Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e 2015
0 gostou146 visualizações
O documento apresenta os resultados de uma análise estatística e dinâmica de amostras de malware coletadas no Brasil entre 2012 e 2015. Os autores identificaram as principais técnicas de ofuscação, como packers e anti-detecção, e observações de comportamentos suspeitos em análise dinâmica, como tráfego de rede. A utilização de packers e técnicas de anti-análise aumentou ao longo do tempo.
![Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Ameac¸as Cibern´eticas
Cen´ario Brasileiro
Fraudes Eletrˆonicas: R$ 1,4 bilh˜oes [FEBRABAN 2012]
Fraudes dos Boletos: R$ 10 bilh˜oes [RSA 2014]
Cryptowall: US$ 18 milh˜oes [The Register 2015]
Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015](https://image.slidesharecdn.com/2015-marcuswfc-160529170040/85/Uma-Visao-Geral-do-Malware-Ativo-no-Espaco-Nacional-da-Internet-entre-2012-e-2015-4-320.jpg)
![Parte 1 Parte II Parte III Parte IV Parte V
Introduc¸˜ao
Trabalhos Relacionados
Ambientes Web
URLs maliciosas (mar/2006-2007) [Provos et al. 2007]
Engenharia Social [Abraham and Chengalur-Smith 2010]
Ambientes Desktop
900 mil submiss˜oes ao An´ubis [Bayer et al. 2009]
T´ecnicas de evas˜ao [Branco et al. 2012,Barbosa e Branco
2014]
Ambientes M´oveis
An´alise de Apps Android em lojas nacionais [Afonso et al.
2013]
1 milh˜ao de submiss˜oes ao Andrubis [Lindorfer et al. 2014]
Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015](https://image.slidesharecdn.com/2015-marcuswfc-160529170040/85/Uma-Visao-Geral-do-Malware-Ativo-no-Espaco-Nacional-da-Internet-entre-2012-e-2015-5-320.jpg)
![Parte 1 Parte II Parte III Parte IV Parte V
An´alise Dinˆamica
Comportamentos Suspeitos
Tabela : Comportamentos observados em comparac¸˜ao com [Bayer et
al.2009]
Porcentagem de exemplares
Comportamento Este artigo Bayer et al.
Modificac¸˜ao no arquivo de hosts 0,11% 1,97%
Criac¸˜ao de arquivo 26,23% 70,78%
Remoc¸˜ao de arquivo 13,71% 42,57%
Modificac¸˜ao em arquivo 17,37% 79,87%
Instalac¸˜ao de BHO no IE 1,26% 1,72%
Tr´afego de rede 98,82% 55,18%
Criac¸˜ao de chave no Registro 33,67% 64,71%
Criac¸˜ao de Processo 18,79% 52,19%
Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015](https://image.slidesharecdn.com/2015-marcuswfc-160529170040/85/Uma-Visao-Geral-do-Malware-Ativo-no-Espaco-Nacional-da-Internet-entre-2012-e-2015-21-320.jpg)
![Parte 1 Parte II Parte III Parte IV Parte V
Tr´afego de Rede
Tr´afego de Rede
Tabela : Informac¸˜oes extra´ıdas do tr´afego de rede deste artigo (T) e de
[Bayer et al.2009]
Porcentagem de exemplares
Tipo de tr´afego 2012 (T) 2013 (T) 2014 (T) 2015 (T) Bayer et al.
TCP 40,87% 41,24% 56,19% 65,10% 45,74%
UDP 52,76% 54,74% 52% 58,79% 27,34%
ICMP 1,28% 1,70% 1,33% 1,18% 7,58%
DNS 52,69% 54,73% 51,98% 58,79% 24,53%
HTTP 38,63% 39,69% 52,03% 58,96% 20,75%
SSL 5,30% 5,62% 4,64% 7,99% 0,23%
Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015](https://image.slidesharecdn.com/2015-marcuswfc-160529170040/85/Uma-Visao-Geral-do-Malware-Ativo-no-Espaco-Nacional-da-Internet-entre-2012-e-2015-23-320.jpg)
Uma Visão Geral do Malware Ativo no Espaço Nacional da Internet entre 2012 e 2015
- 1. Parte 1 Parte II Parte III Parte IV Parte V Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015 Marcus Botacin1, Andr´e Gr´egio1,2, Paulo L´ıcio de Geus1 12 de Novembro de 2015 Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 2. Parte 1 Parte II Parte III Parte IV Parte V T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 3. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 4. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Ameac¸as Cibern´eticas Cen´ario Brasileiro Fraudes Eletrˆonicas: R$ 1,4 bilh˜oes [FEBRABAN 2012] Fraudes dos Boletos: R$ 10 bilh˜oes [RSA 2014] Cryptowall: US$ 18 milh˜oes [The Register 2015] Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 5. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Trabalhos Relacionados Ambientes Web URLs maliciosas (mar/2006-2007) [Provos et al. 2007] Engenharia Social [Abraham and Chengalur-Smith 2010] Ambientes Desktop 900 mil submiss˜oes ao An´ubis [Bayer et al. 2009] T´ecnicas de evas˜ao [Branco et al. 2012,Barbosa e Branco 2014] Ambientes M´oveis An´alise de Apps Android em lojas nacionais [Afonso et al. 2013] 1 milh˜ao de submiss˜oes ao Andrubis [Lindorfer et al. 2014] Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 6. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Objetivos Objetivos Foco nas particularidades do cen´ario nacional. Verificar escolhas de projeto dos criadores de malware. Identificar t´ecnicas de anti-an´alise. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 7. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Metodologia An´alise Est´atica Tipos de arquivos. Strings e Headers. Chamadas de func¸˜ao. Arquivos embutidos. R´otulos de detecc¸˜ao. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 8. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Metodologia An´alise Dinˆamica Processos criados. Chaves do Registro. Sistema de arquivos. Tr´afego de Rede Portas e Protocolos. Verificac¸˜ao de Downloads. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 9. Parte 1 Parte II Parte III Parte IV Parte V Introduc¸˜ao Coleta de dados 0 200 400 600 800 1000 1200 1400 1600 Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez Exemplares de malware coletados X Mês 2012 2013 2014 Figura : Coleta de amostras ao longo do per´ıodo observado. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 10. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 11. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Tipos de Arquivo Figura : Distribuic¸˜ao por extens˜ao. Figura : Distribuic¸˜ao por tipo de arquivo. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 12. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Tipos de Arquivo 0% 10% 20% 30% 40% 50% 60% 70% 80% 2012 2013 2014 2015 Porcentagem de exemplares X Tipo de arquivo PE32 CPL .NET DLL Figura : Evoluc¸˜ao dos tipos de arquivo. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 13. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Chamadas de Func¸˜ao Tabela : Chamadas de func¸˜ao mapeadas estaticamente. Fun¸c˜ao # Exemplares Fun¸c˜ao # Exemplares GetProcAddress 17317 (81,08%) RegOpenKeyExA 7599 (35,58%) LoadLibraryA 16713 (78,25%) LoadLibraryExA 7045 (32,98%) VirtualAlloc 15032 (70,38%) ExitThread 6916 (32,38%) VirtualFree 15007 (70,26%) FindResourceA 6216 (29,10%) Sleep 11812 (55,30%) GetCurrentProcess 5983 (28,01%) WriteFile 11545 (54,05%) VirtualProtect 5448 (25,51%) UnhandledExceptionFilter 11049 (51,73%) WinExec 5111 (23,93%) GetTickCount 9977 (46,71%) CreateFileW 4910 (22,99%) CreateThread 9214 (43,14%) SetWindowsHookExA 4883 (22,86%) GetCurrentProcessId 8521 (39,89%) IsDebuggerPresent 3511 (16,44%) GetWindowThreadProcessId 8142 (38,12%) InternetCloseHandle 4405 (20,62%) GetCommandLineA 7659 (35,86%) InternetReadFile 3777 (17,68%) Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 14. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Ofuscac¸˜ao Tabela : Uso de packers por malware ao longo do tempo. Comparac¸˜ao entre os resultados obtidos neste trabalho (T) entre 2012 e 2015 e por Branco (B) em 2012 e 2014. 2012 (T) 2012 (B) 2013 (T) 2014 (T) 2014 (B) 2015 (T) Uso de packers 49,28% 34,79% 56,59% 59,96% 37,53% 51,62% Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 15. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Ofuscac¸˜ao Tabela : Tipos de packers mais encontrados nos exemplares ofuscados. Packer Exemplares Packer Exemplares Borland Delphi 45,90% NsPack 0,95% UPX 24,83% PKLITE32 0,86% Microsoft C/C++ 23,50% Enigma 0,67% ASProtect 2,31% Dev-C++ 0,50% Themida/WinLicense 2,11% Thinstall 0,47% Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 16. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Ofuscac¸˜ao Tabela : Evoluc¸˜ao dos packers mais frequentemente encontrados por ano. Packer 2012 2013 2014 2015 Borland Delphi 35,19% 51,19% 49,66% 43,39% UPX 31,11% 25,95% 17,36% 8,53% Microsoft C/C++ 22,03% 17,62% 25,97% 44,01% Themida/WinLicense 5,00% — — — ASProtect 2,61% 1,54% 2,90% 1,23% PKLITE32 1,34% — — — Dev C++ — 1,10% — — NsPack 1,08% — 1,16% — Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 17. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica R´otulos de Detecc¸˜ao 0% 10% 20% 30% PSW Downloader Generic Win32 Delf Dropper Luhe Suspicion: Delfi Autoit_c Inject2 unknown Distribuição dos rótulos de detecção Rótulos Figura : R´otulos de Detecc¸˜ao por Antiv´ırus. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 18. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Anti-An´alise Tabela : T´ecnicas anti-VM identificadas e exemplares que as implementam. T´ecnica # de exemplares T´ecnica # de exemplares VMCheck.dll 2.729 (12,77%) Detecc¸˜ao de VirtualBox 306 (1,43%) VMware trick 843 (3,95%) Bochs & QEmu CPUID trick 267 (1,25%) Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 19. Parte 1 Parte II Parte III Parte IV Parte V An´alise Est´atica Evoluc¸˜ao das T´ecnicas de Anti-An´alise 0% 10% 20% 30% 40% 50% 60% 2012 2013 2014 2015 Porcentagem de exemplares X Técnica de ofuscação Packer Anti−Dbg Anti−VM Figura : Evoluc¸˜ao das T´ecnicas de Anti-An´alise. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 20. Parte 1 Parte II Parte III Parte IV Parte V An´alise Dinˆamica T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 21. Parte 1 Parte II Parte III Parte IV Parte V An´alise Dinˆamica Comportamentos Suspeitos Tabela : Comportamentos observados em comparac¸˜ao com [Bayer et al.2009] Porcentagem de exemplares Comportamento Este artigo Bayer et al. Modificac¸˜ao no arquivo de hosts 0,11% 1,97% Criac¸˜ao de arquivo 26,23% 70,78% Remoc¸˜ao de arquivo 13,71% 42,57% Modificac¸˜ao em arquivo 17,37% 79,87% Instalac¸˜ao de BHO no IE 1,26% 1,72% Tr´afego de rede 98,82% 55,18% Criac¸˜ao de chave no Registro 33,67% 64,71% Criac¸˜ao de Processo 18,79% 52,19% Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 22. Parte 1 Parte II Parte III Parte IV Parte V Tr´afego de Rede T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 23. Parte 1 Parte II Parte III Parte IV Parte V Tr´afego de Rede Tr´afego de Rede Tabela : Informac¸˜oes extra´ıdas do tr´afego de rede deste artigo (T) e de [Bayer et al.2009] Porcentagem de exemplares Tipo de tr´afego 2012 (T) 2013 (T) 2014 (T) 2015 (T) Bayer et al. TCP 40,87% 41,24% 56,19% 65,10% 45,74% UDP 52,76% 54,74% 52% 58,79% 27,34% ICMP 1,28% 1,70% 1,33% 1,18% 7,58% DNS 52,69% 54,73% 51,98% 58,79% 24,53% HTTP 38,63% 39,69% 52,03% 58,96% 20,75% SSL 5,30% 5,62% 4,64% 7,99% 0,23% Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 24. Parte 1 Parte II Parte III Parte IV Parte V Considerac¸˜oes Finais T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 25. Parte 1 Parte II Parte III Parte IV Parte V Considerac¸˜oes Finais Limitac¸˜oes Limitac¸˜oes An´alise em Userland. Plataforma Windows. N´umero restrito de amostras. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 26. Parte 1 Parte II Parte III Parte IV Parte V Considerac¸˜oes Finais Trabalhos Futuros Trabalhos Futuros Expans˜ao das an´alises. An´alise Bare-Metal. Avaliac¸˜ao da efic´acia das t´ecnicas de anti-an´alise. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 27. Parte 1 Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos T´opicos 1 Parte 1 Introduc¸˜ao 2 Parte II An´alise Est´atica 3 Parte III An´alise Dinˆamica 4 Parte IV Tr´afego de Rede 5 Parte V Considerac¸˜oes Finais Conclus˜oes e Agradecimentos Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 28. Parte 1 Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Conclus˜oes Conclus˜oes Especificidades do cen´ario nacional. Identificac¸˜ao de tendˆencias (CPL e .NET). Observac¸˜ao de t´ecnicas de anti-an´alise. Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
- 29. Parte 1 Parte II Parte III Parte IV Parte V Conclus˜oes e Agradecimentos Agradecimentos Os autores agradecem: CNPq Instituto de Computac¸˜ao/Unicamp CTI Renato Archer Uma Vis˜ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015