Imagem abstrata de uma mulher sentada em livros e estudando em um laptop

Monitoração de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits

Marcus Botacin, profile picture
Marcus Botacin

O documento discute técnicas e desafios para monitorar o comportamento de malware em sistemas Windows 64 bits. Ele apresenta: 1) Novas proteções do Windows 64 bits que dificultam a análise dinâmica e 2) Uma arquitetura baseada em callbacks para monitorar ações de malware contornando essas proteções. Experimentos validaram que a abordagem captura ações em escala e identificou comportamentos comuns de malware.

Tecnologia
Related topics:
Information Security
1 de 39
Baixar para ler offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
Parte I Parte II Parte III Parte IV Parte V Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits Marcus Botacin1,3, Vitor Afonso1, Paulo L´ıcio de Geus1, Andr´e Gr´egio1,2 1Instituto de Computac¸˜ao - UNICAMP {marcus,vitor,paulo}@lasca.ic.unicamp.br 2Centro de Tecnologia da Informac¸˜ao Renato Archer (CTI) andre.gregio@cti.gov.br 3Bolsista PIBIC-CNPq 5 de Novembro de 2014 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao An´alise de malware Tipos de an´alise An´alise est´atica: c´odigo-fonte; execut´avel (disassembled). An´alise dinˆamica: execuc¸˜ao controlada/temporizada; extrac¸˜ao comportamental (limitada). Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao Cen´ario Atual Uso do Windows—Olhar Digital, 03/02/2014 O Windows 8.1 se tornou o quarto sistema operacional mais usado por computadores no mundo, deixando o Vista, o Mac OS X Mavericks e o Linux para tr´as. Fonte: http://olhardigital.uol.com.br/noticia/40085/40085 Malware 64-bits—Securelist 11/12/2013 The more people switch to 64-bit platforms, the more 64-bit malware appears. We have been following this process for several years now. The more people work on 64-bit platforms, the more 64-bit applications that are developed as well. Fonte: https://www.securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_ enhanced_with_Tor Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V T´ecnicas T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V T´ecnicas T´ecnicas de An´alise T´ecnicas de An´alise System Service Dispatch Table (SSDT) Hooking Ex.: BehEMOT (SBSeg 2010). Virtual Machine Introspection (VMI) Ex.: Anubis (anubis.iseclab.org). Application Programming Interface (API) Hooking Ex.: Cuckoo (www.cuckoosandbox.org), CWSandbox (www.threattracksecurity.com). Detour Callback e Filters Ex.: Capture-BAT (www.honeynet.org/node/315) Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Novidades do Windows 64 bits T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Novidades do Windows 64 bits Novidades do Windows 64 bits Novidades do Windows 64 bits Kernel Patch Protection (KPP). ⇒ Apenas 64 bits. Exigˆencia de assinatura de driver. ⇒ Inclui auto-assinados. Sess˜oes de aplicativos. ⇒ Impede criac¸˜ao de threads remotas entre sess˜oes. Mudan¸cas na API. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes Considerac¸˜oes Mecanismos de protec¸˜ao vs. An´alise dinˆamica KPP: impede SSDT hooking. Assinatura de drivers: pode ser desligada; malware geral atua em userland ⇒ n˜ao carrega drivers! Detours/Inline hooking: mesmo n´ıvel de privil´egio do malware. Proibi¸c˜ao de threads remotas: dificulta DLL hooking. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes Considerac¸˜oes Requisitos de Projeto An´alise de malware moderno. Portabilidade e Escalabilidade ⇒ incompat´ıvel com VMI. Decis˜oes de Projeto Implementac¸˜ao Utilizando-se de Callbacks e Filters. Tr´afego de rede capturado externamente ao ambiente de an´alise. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Callback Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Arquitetura do Sistema Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Arquitetura do Sistema Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Experimentos Tipos de Experimentos Validac¸˜ao. Testes em maior escala. Objetivo 1 Verificar se a monitorac¸˜ao das ac¸˜oes efetuadas sobre os subsistemas de arquivos, registro e processos ´e feita adequadamente. 2 An´alise aprofundada de exemplares de malware em busca de comportamentos que indicam a presenc¸a de c´odigos maliciosos. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Validac¸˜ao 1 7/4/2014 −13:3:48.793| SetValueKey |2032|C:7 G6C5n . exe |REGISTRYUSERS −1−5−21−3760592576−961097288−785014024−1001 Software Microsoft Windows CurrentVersion Run | SoftBrue | ”C:7 G6C5n . exe ” 1 7/4/2014 −13:3:48.76| WriteOperation |3028|C: v i s u a l i z a r . exe |C: WindowsSysWOW64 d l l . exe | Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Validac¸˜ao 1 7/4/2014 −13:5:1.895| DeleteOperation |2032|C: deposito . exe |C: ProgramData r r . t x t | 1 7/4/2014 −13:3:48.294| CreateProcess |3028|C: Monitor Malware v i s u a l i z a r . exe |2440|C: WindowsSysWOW64 d l l . exe 1 2014−05−14 20:02:40.963113 10.10.100.101 XX.YY. ZZ .121 HTTP 290 GET /. swim01/ c o n t r o l . php? i a&mi=00 B5AB4E−47098BC3 HTTP/1.1 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Testes em maior escala Amostras 1 Amostras coletadas no per´ıodo entre 01/01/2014 e 21/05/2014. 2 2.937 exemplares ´unicos (hash MD5). 3 Exemplares provenientes de honeypots, phishing e downloads de links contaminados. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Distribuic¸˜ao das Amostras Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos exibidos pelos exemplares Tabela : Atividades monitoradas e quantidade de exemplares que as exibiram. Atividade Qtde. Escrita no Registro 1073 Remoc¸˜ao de chave(s) do Registro 772 Criac¸˜ao de processo(s) 602 T´ermino de processos 1337 Escrita em arquivo(s) 1028 Leitura de arquivo(s) 1694 Remoc¸˜ao de arquivo(s) 551 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos Observados Detalhes dos comportamentos Finalizac¸˜ao de mecanismos ant´ıvirus instalados no sistema operacional; Desligamento do firewall nativo do Windows; Criac¸˜ao de novos bin´arios no sistema, seja por download ou por dropping; Desligamento do mecanismo de atualizac¸˜ao autom´atica do Windows; Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos Observados Detalhes dos comportamentos Tentativa de persistˆencia (sobrevivˆencia a desligamentos e reinicializac¸˜oes); Injec¸˜ao de Browser Helper Objects no Internet Explorer; Modificac¸˜ao no arquivo hosts.txt do sistema operacional; Sobrescrita de um arquivo (programa ou biblioteca) j´a presente no sistema; Remoc¸˜ao de seu pr´oprio programa ou de outros artefatos. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Tr´afego de rede Tabela : 10 portas/protocolos mais utilizados pelos exemplares. Protocolo Porta % dos exemplares HTTP 80 44.4 HTTPS 443 6.5 MS-SQL 1433 2.6 - 8181 1.0 SMTP 587 0.8 - 82 0.7 MySQL 3306 0.5 - 720 0.3 - 2869 0.3 - 9000 0.2 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Tr´afego de rede Tabela : Comportamentos suspeitos observados no tr´afego de rede. Comportamento Qtde. de malware Download desconhecido 154 E-mail/Spam 25 Banker 22 Comunicac¸˜ao IRC 4 Dados do sistema 3 Obtenc¸˜ao de PAC 1 Portas de IRC 1 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Virustotal Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Discuss˜ao Contribuic¸˜oes: Capaz de executar arquivos no formato PE+ (64 bits). Provˆe um ambiente “flex´ıvel” de 64 bits (Windows 8) para an´alise. Ferramentas/sistemas avaliados: Anubis (http://anubis.iseclab.org) Cuckoo (https://malwr.com/) ThreatExpert (http://www.threatexpert.com) Camas Comodo (http://camas.comodo.com) CWSandbox (http://www.threattracksecurity.com/ resources/sandbox-malware-analysis.aspx) Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Experimentos Discuss˜ao Antiv´ırus R´otulos de detecc¸˜ao baseiam-se em heur´ısticas gen´ericas. ⇒ Permitem que o usu´ario seja alertado sobre um evento ou processo suspeito. ⇒ N˜ao provˆeem informac¸˜oes espec´ıficas sobre o tipo de dano causado. Windows Retrocompatibilidade ⇒ Exemplares de 32 bits (Windows XP) infectam o Windows 8. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros Limitac¸˜oes Limitac¸˜oes An´alise de rootkits An´alise de tr´afego criptografado An´alise de evaders (Reboot, VM detection) Mecanismo de callback limitado a interface do S.O. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros Trabalhos Futuros Trabalhos Futuros Integrac¸˜ao do ambiente bare-metal ao ambiente emulado. Implementac¸˜ao de t´ecnicas para monitorac¸˜ao de outros subsistemas. Estudo e desenvolvimento de mecanismos de protec¸˜ao para a ferramenta de monitorac¸˜ao. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Conclus˜oes Conclus˜oes Introduziu-se um sistema de an´alise dinˆamica de malware de 64 bits baseado em Windows 8. Avaliou-se o funcionamento do sistema por meio da execuc¸˜ao de 2.937 exemplares de malware. Os resultados obtidos permitem uma maior compreens˜ao da atuac¸˜ao de malware, possibilitando a criac¸˜ao de heur´ısticas de detecc¸˜ao, procedimentos de remediac¸˜ao e tomada de contra-medidas para resposta a incidentes. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Agradecimentos Os autores agradecem: CNPq Instituto de Computac¸˜ao/Unicamp CTI Renato Archer Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware Win32/64:Blackbeard & Pigeon Fonte: http://blog.avast.com/2014/01/15/ win3264blackbeard-pigeon-stealthiness-techniques-in-64-bit-windows-part-1/ Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware TSPY64 ZBOT.AANP Fonte: http://about-threats.trendmicro.com/Malware.aspx?language=au&name=TSPY64_ZBOT.AANP It connects to the following URL(s) to get the affected system’s IP address: http: // checkip. dyndns. org Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware TSPY64 ZBOT.AANP It requires the existence of the following files to properly run: Application Datarandom folder namerandom file name.exe Nota: Application Data ´e C:Usersuser nameAppDataRoaming do Windows Vista em diante. 1 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoamingGevoun | 2 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoamingGevoun r i o d . exe | 3 29/6/2014 − 1 5 : 4 3 : 2 7 . 8 0 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoaming Arcole | Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14

