O que é a análise de malware?
A análise de malware é o processo de compreender o comportamento e a finalidade de um arquivo ou URL suspeito. Os resultados da análise auxiliam na detecção e mitigação da possível ameaça.
O principal benefício da análise de malware é ajudar analistas de resposta a incidentes e de segurança a:
- Efetuar a triagem pragmática de incidentes por nível de gravidade
- Descobrir indicadores ocultos de comprometimento (IOCs) que devem ser bloqueados
- Melhorar a eficácia dos alertas e notificações IOC
- Enriquecer o contexto da investigação de ameaças
Tipos de análise de malware
A análise pode ser conduzida de maneira estática, dinâmica ou um híbrido das duas.
Análise estática
A análise estática básica não exige que o código seja realmente executado. Em vez disso, a análise estática examina o arquivo em busca de sinais de intenção maliciosa. Pode ser útil para identificar infraestruturas, bibliotecas ou arquivos compactados maliciosos.
Indicadores técnicos como nomes de arquivos, hash, strings como endereços IP, domínios e dados de cabeçalho de arquivo podem ser usados para determinar se o arquivo é malicioso. Além disso, ferramentas como desmontadores e analisadores de rede podem ser usadas para observar o malware sem realmente executá-lo, a fim de coletar informações sobre como o malware funciona.
No entanto, como a análise estática não executa o código, o malware sofisticado pode incluir comportamento malicioso em tempo de execução, o que pode passar despercebido. Por exemplo, se um arquivo gera uma sequência de caracteres que então baixa um arquivo malicioso com base na sequência dinâmica, ele pode passar despercebido por uma análise estática básica. As empresas recorreram à análise dinâmica para uma compreensão mais completa do comportamento do arquivo.
Análise dinâmica
A análise dinâmica de malware executa códigos maliciosos suspeitos em um ambiente seguro chamado sandbox. Esse sistema fechado permite que profissionais de segurança observem o malware em ação sem o risco de deixá-lo infectar o sistema ou escapar para a rede corporativa.
A análise dinâmica fornece ao time de threat hunters e aos analistas de resposta a incidentes uma visibilidade mais profunda, permitindo-lhes descobrir a verdadeira natureza de uma ameaça. Como benefício secundário, o sandbox automatizado elimina o tempo que levaria para fazer engenharia reversa de um arquivo para descobrir o código malicioso.
O desafio da análise dinâmica é que os adversários são inteligentes e sabem que existem sandboxes por aí, então eles se tornaram muito bons em detectá-los. Para enganar uma sandbox, esconda dentro dela um código que pode permanecer inativo até que certas condições sejam atendidas. Só então o código é executado.
Análise híbrida (inclui ambas as técnicas acima)
A análise estática básica não é uma maneira confiável de detectar códigos maliciosos sofisticados, e o malware sofisticado às vezes pode se esconder da presença da tecnologia sandbox. Ao combinar técnicas básicas e de análise dinâmica, a análise híbrida fornece à equipe de segurança o melhor das duas abordagens — principalmente porque pode detectar código malicioso que está tentando se esconder e, então, pode extrair muito mais indicadores de comprometimento (IOCs) por meio de código estático e nunca visto antes. A análise híbrida ajuda a detectar ameaças desconhecidas, mesmo aquelas do malware mais sofisticado.
Por exemplo, uma das coisas que a análise híbrida faz é aplicar análise estática aos dados gerados pela análise comportamental — como quando um pedaço de código malicioso é executado e gera alguma alteração na memória. A análise dinâmica detectaria isso, e os analistas seriam alertados para retornar e executar a análise estática básica naquele despejo de memória. Como resultado, mais IOCs seriam gerados e a exploração de dia zeros seria exposta.
Saiba mais
O Falcon Sandbox permite que equipes de cibersegurança de todos os níveis de habilidade aumentem sua compreensão das ameaças que enfrentam e usem esse conhecimento para se defender contra ataques futuros.
