A anti-forense como técnica contra a análise forense de malware

 

A intenção deste post não é falar tudo sobre a anti-forense digital,  até porque é impossível, e sim falar sobre algumas técnicas anti-forense deste tipo relacionadas a métodos que são utilizados para dificultar ou impossibilitar a análise do malware criado.

 

Antes de falar das técnicas anti-forense, vamos falar da forense propriamente dita. Uma técnica forense para análise de malware´s, bastante utilizada por profissionais gabaritados nesta área, é através do conceito de virtualização. É simples, a técnica consiste em, basicamente, analisar o malware por meio de um ambiente virtual. Para isto basta, em suma,  de uma máquina virtual, a imagem do sistema utilizado para a análise e as ferramentas escolhidas para forense do malware.

Um ambiente deste tipo traz diversas vantagens ao profissional ou o “curioso”  que tentará verificar o comportamento do malware. O principal dele é que o ambiente é muito seguro e a possibilidade de infectar o sistema ou ambiente real é muito pequena e ocorre em casos bem particulares. É para “desinfectar” o sistema virtualizado, de forma a usa-lo para novas análises, basta achar a imagem original do sistema utilizado, guardado em um ambiente seguro, e descartar a imagem infectada.

Sabendo disto, algumas técnicas anti-forense surgiram de forma a não possibilitar estas facilidades . Destas, algumas acabei vivenciado na pele na tentativa de análise de alguns malwares que recentemente tentei analisar. Uma das técnicas que enfrentei fui um malware que impedia a sua análise em um ambiente virtual.  Segundo Delson (2009):  “desenvolvedores de malwares também começaram a colocar ferramentas capazes de descobrir se o malware está rodando em um ambiente virtual ou não (LISTOM;SKOUDIS, 2006) e assim poder minimizar suas funções ou se esconder da monitoração (CARPENTER;LISTON; SKOUDIS, 2007). Algumas implementações ainda se utilizam da virtualização para obter maiores privilégios de execução (DOLLE; WEGENER, 2008)”.

Uma outra técnica bem  utilizada por criadores de malware, e que não necessariamente envolvem a análise em um ambiente virtualizado, é as que impedem que o malware seja debbugado pelas ferramentas mais famosas deste tipo.

A análise de malware se mostra uma outra área, como tantas de segurança de informação, na qual temos uma briga intensa dos Jedi´s contra o lado negro da força. O que é absolutamente normal e que faz com que está área se desenvolva mais a cada dia.

Espero que o artigo tenha ajudado a mostrar um pouco de técnicas de análise de malware e alguns dos problemas que afetam, relacionados a anti-forense, esta prática.

Referências:

Análise de comportamento de malwares utilizando máquinas virtuais; FILHO, DELSON ANTONIO DO ROSÁRIO; Universidade da Bahia

 

3 comments

  1. Pessoal, achei bastante insteressante essa máteria anti-forense, gostaria de saber se vocês tem como me enviar essa referência, pois estou escrevendo algo a respeito desse assunto.

    Parabéns!

    Gostar

  2. Muito boa a matéria….seria possível um de vocés enviar a bibliografia desta matéria que vocês escreveram, eu não achei ela na internet..

    Gostar

Deixe sua opinião!

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s