A intenção deste post não é falar tudo sobre a anti-forense digital, até porque é impossível, e sim falar sobre algumas técnicas anti-forense deste tipo relacionadas a métodos que são utilizados para dificultar ou impossibilitar a análise do malware criado.
Antes de falar das técnicas anti-forense, vamos falar da forense propriamente dita. Uma técnica forense para análise de malware´s, bastante utilizada por profissionais gabaritados nesta área, é através do conceito de virtualização. É simples, a técnica consiste em, basicamente, analisar o malware por meio de um ambiente virtual. Para isto basta, em suma, de uma máquina virtual, a imagem do sistema utilizado para a análise e as ferramentas escolhidas para forense do malware.
Um ambiente deste tipo traz diversas vantagens ao profissional ou o “curioso” que tentará verificar o comportamento do malware. O principal dele é que o ambiente é muito seguro e a possibilidade de infectar o sistema ou ambiente real é muito pequena e ocorre em casos bem particulares. É para “desinfectar” o sistema virtualizado, de forma a usa-lo para novas análises, basta achar a imagem original do sistema utilizado, guardado em um ambiente seguro, e descartar a imagem infectada.
Sabendo disto, algumas técnicas anti-forense surgiram de forma a não possibilitar estas facilidades . Destas, algumas acabei vivenciado na pele na tentativa de análise de alguns malwares que recentemente tentei analisar. Uma das técnicas que enfrentei fui um malware que impedia a sua análise em um ambiente virtual. Segundo Delson (2009): “desenvolvedores de malwares também começaram a colocar ferramentas capazes de descobrir se o malware está rodando em um ambiente virtual ou não (LISTOM;SKOUDIS, 2006) e assim poder minimizar suas funções ou se esconder da monitoração (CARPENTER;LISTON; SKOUDIS, 2007). Algumas implementações ainda se utilizam da virtualização para obter maiores privilégios de execução (DOLLE; WEGENER, 2008)”.
Uma outra técnica bem utilizada por criadores de malware, e que não necessariamente envolvem a análise em um ambiente virtualizado, é as que impedem que o malware seja debbugado pelas ferramentas mais famosas deste tipo.
A análise de malware se mostra uma outra área, como tantas de segurança de informação, na qual temos uma briga intensa dos Jedi´s contra o lado negro da força. O que é absolutamente normal e que faz com que está área se desenvolva mais a cada dia.
Espero que o artigo tenha ajudado a mostrar um pouco de técnicas de análise de malware e alguns dos problemas que afetam, relacionados a anti-forense, esta prática.
Referências:
Análise de comportamento de malwares utilizando máquinas virtuais; FILHO, DELSON ANTONIO DO ROSÁRIO; Universidade da Bahia
Pessoal, achei bastante insteressante essa máteria anti-forense, gostaria de saber se vocês tem como me enviar essa referência, pois estou escrevendo algo a respeito desse assunto.
Parabéns!
GostarGostar
Leandro,
O que eu escrevi foi baseado nas aulas que estou tendo de computação forense no Mackenzie.
Porém, este link sobre o assunto pode te ajudar:
http://g1.globo.com/Noticias/Tecnologia/0,,MUL1252543-6174,00-SAIBA+O+QUE+SAO+MAQUINAS+VIRTUAIS+E+COMO+ELAS+AJUDAM+NA+SEGURANCA+DO+PC.html
GostarGostar
Muito boa a matéria….seria possível um de vocés enviar a bibliografia desta matéria que vocês escreveram, eu não achei ela na internet..
GostarGostar