Jump to content
  • Análise de malware foi principal tema abordado na MBConf@Home v3


    Bruna Chieco

    No último sábado, 30 de maio, foi realizada a terceira versão da MBConf@Home. A conferência on-line, promovida pelo Mente Binária, foi criada para disseminar conteúdo sobre segurança da informação durante o período de isolamento social causado pela pandemia do novo coronavírus (COVID-19). Fernando Mercês abriu o evento destacando que o objetivo desse projeto é suprir o gap entre a educação oferecida na área e as necessidades de profissionais qualificados o mercado tem. "Notamos que a universidade, os estudos, a educação não são o suficiente para a área de segurança, que tem bastante nuances. E a gente tenta suprir", disse.

    "A MBConf@Home surgiu durante a quarentena, pois deveríamos ter eventos na área no primeiro semestre, e felizmente tivemos outros também", complementou Mercês. O MBConf@Home v3 levou quatro palestrantes do setor para falar sobre suas experiências em decodificação e exploração de malwares. É possível assistir a todo o evento através do canal do Mente Binária no Youtube. Aqui, a gente traz um resumo do que rolou.

    Decodificando malwares web: uma história de dor e sofrimento

    Fio Cavallari, que é Threat Research Manager na GoDaddy, abriu a grade de palestras falando sobre desofuscação de malware web. Fio "cutuca" malware desde 2003, e é focado em web malware desde 2012.  Segundo ele, PHP e JavaScript dominam a Internet. "Você sempre vai ver malware escrito em PHP e em JavaScript. Isso porque eles têm uma linguagem muito simples. A diferença entre o código vulnerável e o malicioso é a intenção", disse. 

    Ele deu um exemplo de um código malicioso que foi, de fato, detectado em PHP e explicou ainda como funciona a ofuscação do código, com objetivo de confundir, tirando a atenção de quem não é familiarizado com o código. "Ao limpar, é possível verificar a intenção do código. Mas para confundir, dá para incluir, por exemplo, strings em base64". Ele demonstrou como é possível usar técnicas para evitar uma detecção por um antivírus, por exemplo. 

    Ele destrinchou um código ofuscado em PHP e mostrou como identificar se um código é ou não malicioso. "Trabalhar com strings, inclusive usando base64, é importante para identificar pontos comuns entre malware e código válido, mas mesmo assim, a chance de gerar um falso positivo é grande", disse Cavallari.

    Ele ainda ensinou técnicas de desofuscação a partir de ferramentas como Sucuri decoder; ddecode; unphp.net, entre outras. Fio deixou ainda um desafio para quem quiser tentar uma vaga no time de pesquisa de vulnerabilidades e malware da GoDaddy: http://x.co/mbconf2020

    Técnicas de ofuscação de malware em Windows

    Seguindo a mesma linha da primeira palestra, Thiago Marques, que é Security Researcher no Kaspersky Lab, demonstrou as técnicas que criadores de malware têm utilizado para ofuscar seus códigos no Windows. Thiago compartilhou um conteúdo completo em um post de 2016 publicado no sercurelist.com. "As técnicas utilizadas continuam a funcionar da mesma forma, basta saber como realizar a análise para poder aplicá-la em vários cenário", disse. 

    Ele fez ao vivo uma desofuscação de malware para Windows (x86) utilizando o IDA. Segundo Thiago, antigamente, era possível analisar um malware com um funcionamento dentro das strings, e hoje é difícil encontrar um malware que nao tenha algum tipo de ofuscação, seja de string ou de código, e a criação de scripts faz você criar ferramentas que ajudam em análises futuras. "É um tempo que você gasta, mas aquilo vai te servir por muito tempo. É quase uma obrigatoriedade a criação de scripts para que poder seguir com a análise".

    Na conclusão, Thiago reiterou que desenvolvedores de malware sempre irão buscar novas formas para dificultar a análise. Ele alertou ainda que o uso de detecções de ambiente muitas vezes atrapalham a análise dinâmica. "A criação de scripts e ferramentas são praticamente obrigatórios em muitos casos", destacou.

    Análise de malware automatizada em larga escala com Aleph

    Para falar do projeto Aleph, que envolve threat hunting com big data e análise de malware automatizada, foi convidado o pesquisador de segurança Jan Seidl.  O projeto do Aleph começou em 2010, quando ainda era um monte de script em bash, e a ideia foi sempre a mesma: ter um pipeline onde se coloca um malware numa ponta e a análise sai na outra. "A premissa do Aleph é automatizar o processo inicial de triagem de um arquivo", explicou Jan. 

    Segundo ele, para quem não trabalha com análise de malware diariamente, a ferramenta pode ajudar. "Venho de um background de programação, era um desenvolvedor sênior, e muitos conceitos estavam na minha cabeça. Como profissional de segurança, segui desenvolvendo ferramentas para o meu trabalho e para os meus colegas", disse. "A motivação da criação do Aleph foi baixar o nível requerido de conhecimento técnico para pesquisadores ingressarem no mundo da engenharia reversa", complementou

    A nova versão do Aleph segue o estilo batteries included, com inteligência sobre a informação incluída no relatório. "O Aleph nunca substitui o pesquisador, mas economiza tempo na análise de arquivos suspeitos por times, principalmente com um arquivo desconhecido", reiterou Jan.

    O Aleph era um bash script monolítico, e a segunda versão foi criada para ser multiprocesso, escalada. Ele usa o Celery como base e é feito em Python para usar aplicação distribuída. Jan mostrou ainda um screenshot da parte do código onde é possível configurar filas. O Aleph é ainda multiplataforma, podendo ser usado de maneira que rode ferramentas em cada um dos sistemas operacionais. 

    Segundo Jan, o Aleph teve também que ser reconstruído para ser mais modular. "Ele é uma grande experimentação ao longo de anos, e nem tudo está decidido sobre as tecnologias utilizadas. Cada um dos componentes tem uma interface falando e linguagem de orientação". É também possível escolher a tecnologia que mais agrada ao pesquisador. O Aleph é distribuído e escalável, e faz o data science em cima do malware. "Ainda faltam testes, acertos no código, debug em geral, colocar mais gerenciamento de login, mais sistemas de usuário, fazer correção na própria interface, mais analisadores, etc. Tem muita ideia para o futuro", complementou.

    Modern Windows Exploitation - A Tale of a CVE

    Bruno Oliveira, mestre em engenharia de computação e Principal Security Consultant no SpiderLabs da Trustwave, encerrou o ciclo de palestras abordando o CVE-2020-0796 e fazendo a análise técnica da vulnerabilidade do SMBv3. Ele também revisou o patch, identificado os bugs relacionados no código e caracterizando os desafios da exploração. 

    Bruno mostrou a análise do patch para observar características que facilitem a compreensão da vulnerabilidade, identificou a vulnerabilidade, construiu uma prova de conceito para que se tenha um efeito desejado sobre o sistema, partindo para exploração. Ele contou como explorou o CVE-2020-0796. "Identificamos que qualquer usuário da Microsoft poderia explorar o servidor SMBv3", disse. "A primeira coisa foi comparar os drivers responsáveis, a versão vulnerável com a patcheada".

    Após conhecer o binário responsável pelo servidor, Bruno viu que é possível descompactar o patch, pegar um arquivo com versão vulnerável, e fazer a comparação. Ele mostrou ainda que a primeira PoC (Proof of Concept ou Prova de Conceito) que surgiu demonstrou onde exatamente ficava a vulnerabilidade. "Quis trazer a metodologia usada para a análise de 1-day vulnerability, como baixar o patch e olhar qual das funções foram corrigidas, e o que, dentro da função, foi corrigido, além do que parece ser a vulnerabilidade e todo o aspecto e metodologia trazida, desde a análise até olhar o protocolo do caso", explicou, "Tudo demanda conhecimento específico sobre o que você está explorando", complementou.

    Se quiser tirar dúvidas com os palestrantes, basta entrar no fórum do Mente Binária e fazer seus comentários sobre cada palestra. Lá você também pode votar nos assuntos da próxima! 🙂

    Edited by Bruna Chieco



    User Feedback

    Recommended Comments



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...