Análise de malwares

AutorRoberto Monteiro
Páginas347-387

Page 347

Roberto Monteiro

Perito ad-hoc, analista de Segurança da Informação em multinacional no ramo de segurança bancária. Especialista em Análise e Desenvolvimento de Sistemas. Graduado em Ciência da Computação e em Sistemas de Informação. Experiência gerenciando redes e comunicações, servidores Linux e Windows, analisando sistemas ERP, desenvolvendo para desktop, web e mobile.

email:

Page 348

Page 349

Em um livro sobre Informática Forense, não há como deixar de lado um dos grandes problemas de uma sociedade cada vez mais conectada: malwares. Vemos nas mídias, sejam elas sociais ou jornalísticas, um grande alarde quando temos uma nova ameaça, muitas das vezes associando tal artefato ao grupo denominado, mesmo sabendo que a nomenclatura do mesmo é incorreta, hackers.

Neste capítulo iremos verificar os tipos de malwares, as formas como eles atacam, como eles infectam e como podemos analisá-los para poder entendê-los e contra-atacar de modo a mitigar suas fontes e interceptar toda e qualquer informação que os mesmos possam vir a subtrair de máquinas, sejam elas de pessoas ou de empresas.

Malwares: uma visão holística

Para iniciar nosso entendimento sobre o que viria a ser um malware, podemos partir do princípio da formação da palavra e de sua origem. Malware é a junção de duas palavras de origem inglesa malicious software, ou software malicioso, em uma tradução livre. Por sua vez, entendemos por malicioso como algo que contém malícia, sagaz, esperto, travesso (AURÉLIO, 2017). Sendo assim, talvez possamos entender, de uma forma mais aberta, que um malware seria algo indesejável, desagradável para termos em algum dispositivo computacional. Devemos levar em consideração que todo malware possui um ciclo de vida, que pode ou não encontrar seu fim, dado o reconhecimento de seus parâmetros e hash1 por empresas de antivírus.

Page 350

Então, o que viria a ser, por definição, um malware? Qualquer software que realize qualquer ação que cause danos ao usuário, computador ou rede pode ser considerado um malware, incluindo vírus, trojans, worms, rootkits, scareware e spyware (SIKORSKI e HONIG, 2012). Ao utilizar a palavra qualquer para informar o tipo de software, expandimos os tipos de software que podem pertencer à categoria, sendo incluído aquele que, a qualquer momento, possa vir a interferir em uma (ou várias) instruções de tal modo a obter registros e/ou atividades pertencentes ao usuário sem seu prévio conhecimento e/ou consentimento. Um exemplo seria um driver2 de impressora que informa ao fabricante que o usuário está utilizando cartuchos não-originais em seu hardware. Para tal utilizamos o conceito de contaminação, no qual o malware infecta a máquina destino a fim de realizar a primeira etapa de seu ciclo de vida.

Malwares podem conter, em um determinado período de sua execução, instruções que levem ao total ou parcial comprometimento dos dados que estão presentes em mídias locais, de rede ou na nuvem (não que o servidor na nuvem seja propenso a infecções, mas que o mesmo possa transferir os malwares no momento da sincronização dos dados entre a máquina do usuário e o servido). Eles também podem sequestrar dados e/ou expô-los, a qualquer momento, após sua dada infecção, seja essa exposição avisada ou não ao usuário final.

9.1. 1 Um breve histórico

Quando lemos o termo malware logo pensamos em algo recente e como um conceito definido há pouco tempo. Porém o conceito de software que se infiltra em sistemas é um pouco antigo, nos remetendo a 1939, quando John von Neumann escreveu um artigo com o título “Teoria dos autômatos auto reprodutores”, baseado em suas ministrações na Universidade de Illinois sobre a “Teoria e Organização de Autômatos Complexos”, que seria publicado (e finalizado) em 1966 por Arthur W. Burks. Nele, von Neumann explicava um conceito no qual demonstrava que seria possível desenvolver programas pequenos que pudessem tomar o controle de outros, de similar estrutura. Pela época, não foi possível mensurar onde poderia chegar tal teoria, visto que ainda conhecíamos a forma rudimentar da computação.

Já em 1949, três jovens programadores Robert Thomas Morris (que seria o pai de Roberto Tappan Morris, o cérebro por trás do vírus Morris), Douglas McIlory e Victor Vysottsky desenvolveram um jogo para comprovar a teoria de

Page 351

von Neumann, dando a ele o título de CoreWar, no qual dois ou mais programas de batalha (chamados warriors) competiam pelo controle do MARS virtual computer (Memory Array Redcode Simulator).

Se levarmos em consideração o que geralmente conseguimos obter em uma análise estática via engenharia reversa, e compararmos com o que temos de exemplo do código do CoreWar, podemos subentender que o CoreWar pode ser considerado um precursor do que conhecemos hoje como malware.

