SlideShare ist ein Scribd-Unternehmen logo

Análise Malware RAM Volatility

E
ederluis1973

 Análise de processos em execução revela processo suspeito se comunicando com endereço IP estrangeiro  Firewall encontrado desabilitado e arquivos característicos do malware Zeus detectados na memória RAM  Múltiplos vestígios apontam para comprometimento da máquina pelo malware bancário Zeus

1 von 37
Downloaden Sie, um offline zu lesen
Fórum Internacional de Software Livre Análise de Malware em Memória RAM com a Ferramenta Volatility Eder Luís Oliveira Gonçalves CISSP, C|EH, OSCP, OSWP, ACE ederluis1973@gmail.com http://br.linkedin.com/pub/eder-luis-goncalves/49/8a/791 Análise de Malware em Memória RAM com Volatility - FISL13
SUMÁRIO  Conceitos, cenário e informações do “dump”  Análise de processos, situação do firewall e registro  Tempo de criação de cada processo em execução  Pontos de entrada nos registros  Análise das conexões de rede  Varredura nos arquivos em execução  Confirmação de informações do malware na internet  Confirmação do Comprometimento da máquina  Conclusão Análise de Malware em Memória RAM com Volatility - FISL13 2 de 36
Porque Analisar Memória ? Grande parte das informações presentes em memória RAM serão perdidas devido a volatilidade;  Volatilidade: Há perda de informação com o tempo, assim como a capacidade de recuperação ou validação dos dados, diminuindo a veracidade;  Área de grande quantidade de informações ou evidências em tempo real, muitas das vezes, desprezadas pelos administradores de rede. Análise de Malware em Memória RAM com Volatility - FISL13 3 de 36
Ordem de Volatilidade  Dispositivos de Armazenamento do processador (registradores e caches);  Memória de Periféricos (impressora, video, etc.);  Memória Principal do Sistema (RAM);  Tráfego de Rede;  Estado do Sistema Operacional;  Módulos de Kernel;  Dispositivo de Armazenamento Secundário (HDs,etc.) Análise de Malware em Memória RAM com Volatility - FISL13 4 de 36
Porque o Framework Volatility ? O Volatility é uma coletânea de ferramentas abertas em python formando um framework sob a licença GNU GPL v2 para a extração de vestígios digitais voláteis presentes em memória RAM de máquinas com Sistema Operacional Microsoft Windows: - Microsoft Windows XP - Microsoft Windows 2003, 2008 - Microsoft Windows Vista - Microsoft Windows 7 Análise de Malware em Memória RAM com Volatility - FISL13 5 de 36
O que é Possível Extrair ?  Processos em execução;  Sockets de rede;  Conexões abertas de rede;  Arquivos e DLLs carregados para cada processo;  Registros utilizados para cada processo;  Módulos de Kernel do Sistema Operacional;  Mapeamento de Endereços físicos e virtuais;  Mapa de Memória de cada processo. Análise de Malware em Memória RAM com Volatility - FISL13 6 de 36
Cenário e Ambientação O time de segurança e/ou resposta a incidentes de uma grande instituição confirmou a notificação de que uma máquina com sistema operacional Microsoft Windows possuía atividades anormais na rede, detectadas pelo Intrusion Detection System (IDS), o que poderia caracterizar um possível comprometimento. Análise de Malware em Memória RAM com Volatility - FISL13 7 de 36
Cenário e Ambientação (cont.) a) A equipe de coleta foi designada ao local das evidências e coletou o “dump” de memória da máquina que permanecia ligada por meio da ferramenta da Empresa Access Data FTK Image disponível de forma gratuita pela mesma gerando o arquivo de “dump” de memória com o nome: “dumpmemoria.vmem” em 15/08/2010 ás 19:17:56; b) Você como da equipe de análise de “malware” deverá desvendar este mistério e descobrir que tipo de comprometimento poderá ter submetido á máquina. Análise de Malware em Memória RAM com Volatility - FISL13 8 de 36
Cenário e Ambientação (cont.) A ferramenta de análise foi baixada por você no site: http://www.volatilesystems.com/default/volatility A ferramenta foi descompactada no diretório /opt  do seu Linux e esta pronta para ser utilizada no diretório: /opt/volatility-2.0/ Análise de Malware em Memória RAM com Volatility - FISL13 9 de 36
Informações do Dump ./vol.py -f dumpmemoria.vmem imageinfo Análise de Malware em Memória RAM com Volatility - FISL13 10 de 36
Análise dos Processos  Primeira tarefa da análise de processos: Analisar os processos que estavam rodando na máquina no exato momento do “dump” de memória a fim de se encontrar algum processo diferente do padrão do Sistema Operacional. Análise de Malware em Memória RAM com Volatility - FISL13 11 de 36
Processos em Execução ./vol.py -f dumpmemoria.vmem pslist Análise de Malware em Memória RAM com Volatility - FISL13 12 de 36
Processo por Ordem de Chamada ./vol.py -f dumpmemoria.vmem pstree Análise de Malware em Memória RAM com Volatility - FISL13 13 de 36
Localiza alocação da Memória pelo Processo ./vol.py -f dumpmemoria.vmem psscan Análise de Malware em Memória RAM com Volatility - FISL13 14 de 36
Análise dos Processos  Segunda tarefa da análise dos processos: Analisar os SID dos usuários pertencentes a cada processo se mostram alguma coisa de anormal na operação do Sistema Operacional.  Terceira tarefa da análise dos processos: Analisar se existe algum usuário dono de um processo que não é o padrão da máquina ou da politíca de segurança da instituição. Análise de Malware em Memória RAM com Volatility - FISL13 15 de 36
SID de cada Processo ./vol.py -f dumpmemoria.vmem getsids Análise de Malware em Memória RAM com Volatility - FISL13 16 de 36
Análise dos Processos e DLL  Quarta tarefa: Analisar as DLL utilizadas ou referenciadas por cada processo se apresentam alguma anomalia em tempo de execução. Análise de Malware em Memória RAM com Volatility - FISL13 17 de 36
DLLs em Utilização por Processo ./vol.py -f dumpmemoria.vmem dlllist Análise de Malware em Memória RAM com Volatility - FISL13 18 de 36
Pontos de Entrada em Registros  Uma boa fonte de pesquisa de evidências em dump de memória é analisar os pontos de entrada das chaves de registro presentes no Sistema; Uma preciosa lista de todas as chaves de entrada do S.O. “Microsoft Windows” pode ser consulta em: http://www.silentrunners.org/sr_launchpoints.html Análise de Malware em Memória RAM com Volatility - FISL13 19 de 36
Situação do Firewall da Máquina ./vol.py printkey -f dumpmemoria.vmem -K 'ControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile' Firewall Desabilitado: REG_DWORD EnableFirewall: 0 Análise de Malware em Memória RAM com Volatility - FISL13 20 de 36
Data de Alteração Security Accounts Manager (SAM) Usuario$ ./vol.py printkey -f dumpmemoria.vmem userassist Análise de Malware em Memória RAM com Volatility - FISL13 21 de 36
Alterações de Perfil existentes ./vol.py printkey -f dumpmemoria.vmem -K 'SoftwareMicrosoftWindowsCurrentVersionRun' Análise de Malware em Memória RAM com Volatility - FISL13 22 de 36
Última Alteração de Perfil ./vol.py printkey -f dumpmemoria.vmem -K 'SoftwareMicrosoftWindows NTCurrentVersionWindows' Impressora fez a última atualização de perfil do sistema operacional presente nos vestígios da memória RAM Análise de Malware em Memória RAM com Volatility - FISL13 23 de 36
Conexões de Rede no momento do dump de memória ./vol.py -f dumpmemoria.vmem connections –> No momento da realização do dump de memória a máquina não possuía nenhuma conexão de rede estabelecida, o que novamente não nos dá nenhuma pista da presença de algum malware, o próximo passo é analisar se houve alguma conexão de rede estabelecida previamente encerrada que ainda consta nos registros da memória. Análise de Malware em Memória RAM com Volatility - FISL13 24 de 36
Conexões de Rede previamente encerradas ./vol.py -f dumpmemoria.vmem connscan –> Interessante, pois percebe-se que existe presença na memória de conexões que foram estabelecidas recentemente para o endereço IP 193.104.41.75 pela porta 80. Análise de Malware em Memória RAM com Volatility - FISL13 25 de 36
Origem das Conexões  “Whois” revela um destino suspeito “República da Moldova”, totalmente inadequado ao padrão de acesso da máquina ou a política de segurança da instituição . Análise de Malware em Memória RAM com Volatility - FISL13 26 de 36
Consulta IP na Internet  Fazendo uma busca no Oráculo “google” para verificarmos se este IP nos leva para alguma suspeita, verificamos que sim, isto é indícios do malware ZEUS. Análise de Malware em Memória RAM com Volatility - FISL13 27 de 36
Dúvida Até o presente momento, encontramos vestígios da presença do malware ZEUS presente em memória RAM da máquina analisada, mas por mais que tenhamos as evidências de conexão, devemos entender um pouco melhor das características deste Malware a fim de encontrarmos mais vestígios e poder afirmar que realmente este equipamento estava comprometido com o malware. Análise de Malware em Memória RAM com Volatility - FISL13 28 de 36
Entendendo malware Zeus De acordo com o boletim da “Microsoft” no “google” http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin32%2FZbot.QW Análise de Malware em Memória RAM com Volatility - FISL13 29 de 36
Entendendo o malware Zeus  O “Zeus ou Zbot” é um trojan que rouba nomes e senhas de acessos a internet relacionados a “internet banking” bem como permite um atacante remoto acessar um backdoor deixado ou presente na máquina;  Desabilita o firewall da máquina;  Geralmente disseminado por e-mail por meio de SPAM;  Cria um arquivo com nome mutex “AVIRA_210X” que realiza um “bypass” no firewall para depois ser copiado com um arquivo de nome “sdra64.exe” de forma escondida para o Sistema Operacional; Análise de Malware em Memória RAM com Volatility - FISL13 30 de 36
Entendendo malware Zeus (cont.) Modifica as entradas de registro do windows para que o arquivo autoexec.bat rode o malware toda vez que o sistema operacional reiniciar Adds value: "ParseAutoexec" With data: "1" To subkey: HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogon  Conecta-se no IP 193.104.41.75 para baixar o arquivo de configuração do malware e salva como local.ds onde irá conter diversos sites relacionados a internet banking;  Armazena as informações roubadas no arquivo user.ds; Análise de Malware em Memória RAM com Volatility - FISL13 31 de 36
Vestígios do Malware Zeus Procurando na memória vestígios do Zeus encontramos o malware para a confirmação da suspeita. Análise de Malware em Memória RAM com Volatility - FISL13 32 de 36
Vestígios do Malware ZEUS ./vol.py -f dumpmemoria.vmem filescan | egrep -i 'sdra64|user.ds|local.ds|AVIRA' Arquivos e diretórios suspeitos, caracterizando a presença de malware “ZEUS” na máquina. Análise de Malware em Memória RAM com Volatility - FISL13 33 de 36
Conclusão Mediante todos os aspectos analisados no boletim da Microsoft, podemos com certeza afirmar a presença do malware, haja vista termos conseguido encontrar diversos vestígios importantes relacionados ao ZEUS:  Firewall Desabilitado;  Presença dos arquivos de controle do malware: “user.ds”, “local.ds”;  Presença do arquivo de ativação do malware “sdra64.exe”;  Conexões realizadas ao controle de IP 193.104.41.75 Análise de Malware em Memória RAM com Volatility - FISL13 34 de 36
Conclusão (cont.) Pense duas vezes antes de desligar uma máquina ou querer formatá-la, pois sempre há grande quantidade de vestígios ou informação que possa ser analisada para elucidar os fatos. Análise de Malware em Memória RAM com Volatility - FISL13 35 de 36
Obrigado EDER LUÍS OLIVEIRA GONÇALVES CISSP, C|EH, OSCP, OSWP, ACE ederluis1973@gmail.com http://br.linkedin.com/pub/eder-luis-goncalves/49/8a/791 Análise de Malware em Memória RAM com Volatility - FISL13 36 de 36
Referências Bibliográficas  https://malwarereversing.wordpress.com/2011/09/23/zeus-analysis-in-volatility-2-0/  http://code.google.com/volatility/wiki/CommandReference  http://www.volatilesystems.com/default/volatility  http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin  http://www.wikipedia.org  http://computerforensikblog.de/en/ Análise de Malware em Memória RAM com Volatility - FISL13 37 de 36

Empfohlen

Using galera replication to create geo distributed clusters on the wan
Using galera replication to create geo distributed clusters on the wanUsing galera replication to create geo distributed clusters on the wan
Using galera replication to create geo distributed clusters on the wanCodership Oy - Creators of Galera Cluster
 
Dreaming Infrastructure
Dreaming InfrastructureDreaming Infrastructure
Dreaming Infrastructurekyhpudding
 
How to Troubleshoot OpenStack Without Losing Sleep
How to Troubleshoot OpenStack Without Losing SleepHow to Troubleshoot OpenStack Without Losing Sleep
How to Troubleshoot OpenStack Without Losing SleepSadique Puthen
 
忙しい人の5分で分かるMesos入門 - Mesos って何だ?
忙しい人の5分で分かるMesos入門 - Mesos って何だ?忙しい人の5分で分かるMesos入門 - Mesos って何だ?
忙しい人の5分で分かるMesos入門 - Mesos って何だ?Masahito Zembutsu
 
コンテナ&サーバーレス:トレンドの考察と少し先の未来の展望
コンテナ&サーバーレス:トレンドの考察と少し先の未来の展望コンテナ&サーバーレス:トレンドの考察と少し先の未来の展望
コンテナ&サーバーレス:トレンドの考察と少し先の未来の展望Yoichi Kawasaki
 
Flink Forward Berlin 2017: Robert Metzger - Keep it going - How to reliably a...
Flink Forward Berlin 2017: Robert Metzger - Keep it going - How to reliably a...Flink Forward Berlin 2017: Robert Metzger - Keep it going - How to reliably a...
Flink Forward Berlin 2017: Robert Metzger - Keep it going - How to reliably a...Flink Forward
 
Docker on Power Systems
Docker on Power SystemsDocker on Power Systems
Docker on Power SystemsCesar Maciel
 
Linux Performance Analysis in 15 minutes
Linux Performance Analysis in 15 minutesLinux Performance Analysis in 15 minutes
Linux Performance Analysis in 15 minutesYohei Azekatsu
 

Empfohlen

Using galera replication to create geo distributed clusters on the wan
Using galera replication to create geo distributed clusters on the wanUsing galera replication to create geo distributed clusters on the wan
Using galera replication to create geo distributed clusters on the wanCodership Oy - Creators of Galera Cluster
 
Dreaming Infrastructure
Dreaming InfrastructureDreaming Infrastructure
Dreaming Infrastructurekyhpudding
 
How to Troubleshoot OpenStack Without Losing Sleep
How to Troubleshoot OpenStack Without Losing SleepHow to Troubleshoot OpenStack Without Losing Sleep
How to Troubleshoot OpenStack Without Losing SleepSadique Puthen
 
忙しい人の5分で分かるMesos入門 - Mesos って何だ?
忙しい人の5分で分かるMesos入門 - Mesos って何だ?忙しい人の5分で分かるMesos入門 - Mesos って何だ?
忙しい人の5分で分かるMesos入門 - Mesos って何だ?Masahito Zembutsu
 
コンテナ&サーバーレス:トレンドの考察と少し先の未来の展望
コンテナ&サーバーレス:トレンドの考察と少し先の未来の展望コンテナ&サーバーレス:トレンドの考察と少し先の未来の展望
コンテナ&サーバーレス:トレンドの考察と少し先の未来の展望Yoichi Kawasaki
 
Flink Forward Berlin 2017: Robert Metzger - Keep it going - How to reliably a...
Flink Forward Berlin 2017: Robert Metzger - Keep it going - How to reliably a...Flink Forward Berlin 2017: Robert Metzger - Keep it going - How to reliably a...
Flink Forward Berlin 2017: Robert Metzger - Keep it going - How to reliably a...Flink Forward
 
Docker on Power Systems
Docker on Power SystemsDocker on Power Systems
Docker on Power SystemsCesar Maciel
 
Linux Performance Analysis in 15 minutes
Linux Performance Analysis in 15 minutesLinux Performance Analysis in 15 minutes
Linux Performance Analysis in 15 minutesYohei Azekatsu
 
MySQL Scalability and Reliability for Replicated Environment
MySQL Scalability and Reliability for Replicated EnvironmentMySQL Scalability and Reliability for Replicated Environment
MySQL Scalability and Reliability for Replicated EnvironmentJean-François Gagné
 
BlueStore: a new, faster storage backend for Ceph
BlueStore: a new, faster storage backend for CephBlueStore: a new, faster storage backend for Ceph
BlueStore: a new, faster storage backend for CephSage Weil
 
Prestoクエリログの保存/分析機能の構築 #yjdsnight
Prestoクエリログの保存/分析機能の構築 #yjdsnightPrestoクエリログの保存/分析機能の構築 #yjdsnight
Prestoクエリログの保存/分析機能の構築 #yjdsnightYahoo!デベロッパーネットワーク
 
Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...
Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...
Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...DataWorks Summit
 
M|18 Architectural Overview: MariaDB MaxScale
M|18 Architectural Overview: MariaDB MaxScaleM|18 Architectural Overview: MariaDB MaxScale
M|18 Architectural Overview: MariaDB MaxScaleMariaDB plc
 
SparkとCassandraの美味しい関係
SparkとCassandraの美味しい関係SparkとCassandraの美味しい関係
SparkとCassandraの美味しい関係datastaxjp
 
Getting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGGetting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGHideki Saito
 
Implementing Highly Performant Distributed Aggregates
Implementing Highly Performant Distributed AggregatesImplementing Highly Performant Distributed Aggregates
Implementing Highly Performant Distributed AggregatesScyllaDB
 
Build a High Available NFS Cluster Based on CephFS - Shangzhong Zhu
Build a High Available NFS Cluster Based on CephFS - Shangzhong ZhuBuild a High Available NFS Cluster Based on CephFS - Shangzhong Zhu
Build a High Available NFS Cluster Based on CephFS - Shangzhong ZhuCeph Community
 
Faster, better, stronger: The new InnoDB
Faster, better, stronger: The new InnoDBFaster, better, stronger: The new InnoDB
Faster, better, stronger: The new InnoDBMariaDB plc
 
The consequences of sync_binlog != 1
The consequences of sync_binlog != 1The consequences of sync_binlog != 1
The consequences of sync_binlog != 1Jean-François Gagné
 
Seastore: Next Generation Backing Store for Ceph
Seastore: Next Generation Backing Store for CephSeastore: Next Generation Backing Store for Ceph
Seastore: Next Generation Backing Store for CephScyllaDB
 
Hadoop Meetup Jan 2019 - Overview of Ozone
Hadoop Meetup Jan 2019 - Overview of OzoneHadoop Meetup Jan 2019 - Overview of Ozone
Hadoop Meetup Jan 2019 - Overview of OzoneErik Krogen
 
Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...
Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...
Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...Henning Jacobs
 
SpectreBustersあるいはLinuxにおけるSpectre対策
SpectreBustersあるいはLinuxにおけるSpectre対策SpectreBustersあるいはLinuxにおけるSpectre対策
SpectreBustersあるいはLinuxにおけるSpectre対策Masami Hiramatsu
 
Topology Managerについて / Kubernetes Meetup Tokyo 50
Topology Managerについて / Kubernetes Meetup Tokyo 50Topology Managerについて / Kubernetes Meetup Tokyo 50
Topology Managerについて / Kubernetes Meetup Tokyo 50Preferred Networks
 
Oracle Clusterware Node Management and Voting Disks
Oracle Clusterware Node Management and Voting DisksOracle Clusterware Node Management and Voting Disks
Oracle Clusterware Node Management and Voting DisksMarkus Michalewicz
 
The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...
The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...
The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...Yasunori Goto
 
How to set up orchestrator to manage thousands of MySQL servers
How to set up orchestrator to manage thousands of MySQL serversHow to set up orchestrator to manage thousands of MySQL servers
How to set up orchestrator to manage thousands of MySQL serversSimon J Mudd
 
1.mysql disk io 모니터링 및 분석사례
1.mysql disk io 모니터링 및 분석사례1.mysql disk io 모니터링 및 분석사례
1.mysql disk io 모니터링 및 분석사례I Goo Lee
 
Db4ofavi
Db4ofaviDb4ofavi
Db4ofaviEduardo Monteiro Msc.
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Diego BBahia
 

Weitere ähnliche Inhalte

Was ist angesagt?

MySQL Scalability and Reliability for Replicated Environment
MySQL Scalability and Reliability for Replicated EnvironmentMySQL Scalability and Reliability for Replicated Environment
MySQL Scalability and Reliability for Replicated EnvironmentJean-François Gagné
 
BlueStore: a new, faster storage backend for Ceph
BlueStore: a new, faster storage backend for CephBlueStore: a new, faster storage backend for Ceph
BlueStore: a new, faster storage backend for CephSage Weil
 
Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...
Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...
Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...DataWorks Summit
 
M|18 Architectural Overview: MariaDB MaxScale
M|18 Architectural Overview: MariaDB MaxScaleM|18 Architectural Overview: MariaDB MaxScale
M|18 Architectural Overview: MariaDB MaxScaleMariaDB plc
 
SparkとCassandraの美味しい関係
SparkとCassandraの美味しい関係SparkとCassandraの美味しい関係
SparkとCassandraの美味しい関係datastaxjp
 
Getting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGGetting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGHideki Saito
 
Implementing Highly Performant Distributed Aggregates
Implementing Highly Performant Distributed AggregatesImplementing Highly Performant Distributed Aggregates
Implementing Highly Performant Distributed AggregatesScyllaDB
 
Build a High Available NFS Cluster Based on CephFS - Shangzhong Zhu
Build a High Available NFS Cluster Based on CephFS - Shangzhong ZhuBuild a High Available NFS Cluster Based on CephFS - Shangzhong Zhu
Build a High Available NFS Cluster Based on CephFS - Shangzhong ZhuCeph Community
 