Casos de uso da análise de malware
Detecção de malware
O adversário está empregando técnicas mais sofisticadas para evitar os mecanismos tradicionais de detecção. Ao fornecer uma análise comportamental profunda e identificar código compartilhado, funcionalidade maliciosa ou infraestrutura, as ameaças podem ser detectadas com mais eficácia. Além disso, um resultado da análise de malware é a extração de IOCs. Então os IOCs podem ser alimentados em SEIMs, nas plataformas de inteligência de ameaças (Dica) e em ferramentas de orquestração de segurança para alertar equipes sobre ameaças relacionadas no futuro.
Alertas e triagem de ameaças
Soluções de análise de malware fornecem alertas de maior fidelidade no início do ciclo de vida do ataque. Portanto, as equipes podem poupar tempo priorizando os resultados desses alertas em detrimento de outras tecnologias.
Resposta a incidentes
O objetivo da equipe de resposta a incidentes (IR) é fornecer análise da causa raiz, determinar o impacto e ter sucesso na remediação e recuperação. O processo de análise de malware contribui para a eficiência e eficácia desse esforço.
Investigação de ameaças
A análise de malware pode expor comportamentos e artefatos que o time de threat hunters pode usar para encontrar atividades semelhantes, como acesso a uma conexão de rede, porta ou domínio específico. Ao pesquisar dados de log de firewall e proxy ou SIEM, as equipes podem usar esses dados para encontrar ameaças semelhantes.
Pesquisa de malware
Pesquisadores acadêmicos ou da indústria de malware realizam análises de malware para entender as últimas técnicas, explorações e ferramentas usadas pelo adversário.
Etapas da análise de malware
Análise de propriedades estáticas
Propriedades estáticas incluem strings integradas no código do malware, detalhes do cabeçalho, hash, metadados, recurso integrado, etc. Esse tipo de dado pode ser tudo o que é necessário para criar IOCs, e eles podem ser adquiridos muito rapidamente porque não há necessidade de executar o programa para vê-los. Os insights coletados durante a análise de propriedades estáticas podem indicar se uma investigação mais profunda usando técnicas mais abrangentes é necessária e determinar quais etapas devem ser seguidas.
Análise de comportamento interativo
A análise comportamental é usada para observar e interagir com uma amostra de malware em execução em um laboratório. Os analistas buscam entender o registro da amostra, o sistema de arquivos, o processo e as atividades de rede. Eles também podem realizar perícia forense de memória para aprender como o malware usa a memória. Se os analistas suspeitarem que o malware tem certas capacidades, eles podem configurar uma simulação para testar sua teoria.
A análise comportamental exige um analista criativo com habilidades avançadas. O processo é demorado e complicado e não pode ser executado de modo eficaz sem ferramentas automatizadas.
Análise totalmente automatizada
A análise totalmente automatizada avalia arquivos suspeitos de modo rápido e simples. A análise pode determinar possíveis repercussões caso o malware se infiltre na rede e, então, produzir um relatório fácil de ler que fornece respostas rápidas para as equipes de segurança. A análise totalmente automatizada é a melhor maneira de processar malware em escala.
Reversão manual de código
Nesta etapa, os analistas fazem engenharia reversa de código usando depuradores, desmontadores, compiladores e ferramentas especializadas para decodificar dados criptografados, determinar a lógica por trás do algoritmo do malware e entender eventuais capacidades ocultas que o malware ainda tenha exibido. A reversão de código é uma habilidade rara, e executá-la leva muito tempo. Por essas razões, as investigações de malware geralmente pulam essa etapa e, portanto, perdem muitas informações valiosas sobre a natureza do malware.
Saiba mais
Saiba mais sobre a maior comunidade de análise de malware on-line que é testada em campo por dezenas de milhares de usuários todos os dias.
Download: data sheet de análise de malware do Falcon Sandbox.
O sandbox de malware mais poderoso do mundo
As equipes de segurança podem usar a CrowdStrike Falcon® Sandbox para entender ataques de malware sofisticados e fortalecer suas defesas. O Falcon Sandbox™ realiza análises profundas de ameaças evasivas e desconhecidas e enriquece os resultados com inteligência de ameaças.