De 1950 a 1970 tivemos um grande salto tecnológico. Discos magnéticos de armazenamento de dados, minicomputador (PDP-5 da DEC), que tinha o tamanho de um armário, os computadores de segunda geração, com transistores (1956-1963), os computadores de terceira geração com circuito integrado (1963-1970) (FILHO, 2007) e uma precursora da Internet como conhecemos hoje, a ARPANET3.

Em 1971 tivemos o que podemos chamar de “precursor dos worms”. O pesquisador Robert (Bob) Thomas, trabalhou no desenvolvimento de um

Page 352

Sistema Operacional chamado TENEX na BBN Technologies (originalmente Bolt, Beranek e Newman). Bob criou um programa chamado Creeper que podia infectar máquinas PDP-10 que rodavam o sistema TENEX através da ARPANET. Inicialmente, o Creeper iniciava a impressão de um programa, parava, buscava outro computador rodando TENEX, abria uma conexão e se copiava para o novo sistema. Ao executar, exibia uma mensagem na tela: “Sou o Creeper, pegue-me se for capaz!”. Para combater o Creeper fora criado o primeiro precursor de antivírus, o Reaper, que impedia que o Creeper se copiasse e fechava a conexão.

O termo “vírus” foi citado por Frederick (Fred) Cohen pela primeira vez em 1983 para descrever programas de computador que se autorreplicam. Em 1984 Cohen usou a frase “vírus de computador” – sugerida por seu professor Leonard Adleman – para descrever a operação de tais programas que hoje conhecemos por “infecção”. Ele definiu um vírus como “um programa que pode infectar outros programas ao modificá-los a tal ponto de possibilitar sua cópia por inserção”. Cohen demonstrou um programa “vírus-like” em um Sistema VAX11/750 na Universidade de Lehigh. O programa em si poderia se auto instalar e se auto propagar para outros sistemas.

Em 1986 os irmãos programadores paquistaneses Basit e Amjad Farooq Alvi, na época com 17 e 24 anos respectivamente, numa tentativa de evitar que seus programas fossem copiados ilegalmente entre usuários sem seu consentimento. Assim, criaram um programa chamado Brain, que, segundo entrevista cedida à F-Secure em 2011, afirmaram que não fora criado com más intenções e sim evitar que seus programas circulassem sem sua autorização. O Brain continha um contador que mensurava a quantidade de “infecções” realizadas (na realidade, a quantidade de execuções piratas de seus programas). Porém, descobriu-se que,

Page 353

ao passo que o Brain tentaria evitar que seus programas fossem pirateados, o mesmo criava bootleg copies4 de aplicativos de outras empresas, como o Lotus 1-2-3. Como no Paquistão não existia copyright para programas de computador, os irmãos vendiam suas cópias bootleg para os paquistaneses e uma versão infectada com o Brain para estudantes e turistas americanos. Quando os americanos voltavam para casa e tentavam executar os programas, acabavam por infectar os disquetes de 5.25 que se encontravam inseridos nas unidades floppy existentes em seus computadores. Sendo assim, tivemos o primeiro caso de infecção por vírus em larga escala e transmissão via periférico.

Em 1988 tivemos o caso que mais ganhou repercussão envolvendo um vírus de computador: Morris Worm. Seu autor informou que seu objetivo não era destruir sistemas: sua intenção era medir o tamanho da Internet. Como resultado, tivemos a primeira infecção de proporção mundial, e o primeiro worm (na época conhecido como “Internet Worm”). Sua capacidade era de tornar os computadores lentos demais ou impossíveis de serem utilizados. Seu autor, Robert Tappan Morris (na época, estudante na Universidade Cornell) foi o primeiro a ser condenado por Ato de Fraude e Abuso de Computadores em 1991.

Page 354

A década de 90 pode ser considerada aquela na qual tivemos os primórdios do que hoje entendemos por vírus. Nela, podemos destacar:

Nome Ano Tipo Objetivo

Michelangelo 1991 Time bomb Apagar informações de HDs no dia 6 de março de 1991.

OneHalf 1994 Polimórfico Primeiro virus com polimorfismo. Concept 1995 Macro Primeiro ataque via Microsoft Word. Laroux 1996 Macro Primeiro ataque via Microsoft Excel. CIH 1998 Flash Primeiro virus que apagava flash ROM BIOS

Happy 99 1999 Sistema

Ataque a arquivos do Microsoft Outlook e Internet Explorer, sendo específico a Windows 95 e 98

Melissa 1999 Sistema Semelhante ao Happy99 porém com considerável aumento no tráfego de rede

Já nos anos 2000 em diante tivemos um avanço no tipo de ameaças representadas pelos vírus, com a introdução do conceito de trojans. Nessa década, podemos destacar:

Page 355

P...

Para continuar a ler

PEÇA SUA AVALIAÇÃO

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT