Post on 23-Feb-2017
Análise de MalwareForense Computacional Aplicada
Thiago Geronimo Ferreira● Graduado em Ciência da Computação
● MBI’s em Segurança da Informação
● MBA em Auditoria
● Administrador de Redes
● Trabalhos free lancer’s na área de Segurança da informação e auditoria de sistemas
Eventos
Segurança de Redes e Computação Forense
unevcomputacao.com.br
lionsecurity.net
Renato Basante Borbolla● Graduando de Segurança da
Informação
● Administrador de Redes Jr
- Congresso de Direito e Tecnologia – OAB- CryptoRave - Congresso Fecomercio de Crimes Eletrônicos- Hackertivismo e Perícia Forense em Grandes Eventos- BSidesSP - Garoa Hacker Clube- Fórum Brasileiro de CSIRTs
Atuo esporadicamente como Pentester
Prof. Dr. Paulo Henrique• É Professor da Uninove (Diretoria de Informática)• Desenvolve o Morpheus - Plataforma Pentest• Colaborador do Owasp e ISOC
ATENÇÃO!
Todas as informações, teorias e demonstrações apresentadas aqui são apenas de caráter educacional com o
objetivo de alertar.
Drive-By-Download é um vetor de ataque com um uso de sites para armazenar os códigos maliciosos.
Engenharia Social, nesse ataque ajudará no convencimento de uso dos links fornecidospela Microsoft (que são falsos).
O vetor de ataque
Abordagens dinâmica e estática• Dinâmica: abordagem com a execução da infecção.
• Estática: abordagem sem executar a infecção, com foco na análise do código.
A infecção• Capacidade para desabilitar serviços de proteção• Não danifica arquivos• Não abre portas• Altera chaves do registro• Desabilita firewall• Roda em segundo plano• “Sequestra” a conta ADM• Desabilita do modo de Restauração• Invalida do Win. Defender e outro softwares
Demonstração
A busca pela reversão• Na prática forense, a busca pela reversão do arquivo é a parte em que são feitos vários esforços para chegar ao código malicioso.
jz short loc_439DFAUPX1:00439E1E mov ecx, ediUPX1:00439E20 push ediUPX1:00439E21 dec eaxUPX1:00439E22 repne scasbUPX1:00439E24 push ebpUPX1:00439E25 call dword ptr [esi+64090h]UPX1:00439E2B or eax, eaxUPX1:00439E2D jz short loc_439E36UPX1:00439E2F mov [ebx], eaxUPX1:00439E31 add ebx, 4UPX1:00439E34 jmp short loc_439E17
Empacotamento, Alocação e Uso
Chamadas de Ponteiros
Alocação de Ponteiros
Empacotamento
Obrigado