ANALISE DE MALWARE

ANALISE DE MALWARE

Introdução

De forma constante preciso analisar Malwares, muitos deles vem por e-mail ou navegação de usuários na Internet, e como forma de evitar algum tipo de incidente ou um desastre maior, costumo analisar os Malwares para se prevenir de um possível ataque. No mercado, temos uma solução muito boa, Open Source, para esta finalidade, o “cuckoo sandbox”. Se tiver interesse pode olhar esta outra postagem que explico de forma detalhada e direta a instalação desta complexa solução.

Vide este caso real de um Malware direcionado, a intenção de documentar em especifico ele se deve ao fato atípico da forma que ele trata de se instalar.

E-mail recebido de Phishing

O e-mail é simples, sem alardes:

Ao clicar, efetuara o download de um arquivo chamado “documento.zip”, o  interessante é que alguns antivirus fazem a heurística real do arquivo, já que o conteúdo em anexo é um arquivo com extensão . LNK

Ao fazer uma analise do arquivo pelo LNK PARSER (https://code.google.com/archive/p/lnk-parser/) podemos observar desde já qual a intenção deste atalho

Somente pelo LNK PARSER já tenho informações suficientes para controlar este vetor. Fiz a analise também pelo cuckoo

Após o envio do arquivo para analise do cuckoo, a aplicação tentar acessar outros sites, como evidenciado abaixo:

No log do cuckoo vejo as execuções co-relacionadas. (PID / PPID)

Algumas outras aplicações podem se misturar durante a análise, para não se confundir poderá usar os “artefatos extraídos” e “análise comportamental” do cuckoo para uma melhor interpretação:

No cuckoo, podemos observar que o processo “1736”, fruto de um download realizado pelo malware, não é um componente natural do sistema operacional,

Diante disso, podemos procurar este PID no análise de Memoria, para obter mais informação

Cuckoo oferece a oportunidade de efetuar o download daquele exclusivo dump, neste caso:

Conclusão

Este artigo é um complemento da instalação do cuckoo, para mostrar a real importância de ter instalado em seu ambiente o cuckoo sandbox para analisar o comportamento de malwares.

A partir de agora, com as informações, tenho insumos para criar bloqueios no meu firewall como também enviar o malware para o mantenedor do endpoint para incluir na detecção

Qualquer dúvida, estamos ai!

About The Author

Related posts

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *