O malware continua a afetar todas as organizações, causando perda de dados e danos à reputação. Descubra como a análise de malware ajuda a proteger as empresas desses ataques.
Toda organização enfrenta hackers que tentam se infiltrar em seus ambientes por meio de malware. Para combater isso, os pesquisadores de segurança buscam indicadores de comprometimento que os ajudem a mitigar o malware antes que ele cause danos reais.
Antes de começar a analisar as amostras, os pesquisadores devem entender o raciocínio da análise de malware, bem como conduzir a análise de malware em diferentes cenários.
Em Dominando a análise de malware: um guia prático de analista de malware para combater ataques de software malicioso, APT, cibercrime e IoT, os autores Alexey Kleymenov e Amr Thabet fornecem aos analistas de malware iniciantes e veteranos tudo o que precisam saber sobre como e por que devem analisar malware .
No seguinte trecho do Capítulo 1, Kleymenov e Thabet oferecem contexto sobre os objetivos e raciocínio para análise de malware em inteligência de ameaças, resposta a incidentes, busca de ameaças e criação de detecções. Baixe um PDF do Capítulo 1 para saber mais sobre os tipos de malware que os pesquisadores geralmente enfrentam, a estrutura Mitre ATT&CK, como selecionar uma estratégia de análise e muito mais.
Confira uma entrevista com os autores sobre os objetivos da análise de malware, suas ferramentas favoritas, os malwares mais comuns com os quais lidam e as dificuldades do trabalho de analista de malware.
Por que análise de malware?
Os ataques cibernéticos estão, sem dúvida, aumentando, visando governos, militares e setores público e privado. Os atores por trás deles podem ter inúmeras motivações, como exfiltrar informações valiosas como parte de campanhas de espionagem, ganhar dinheiro por vários meios, como exigir resgates ou danificar ativos e reputações como forma de sabotagem.
A crescente dependência de sistemas digitais, que se acelerou imensamente durante a pandemia de COVID-19, também levou a um aumento maciço de malware e, principalmente, de incidentes relacionados a ransomware nos últimos anos.
Com os adversários cada vez mais sofisticados e realizando ataques de malware cada vez mais avançados, ser capaz de detectar e responder rapidamente a essas invasões é fundamental para os profissionais de segurança cibernética, e o conhecimento, as habilidades e as ferramentas necessárias para analisar software malicioso são essenciais para o eficiente desempenho de tais tarefas.
Nesta seção, discutiremos seu impacto potencial como analista de malware no combate ao crime cibernético, respondendo a esses ataques, procurando novas ameaças, criando detecções ou produzindo informações de inteligência de ameaças para preparar melhor sua e outras organizações para as ameaças futuras.
Análise de malware na resposta a incidentes
Assim que um ataque é detectado dentro de uma organização, um processo de resposta a incidentes é iniciado. Começa com a contenção das máquinas infectadas e uma investigação forense destinada a entender a causa e o impacto das atividades maliciosas para seguir a estratégia correta de remediação e prevenção.
Quando o malware é identificado, o processo de análise de malware é iniciado. Primeiro, geralmente envolve encontrar todos os IoCs envolvidos, o que pode ajudar a descobrir outras máquinas infectadas ou ativos comprometidos e encontrar outras amostras maliciosas relacionadas. Em segundo lugar, a análise de malware ajuda a entender os recursos da carga útil. O malware se espalha pela rede? Ele rouba credenciais e outras informações confidenciais ou inclui uma exploração para uma vulnerabilidade não corrigida? Todas essas informações ajudam a avaliar o impacto do ataque com mais precisão e encontrar soluções adequadas para evitar que ele aconteça no futuro.
Além disso, a análise de malware pode ajudar a descriptografar e entender as comunicações de rede que ocorreram entre o invasor e o malware na máquina infectada. Alguns produtos de segurança de rede corporativa, como respostas de detecção de rede (NDRs), podem registrar tráfego de rede suspeito para investigação posterior. Descriptografar essa comunicação pode permitir que as equipes de análise de malware e resposta a incidentes entendam as motivações do invasor e identifiquem com mais precisão os ativos comprometidos e os dados roubados.
Portanto, como você pode ver, a análise de malware desempenha um papel importante na resposta a ataques cibernéticos. Pode envolver uma equipe separada dentro da organização ou um indivíduo dentro da equipe de resposta a incidentes equipado com as habilidades relevantes de análise de malware.
Análise de malware na caça de ameaças
Em contraste com a resposta a incidentes, a busca por ameaças envolve uma busca ativa por IOAs. Pode ser mais proativo, ocorrendo antes que o alerta de segurança seja acionado, ou reativo, abordando uma preocupação existente. Compreender as possíveis táticas e técnicas dos invasores é crucial neste caso, pois permite que os profissionais de segurança cibernética obtenham uma visão de alto nível e naveguem pela superfície de ataque potencial com mais eficiência. Um grande avanço nessa área foi a criação da estrutura MITRE ATT&CK, que abordaremos com mais detalhes posteriormente.
O conhecimento da análise de malware ajuda os engenheiros de segurança cibernética a serem caçadores de ameaças mais profissionais, que entendem as técnicas e táticas dos invasores em um nível mais profundo e que estão totalmente cientes do contexto. Em particular, ajuda a entender exatamente como os ataques podem ser implementados, por exemplo, como o malware pode se comunicar com o invasor/servidor de Comando e Controle (C&C), disfarçar-se para contornar as defesas, roubar credenciais e outras informações confidenciais, escalar privilégios, e assim por diante, que orientarão o processo de caça às ameaças. Armado com esse conhecimento, você entenderá melhor como caçar essas técnicas com eficiência nos logs ou nos artefatos voláteis e não voláteis dos sistemas.
Análise de malware na criação de detecções
Várias empresas em todo o mundo desenvolvem e distribuem sistemas de segurança cibernética para proteger seus clientes contra todos os tipos de ameaças. Existem várias abordagens para detectar atividades maliciosas em diferentes estágios do ataque, por exemplo, monitorar o tráfego de rede, explorar logs do sistema e entradas de registro ou verificar arquivos estaticamente e durante a execução. Em muitos casos, envolve algum tipo de regras ou assinaturas a serem desenvolvidas para distinguir padrões maliciosos de benignos. A análise de malware é insubstituível neste caso, pois permite que os profissionais de segurança identifiquem tais padrões e criem regras robustas que não gerem falsos positivos.