados do malware. O código-fonte do malware contém detalhes técnicos que revelam o idioma do atacante, sua localização e seus