ce5dfbeffab8f015aa4e3dac6f87dfbcb9274b23

Prévia do material em texto

<p>Análise em malwares</p><p>Apresentação</p><p>No mundo das aplicações, os dados precisam ser protegidos contra ameaças, ações que exploram a</p><p>vulnerabilidade de determinado computador ou dispositivo de acesso à rede ou internet. Existem</p><p>diversos tipos de ameaça, como os malwares.</p><p>Malwares são tipos de ameaça em forma de código malicioso que exploram vulnerabilidades de um</p><p>dispositivo com o objetivo de executar ações maliciosas, como roubo de informações (senha,</p><p>usuário) e dados confidenciais. Após a ação bem-sucedida de um malware, uma análise forense</p><p>deve ser feita.</p><p>A análise de malware é necessária na forense computacional, pois permite detectar e analisar o</p><p>comportamento dos malwares e constituir provas íntegras que podem ser utilizadas numa ação</p><p>judicial. Existem diversos tipos de malware, e o entendimento de seu comportamento e variantes é</p><p>de extrema importância para desenvolver ferramentas de proteção de sistemas operacionais.</p><p>Nesta Unidade de Aprendizagem, você vai entender o que é um malware, compreender as</p><p>metodologias e identificar algumas ferramentas, além de compreender a importância da análise de</p><p>vestígio.</p><p>Bons estudos.</p><p>Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:</p><p>Identificar os itens que podem ser periciados e suas peculiaridades.•</p><p>Descrever a metodologia e as ferramentas para realizar os exames na internet.•</p><p>Explicar a análise dos vestígios.•</p><p>Infográfico</p><p>Trojan é um tipo de malware conhecido como "Cavalo de Troia" e aparenta ser um software legítimo.</p><p>Porém, esses programas são usados por cibercriminosos com o objetivo de acessar sistemas de</p><p>usuários.</p><p>Os usuários são enganados via ações de engenharia social e executam/instalam o programa trojan</p><p>sem conhecer sua ação no sistema operacional. Há diversos tipos de trojan no mercado, cada um</p><p>com um propósito.</p><p>Veja no Infográfico alguns tipos de trojan usados por cibercriminosos.</p><p>Aponte a câmera para o</p><p>código e acesse o link do</p><p>conteúdo ou clique no</p><p>código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/bfff02b7-91ba-45dc-9c42-866a461004df/3859f86e-5584-4fa7-a44c-158b8f579206.jpg</p><p>Conteúdo do livro</p><p>Malwares são os ataques cibernéticos executados por códigos maliciosos em sistemas operacionais</p><p>de computadores-alvo. Existem diferentes classes de malwares, e cada uma tem um propósito de</p><p>ataque.</p><p>Há metodologias de análise de malware cujo objetivo é detectar e compreender suas ações quando</p><p>ativo num sistema operacional. Algumas ferramentas são utilizadas para analisar, proteger e evitar a</p><p>propagação do malware pela rede.</p><p>No capítulo Análise em malwares, base teórica desta Unidade de Aprendizagem, identifique os</p><p>diferentes tipos de malware, compreenda a metodologia de análise e a análise de vestígio.</p><p>Boa leitura.</p><p>FORENSE</p><p>COMPUTACIONAL</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>> Identificar os itens que podem ser periciados e suas peculiaridades.</p><p>> Descrever a metodologia e as ferramentas para realizar os exames na</p><p>internet.</p><p>> Explicar a análise dos vestígios.</p><p>Introdução</p><p>A segurança das informações sempre foi um tema muito relevante entre os</p><p>profissionais de TI. Com o crescimento da internet desde o início do século</p><p>XXI, houve um crescimento equivalente dos ataques cibernéticos, incluindo</p><p>ataques de malware, que são provocados por programas ou códigos maliciosos</p><p>que têm como objetivo infectar sistemas operacionais com o intuito de causar</p><p>danos ao próprio sistema ou a programas.</p><p>Esses ataques usam um vasto leque de métodos maliciosos e podem ser</p><p>analisados por ferramentas antimalware. Essas ferramentas permitem proteger</p><p>o sistema dos ataques ao empregar diversas funcionalidades, fazendo uso de</p><p>metodologias. Entretanto, diversos sistemas seguem vulneráveis a ataques,</p><p>e crimes cibernéticos não deixam de ser executados. Diante de um cenário</p><p>pós-crime cibernético, a análise de vestígios é fundamental, principalmente</p><p>para obtenção de provas a serem apresentadas em ações judiciais.</p><p>Neste capítulo, você verá o que é um malware, quais são as ferramentas</p><p>para combatê-lo e a importância da análise de vestígios nesse contexto.</p><p>Análise em malwares</p><p>Paulo Sergio Padua de Lacerda</p><p>Malware</p><p>O IBM PC, lançado no início da década de 1980, foi o precursor dos dispositivos</p><p>pessoais (notebook, tablets, computadores desktop) utilizados pelos usuários</p><p>ao redor do mundo. Com o surgimento e uso dos PCs, alguns conceitos tam-</p><p>bém sofreram mudanças, como a transferência de processamento de alguns</p><p>programas para processamento local, ou seja, na própria máquina do cliente,</p><p>tal como o processamento de edição de textos. Além disso, foi necessário o</p><p>uso de um sistema operacional que controlasse tanto o hardware quanto o</p><p>software no PC (CARVALHO; LORENA, 2016).</p><p>A popularidade dos PCs cresceu e evoluiu e ele ficou mais potente, mais</p><p>veloz e menor, permitindo acesso à rede mundial de computadores. Hoje,</p><p>pode-se dizer que um smartphone, um tablet, uma televisão, entre outros</p><p>aparelhos, são verdadeiros computadores pessoais, pois têm os mesmos</p><p>conceitos de um PC, ou seja, um sistema operacional, processador, memórias,</p><p>dispositivos de armazenamento de dados, conexão com rede, dispositivo de</p><p>entrada, dispositivo de saída, etc.</p><p>Toda evolução, teoricamente, traz algumas consequências. Na computação,</p><p>um exemplo é o surgimento dos vírus de computador, programas maliciosos</p><p>que se autorreplicam e se espalham de um computador hospedeiro para</p><p>outro, semelhante ao que ocorre com vírus entre os humanos. Em computa-</p><p>dores, eles têm o intuito de propiciar alguma ação maliciosa no computador</p><p>hospedeiro, como roubo de informações, lentidão de processamento, perda</p><p>de arquivos, etc. (ARAÚJO, 2020).</p><p>Por sua vez, o termo malware foi introduzido por Yisrael Radaem, em</p><p>1990. Malware é um software malicioso, ou seja, um código desenvolvido por</p><p>uma pessoa com a intenção de executar ações danosas em um computador</p><p>(SIKORSKI; HONIG, 2012). Um malware pode interromper a operação do sis-</p><p>tema operacional e permitir que um cibercriminoso (invasor) possa acessar</p><p>informações privadas e confidenciais. Assim, cibercriminosos desenvolvem</p><p>malware para roubar dados, contornar os controles de acesso, comprometer</p><p>as funções e também causar danos ao computador hospedeiro, a seus dados</p><p>e aplicativos (LUTTGENS; PEPE; MANDIA, 2014). Ao se espalhar por uma rede</p><p>de computadores, por exemplo, um malware pode realmente causar danos</p><p>e interrupções generalizados, exigindo extensos esforços de recuperação</p><p>dentro das organizações. Um malware pode ser encontrado em quase todas</p><p>as plataformas e sistemas operacionais.</p><p>Análise em malwares2</p><p>Depois de se instalar num computador, um malware passa a ter controle</p><p>de acesso sobre suas informações e tem permissão de executar ações em</p><p>nome do usuário, de acordo com o critério de suas permissões. Há diversas</p><p>motivações para um cibercriminoso desenvolver um código malicioso, mas</p><p>hoje em dia uma das causas mais importantes é o ganho financeiro, além de</p><p>outras, como coleta de informações confidenciais e privadas, ou somente o</p><p>desejo de autopromoção e vandalismo.</p><p>Hacker ou cibercriminoso? Os termos usados na computação são</p><p>vastos e muitos vezes confundem o usuário em relação à sua correta</p><p>definição. Nesse sentido, o artigo “‘É preciso diferenciar hacker de cibercrimi-</p><p>noso’” (MORELLI, 2015) é esclarecedor.</p><p>Pode-se classificar os malwares com base em seu comportamento, com</p><p>base em sua plataforma de destino ou com base em sua diretiva de ataque.</p><p>Malwares com base no comportamento são aqueles cujo código gera uma</p><p>mudança no comportamento do sistema. Vejamos alguns casos a seguir</p><p>(ELISAN; HYPPONEN, 2013).</p><p>Adware</p><p>O adware é um tipo de malware que insere no computador hospedeiro um</p><p>código que é capaz de fazer download de anúncios e exibi-los para o usuário</p><p>no dispositivo. Esses anúncios podem ser usados para roubar informações</p><p>do computador do usuário ou somente forçar, irritantemente, o usuário a</p><p>visualizar</p><p>a propaganda. Há adwares, por exemplo, que exibem pop-ups no</p><p>navegador que não podem ser fechados. Esses tipos de malware geralmente</p><p>são inseridos nos hospedeiros pela execução de programas baixados pelos</p><p>usuários.</p><p>Análise em malwares 3</p><p>Worm</p><p>Um worm (verme) é um tipo de malware que tem o objetivo de se replicar para</p><p>outros computadores. Essa replicação pode ser feita através de uma rede</p><p>de computadores ou através de dispositivos de transporte de informação,</p><p>como um pendrive, e-mails e redes sociais como Facebook. Semelhante ao</p><p>vírus, um worm pode ser replicar para outros hospedeiros ao criar uma cópia</p><p>de si mesmo e infectar outros computadores; entretanto, não infecta outros</p><p>programas. Muitos worms são usados para criar vulnerabilidades para outros</p><p>ataques. Os worms podem ser classificados nos seguintes tipos:</p><p>� worms de e-mail — têm o objetivo de se espalhar via e-mail malicioso,</p><p>como um anexo ou link de um site;</p><p>� worms de mensagens instantâneas — espalham-se enviando links para</p><p>a lista de contatos de aplicativos de mensagens instantâneas, como</p><p>Messenger, WhatsApp, Skype, etc.;</p><p>� worms da internet — pesquisam todos os recursos de rede disponíveis</p><p>usando os serviços do sistema operacional local e/ou verificando os</p><p>computadores comprometidos pela internet;</p><p>� IRC worms — espalham-se pelos canais de bate-papo do Internet Relay</p><p>Chat (IRC), enviando arquivos infectados ou links para sites infectados;</p><p>� worms de compartilhamento de arquivos — colocam uma cópia sua</p><p>numa pasta compartilhada e a distribuem via rede ponto a ponto,</p><p>usando nomes atraentes como “MSOfficeCrack.EXE”.</p><p>A Figura 1 ilustra um cenário típico de um malware tipo worm, em que o</p><p>malware é inserido em um computador e espalhado para os outros através</p><p>da rede.</p><p>Análise em malwares4</p><p>Figura 1. Mecanismo de ataque de um worm.</p><p>Internet</p><p>Download</p><p>Hosts</p><p>Hosts</p><p>Hosts</p><p>Servidor</p><p>Infecção inicial</p><p>Spam</p><p>Na segurança da informação, um spam é um e-mail indesejado. Esse tipo de</p><p>e-mail pode conter anúncios indesejados ou não solicitados pelo usuário,</p><p>além de tentativas como fraude e anexos com links maliciosos que instalam</p><p>malware no computador.</p><p>Análise em malwares 5</p><p>Ransomware</p><p>Ransomware é um programa de código malicioso cujo o objetivo é acessar</p><p>recursos ou dados de um sistema. Nesse caso, o código controla o sistema,</p><p>e os dados são os reféns. Diante desse cenário, o usuário tem que pagar</p><p>para ter acesso aos dados ou sistema novamente. Esse tipo de ataque pode</p><p>ser executado por criptografia de dados, ameaça de destruição por trojan,</p><p>bloqueio de usuário, etc.</p><p>Recentemente, ataques do tipo ransomware apareceram nas manche-</p><p>tes dos principais jornais, devido a incidências em inúmeros países</p><p>e afetando empresas de diversos ramos, como hotéis, parques de diversões e</p><p>hospitais. Um ótimo exemplo disso pode ser visto no artigo “JBS pagou US$ 11</p><p>milhões em resgate a autores de ataque ransomware” (LAVADO, 2021).</p><p>Vírus</p><p>Em computação, um vírus é o código malicioso (um programa ou parte de</p><p>um programa de computador) cujo o objetivo é infectar outros programas</p><p>ou arquivos por meio de cópias de si mesmo. Existem muitos tipos de vírus,</p><p>como aqueles que ficam ocultos no computador, mas contaminando outros</p><p>programas de forma transparente, ou seja, sem o conhecimento do usuário.</p><p>Há também os vírus que são ativados a partir de uma data específica, vírus de</p><p>macro, utilizados por meio de um código escrito em linguagens para progra-</p><p>mas como Microsoft Office, vírus propagados por e-mail através de links ou</p><p>arquivos em anexos, vírus de script, utilizados por meio de script desenvolvido</p><p>em linguagens como Javascript e aplicados em página HTML, etc.</p><p>Backdoor</p><p>Um malware tipo backdoor permite que um cibercriminoso tenha acesso a</p><p>um sistema vulnerável ou comprometido. O acesso pode ser feito via um shell</p><p>(console) com permissão de root. Na verdade, um backdoor abre as portas</p><p>de acesso remoto no computador hospedeiro, e por meio dessa “porta da</p><p>fundos” o invasor tem acesso ao sistema.</p><p>Análise em malwares6</p><p>É preciso ter extremo cuidado com programas cujo código-fonte está</p><p>disponível publicamente. Alguns são modificados por invasores que</p><p>inserem funcionalidade de backdoor.</p><p>Cavalo de Troia (trojan horse)</p><p>Um cavalo de Troia é um código malicioso que parece ser um programa útil,</p><p>mas, em vez disso, destrói o sistema do computador ou coleta informações</p><p>como identificação e senhas para o seu dono. Um jogo gratuito, por exemplo,</p><p>pode conter um cavalo de Troia que, ao ser instalado em um computador,</p><p>além de roubar dados, pode instalar um backdoor, destruir seu disco rígido</p><p>ou realizar outras ações prejudiciais.</p><p>Bots e botnets</p><p>O termo bots é uma abreviação de robot (robô). Trata-se de um termo utilizado</p><p>na computação para programas que executam tarefas sem a intervenção do</p><p>usuário. É um tipo de programa que dispõe de mecanismo de comunicação</p><p>com o invasor de forma remota. O processo de propagação de um bot é</p><p>semelhante ao malware tipo worm, ou seja, pode se propagar automatica-</p><p>mente. O meio de comunicação geralmente é via canais tipo P2P, servidores</p><p>web, etc. Um computador infectado por um bot é chamado de zumbi, pois</p><p>permite controle remoto sem o conhecimento do usuário proprietário. Já um</p><p>botnet é uma rede de computadores comprometidos (zumbis) que podem ser</p><p>controlados remotamente por um cibercriminoso para cumprir uma diretiva</p><p>maliciosa, como transferir informações roubadas, enviar spam ou lançar</p><p>ataques distribuídos de negação de serviço (DDoS).</p><p>Spyware e scareware</p><p>Um spyware é desenvolvido para fazer o monitoramento de atividades em</p><p>determinado sistema e enviar as informações remotamente para um host.</p><p>Um spyware pode ser instalado de forma legítima com o consentimento do</p><p>dono do dispositivo para verificar se outro usuário está fazendo mal uso do</p><p>dispositivo, ou de forma maliciosa, sem o conhecimento do usuário proprie-</p><p>tário do dispositivo, com o objetivo de monitorar ou capturar informações</p><p>Análise em malwares 7</p><p>privadas e confidenciais. Um exemplo de spyware é o keylogger, que captura</p><p>informações inseridas via teclado em um computador. Por sua vez, os sca-</p><p>reware são programas que têm a finalidade de direcionar o usuário para sites</p><p>infestados de malwares. Surgem na tela como caixa suspensa e geralmente</p><p>como propaganda de uma empresa de antivírus legítima.