Faster, better, stronger: The new InnoDB
Faster, better, stronger: The new InnoDBFaster, better, stronger: The new InnoDB
Faster, better, stronger: The new InnoDBMariaDB plc
 
The consequences of sync_binlog != 1
The consequences of sync_binlog != 1The consequences of sync_binlog != 1
The consequences of sync_binlog != 1Jean-François Gagné
 
Seastore: Next Generation Backing Store for Ceph
Seastore: Next Generation Backing Store for CephSeastore: Next Generation Backing Store for Ceph
Seastore: Next Generation Backing Store for CephScyllaDB
 
Hadoop Meetup Jan 2019 - Overview of Ozone
Hadoop Meetup Jan 2019 - Overview of OzoneHadoop Meetup Jan 2019 - Overview of Ozone
Hadoop Meetup Jan 2019 - Overview of OzoneErik Krogen
 
Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...
Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...
Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...Henning Jacobs
 
SpectreBustersあるいはLinuxにおけるSpectre対策
SpectreBustersあるいはLinuxにおけるSpectre対策SpectreBustersあるいはLinuxにおけるSpectre対策
SpectreBustersあるいはLinuxにおけるSpectre対策Masami Hiramatsu
 
Topology Managerについて / Kubernetes Meetup Tokyo 50
Topology Managerについて / Kubernetes Meetup Tokyo 50Topology Managerについて / Kubernetes Meetup Tokyo 50
Topology Managerについて / Kubernetes Meetup Tokyo 50Preferred Networks
 
Oracle Clusterware Node Management and Voting Disks
Oracle Clusterware Node Management and Voting DisksOracle Clusterware Node Management and Voting Disks
Oracle Clusterware Node Management and Voting DisksMarkus Michalewicz
 
The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...
The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...
The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...Yasunori Goto
 
How to set up orchestrator to manage thousands of MySQL servers
How to set up orchestrator to manage thousands of MySQL serversHow to set up orchestrator to manage thousands of MySQL servers
How to set up orchestrator to manage thousands of MySQL serversSimon J Mudd
 
1.mysql disk io 모니터링 및 분석사례
1.mysql disk io 모니터링 및 분석사례1.mysql disk io 모니터링 및 분석사례
1.mysql disk io 모니터링 및 분석사례I Goo Lee
 

Was ist angesagt? (20)

MySQL Scalability and Reliability for Replicated Environment
MySQL Scalability and Reliability for Replicated EnvironmentMySQL Scalability and Reliability for Replicated Environment
MySQL Scalability and Reliability for Replicated Environment
 
BlueStore: a new, faster storage backend for Ceph
BlueStore: a new, faster storage backend for CephBlueStore: a new, faster storage backend for Ceph
BlueStore: a new, faster storage backend for Ceph
 
Prestoクエリログの保存/分析機能の構築 #yjdsnight
Prestoクエリログの保存/分析機能の構築 #yjdsnightPrestoクエリログの保存/分析機能の構築 #yjdsnight
Prestoクエリログの保存/分析機能の構築 #yjdsnight
 
Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...
Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...
Worldwide Scalable and Resilient Messaging Services by CQRS and Event Sourcin...
 
M|18 Architectural Overview: MariaDB MaxScale
M|18 Architectural Overview: MariaDB MaxScaleM|18 Architectural Overview: MariaDB MaxScale
M|18 Architectural Overview: MariaDB MaxScale
 
SparkとCassandraの美味しい関係
SparkとCassandraの美味しい関係SparkとCassandraの美味しい関係
SparkとCassandraの美味しい関係
 
Getting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGGetting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NG
 
Implementing Highly Performant Distributed Aggregates
Implementing Highly Performant Distributed AggregatesImplementing Highly Performant Distributed Aggregates
Implementing Highly Performant Distributed Aggregates
 
Build a High Available NFS Cluster Based on CephFS - Shangzhong Zhu
Build a High Available NFS Cluster Based on CephFS - Shangzhong ZhuBuild a High Available NFS Cluster Based on CephFS - Shangzhong Zhu
Build a High Available NFS Cluster Based on CephFS - Shangzhong Zhu
 
Faster, better, stronger: The new InnoDB
Faster, better, stronger: The new InnoDBFaster, better, stronger: The new InnoDB
Faster, better, stronger: The new InnoDB
 
The consequences of sync_binlog != 1
The consequences of sync_binlog != 1The consequences of sync_binlog != 1
The consequences of sync_binlog != 1
 
Seastore: Next Generation Backing Store for Ceph
Seastore: Next Generation Backing Store for CephSeastore: Next Generation Backing Store for Ceph
Seastore: Next Generation Backing Store for Ceph
 
Hadoop Meetup Jan 2019 - Overview of Ozone
Hadoop Meetup Jan 2019 - Overview of OzoneHadoop Meetup Jan 2019 - Overview of Ozone
Hadoop Meetup Jan 2019 - Overview of Ozone
 
Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...
Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...
Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latenc...
 
SpectreBustersあるいはLinuxにおけるSpectre対策
SpectreBustersあるいはLinuxにおけるSpectre対策SpectreBustersあるいはLinuxにおけるSpectre対策
SpectreBustersあるいはLinuxにおけるSpectre対策
 
Topology Managerについて / Kubernetes Meetup Tokyo 50
Topology Managerについて / Kubernetes Meetup Tokyo 50Topology Managerについて / Kubernetes Meetup Tokyo 50
Topology Managerについて / Kubernetes Meetup Tokyo 50
 
Oracle Clusterware Node Management and Voting Disks
Oracle Clusterware Node Management and Voting DisksOracle Clusterware Node Management and Voting Disks
Oracle Clusterware Node Management and Voting Disks
 
The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...
The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...
The Forefront of the Development for NVDIMM on Linux Kernel (Linux Plumbers c...
 
How to set up orchestrator to manage thousands of MySQL servers
How to set up orchestrator to manage thousands of MySQL serversHow to set up orchestrator to manage thousands of MySQL servers
How to set up orchestrator to manage thousands of MySQL servers
 
1.mysql disk io 모니터링 및 분석사례
1.mysql disk io 모니터링 및 분석사례1.mysql disk io 모니터링 및 분석사례
1.mysql disk io 모니터링 및 분석사례
 

Andere mochten auch

Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Diego BBahia
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livreDiego Santos
 
OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)
OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)
OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)Mauro Risonho de Paula Assumpcao
 
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCOficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCMauro Risonho de Paula Assumpcao
 
OpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerOpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerChandrak Trivedi
 
Anti-Anti-Forense de Memória: Abortando o "Abort Factor"
Anti-Anti-Forense de Memória: Abortando o "Abort Factor"Anti-Anti-Forense de Memória: Abortando o "Abort Factor"
Anti-Anti-Forense de Memória: Abortando o "Abort Factor"Nullbyte Security Conference
 

Andere mochten auch (7)

Db4ofavi
Db4ofaviDb4ofavi
Db4ofavi
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
 
OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)
OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)
OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)
 
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCOficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
 
OpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerOpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment Scanner
 
Anti-Anti-Forense de Memória: Abortando o "Abort Factor"
Anti-Anti-Forense de Memória: Abortando o "Abort Factor"Anti-Anti-Forense de Memória: Abortando o "Abort Factor"
Anti-Anti-Forense de Memória: Abortando o "Abort Factor"
 

Ähnlich wie Análise Malware RAM Volatility

Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28LilianeR
 
Princípios básicos da análise de malware
Princípios básicos da análise de malwarePrincípios básicos da análise de malware
Princípios básicos da análise de malwareMarcelo Souza
 
Post exploitation com análise de dump de memória
Post exploitation com análise de dump de memóriaPost exploitation com análise de dump de memória
Post exploitation com análise de dump de memóriaHelvio Junior
 
Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)leolemes
 
Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Sandro Suffert
 
Forense Computacional
Forense ComputacionalForense Computacional
Forense Computacionalrenanwb
 
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonTchelinux
 
Sistemas operativos ficha formativa nº4
Sistemas operativos ficha formativa nº4Sistemas operativos ficha formativa nº4
Sistemas operativos ficha formativa nº4teacherpereira
 
Os desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para MalwaresOs desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para MalwaresAndre_C10002
 
Invasaocom exploits
Invasaocom exploitsInvasaocom exploits
Invasaocom exploitsNauber Gois
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univemevandrovv
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoAs Zone
 
Facsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoFacsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoThiago Dieb
 
Ethical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetraçãoEthical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetraçãoCleórbete Santos
 
Slides ataques e vulnerabilidades
Slides ataques e vulnerabilidadesSlides ataques e vulnerabilidades
Slides ataques e vulnerabilidadescheeshirecat
 

Ähnlich wie Análise Malware RAM Volatility (20)

Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28
 
Princípios básicos da análise de malware
Princípios básicos da análise de malwarePrincípios básicos da análise de malware
Princípios básicos da análise de malware
 
Post exploitation com análise de dump de memória
Post exploitation com análise de dump de memóriaPost exploitation com análise de dump de memória
Post exploitation com análise de dump de memória
 
Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)
 
Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010
 
Forense Computacional
Forense ComputacionalForense Computacional
Forense Computacional
 
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei Pollon
 
Sistemas operativos ficha formativa nº4
Sistemas operativos ficha formativa nº4Sistemas operativos ficha formativa nº4
Sistemas operativos ficha formativa nº4
 
Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009
 
Os desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para MalwaresOs desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para Malwares
 
Invasaocom exploits
Invasaocom exploitsInvasaocom exploits
Invasaocom exploits
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univem
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
 
Mallwares
MallwaresMallwares
Mallwares
 
Exploits
ExploitsExploits
Exploits
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
 
Facsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoFacsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um pouco
 
Ethical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetraçãoEthical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetração
 
Home hacking
Home hackingHome hacking
Home hacking
 
Slides ataques e vulnerabilidades
Slides ataques e vulnerabilidadesSlides ataques e vulnerabilidades
Slides ataques e vulnerabilidades
 

Análise Malware RAM Volatility

  • 1. Fórum Internacional de Software Livre Análise de Malware em Memória RAM com a Ferramenta Volatility Eder Luís Oliveira Gonçalves CISSP, C|EH, OSCP, OSWP, ACE ederluis1973@gmail.com http://br.linkedin.com/pub/eder-luis-goncalves/49/8a/791 Análise de Malware em Memória RAM com Volatility - FISL13
  • 2. SUMÁRIO  Conceitos, cenário e informações do “dump”  Análise de processos, situação do firewall e registro  Tempo de criação de cada processo em execução  Pontos de entrada nos registros  Análise das conexões de rede  Varredura nos arquivos em execução  Confirmação de informações do malware na internet  Confirmação do Comprometimento da máquina  Conclusão Análise de Malware em Memória RAM com Volatility - FISL13 2 de 36
  • 3. Porque Analisar Memória ? Grande parte das informações presentes em memória RAM serão perdidas devido a volatilidade;  Volatilidade: Há perda de informação com o tempo, assim como a capacidade de recuperação ou validação dos dados, diminuindo a veracidade;  Área de grande quantidade de informações ou evidências em tempo real, muitas das vezes, desprezadas pelos administradores de rede. Análise de Malware em Memória RAM com Volatility - FISL13 3 de 36
  • 4. Ordem de Volatilidade  Dispositivos de Armazenamento do processador (registradores e caches);  Memória de Periféricos (impressora, video, etc.);  Memória Principal do Sistema (RAM);  Tráfego de Rede;  Estado do Sistema Operacional;  Módulos de Kernel;  Dispositivo de Armazenamento Secundário (HDs,etc.) Análise de Malware em Memória RAM com Volatility - FISL13 4 de 36
  • 5. Porque o Framework Volatility ? O Volatility é uma coletânea de ferramentas abertas em python formando um framework sob a licença GNU GPL v2 para a extração de vestígios digitais voláteis presentes em memória RAM de máquinas com Sistema Operacional Microsoft Windows: - Microsoft Windows XP - Microsoft Windows 2003, 2008 - Microsoft Windows Vista - Microsoft Windows 7 Análise de Malware em Memória RAM com Volatility - FISL13 5 de 36
  • 6. O que é Possível Extrair ?  Processos em execução;  Sockets de rede;  Conexões abertas de rede;  Arquivos e DLLs carregados para cada processo;  Registros utilizados para cada processo;  Módulos de Kernel do Sistema Operacional;  Mapeamento de Endereços físicos e virtuais;  Mapa de Memória de cada processo. Análise de Malware em Memória RAM com Volatility - FISL13 6 de 36
  • 7. Cenário e Ambientação O time de segurança e/ou resposta a incidentes de uma grande instituição confirmou a notificação de que uma máquina com sistema operacional Microsoft Windows possuía atividades anormais na rede, detectadas pelo Intrusion Detection System (IDS), o que poderia caracterizar um possível comprometimento. Análise de Malware em Memória RAM com Volatility - FISL13 7 de 36
  • 8. Cenário e Ambientação (cont.) a) A equipe de coleta foi designada ao local das evidências e coletou o “dump” de memória da máquina que permanecia ligada por meio da ferramenta da Empresa Access Data FTK Image disponível de forma gratuita pela mesma gerando o arquivo de “dump” de memória com o nome: “dumpmemoria.vmem” em 15/08/2010 ás 19:17:56; b) Você como da equipe de análise de “malware” deverá desvendar este mistério e descobrir que tipo de comprometimento poderá ter submetido á máquina. Análise de Malware em Memória RAM com Volatility - FISL13 8 de 36
  • 9. Cenário e Ambientação (cont.) A ferramenta de análise foi baixada por você no site: http://www.volatilesystems.com/default/volatility A ferramenta foi descompactada no diretório /opt  do seu Linux e esta pronta para ser utilizada no diretório: /opt/volatility-2.0/ Análise de Malware em Memória RAM com Volatility - FISL13 9 de 36
  • 10. Informações do Dump ./vol.py -f dumpmemoria.vmem imageinfo Análise de Malware em Memória RAM com Volatility - FISL13 10 de 36
  • 11. Análise dos Processos  Primeira tarefa da análise de processos: Analisar os processos que estavam rodando na máquina no exato momento do “dump” de memória a fim de se encontrar algum processo diferente do padrão do Sistema Operacional. Análise de Malware em Memória RAM com Volatility - FISL13 11 de 36
  • 12. Processos em Execução ./vol.py -f dumpmemoria.vmem pslist Análise de Malware em Memória RAM com Volatility - FISL13 12 de 36
  • 13. Processo por Ordem de Chamada ./vol.py -f dumpmemoria.vmem pstree Análise de Malware em Memória RAM com Volatility - FISL13 13 de 36
  • 14. Localiza alocação da Memória pelo Processo ./vol.py -f dumpmemoria.vmem psscan Análise de Malware em Memória RAM com Volatility - FISL13 14 de 36
  • 15. Análise dos Processos  Segunda tarefa da análise dos processos: Analisar os SID dos usuários pertencentes a cada processo se mostram alguma coisa de anormal na operação do Sistema Operacional.  Terceira tarefa da análise dos processos: Analisar se existe algum usuário dono de um processo que não é o padrão da máquina ou da politíca de segurança da instituição. Análise de Malware em Memória RAM com Volatility - FISL13 15 de 36
  • 16. SID de cada Processo ./vol.py -f dumpmemoria.vmem getsids Análise de Malware em Memória RAM com Volatility - FISL13 16 de 36
  • 17. Análise dos Processos e DLL  Quarta tarefa: Analisar as DLL utilizadas ou referenciadas por cada processo se apresentam alguma anomalia em tempo de execução. Análise de Malware em Memória RAM com Volatility - FISL13 17 de 36
  • 18. DLLs em Utilização por Processo ./vol.py -f dumpmemoria.vmem dlllist Análise de Malware em Memória RAM com Volatility - FISL13 18 de 36
  • 19. Pontos de Entrada em Registros  Uma boa fonte de pesquisa de evidências em dump de memória é analisar os pontos de entrada das chaves de registro presentes no Sistema; Uma preciosa lista de todas as chaves de entrada do S.O. “Microsoft Windows” pode ser consulta em: http://www.silentrunners.org/sr_launchpoints.html Análise de Malware em Memória RAM com Volatility - FISL13 19 de 36