Mais conteúdo relacionado

PDF
XVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
Marcus Botacin
 
PDF
XVII SBSEG: VoiDbg: Projeto e Implementação de um Debugger Transparente para ...
Marcus Botacin
 
PDF
Apresentação Técnica - ISA SHOW 2012
TI Safe
 
PPTX
Grand permata city cikarang cb
adhomurtadho
 
PDF
DD214_FT_Benning
Oscar Little
 
DOCX
Music video analysis_work_sheet2-red
HaiiEmmaa
 
DOCX
Kelsey Keighley - Treatment
kelseykiki
 
PPTX
BA Arena 2015
Sven Krause
 
XVII SBSEG: Análise Transparente de Malware com Suporte por Hardware
Marcus Botacin
 
XVII SBSEG: VoiDbg: Projeto e Implementação de um Debugger Transparente para ...
Marcus Botacin
 
Apresentação Técnica - ISA SHOW 2012
TI Safe
 
Grand permata city cikarang cb
adhomurtadho
 
DD214_FT_Benning
Oscar Little
 
Music video analysis_work_sheet2-red
HaiiEmmaa
 
Kelsey Keighley - Treatment
kelseykiki
 
BA Arena 2015
Sven Krause
 

Destaque (7)

PPTX
Rumah Baru Grand permata city cikarang
adhomurtadho
 
PDF
The clear proofs for refuting the doubts of the people of takfeer and bombing
goffaree
 
PDF
HTS Picture
Oscar Little
 
DOCX
See No Evil: The Moors Murders
Catherine Longstaff
 
PPTX
New Product Development Project - Meal kit
Chau Pham
 
PDF
III Jornada Automatización de Almacén - Conrad Cardona
Instituto Logístico Tajamar
 
PDF
Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Nicolas Verdier
 
Rumah Baru Grand permata city cikarang
adhomurtadho
 
The clear proofs for refuting the doubts of the people of takfeer and bombing
goffaree
 
HTS Picture
Oscar Little
 
See No Evil: The Moors Murders
Catherine Longstaff
 
New Product Development Project - Meal kit
Chau Pham
 
III Jornada Automatización de Almacén - Conrad Cardona
Instituto Logístico Tajamar
 
Webinar Softlayer MSP / ISV en Francais - Octobre 2015
Nicolas Verdier
 
Anúncio

Mais de Marcus Botacin (20)

PDF
Cross-Regional Malware Detection via Model Distilling and Federated Learning
Marcus Botacin
 
