Análise de Malware em Forense Computacional

O objetivo desse artigo é explicar como funciona uma análise de malware em forense computacional. Esse artigo é o primeiro, que aborda a parte teórica, e em breve será publicada a segunda parte, com uma análise prática.

[ Hits: 32.049 ]

Por: Luiz Vieira em 04/05/2011 | Blog: http://hackproofing.blogspot.com/


Descoberta e coleta de malware



Quando é descoberto o malware em um sistema, há muitas decisões e ações que devem ser tomadas, muitas vezes sob pressão. Para melhor estruturarmos um processo de investigação, incluindo a análise de malwares, podemos dividi-lo em cinco fases:

Fase 1: Preservação e análise de dados voláteis
Fase 2: Análise de memória
Fase 3: Análise de discos
Fase 4: Análise estática de malware
Fase 5: Análise dinâmica de malware

Dentro de cada uma dessas fases, as metodologias formalizadas e as metas são para ajudar os investigadores a reconstruir uma imagem vívida dos acontecimentos em torno de uma infecção por malware e obter uma compreensão detalhada do próprio malware.

Os investigadores devem sempre usar o pensamento crítico em suas observações e entrevistar os proprietários dos sistemas comprometidos, pois isso muitas vezes ajuda a desenvolver um quadro mais completo do que ocorreu.

Além disso, medidas adicionais podem ser exigidos em alguns casos, dependendo do contexto e das fontes de dados disponíveis. Quando o backup do sistema comprometido estiver disponível, pode ser proveitoso compará-lo com o estado atual do sistema, além de poder ajudar na recuperação do sistema.

Algumas organizações recolhem informações que podem ser úteis à investigação, incluindo logs centralizados de antivírus, relatórios de verificação de integridade do sistema de ferramentas como OSSEC, e logs da rede.

Coleta de malware sem alterações no sistema

O ato de coletar dados em um sistema "vivo" causa mudanças que um investigador digital terá de explicar no que diz respeito ao seu impacto sobre as provas digitais. Por exemplo, executar ferramentas como o Helix a partir de uma mídia removível irá alterar dados voláteis, quando for carregado na memória principal, e normalmente irá criar ou modificar arquivos e entradas no registro do sistema probatório.

Da mesma forma, usar ferramentas forenses remotas necessariamente estabelece uma conexão de rede, executa instruções na memória, e causa outras alterações no sistema probatório.

Os puristas argumentam que aquisições forense não devem alterar a fonte de evidências de maneira alguma.

Definindo um padrão absoluto que dita "preservar tudo, mas nada alterar" não é apenas incoerente com outras disciplinas forenses, mas perigoso em um contexto legal.

Na verdade, os tribunais estão começando a forçar a preservação de dados voláteis de computadores em alguns casos, exigindo que os investigadores preservem os dados de sistemas vivos. Na Côrte americana, no caso Indus Columbia Pictures. vs. Bunnell, por exemplo, o tribunal considerou que a memória RAM em um servidor Web pode conter dados de log relevantes e, portanto, dentro do âmbito da informação detectável no caso.

Uma das chaves para a solidez de uma análise forense é a documentação. Um caso sólido é construído sobre a documentação de apoio que reporta onde se encontram os elementos de prova e como foram tratados. Do ponto de vista legal, o processo de aquisição deve alterar as provas originais o mínimo possível, e quaisquer mudanças devem ser documentadas e avaliadas no contexto dos resultados finais de análise.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Descoberta e coleta de malware
   3. Montagem de laboratório para análise
Outros artigos deste autor

Boot Linux - o que acontece quando ligamos o computador

Vulnerabilidade em mais de 6 milhões de sites com flash

Race Condition

Rainbow Crack e Rainbow Tables

Wmap web scanner

Leitura recomendada

Entendendo um pouco sobre os daemons

Burlando "MSN Sniffers" com TOR e Gaim

Melhorando a segurança do Firewall com Bridges usando Snort_Inline no Debian Etch

Principais fontes de vulnerabilidade no Linux

Honeypot Kippo 0.8 - Instalação e utilização

  
Comentários
[1] Comentário enviado por cpaynes em 05/05/2011 - 08:12h

grande luiz, sempre aparece com bons artigos!!! Abraços

[2] Comentário enviado por julio_hoffimann em 06/05/2011 - 17:09h

Oi Luiz, parabéns!

Muito bom entender os tipos de malware, cada qual com sua peculiaridade. Tenho uma curiosidade: Em geral que linguagem de programação os crackers utilizam?

Abraço!

[3] Comentário enviado por mpclinux em 28/01/2012 - 22:32h

Já foi publicado a parte prática de análise de malware?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts