7 segredos para a criação de malware - LatinoWare 2017

7 segredos para a criação de malware - LatinoWare 2017

• 1.
  7 SEGREDOS PARAA CRIAÇÃO DE MALWARES ALCYON JUNIOR
• 2.
  Aviso de Confidencialidade AvisoLegal Este documento contém informações confidenciais e/ou privilegiadas. Se você não for o destinatário ou a pessoa autorizada a receber este documento, não deve usar, copiar ou divulgar as informações nele contidas ou tomar qualquer ação baseada nessas informações. Disclaimer The information contained in this document may be privileged and confidential and protected from disclosure. If the reader of this document is not the intended recipient, or an employee agent responsible for delivering this document to the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited.
• 3.
  #WHOAMI ALCYON JUNIOR Alcyon Junior,evangelizador do software livre, é Chief Information Security Officer (CISO) no SEBRAE, Consultor, Instrutor e Palestrante sobre Segurança da Informação credenciado pela EXIN, Professor na Universidade de Brasília e Centro Universitário IESB e mantenedor do Portal TIC http://portaltic.com. Três graduações em Tecnologia de Informação, com ênfase em redes de computador. Especialista em Redes de Computador pela CISCO e MBA em Governança de TI. Mestre em Gestão do Conhecimento e da Tecnologia da Informação com ênfase em Segurança Cibernética pela Universidade Católica de Brasília. Doutorando em Engenharia Elétrica com ênfase em Segurança da Informação e Comunicações na Universidade de Brasília (UnB) Certificações Internacionais: Ethical Hacking Foundation (EHF), Information Security Based on ISO/IEC 27002 (ISFS), ITIL® Foundation Certificate in IT Service Management (ITILF), Cisco Networking Academy Program (CNAP), McAfee Vulnerability Manager (MVM) e Linux Server Professional (LPIC-1).
• 4.
  4 AGENDAO que vamosver hoje? WTF? Conceitos Tipos de análise Dificuldades Ferramentas Conclusão Explorando as análises HandsOn
• 5.
  5 Malware (abreviatura para“software malicioso”) é considerado um tipo de software irritante ou malígno que pretende acessar secretamente um dispositivo sem o conhecimento do usuário. Os tipos de malware incluem spyware, adware, phishing, vírus, Cavalos de Tróia, worms, rootkits, ramsoware e sequestradores de navegador. MALWARE O objetivo da análise de malware é ganhar uma compreensão de como funciona uma parte específica de um malware de modo que as defesas possam ser criadas para proteger um sistema. ANÁLISE DE MALWARE PEGA A VISÃO
• 6.
  6
• 7.
  7 Exploit É pedaço de software,um pedaço de dados ou uma sequência de comandos ConceitosWTF? Pharming Realiza um redirecionament o para sites diferente dos requisitados API Requisições dos sistemas para o SO intermediar o acesso ao HW C2 É o dispositivo que comanda e controla os computadores infectados por um malware API Requisições dos sistemas para o SO intermediar o acesso ao HW FUD É quando um malware não é detectável por nenhum antivírus In The Wild Conhecido como selvagem, ele se espalha pela rede e danifica arquivos e até a BIOS
• 8.
  8 TIPOS DE ANÁLISE DINÂNIMCA Consisteem executar o malware em um ambiente controlado. Preferêncialmente em uma máquina virtual com ferramentas de monitoramento de sistema operacional e de rede ESTÁTICA Fazemos a simples dissecação de um artefato malicioso sem executá-lo 
• 9.
  9 Análise de Código Análise Comportamental Propriedades Estáticas AnáliseAutomatizada DIFICULDADES
• 10.
  10 Identificadores de arquivo Monitoramentode Sistema Disassemblers Debugger Descompiladores Análise e Captura de memória FERRAMENTA
• 11.
  11 ANÁLISES Análise automatizada (SandBox) X Análisede Comportamento
• 12.
  12 CASE (HandsOn) • Agalera enviou um arquivo para você srvcp.exe • Foi informado que ele faz uma conexão na porta 6667 • O Antivírus não pegou • Ele cria um processo desconhecido
• 13.
  13 CASE (HandsOn) Perguntas: • Aporta 6667 é usada por qual serviço? • Como o malware se beneficia disso? IRC C2 (Avisa que está Online e recebe comandos remotos)
• 14.
  14 • SandBox –malwr.com e/ou reverse.it • Vai responder o que o código faz, assinaturas e detecção, objetivo do modus operandi e gravidade. FASE 1 – ANÁLISE ESTÁTICA • Strings2 e BinText (Cuidado … nenhuma informação até agora é 100% de certeza … são indicios) FASE 2 – PROPRIEDADE ESTÁTICA • Ferramentas de monitoramento • Rodar o Malware (de 30 s a 5 min) • Analisar anomalias FASE 3 – ANÁLISE DE COMPORTAMENTO CASE (HandsOn)
• 15.
  ALCYONJUNIOR Perguntas?