PDF
What do malware analysts want from academia? A survey on the state-of-the-pra...
Marcus Botacin
 
PDF
GPThreats: Fully-automated AI-generated malware and its security risks
Marcus Botacin
 
PDF
[Texas A&M University] Research @ Botacin's Lab
Marcus Botacin
 
PDF
Pilares da Segurança e Chaves criptográficas
Marcus Botacin
 
PDF
Machine Learning by Examples - Marcus Botacin - TAMU 2024
Marcus Botacin
 
PDF
Near-memory & In-Memory Detection of Fileless Malware
Marcus Botacin
 
PDF
GPThreats-3: Is Automated Malware Generation a Threat?
Marcus Botacin
 
PDF
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
Marcus Botacin
 
PDF
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
Marcus Botacin
 
PDF
Hardware-accelerated security monitoring
Marcus Botacin
 
PDF
How do we detect malware? A step-by-step guide
Marcus Botacin
 
PDF
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Marcus Botacin
 
PDF
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Marcus Botacin
 
PDF
On the Malware Detection Problem: Challenges & Novel Approaches
Marcus Botacin
 
PDF
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
Marcus Botacin
 
PDF
Near-memory & In-Memory Detection of Fileless Malware
Marcus Botacin
 
PDF
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Marcus Botacin
 
PDF
Integridade, confidencialidade, disponibilidade, ransomware
Marcus Botacin
 
PDF
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
Marcus Botacin
 
Cross-Regional Malware Detection via Model Distilling and Federated Learning
Marcus Botacin
 
What do malware analysts want from academia? A survey on the state-of-the-pra...
Marcus Botacin
 
GPThreats: Fully-automated AI-generated malware and its security risks
Marcus Botacin
 
[Texas A&M University] Research @ Botacin's Lab
Marcus Botacin
 
Pilares da Segurança e Chaves criptográficas
Marcus Botacin
 
Machine Learning by Examples - Marcus Botacin - TAMU 2024
Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Marcus Botacin
 
GPThreats-3: Is Automated Malware Generation a Threat?
Marcus Botacin
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
Marcus Botacin
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
Marcus Botacin
 
Hardware-accelerated security monitoring
Marcus Botacin
 
How do we detect malware? A step-by-step guide
Marcus Botacin
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Marcus Botacin
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Marcus Botacin
 
On the Malware Detection Problem: Challenges & Novel Approaches
Marcus Botacin
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
Marcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
Marcus Botacin
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Marcus Botacin
 
Integridade, confidencialidade, disponibilidade, ransomware
Marcus Botacin
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
Marcus Botacin
 
Anúncio

Último (12)

PDF
Termos utilizados na designação de relação entre pessoa e uma obra.pdf
FlaviaMonte3
 
PPTX
Viasol Energia Solar -Soluções para geração e economia de energia
viasolaquecedoresmkt
 
PPTX
Utilizando code blockes por andre backes
mordike3
 
PDF
eBook - GUIA DE CONSULTA RAPIDA EM ROTEADORES E SWITCHES CISCO - VOL I.pdf
AndressaA8
 
PDF
Manejo integrado de pragas na cultura do algodão
EmanuelAmadeusSilvaS
 
PDF
Jira Software projetos completos com scrum
RonaldDavy
 
PPTX
Tipos de servidor em redes de computador.pptx
andremicaszuada
 
PPTX
Proposta de Implementação de uma Rede de Computador Cabeada.pptx
andremicaszuada
 
PPTX
Aula 9 - Funções em Python (Introdução à Ciência da Computação)
AndreAlmeida362599
 
PPT
Conceitos básicos de Redes Neurais Artificiais
petterflamenguista
 
PDF
Processos no SAP Extended Warehouse Management, EWM100 Col26
Libreria ERP
 
PPTX
Analise Estatica de Compiladores para criar uma nova LP
rhianfelipelara
 
Termos utilizados na designação de relação entre pessoa e uma obra.pdf
FlaviaMonte3
 
Viasol Energia Solar -Soluções para geração e economia de energia
viasolaquecedoresmkt
 
Utilizando code blockes por andre backes
mordike3
 
eBook - GUIA DE CONSULTA RAPIDA EM ROTEADORES E SWITCHES CISCO - VOL I.pdf
AndressaA8
 
