Conheça os malwares que fogem de detecção e análise

Publicado em Serviços e Consultoria, Segurança, Data Center, por Juniper em 22/10/2016


A Juniper Networks iniciou, no segundo semestre, a publicação de estudos com o Sky ATP (Sky Advanced Threat Prevention ou prevenção avançada de ameaças) que exemplificam o comportamento de malwares e como o Sky ATP os detecta. O serviço Sky ATP emprega uma série de tecnologias inovadoras e é capaz de identificar malwares avançados e ameaças persistentes de forma automatizada. O primeiro relatório publicado demonstrou como o Sky ATP detectou, além de ameaças já conhecidas, novas variantes de malwares, inclusive diferentes formas de ransomware, trojans, droppers, spyware variados e outros programas potencialmente indesejados. O segundo relatório traz informações sobre as ameaças do mês de agosto.


Publicado por Asher Langton, engenheiro de software e especialista em malware da equipe do Sky ATP, o estudo é sobre uma família de droppers – programas usados para instalar algum tipo de malware em determinado sistema. Esses programas são simples em sua concepção, mas difíceis de serem identificados. Assim, o foco deste texto são as técnicas que usam para evitar sua detecção e análise.

 

Leia abaixo a íntegra do estudo publicado por Asher Langton:

 

A amostra analisada no artigo contém algumas das informações de depuração do autor do dropper, que o nomeou como “ResourceDropper” (recurso conta-gotas):
 


O código executável é disfarçado para impedir sua análise estática e o payload final do programa é criptografado. O código compilado resolve muitas dependências em tempo de execução, utilizando uma chamada do tipo “GetProcAddress”, que é muitas vezes usada para obscurecer o funcionamento subjacente da análise estática.
 


O malware também busca um número de indicações de que ele está sendo analisado em uma sandbox ou um depurador. Ele começa verificando diretamente se um depurador foi anexado a ele.
 


A amostra, em seguida, acessa o “Process Environment Block” para buscar indicações indiretas de depuração ou análise e a seguir checa especificamente se uma série de produtos populares contra malware  (usando nomes de produtos ofuscados) estão sendo usados contra ele:
 


 

O malware aborta sua execução rapidamente se algum dos controles antimalware tiver sucesso em quebrar suas proteções e se deleta do sistema. Caso ele tenha sucesso em se esconder das ferramentas de detecção, o malware executa outro arquivo malicioso, disfarçado como um atualizador do engine do Java. Em seguida, as cópias de arquivo injetadas se autodeletam do launch do sistema (outro forte indicador de ataque) e também verificam se há sinais de que estão sendo analisadas. Na sua memória do processo, descobrimos que ele busca uma DLL associada com o famoso sistema de prevenção de ataques Sandboxie.
 


O malware continua a procurar IDs de produtos Windows conhecidos por estarem associados com determinados programas sandbox ou outros produtos  antimalware.
 


Depois de tomar todas essas precauções, o malware tenta coletar dados do usuário  (incluindo logins de FTP, como pode ser visto abaixo) e abre um backdoor persistente.


As técnicas de evasão vistas aqui não são particularmente sofisticadas, mas são eficientes.

O Sky ATP simula a ação de um usuário real, oferecendo ao malware todos os tipos de indicadores de que um usuário humano está presente (movimentos do mouse, acesso à internet e uso de webcam, por exemplo) e verifica as especificações do sistema, para ver se a máquina parece genuína (é um disco rígido grande o suficiente e existem núcleos suficientes de processador?) ou se exige parâmetros específicos de linha de comando, para garantir que não está sendo analisado separadamente do script que o baixou.


O resultado é uma rotina de gato e rato entre os autores de malware e a indústria antimalware, conforme autores de malware tentam atrasar a detecção o máximo de tempo possível para garantir que seu esforço lhes dê o máximo retorno. No Sky ATP, nós procuramos dezenas de indicadores de que uma amostra está tentando identificar um sistema de análise e evitar a detecção. E continuamos a adicionar novas funcionalidades.


Além disso, o Sky ATP tem um sistema de aprendizado de inteligência artificial, que é treinado para aprender como os malwares funcionam. Este motor de aprendizado é constantemente atualizado, incluindo sempre informações sobre tipos recentes de malwares evasivos, o que nos permite detectar novos comportamentos conforme essas técnicas evoluem, mesmo quando ainda não tivemos contato com elas (zero day).


Obrigado pela leitura! O próximo post será sobre return-oriented programming (ROP).



Leia também
Juniper divulga o primeiro, de uma série de relatórios, sobre as ameaças do momento na rede.

 


Tags: Segurança, Malware, Sky ATP, Serviços, Prevenção, Ransomware, Trojans, Droppers


Tags: seguranca, malware, sky-atp, servicos, prevencao, ransomware, trojans, droppers


Posts Relacionados


Deixe seu comentário:

=