Por que analisar ?
- Desenvolver regras para NIDS
- Desenvolver vacinas
- Entender o comportamento e o funcionamento
- Realizar resposta a incidentes mais efetivamente
- Desenvolver patchs de correção
- Ganhar controle sobre o codigo malicioso e utiliza-lo para outros fins
Fases da analise
- Fase 1: Preservação e analise de dados volateis
- Fase 2: Analise de memoria
- Fase 3: Analise de disco
- Fase 4: Analise estatica de malware
- Fase 5: Analise dinamica de malware
O que proucurar ?
Ao analisar um programa suspeito, há uma serie de perguntas que o pesquisador deve considerar:
- Qual é a natureza e a finalidade desse programa ?
- Como funciona o programa para cumprir a sua finalidade
- Como funciona o programa ao interagir com o sistema da vitima ?
- Como o programa interage com a rede ?
- O que o programa sugere sobre o nivel de sofisticação do atacante ?
- Há um setor identificavel que o programa usa para infectar um hospedeiro ?
- Qual é a extensão da infecção ou do comprometimento do sistema ou da rede ?
Processo investigativo
Alguns dos preceitos basicos que precisamos explorar inclui:
- Estabelecer a linha de base do ambiente
- Preparação pre-execução: monitoramento do sistema e da rede
- Execução do binario suspeito
- Observação do processo: monitoramento de bibliotecas e system calls
- Avaliação do processo: analise dos processos em execução
- Analise das portas abertas e conexões rede
- Analise de arquivos abertos e sockets
- Exploração do diretorio /proc ( Em linux )
- Quebra de ofuscação: remoção da proteção do malware
- Ajustes de ambiente
- Ganhando o controle do malware
- Interagindo e manipulando o malware
- Exploração e verificação das funcionalidades do malware
- Reconstrução de eventos: capturar trafego de rede, integridade de arquivos e logs de IDS
- Varredura de portas/vulnerabilidades do host comprometido
- Verificação de rootkits
Creditos: 4linux