Manejo integrado de pragas na cultura do algodão
EmanuelAmadeusSilvaS
 
Jira Software projetos completos com scrum
RonaldDavy
 
Tipos de servidor em redes de computador.pptx
andremicaszuada
 
Proposta de Implementação de uma Rede de Computador Cabeada.pptx
andremicaszuada
 
Aula 9 - Funções em Python (Introdução à Ciência da Computação)
AndreAlmeida362599
 
Conceitos básicos de Redes Neurais Artificiais
petterflamenguista
 
Processos no SAP Extended Warehouse Management, EWM100 Col26
Libreria ERP
 
Analise Estatica de Compiladores para criar uma nova LP
rhianfelipelara
 

Monitoração de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits

  • 1. Parte I Parte II Parte III Parte IV Parte V Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits Marcus Botacin1,3, Vitor Afonso1, Paulo L´ıcio de Geus1, Andr´e Gr´egio1,2 1Instituto de Computac¸˜ao - UNICAMP {marcus,vitor,paulo}@lasca.ic.unicamp.br 2Centro de Tecnologia da Informac¸˜ao Renato Archer (CTI) andre.gregio@cti.gov.br 3Bolsista PIBIC-CNPq 5 de Novembro de 2014 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 2. Parte I Parte II Parte III Parte IV Parte V T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 3. Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 4. Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao An´alise de malware Tipos de an´alise An´alise est´atica: c´odigo-fonte; execut´avel (disassembled). An´alise dinˆamica: execuc¸˜ao controlada/temporizada; extrac¸˜ao comportamental (limitada). Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 5. Parte I Parte II Parte III Parte IV Parte V Introduc¸˜ao Cen´ario Atual Uso do Windows—Olhar Digital, 03/02/2014 O Windows 8.1 se tornou o quarto sistema operacional mais usado por computadores no mundo, deixando o Vista, o Mac OS X Mavericks e o Linux para tr´as. Fonte: http://olhardigital.uol.com.br/noticia/40085/40085 Malware 64-bits—Securelist 11/12/2013 The more people switch to 64-bit platforms, the more 64-bit malware appears. We have been following this process for several years now. The more people work on 64-bit platforms, the more 64-bit applications that are developed as well. Fonte: https://www.securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_ enhanced_with_Tor Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 6. Parte I Parte II Parte III Parte IV Parte V T´ecnicas T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 7. Parte I Parte II Parte III Parte IV Parte V T´ecnicas T´ecnicas de An´alise T´ecnicas de An´alise System Service Dispatch Table (SSDT) Hooking Ex.: BehEMOT (SBSeg 2010). Virtual Machine Introspection (VMI) Ex.: Anubis (anubis.iseclab.org). Application Programming Interface (API) Hooking Ex.: Cuckoo (www.cuckoosandbox.org), CWSandbox (www.threattracksecurity.com). Detour Callback e Filters Ex.: Capture-BAT (www.honeynet.org/node/315) Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 8. Parte I Parte II Parte III Parte IV Parte V Novidades do Windows 64 bits T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 9. Parte I Parte II Parte III Parte IV Parte V Novidades do Windows 64 bits Novidades do Windows 64 bits Novidades do Windows 64 bits Kernel Patch Protection (KPP). ⇒ Apenas 64 bits. Exigˆencia de assinatura de driver. ⇒ Inclui auto-assinados. Sess˜oes de aplicativos. ⇒ Impede criac¸˜ao de threads remotas entre sess˜oes. Mudan¸cas na API. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 10. Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 11. Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes Considerac¸˜oes Mecanismos de protec¸˜ao vs. An´alise dinˆamica KPP: impede SSDT hooking. Assinatura de drivers: pode ser desligada; malware geral atua em userland ⇒ n˜ao carrega drivers! Detours/Inline hooking: mesmo n´ıvel de privil´egio do malware. Proibi¸c˜ao de threads remotas: dificulta DLL hooking. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 12. Parte I Parte II Parte III Parte IV Parte V Considerac¸˜oes Considerac¸˜oes Requisitos de Projeto An´alise de malware moderno. Portabilidade e Escalabilidade ⇒ incompat´ıvel com VMI. Decis˜oes de Projeto Implementac¸˜ao Utilizando-se de Callbacks e Filters. Tr´afego de rede capturado externamente ao ambiente de an´alise. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 13. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 14. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Callback Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 15. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Arquitetura do Sistema Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 16. Parte I Parte II Parte III Parte IV Parte V Arquitetura do Sistema Arquitetura do Sistema Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 17. Parte I Parte II Parte III Parte IV Parte V Experimentos T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 18. Parte I Parte II Parte III Parte IV Parte V Experimentos Experimentos Tipos de Experimentos Validac¸˜ao. Testes em maior escala. Objetivo 1 Verificar se a monitorac¸˜ao das ac¸˜oes efetuadas sobre os subsistemas de arquivos, registro e processos ´e feita adequadamente. 2 An´alise aprofundada de exemplares de malware em busca de comportamentos que indicam a presenc¸a de c´odigos maliciosos. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 19. Parte I Parte II Parte III Parte IV Parte V Experimentos Validac¸˜ao 1 7/4/2014 −13:3:48.793| SetValueKey |2032|C:7 G6C5n . exe |REGISTRYUSERS −1−5−21−3760592576−961097288−785014024−1001 Software Microsoft Windows CurrentVersion Run | SoftBrue | ”C:7 G6C5n . exe ” 1 7/4/2014 −13:3:48.76| WriteOperation |3028|C: v i s u a l i z a r . exe |C: WindowsSysWOW64 d l l . exe | Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 20. Parte I Parte II Parte III Parte IV Parte V Experimentos Validac¸˜ao 1 7/4/2014 −13:5:1.895| DeleteOperation |2032|C: deposito . exe |C: ProgramData r r . t x t | 1 7/4/2014 −13:3:48.294| CreateProcess |3028|C: Monitor Malware v i s u a l i z a r . exe |2440|C: WindowsSysWOW64 d l l . exe 1 2014−05−14 20:02:40.963113 10.10.100.101 XX.YY. ZZ .121 HTTP 290 GET /. swim01/ c o n t r o l . php? i a&mi=00 B5AB4E−47098BC3 HTTP/1.1 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 21. Parte I Parte II Parte III Parte IV Parte V Experimentos Testes em maior escala Amostras 1 Amostras coletadas no per´ıodo entre 01/01/2014 e 21/05/2014. 2 2.937 exemplares ´unicos (hash MD5). 3 Exemplares provenientes de honeypots, phishing e downloads de links contaminados. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 22. Parte I Parte II Parte III Parte IV Parte V Experimentos Distribuic¸˜ao das Amostras Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 23. Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos exibidos pelos exemplares Tabela : Atividades monitoradas e quantidade de exemplares que as exibiram. Atividade Qtde. Escrita no Registro 1073 Remoc¸˜ao de chave(s) do Registro 772 Criac¸˜ao de processo(s) 602 T´ermino de processos 1337 Escrita em arquivo(s) 1028 Leitura de arquivo(s) 1694 Remoc¸˜ao de arquivo(s) 551 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 24. Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos Observados Detalhes dos comportamentos Finalizac¸˜ao de mecanismos ant´ıvirus instalados no sistema operacional; Desligamento do firewall nativo do Windows; Criac¸˜ao de novos bin´arios no sistema, seja por download ou por dropping; Desligamento do mecanismo de atualizac¸˜ao autom´atica do Windows; Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 25. Parte I Parte II Parte III Parte IV Parte V Experimentos Comportamentos Observados Detalhes dos comportamentos Tentativa de persistˆencia (sobrevivˆencia a desligamentos e reinicializac¸˜oes); Injec¸˜ao de Browser Helper Objects no Internet Explorer; Modificac¸˜ao no arquivo hosts.txt do sistema operacional; Sobrescrita de um arquivo (programa ou biblioteca) j´a presente no sistema; Remoc¸˜ao de seu pr´oprio programa ou de outros artefatos. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 26. Parte I Parte II Parte III Parte IV Parte V Experimentos Tr´afego de rede Tabela : 10 portas/protocolos mais utilizados pelos exemplares. Protocolo Porta % dos exemplares HTTP 80 44.4 HTTPS 443 6.5 MS-SQL 1433 2.6 - 8181 1.0 SMTP 587 0.8 - 82 0.7 MySQL 3306 0.5 - 720 0.3 - 2869 0.3 - 9000 0.2 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 27. Parte I Parte II Parte III Parte IV Parte V Experimentos Tr´afego de rede Tabela : Comportamentos suspeitos observados no tr´afego de rede. Comportamento Qtde. de malware Download desconhecido 154 E-mail/Spam 25 Banker 22 Comunicac¸˜ao IRC 4 Dados do sistema 3 