  • 20. Situação do Firewall da Máquina ./vol.py printkey -f dumpmemoria.vmem -K 'ControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile' Firewall Desabilitado: REG_DWORD EnableFirewall: 0 Análise de Malware em Memória RAM com Volatility - FISL13 20 de 36
  • 21. Data de Alteração Security Accounts Manager (SAM) Usuario$ ./vol.py printkey -f dumpmemoria.vmem userassist Análise de Malware em Memória RAM com Volatility - FISL13 21 de 36
  • 22. Alterações de Perfil existentes ./vol.py printkey -f dumpmemoria.vmem -K 'SoftwareMicrosoftWindowsCurrentVersionRun' Análise de Malware em Memória RAM com Volatility - FISL13 22 de 36
  • 23. Última Alteração de Perfil ./vol.py printkey -f dumpmemoria.vmem -K 'SoftwareMicrosoftWindows NTCurrentVersionWindows' Impressora fez a última atualização de perfil do sistema operacional presente nos vestígios da memória RAM Análise de Malware em Memória RAM com Volatility - FISL13 23 de 36
  • 24. Conexões de Rede no momento do dump de memória ./vol.py -f dumpmemoria.vmem connections –> No momento da realização do dump de memória a máquina não possuía nenhuma conexão de rede estabelecida, o que novamente não nos dá nenhuma pista da presença de algum malware, o próximo passo é analisar se houve alguma conexão de rede estabelecida previamente encerrada que ainda consta nos registros da memória. Análise de Malware em Memória RAM com Volatility - FISL13 24 de 36
  • 25. Conexões de Rede previamente encerradas ./vol.py -f dumpmemoria.vmem connscan –> Interessante, pois percebe-se que existe presença na memória de conexões que foram estabelecidas recentemente para o endereço IP 193.104.41.75 pela porta 80. Análise de Malware em Memória RAM com Volatility - FISL13 25 de 36
  • 26. Origem das Conexões  “Whois” revela um destino suspeito “República da Moldova”, totalmente inadequado ao padrão de acesso da máquina ou a política de segurança da instituição . Análise de Malware em Memória RAM com Volatility - FISL13 26 de 36
  • 27. Consulta IP na Internet  Fazendo uma busca no Oráculo “google” para verificarmos se este IP nos leva para alguma suspeita, verificamos que sim, isto é indícios do malware ZEUS. Análise de Malware em Memória RAM com Volatility - FISL13 27 de 36
  • 28. Dúvida Até o presente momento, encontramos vestígios da presença do malware ZEUS presente em memória RAM da máquina analisada, mas por mais que tenhamos as evidências de conexão, devemos entender um pouco melhor das características deste Malware a fim de encontrarmos mais vestígios e poder afirmar que realmente este equipamento estava comprometido com o malware. Análise de Malware em Memória RAM com Volatility - FISL13 28 de 36
  • 29. Entendendo malware Zeus De acordo com o boletim da “Microsoft” no “google” http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin32%2FZbot.QW Análise de Malware em Memória RAM com Volatility - FISL13 29 de 36
  • 30. Entendendo o malware Zeus  O “Zeus ou Zbot” é um trojan que rouba nomes e senhas de acessos a internet relacionados a “internet banking” bem como permite um atacante remoto acessar um backdoor deixado ou presente na máquina;  Desabilita o firewall da máquina;  Geralmente disseminado por e-mail por meio de SPAM;  Cria um arquivo com nome mutex “AVIRA_210X” que realiza um “bypass” no firewall para depois ser copiado com um arquivo de nome “sdra64.exe” de forma escondida para o Sistema Operacional; Análise de Malware em Memória RAM com Volatility - FISL13 30 de 36
  • 31. Entendendo malware Zeus (cont.) Modifica as entradas de registro do windows para que o arquivo autoexec.bat rode o malware toda vez que o sistema operacional reiniciar Adds value: "ParseAutoexec" With data: "1" To subkey: HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogon  Conecta-se no IP 193.104.41.75 para baixar o arquivo de configuração do malware e salva como local.ds onde irá conter diversos sites relacionados a internet banking;  Armazena as informações roubadas no arquivo user.ds; Análise de Malware em Memória RAM com Volatility - FISL13 31 de 36
  • 32. Vestígios do Malware Zeus Procurando na memória vestígios do Zeus encontramos o malware para a confirmação da suspeita. Análise de Malware em Memória RAM com Volatility - FISL13 32 de 36
  • 33. Vestígios do Malware ZEUS ./vol.py -f dumpmemoria.vmem filescan | egrep -i 'sdra64|user.ds|local.ds|AVIRA' Arquivos e diretórios suspeitos, caracterizando a presença de malware “ZEUS” na máquina. Análise de Malware em Memória RAM com Volatility - FISL13 33 de 36
  • 34. Conclusão Mediante todos os aspectos analisados no boletim da Microsoft, podemos com certeza afirmar a presença do malware, haja vista termos conseguido encontrar diversos vestígios importantes relacionados ao ZEUS:  Firewall Desabilitado;  Presença dos arquivos de controle do malware: “user.ds”, “local.ds”;  Presença do arquivo de ativação do malware “sdra64.exe”;  Conexões realizadas ao controle de IP 193.104.41.75 Análise de Malware em Memória RAM com Volatility - FISL13 34 de 36
  • 35. Conclusão (cont.) Pense duas vezes antes de desligar uma máquina ou querer formatá-la, pois sempre há grande quantidade de vestígios ou informação que possa ser analisada para elucidar os fatos. Análise de Malware em Memória RAM com Volatility - FISL13 35 de 36
  • 36. Obrigado EDER LUÍS OLIVEIRA GONÇALVES CISSP, C|EH, OSCP, OSWP, ACE ederluis1973@gmail.com http://br.linkedin.com/pub/eder-luis-goncalves/49/8a/791 Análise de Malware em Memória RAM com Volatility - FISL13 36 de 36
  • 37. Referências Bibliográficas  https://malwarereversing.wordpress.com/2011/09/23/zeus-analysis-in-volatility-2-0/  http://code.google.com/volatility/wiki/CommandReference  http://www.volatilesystems.com/default/volatility  http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin  http://www.wikipedia.org  http://computerforensikblog.de/en/ Análise de Malware em Memória RAM com Volatility - FISL13 37 de 36