A muitos anos sou fascinado por vírus… Porém a falta de tempo nunca me permitiu aprofundar no assunto. Agora que estou com mais tempo livre(desempregado) estou aproveitando para focar no estudo de Analise de Malware.

Com o crescimento da informática no geral,  toda codificação maliciosa esta praticamente definida apenas no termo “malware”(Malicious Software). 

Estou lendo uns livros sobre o assunto e os focados apenas em Análise de Malware, começam com a análise dinâmica, acredito eu, não apenas para introduzir o leitor no novo mundo, mas também por que esta é a forma que permite ter uma melhor percepção das interações do software com o sistema. Talvez mais a frente eu mude esta visão e prefira partir diretamente para a análise estática, mas por hora, keep walking.

O post anterior era um link para montagem de um ambiente para pentest. Muito bom o artigo da rapid7. Utilizo o VirtualBox e montei meu ambiente de forma mais simples:

Acima pode-se ver que as máquinas relacionadas ao estudo de malware estão todas em um único grupo. Tecnicamente isto não protege as outras maquinas de nada, apenas melhora a visibilidade/organização do Lab.

Basicamente o que fiz para proteger as máquinas infectadas foi configurá-las em uma rede interna que quis chamar de ‘malware’. Em todas as máquinas, o único adaptador de rede disponível esta conectado a esta rede e configurado com ipfixo para evitar o contato da máquina com a internet. Grandes surpresas podem ocorrer quando a máquina infectada conecta-se à internet.

O recurso acima é como se o adaptador estivesse ligado fisicamente ao ‘switch’ malware. Por isto acho uma boa prática separar fisicamente as máquinasde estudo, tanto da subrede do restante do lab, quanto do seu ambiente real.

Com as máquinas ligadas à mesma ‘malha física’, podemos configurar normalmente os endereços ip e máscaras de sub-rede, da mesma forma como faríamos para interligar uma rede real.

Utilizei esta máquina como gateway e dns do lab, porém eu poderia utilizar um linux/bsd com todas as características de um gateway real, mas preferi não partir pra essa parte ainda, se não, acho que agora teria um post sobre como configurar um gateway para mitigiar ações de malwares, ou coisa do tipo.. Pessoas com TDAH não confirmada precisam se policiar ao extremo, se não, nada vai pra frente… Bom, voltando ao assunto,  a máquina linux e a outra máquina windows estão na mesma rede/sub-rede, com ips fixos porém apontando para a máquina acima o dns e gw.

Outra coisa que estou testando é a atualização ou não das VMs; Estou utilizando duas máquinas sem anti-vírus e desatualizadas para execução dos malwares, e uma com todas atualizações e com anti-vírus para análise estática. Utilizar mais de uma máquina virtual me pareceu estranho a primeira vista, mas o comportamento do malware é totalmente diferente com uma ou com várias instâncias executando simultaneamente.

Outro recurso muito interessante que o VirtualBox oferece é a criação de Snapshots das máquinas:

Caso a máquina ficasse inutilizada após a execução do malware, podemos restaurar o snapshot e evitar perda de tempo resolvendo o problema ou restaurando o backup/imagem do sistema.

Em outro post, pretendo falar de fato sobre a análise dinâmica. Por hora, precisamos montar o ambiente. Existem outras abordagens sobre o assunto, mas ainda não aprofundei sobre elas. Pretendo manter o curso e ir postando o que for aprendendo…

That’s all folks…

  • Alan Teixeira

    Haja espaço pra tanta vm man!!! Tenho um material sobre Wireshark aqui. Acredito que tu vai gostar. Parabéns pelo artigo!!

  • Massa Joe! Bastante interessante! Quero ver como vai ser o desfeche desse case de estudo! Manda bala meu brother!!! Abraços!!!

    • Opaa… Valeu marivis… Espero que goste do próximo artigo.. Tou procurando um malware pra fazer a analise e monta-lo..