Obtenc¸˜ao de PAC 1 Portas de IRC 1 Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 28. Parte I Parte II Parte III Parte IV Parte V Experimentos Virustotal Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 29. Parte I Parte II Parte III Parte IV Parte V Experimentos Discuss˜ao Contribuic¸˜oes: Capaz de executar arquivos no formato PE+ (64 bits). Provˆe um ambiente “flex´ıvel” de 64 bits (Windows 8) para an´alise. Ferramentas/sistemas avaliados: Anubis (http://anubis.iseclab.org) Cuckoo (https://malwr.com/) ThreatExpert (http://www.threatexpert.com) Camas Comodo (http://camas.comodo.com) CWSandbox (http://www.threattracksecurity.com/ resources/sandbox-malware-analysis.aspx) Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 30. Parte I Parte II Parte III Parte IV Parte V Experimentos Discuss˜ao Antiv´ırus R´otulos de detecc¸˜ao baseiam-se em heur´ısticas gen´ericas. ⇒ Permitem que o usu´ario seja alertado sobre um evento ou processo suspeito. ⇒ N˜ao provˆeem informac¸˜oes espec´ıficas sobre o tipo de dano causado. Windows Retrocompatibilidade ⇒ Exemplares de 32 bits (Windows XP) infectam o Windows 8. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 31. Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 32. Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros Limitac¸˜oes Limitac¸˜oes An´alise de rootkits An´alise de tr´afego criptografado An´alise de evaders (Reboot, VM detection) Mecanismo de callback limitado a interface do S.O. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 33. Parte I Parte II Parte III Parte IV Parte V Limitac¸˜oes e Trabalhos Futuros Trabalhos Futuros Trabalhos Futuros Integrac¸˜ao do ambiente bare-metal ao ambiente emulado. Implementac¸˜ao de t´ecnicas para monitorac¸˜ao de outros subsistemas. Estudo e desenvolvimento de mecanismos de protec¸˜ao para a ferramenta de monitorac¸˜ao. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 34. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos T´opicos 1 Parte I Introduc¸˜ao 2 Parte II T´ecnicas Novidades do Windows 64 bits Considerac¸˜oes 3 Parte III Arquitetura do Sistema 4 Parte IV Experimentos 5 Parte V Limitac¸˜oes e Trabalhos Futuros Conclus˜oes e Agradecimentos Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 35. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Conclus˜oes Conclus˜oes Introduziu-se um sistema de an´alise dinˆamica de malware de 64 bits baseado em Windows 8. Avaliou-se o funcionamento do sistema por meio da execuc¸˜ao de 2.937 exemplares de malware. Os resultados obtidos permitem uma maior compreens˜ao da atuac¸˜ao de malware, possibilitando a criac¸˜ao de heur´ısticas de detecc¸˜ao, procedimentos de remediac¸˜ao e tomada de contra-medidas para resposta a incidentes. Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 36. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Agradecimentos Os autores agradecem: CNPq Instituto de Computac¸˜ao/Unicamp CTI Renato Archer Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 37. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware Win32/64:Blackbeard & Pigeon Fonte: http://blog.avast.com/2014/01/15/ win3264blackbeard-pigeon-stealthiness-techniques-in-64-bit-windows-part-1/ Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 38. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware TSPY64 ZBOT.AANP Fonte: http://about-threats.trendmicro.com/Malware.aspx?language=au&name=TSPY64_ZBOT.AANP It connects to the following URL(s) to get the affected system’s IP address: http: // checkip. dyndns. org Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14
  • 39. Parte I Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Mais sobre 64-bit-malware TSPY64 ZBOT.AANP It requires the existence of the following files to properly run: Application Datarandom folder namerandom file name.exe Nota: Application Data ´e C:Usersuser nameAppDataRoaming do Windows Vista em diante. 1 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoamingGevoun | 2 29/6/2014 − 1 5 : 4 3 : 2 7 . 6 6 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoamingGevoun r i o d . exe | 3 29/6/2014 − 1 5 : 4 3 : 2 7 . 8 0 8 | CreateOperation |1852| Trojan−Spy . Win64 . Zbot . a | Users User Windows VM AppDataRoaming Arcole | Monitorac¸˜ao de comportamento de malware em sistemas operacionais Windows NT 6.x de 64 bits SBSeg’14