Introdução
Estarei apresentando uma série
de artigos voltados para o estudo básico de malware, o meu objetivo não é
esgotar o assunto e sim colocar em discussão o que fazer para combater e até
mesmo evitar estas pragas virtuais e acredito que a melhor forma de se combater
qualquer mal é estudando e debatendo sobre o mesmo, por isso deixo em aberto os
comentários. E quero deixar claro que também não sou nenhum especialista, estou
em processo de aprendizagem e podemos esta sujeitos a erros.
Motivação
A minha motivação de estudar
esse assunto e posteriormente escrever, é devido a grande ocorrência dessas
pragas que por muitas vezes consegue burlar até mesmo o antivírus e outras
vacinas e ferramentas que deveriam barrar esses vermes, causando desesperos em
usuários despreparados e por muitas vezes vieram até mim pedindo ajuda.
Referência:
Todo o estudo desenvolvido,
tem como base o livro “Pratical Malware Analysis – Michael Sikorski e Andrew
Honig” pode ser encontrado neste link: http://www.amazon.com/Practical-Malware-Analysis-Dissecting-Malicious/dp/1593272901
Essa primeira parte do artigo
está voltada fundamentação de alguns conceitos importantes para compreender
todo o desenvolvimento dos artigos sequenciais.
Na parte1 estaremos estudando:
+ O que é malware;
+ Tipos de malware;
+ Detectando o malware na
rede;
O que é malware?
Todo software que tem como
objetivo causar algum dano, roubo, perda ou lentidão do sistema ou da rede de
dados de uma empresa, órgão público, usuário comum ou qualquer um outro, pode
ser considerado um “malware”, como podemos observar, não importa muito a sua
forma de agir, porque pode ser um vírus, trojan horse, worms, root kits,
scareware spyware. A forma ou técnica de analise depende apenas de seu
objetivo.
Tipos de malware
Quando e estudo sobre analise
de malware, é preciso e necessário, em um determinado momento, separa-los por
características comuns para facilitar no momento de escolher o laboratório
assim como as ferramentas usadas para cada tipo de malware, segue abaixo uma
pequena categoria para nos ajudar a entender os tipos/características
existentes, alguns já ossos velhos conhecidos:
Backdoor: Se instala e permite que o atacante tenha acesso para
rodar programas no sistema local;
Botnet: Muito semelhante ao Backdoor, permite o atacante ter acesso
a máquina local, podendo redirecionar comando em um alvo comum a outro Botnets;
Downloader: Esse é o mais comum entre usuário desavisados, esse
código malicioso quando baixado e executado, ele baixa outros programas
maliciosos que não precisa necessariamente da autorização do usuário para se
instalarem e infectarem o sistema;
Information-Stealing Malware: O objetivo é roubar senhas de e-mail,
banco, autenticação de rede, rede social, usando técnicas de sniffers,
keyloggers e outros.
Launcher: Objetivo é carregar outros programas maliciosos para a
memória, faz de forma não comum mesclando o uso de técnicas stealth para
garantir o maior acesso ao sistema;
RootKit: O grande objetivo dele é esconder outros códigos
maliciosos, com gatilhos que permitem apenas que o antivírus, por exemplo,
apenas cheque os arquivos limpos e ocultando os maliciosos;
Scareware: O objetivo desse é forjar uma infecção ou um outro dano
qualquer e dessa forma coagir a pessoa a comprar o software para se livrar da
praga;
Spam-Sending: Usa o PC do usuário como um distribuidor de spam;
Worm ou vírus: programa
malicioso que pode se reproduzir e infectar várias partes do sistema podendo
até mesmo causar danos sérios;
De uma forma geral, os
malwares podem pertencer a mais de uma categoria (ou ter mais de uma
característica), podem ser classificados de acordo com seu comportamento/ação.
Detectando ação de malware na rede
Para se detectar a ação de
malware em uma rede de dados, será preciso desenvolver uma base de assinaturas,
que pode ser de 2 formas:
Assinaturas baseado em Host: Também conhecido como “indicador”, é
usado pra detectar ações maliciosas em computadores. Os indicadores
frequentemente identifica arquivos criados ou modificados por malware ou por
mudanças realizadas pelo próprio sistema. Enquanto o antivírus olha o interior
dos programas e arquivos em busca de uma assinatura maliciosa, o indicador
observa apenas o comportamento do sistema o incomodo dessa técnica é que se tem
mito falso positivo, já que o indicador não vai conseguir diferenciar a ação do
sistema com a do malware;
Assinaturas baseado em Rede: Essa técnica tem como objetivo de
monitorar o trafego de rede, e dessa forma checar detectar comportamento
estranhos. Esse técnica ela é muito mais eficiente e oferece uma maior taxa de
detecção e pouco falso positivo.
Por: Edilson Feitoza
Quem sou eu:
Graduado em Redes de Computadores e especialista em Gestão de Projetos em TI.
Atualmente trabalha como Administrador de Redes em uma empresa no ramo de papéis e cadernos e professor universitário nos cursos de Sistema de informação e Analise e Desenvolvimento de Software.
|
|
Nenhum comentário:
Postar um comentário