</p><p>Rootkit</p><p>O termo rootkit é formado a partir de duas palavras. Root é o termo uti-</p><p>lizado para representar o usuário que tem permissão total a um sistema</p><p>operacional, ou seja, que tem permissão a qualquer atividade e dispositivo</p><p>de um computador. Já o termo kit, nesse caso, diz respeito a um conjunto de</p><p>ferramentas. Logo, rootkit é um conjunto de ferramentas que permite que</p><p>um cibercriminoso tenha acesso total a um computador, ou seja, permissão</p><p>de root ou administrador total do sistema. Então, na verdade, pode-se dizer</p><p>que um rootkit é um conjunto de técnicas que permite que o usuário invasor</p><p>obtenha acesso total a um sistema operacional.</p><p>Diante de tantos tipos de ataques de malware, surgem também ferramentas</p><p>utilizadas no seu combate, conhecidas como antimalwares, tema central do</p><p>próximo tópico.</p><p>Combate a malware</p><p>Ferramentas antimalware são programas utilizados para ações como detec-</p><p>ção, análise e exclusão de malware em computadores, incluindo os antivírus,</p><p>antispyware, etc.</p><p>As empresas desenvolvedoras de antivírus podem fazer sua própria clas-</p><p>sificação de malwares e aplicar uma metodologia no processo de proteção</p><p>por meio de suas ferramentas. A empresa Kaspersky, por exemplo, aplica uma</p><p>regra por funcionalidade, ou seja, as funções que o malware exerce sobre o</p><p>sistema operacional. Nesse cenário, os malwares são classificados por funções</p><p>semelhantes. Famílias como Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker</p><p>e Trojan-DDoS, que apresentam duas ou mais funções semelhantes, são</p><p>classificados como cavalos de Troia. Já códigos maliciosos como IM-Worm,</p><p>P2P-Worm e IRC-Worm são classificados</p><p>todos como worm. De modo geral,</p><p>as empresas desenvolvedoras de antimalware fazem uso de metodologia</p><p>semelhante (KASPERSKY, 2021).</p><p>Análise em malwares8</p><p>Em se processo metodológico, essas empresas também fazem uso de</p><p>algoritmos para estabelecer tais classificações, incluindo o algoritmo de</p><p>árvore de decisão. Esse algoritmo faz uma classificação de dados com base</p><p>em um modelo de divisão por grupos homogêneos.</p><p>Além de classificar os tipos de malware, um programa antimalware segue</p><p>procedimentos de ação, ou seja, faze uso de uma metodologia (FARMER;</p><p>VENEMA, 2007). De forma geral, primeiramente o sistema precisa detectar o</p><p>incidente, para em seguida localizar e fazer a análise do código malicioso. Após</p><p>classificar o código malicioso, entram em ação os procedimentos de prevenção</p><p>e erradicação de danos. A próxima etapa é a tentativa de recuperação dos</p><p>problemas gerados pela ação do malware. Por fim, o sistema monitora e aplica</p><p>contramedidas ou medidas de proteção do sistema. Geralmente, programas</p><p>antimalware geram relatórios de registros das ações executadas. A Figura 2</p><p>ilustra um diagrama do processo de análise de malware empregado por um</p><p>programa de proteção. O modelo apresentado baseia-se no NIST Special</p><p>Publication 800-83 Revision 1, de 2013.</p><p>Figura 2. Processos de análise de malware.</p><p>NÃO</p><p>SIM</p><p>Relatório</p><p>Início do</p><p>processo</p><p>Detectar</p><p>malwares</p><p>Malware</p><p>detectado</p><p>Localizar e</p><p>analisar</p><p>os malwares</p><p>Conter os</p><p>incidentes e</p><p>evitar</p><p>propagação</p><p>Prevenir e</p><p>erradicar</p><p>danos</p><p>RecuperarPós-incidenteMonitorar</p><p>Medidas de</p><p>proteção</p><p>Fim do processo</p><p>Essas metodologias representam, na verdade, técnicas de análise de</p><p>malware na computação forense. Essas técnicas são utilizadas para detecção</p><p>de intrusos num dispositivo, além de coletar e preparar provas que possam</p><p>ser utilizada numa corte judicial, além de compreender em sua totalidade o</p><p>funcionamento de um malware, ou seja, suas características de ação no sistema</p><p>operacional, as técnicas de ofuscação utilizadas, fluxos de execução, uso de</p><p>Análise em malwares 9</p><p>rede de computadores, download de arquivos, coleta de dados privados e</p><p>confidências de usuários ou sistema, etc. Vejamos a seguir os principais tipos</p><p>de metodologia de análise de malware (ELISAN; HYPPONEN, 2013).</p><p>Análise estática</p><p>A análise estática tem o objetivo de verificar determinado malware que in-</p><p>fecta um computador, mas sem a execução do programa executável. Uma</p><p>técnica de engenharia reversa é aplicada no código-fonte com o objetivo de</p><p>descompilá-lo. A ideia é reverter o código executável em um código na lingua-</p><p>gem Assembly ou outra que possa ser lida e interpretada para entendimento</p><p>do funcionamento do código.</p><p>Análise dinâmica</p><p>Ao contrário do método estático, o método dinâmico examina o malware com</p><p>o programa em execução. Nesse método, uma máquina virtual off-line deve</p><p>ser utilizada. Estados da máquina virtual são criados para tentar entender</p><p>o comportamento do malware e suas ações no sistema operacional. Por</p><p>meio dessa metodologia, pode-se, por exemplo, analisar o tráfego de dados</p><p>na rede, monitorar o comportamento das ações efetuadas nas unidades</p><p>de armazenamento, fazer dump de memória, injetar código, entre diversas</p><p>outras análises.</p><p>Análise de memória</p><p>Todo programa malware é executado em memória RAM, uma memória volátil,</p><p>em que os dados são perdidos assim que o dispositivo é desligado. Nesse</p><p>método, é feito um dump de memória, ou seja, a reprodução de todas as</p><p>informações que estão sendo alocadas em memória no momento da execução</p><p>de um programa. Assim, analisa-se a memória com o intuito de compreender</p><p>o que acontece com informações como senhas, chaves de criptografia usadas,</p><p>processos em execução, etc.</p><p>Análise de pacote</p><p>Numa rede do tipo Transmission Control Protocol/Internet Protocol (TCP/IP),</p><p>informações (dados) são transportadas na forma de pacotes. Os pacotes</p><p>contêm os dados que são transmitidos de um host para outro pela rede. Esses</p><p>Análise em malwares10</p><p>pacotes podem ser capturados por programas como Wireshark, tcpdump ou</p><p>Snort, que são sniffers de rede e capturam pacotes para serem analisados</p><p>por ferramentas como o programa Weka. Esse programa é uma coleção de</p><p>algoritmos de aprendizado de máquina para tarefas de mineração de dados.</p><p>Ele contém ferramentas para preparação de dados, classificação, regressão,</p><p>agrupamento, mineração de regras de associação e visualização, de tal forma</p><p>que pode ser utilizado para criar formas de detecção de malware na rede</p><p>de computadores.</p><p>Ferramentas</p><p>As ferramentas de software utilizadas para detectar malware empregam</p><p>diferentes métodos de detecção. Algumas delas usam uma lista de assina-</p><p>turas para buscar padrões, enquanto outras empregam processo heurístico,</p><p>ou seja, analisam as características do código, e outras ainda farejam o</p><p>comportamento do malware quando ativo no sistema operacional.</p><p>Algumas ferramentas são gratuitas, muitas no formato trial (experimental)</p><p>por um tempo determinado e com funções limitadas. Outras precisam ser</p><p>compradas, ou seja, precisam de licença para uso. No mercado, as empresas</p><p>de ferramentas antimalware desenvolvem diversos tipos de versões, ofere-</p><p>cendo valores distintos e aplicações específicas para cenários de proteção</p><p>também diferenciados.</p><p>Carlos é profissional de TI de um determinado hospital. Hospitais são</p><p>alvo de ataques de malware tipo ransomware. Ataques ransomware</p><p>infectam arquivos e impedem que sejam acessados pelos seus proprietários.</p><p>Assim, os usuários precisam pagar um resgate para terem acesso novamente</p><p>aos arquivos. Os prontuários médicos são privados e confidenciais, e somente o</p><p>médico e o paciente, por lei, podem ter acesso a eles. Logo, são dados críticos.</p><p>O parque tecnológico do hospital é plataforma Windows e todos os antivírus</p><p>são proprietários também, ou seja, o hospital paga por uma licença de uso. Com</p><p>receio de ataques tipo ransomware, típicos em hospitais, Carlos procurou uma</p><p>solução para evitar esse tipo de ataque e, após consulta à equipe da Microsoft,</p><p>habilitou a funcionalidade Windows Defender, um antivírus que acompanha o</p><p>sistema operacional Windows. A ferramenta foi incrementada com a funcionali-</p><p>dade Fall Creators Update, atualização para Windows 10. Na funcionalidade, há a</p><p>opção “Acesso a pastas controladas”. Carlos ativou-a, a fim de garantir proteção</p><p>às pastas pessoais e de programas do sistema operacional Windows. Com essa</p><p>ação, Carlos atribuiu uma segurança extra aos dados sigilosos do hospital.</p><p>Análise em malwares 11</p><p>Diferentes versões das ferramentas antimalware apresentam diferentes</p><p>funcionalidades. A ferramenta mais utilizada pelos usuários é o antivírus.</p><p>Hoje, um antivírus é composto de diversos módulos que podem ser usados</p><p>como ferramentas antimalware, antispam, antitrojan, etc.</p><p>Existem no mercado sites que comparam ferramentas antimalware</p><p>existentes. O site Virus Bulletin, por exemplo, é uma fonte de refe-</p><p>rência para profissionais de segurança da informação.</p><p>Devido à vasta gama de opções e versões existentes no mercado, a esco-</p><p>lha de uma ferramenta antimalware deve levar em conta as funcionalidades</p><p>da ferramenta e o contexto de uso da empresa. Seja como for, ataques por</p><p>malware deixam vestígios e esses vestígios também podem ser analisados.</p><p>Esse é o tema do próximo tópico.</p><p>Análise de vestígios</p><p>Vestígios são as evidências, ou seja, as provas de um delito envolvendo um</p><p>ataque de malware a determinado sistema que podem ser apresentadas</p><p>como prova judicial. No caso da forense computacional, o objetivo é apre-</p><p>sentar as características do incidente de segurança, ou seja, a dinâmica,</p><p>a materialização, a autoria e a explicação dos casos envolvidos em dispositivos</p><p>como computadores, smartphones, tablets, sites, redes sociais, etc. Técnicas</p><p>forenses devem empregadas para preservar as evidências ou vestígios com</p><p>o intuito de garantir a integridade da informação ou dado, sem contestação.</p><p>O resultado desses ataques são inúmeros problemas gerados a usuários</p><p>e</p><p>empresas. Sendo assim, quando um incidente acontece, gerando um impacto</p><p>financeiro para uma determinada empresa, a análise de vestígios deve ser</p><p>realizada, pois envolve contratos com clientes, multas altas, empresas de</p><p>seguros, etc.</p><p>Análise em malwares12</p><p>Em 2014, foi estabelecido no Brasil o Marco Civil da Internet, Lei</p><p>nº 12.965, de 23 de abril de 2014. Em vez de apenas criminalizar con-</p><p>dutas nos espaços virtuais, essa lei preenche uma lacuna sobre os direitos e</p><p>responsabilidades relativos à utilização dos meios digitais (DISTRITO FEDERAL,</p><p>2016).</p><p>A análise de vestígios segue uma série de etapas sob uma metodologia</p><p>científica. De maneira geral, podemos subdividir essas etapas em (MARAS,</p><p>2015):</p><p>� levantamento de informações — todas as informações são registradas,</p><p>bem como o contexto geral do incidente, os elementos materiais,</p><p>os fatos existentes, etc.</p><p>� coleta e documentação de vestígios — etapa de preservação e análise</p><p>das provas, em que hipóteses são esclarecidas e provas são produzidas;</p><p>� correlação de vestígios — etapa de cruzamento dos materiais coletados,</p><p>com o objetivo de compreender melhor o cenário apresentado;</p><p>� reconstrução dos eventos — fase de compreensão dos fatos que ge-</p><p>raram as evidências.</p><p>Dados cronológicos</p><p>Os arquivos possuem um registro em que constam a hora e a data de sua</p><p>criação, de alterações e de acesso. Essas informações são usadas para detectar</p><p>a ordem cronológica de uma ação maliciosa sobre um determinado programa</p><p>ou arquivo. Assim, a perícia forense consegue mapear a sequência de ocor-</p><p>rências interligadas resultante das ações mal-intencionadas e contextualizar</p><p>um determinado caso. Essas informações são os MACTimes, atributos que</p><p>um determinado arquivo possui (MARAS, 2015):</p><p>� mtime (modification time) — registro da última data e hora em que</p><p>uma ação de alteração foi executada sobre um determinado arquivo;</p><p>� atime (access time) — registro da última data e hora em que determinado</p><p>diretório ou arquivo foi lido;</p><p>� ctime (creation time) — registro da data e hora de criação de um arquivo</p><p>ou pasta.</p><p>Análise em malwares 13</p><p>Análise morta (post-mortem forensics)</p><p>Resíduos ficam residentes nos discos de armazenamento mesmo depois que</p><p>certos elementos são deletados, principalmente conteúdos de arquivos,</p><p>registros de atividades do sistema (arquivos de logs) e MACTimes. Esses</p><p>dados são conhecidos como dados não voláteis, ou seja, dados que não se</p><p>apagam com a máquina desligada. Algumas técnicas podem ser aplicadas,</p><p>como realizar uma imagem do disco rígido, pois assim não há modificação</p><p>nos atributos MACTime dos arquivos nele residentes. Outra técnica envolve</p><p>a análise dos arquivos de logs/journal (registro). Esses arquivos registram</p><p>ações de leitura e gravação, permitindo sequenciar o fluxo de ações por meio</p><p>do MACTime. Todos os procedimentos devem preservar a integridade dos</p><p>dados para que sejam considerados provas em ações judiciais.</p><p>Análise viva (live forensics)</p><p>Dados voláteis são aqueles que ficam armazenados em memória e se perdem</p><p>quando um determinado computador/dispositivo é desligado. Nesse caso,</p><p>a varredura dos dados deve ser viva, ou seja, on-line, em tempo de execução</p><p>do programa. Nesse caso, as técnicas de dump de memória são mais adotadas,</p><p>pois conseguem verificar o status da memória de tempos em tempos ou por</p><p>meio de dados que trafegam por uma rede de computadores. Para isso, são</p><p>usados programas como Wireshark, que analisam os dados que passam por</p><p>uma interface de acesso à rede/internet (SIKORSKI; HONIG, 2012).</p><p>Ferramentas forenses</p><p>As ferramentas forenses são empregadas por peritos com o objetivo de qua-</p><p>lificar o processo de coleta e análise de dados. O sistema IPED, por exemplo,</p><p>conta com recursos como recuperação de arquivos deletados, identificação de</p><p>criptografia e cruzamento de informações. Já o sistema EnCase, utilizado por</p><p>polícias federais pelo mundo, apresenta recursos de recuperação de arquivos</p><p>apagados, fornecimento de relatórios detalhados e análise de hardware e</p><p>e-mails. Por sua vez, o programa FTK faz escaneamento de disco rígido para</p><p>coleta de dados, recupera arquivos e processa e analisa documentos gráficos,</p><p>imagens e documentos. As informações e evidências coletadas por essas</p><p>ferramentas, por serem utilizadas oficialmente por forças policiais, possuem</p><p>valor judicial e são usadas como prova de crimes cibernéticos.</p><p>Análise em malwares14</p><p>Assim, em contrapartida aos ataques de malware, ferramentas antimalware</p><p>são desenvolvidas e atualizadas constantemente pelas empresas desen-</p><p>volvedoras. Essas ferramentas permitem proteger os sistemas mediante</p><p>a identificação, coleta e erradicação de danos. Porém, mesmo com toda a</p><p>proteção, milhares de sistema ainda continuam vulneráveis e permitem que</p><p>crimes cibernéticos sejam executados, incluindo negação de serviços, roubo</p><p>de informações, ransomware e outros tipos de ataque. Como consequência</p><p>desses crimes, vastos prejuízos financeiros são gerados.</p><p>A fim de contribuir para a elucidação de crime cibernéticos via ataques de</p><p>malware, a perícia forense computacional deve ser incentivada ao máximo.</p><p>Essa análise recorre a técnicas e ferramentas que permitem que o perito</p><p>produza provas a serem utilizadas judicialmente.</p><p>Referências</p><p>ARAÚJO, S. de. Computação forense. Curitiba: Contentus, 2020.</p><p>CARVALHO, A. C. P. L. F. de; LORENA, A. C. Introdução à computação: hardware, software</p><p>e dados. Rio de Janeiro: LTC, 2016.</p><p>DISTRITO FEDERAL. Tribunal de Justiça. Marco Civil da Internet. Brasília, DF: TJDFT,</p><p>2016. Disponível em: https://www.tjdft.jus.br/institucional/imprensa/campanhas-e-</p><p>-produtos/direito-facil/edicao-semanal/marco-civil-da-internet. Acesso em: 10 jul. 2021.</p><p>ELISAN, C. C.; HYPPONEN, M. Malware, rootkits & botnets: a beginner's guide. New York:</p><p>McGraw-Hill, 2013.</p><p>FARMER, D.; VENEMA, W. Perícia forense computacional: teoria e prática aplicada,</p><p>como investigar e esclarecer ocorrências no mundo cibernético. São Paulo: Pearson</p><p>Prentice Hall, 2007.</p><p>KASPERSKY. São Paulo: Kaspersky, 2021. Disponível em: https://www.kaspersky.com.</p><p>br/. Acesso em: 10 jul 2021.</p><p>LAVADO, T. JBS pagou US$ 11 milhões em resgate a autores de ataque ransomware.</p><p>Exame, 9 jun. 2021. Disponível em: https://exame.com/tecnologia/jbs-pagou-us-11-</p><p>-milhoes-a-autores-de-ataque-de-ransomware/. Acesso em: 10 jul. 2021.</p><p>LUTTGENS, J. T.; PEPE, M.; MANDIA, K. Incident response & computer forensics. New York:</p><p>McGraw-Hill Education Group, 2014.</p><p>MARAS, M.-H. Computer forensics: cybercriminals, laws, and evidence. Burlington:</p><p>Jones & Bartlett Learning, 2015.</p><p>MORELLI, M. “É preciso diferenciar hacker de cibercriminoso”. Veja, 25 maio 2015.</p><p>Disponível em: https://veja.abril.com.br/tecnologia/e-preciso-diferenciar-hacker-de-</p><p>-cibercriminoso/. Acesso em: 10 jul. 2021.</p><p>SIKORSKI, M.; HONIG, A. Practical malware analysis: the hands-on guide to dissecting</p><p>malicious software. San Francisco: No Starch Press, 2012.</p><p>Análise em malwares 15</p><p>Leitura recomendada</p><p>ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27037:2013: tecnologia</p><p>da informação: técnicas de segurança: diretrizes para identificação, coleta, aquisição</p><p>e preservação de evidência digital. Rio de Janeiro: ABNT, 2013.</p><p>Os links para sites da web fornecidos neste capítulo foram todos</p><p>testados, e seu funcionamento foi comprovado no momento da</p><p>publicação do material. No entanto, a rede é extremamente dinâmica; suas</p><p>páginas estão constantemente mudando de local e conteúdo. Assim, os edito-</p><p>res declaram não ter qualquer responsabilidade sobre qualidade, precisão ou</p><p>integralidade das informações referidas em tais links.</p><p>Análise em malwares16</p><p>Dica do professor</p><p>Ferramentas são utilizadas pelos usuários para diversos fins. Por exemplo: ferramentas</p><p>antimalware protegem o dispositivo contra malwares.</p><p>Também há ferramentas de suporte a pesquisadores. Na computação forense, uma ferramenta</p><p>permite aos pesquisadores criar suas próprias classificações sobre os tipos de malware.</p><p>Conheça</p><p>na Dica do Professor a ferramenta Yara, usada por pesquisadores para identificar e</p><p>classificar malwares.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/a3cf9a11c90f16e1d67256280398e917</p><p>Exercícios</p><p>1) Com a evolução da internet e dos diversos aplicativos de plataforma web e mobile, também</p><p>cresceu consideravelmente o número de crimes cibernéticos associados a ataques de</p><p>malware, aqueles códigos maliciosos que infectam determinado computador para fins</p><p>criminosos.</p><p>Com relação aos tipos de malware, leia as afirmações a seguir:</p><p>I. Um keylogger fica em execução em determinado computador para monitorar todas as</p><p>entradas do teclado.</p><p>II. Spam é um tipo de malware comum da internet geralmente associado a e-mails</p><p>indesejados.</p><p>III. Bot é um programa que dispõe de mecanismos de comunicação com o invasor que lhe</p><p>permitem ser controlado remotamente.</p><p>IV. Vírus é um programa capaz de se propagar automaticamente pelas redes, enviando</p><p>cópias de si mesmo de computador para computador.</p><p>Está correto apenas o que se afirma em:</p><p>A) I e II.</p><p>B) II e IV.</p><p>C) I, II e III.</p><p>D) II, III e IV.</p><p>E) I, II e IV.</p><p>Segundo o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil</p><p>(Cert.br), o percentual de 17,46% dos incidentes reportados entre janeiro e junho de 2020</p><p>refere-se a ataques de malware tipo worm, ou seja, notificações de atividades maliciosas</p><p>relacionadas ao processo automatizado de propagação de códigos maliciosos na rede.</p><p>Considere as seguintes asserções:</p><p>I. A instalação e a execução de um ou mais sistemas antimalware num computador garantem</p><p>proteção contra softwares maliciosos, mesmo que o usuário execute frequentemente</p><p>2)</p><p>arquivos recebidos em mensagens e não atualize seus programas nem o sistema operacional.</p><p>PORQUE</p><p>II. Os ataques de malwares se intensificaram com a disseminação da internet; ou seja,</p><p>códigos maliciosos permitem que pessoas mal-intencionadas, por exemplo, roubem a</p><p>identidade de um usuário da internet para fins criminosos.</p><p>Assinale a alternativa que apresenta a análise correta das asserções.</p><p>A) As asserções I e II são verdadeiras, mas a II não justifica a I.</p><p>B) As asserções I e II são verdadeiras, e a II justifica a I.</p><p>C) A asserção I é verdadeira, e a II, falsa.</p><p>D) A asserção I é falsa, e a II, verdadeira.</p><p>E) As asserções I e II são falsas.</p><p>3) Malwares são códigos maliciosos que, se executados, danificam o sistema infectado. Há</p><p>diversos tipos de malware, cada um com objetivos específicos.</p><p>Considerando o contexto, marque V (verdadeiro) ou F (falso).</p><p>( ) Vírus de computadores atingem extensões de arquivo do tipo .exe, .com, .doc, entre</p><p>outros.</p><p>( ) As assinaturas de um vírus mutante forçam o antivírus a reconhecer eficientemente todas</p><p>as variações possíveis do vírus em questão.</p><p>( ) Worm é um programa que aparenta ter uma finalidade atraente, mas esconde alguma</p><p>funcionalidade maliciosa.</p><p>( ) Backdoor é um programa que permite ao atacante contornar os controles de segurança de</p><p>um sistema, proporcionando acesso desautorizado com privilégios indevidos.</p><p>Assinale a alternativa que, de cima para baixo, apresenta a sequência correta.</p><p>A) V, V, F, V.</p><p>B) F, F, F, V.</p><p>C) F, V, F, F.</p><p>D) V, F, F, V.</p><p>E) F, V, V, V.</p><p>4) Malwares são códigos maliciosos que danificam o computador infectado, roubando, por</p><p>exemplo, informações confidenciais.</p><p>Eles diferem de um vírus, pois se propagam via execução direta de suas cópias, e não por</p><p>cópias deles mesmos inseridas em outros arquivos ou programas.</p><p>O texto faz menção ao:</p><p>A) spyware.</p><p>B) worm.</p><p>C) adware.</p><p>D) trojan.</p><p>E) ransomware.</p><p>5) A análise de malware aborda códigos maliciosos a fim de descobrir seu comportamento ou</p><p>como funciona internamente. Com isso, pode-se classificar o malware, verificar sua natureza,</p><p>tentar descobrir o autor, quais danos pode causar, como pausá-lo e preveni-lo.</p><p>A análise de malware é utilizada em várias _________ e situações, como a análise diretamente</p><p>ligada à engenharia _________, principalmente na parte de análise de código.</p><p>A análise de malware pode ser classificada em diferentes tipos. Com o tipo de análise</p><p>_________, o analista não precisa executar o malware, mas usa descompiladores e</p><p>desmontadores e analisa as funções em uso e as bibliotecas que serão carregadas no</p><p>_________. Portanto, a análise de malware tem uma parte importante na segurança</p><p>_________ para defesa e mitigação, pois é o espectro de pares, e, com cada vez mais</p><p>sofisticação de malware, podemos ficar para trás para _________, compreender e mitigar</p><p>malwares no futuro.</p><p>Assinale a alternativa que preenche corretamente as lacunas.</p><p>A) áreas – reversa – estática – executável – cibernética – detectar.</p><p>B) áreas – computacional – dinâmica – executável – cibernética – isolar.</p><p>C) seções – reversa – dinâmica – .dll – de informática – isolar.</p><p>D) seções – computacional – estática – .dll – de informática – detectar.</p><p>E) áreas – reversa – dinâmica – .dll – cibernética – detectar.</p><p>Na prática</p><p>Os ataques com malwares aumentaram muito com a disseminação da internet. Quando</p><p>determinado crime cibernético ocorre, objetos/marcas são evidências importantes para entender o</p><p>que e como isso aconteceu. A análise de vestígio permite tirar conclusões sobre o que ocorreu num</p><p>incidente.</p><p>Veja Na Prática como uma analista de TI resolveu o problema enfrentado na empresa fictícia Jornal</p><p>News com relação ao malware Win32/VB.NRE, que se propagava na rede interna da empresa.</p><p>Aponte a câmera para o</p><p>código e acesse o link do</p><p>conteúdo ou clique no</p><p>código para acessar.</p><p>https://statics-marketplace.plataforma.grupoa.education/sagah/6daf9838-c925-4df0-9dcd-92a2c75c1d19/5d16826f-e0d2-4fce-8712-7bd59d969d1b.jpg</p><p>Saiba +</p><p>Para ampliar seu conhecimento no assunto, veja a seguir as sugestões do professor:</p><p>Algoritmo de classificação Naive Bayes</p><p>Classificar dados é um processo muito utilizado na computação. Ferramentas antimalwares usam</p><p>algoritmos na classificação de dados como árvore de decisão. Porém outros algoritmos também</p><p>fazem classificação, como Naive Bayes. Acesse o endereço a seguir e aperfeiçoe seu conhecimento</p><p>sobre classificação de dados.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Kit de ferramentas para engenharia reversa e análise de</p><p>malware</p><p>Engenharia reversa é uma técnica utilizada na análise de malware. Assista ao vídeo a seguir, que</p><p>mostra um kit de ferramentas que você pode utilizar para aplicar os procedimentos de engenharia</p><p>reversa na análise de malware.</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>Wireshark: vamos "snifar" tudo que passa na rede</p><p>Wireshark é um programa de captura e análise de pacotes numa rede de computadores. Muitos</p><p>usuários não conhecem o funcionamento do programa, e a análise de malware usa ferramentas</p><p>como o Wireshark. Veja este tutorial, que explica de forma didática o propósito da ferramenta, sua</p><p>instalação e os passos iniciais. Boa prática.</p><p>https://www.organicadigital.com/blog/algoritmo-de-classificacao-naive-bayes/?v=806098850</p><p>https://www.youtube.com/embed/zudkZ-pokAQ</p><p>Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.</p><p>https://pplware.sapo.pt/tutoriais/wireshark-snifar-tudo/?v=88708816</p>