Principais benefícios do Falcon Sandbox
- Fornece insights aprofundados sobre todas as atividades de arquivos, redes e memória
- Oferece tecnologia de detecção anti-sandbox líder
- Gera relatórios intuitivos com dados forenses disponíveis sob demanda
- Dá suporte ao framework MITRE ATT&CK®
- Orquestra o fluxo de trabalho com uma API extensa e integrações pré-construídas
Detecte ameaças desconhecidas
Falcon Sandbox extrai mais IOCs do que qualquer outra solução sandbox concorrente usando uma tecnologia exclusiva de análise híbrida para detectar exploits desconhecidos e de dia zero. Todos os dados extraídos do mecanismo de análise híbrida são processados automaticamente e integrados aos relatórios do Falcon Sandbox.
O Falcon Sandbox possui tecnologia antievasão que inclui detecção anti-sandbox de última geração. O monitoramento de arquivos é executado no kernel e não pode ser observado pela aplicação do modo usuário. Não há nenhum agente que possa ser facilmente identificado por malware, e cada lançamento é testado continuamente para garantir que o Falcon Sandbox seja quase indetectável, mesmo por malware que use as técnicas de detecção sandbox mais sofisticadas. O ambiente pode ser customizado por data/hora, variáveis ambientais, comportamento do usuário e muito mais.
Identifique ameaças relacionadas
Saiba como se defender de um ataque entendendo o adversário. O Falcon Sandbox fornece insights sobre quem está por trás de um ataque de malware por meio do uso de pesquisa de malware, uma capacidade exclusiva que determina se um arquivo de malware está relacionado a uma campanha maior, a uma família específica ou a um ator de ameaças. O Falcon Sandbox pesquisará automaticamente o maior mecanismo de pesquisa de malware do setor de cibersegurança para encontrar amostras relacionadas e, em segundos, expandirá a análise para incluir todos os arquivos. Isso é importante porque fornece aos analistas uma compreensão mais profunda do ataque e um conjunto maior de IOCs que podem ser usados para proteger melhor a organização.
Alcance a visibilidade completa
Descubra o ciclo de vida completo do ataque com informações detalhadas sobre todas as atividades em arquivos, redes, memória e processos. Analistas de todos os níveis ganham acesso a relatórios fáceis de ler que os tornam mais eficazes em seus trabalhos. Os relatórios fornecem orientação prática para priorização e resposta a ameaças, para que as equipes de IR possam investigar ameaças e as equipes forenses possam detalhar capturas de memória e rastreamentos de pilha para uma análise mais profunda. O Falcon Sandbox analisa mais de 40 tipos de arquivos diferentes, que incluem uma grande variedade de formatos executáveis, de documentos e de imagens, além script e arquivos compactados, e oferece suporte Windows, Linux e Android.
Responda mais rápido
Graças aos relatórios fáceis de entender, aos indicadores de comprometimento (IOCs) acionáveis e à integração perfeita do Falcon Sandbox, as equipes de segurança são mais eficazes e respondem mais rapidamente. A classificação de ameaças e os resumos de resposta a incidentes (IR) tornam a triagem imediata uma realidade, e os relatórios enriquecidos com informações e IOCs do CrowdStrike Falcon® MalQuery™ e CrowdStrike Adversary Intelligence fornecem o contexto necessário para tomar decisões mais rápidas e embasadas.
O Falcon Sandbox se integra por meio de uma API REST simples, integrações pré-criadas e suporte para formatos de compartilhamento de indicadores, como Structured Threat Information Expression™ (STIX), OpenIOC, Malware atributo Enumeration and Characterization™ (MAEC), Malware Sharing Application Platform (MISP) e XML/JSON (Extensible Markup Language/javascript Object Notation). Os resultados podem ser entregues com SIEMs, dica e sistemas de orquestração.
A implantação em nuvem ou no local está disponível. A opção nuvem fornece tempo de retorno do valor imediato e custos de infraestrutura reduzidos, enquanto a opção no local permite que os usuários bloqueiem e processem amostras somente dentro do seu ambiente. Ambas as opções fornecem um ambiente sandbox seguro e escalável.
Automação
O Falcon Sandbox usa uma tecnologia exclusiva de análise híbrida que inclui detecção e análise automáticas de ameaças desconhecidas. Todos os dados extraídos do mecanismo de análise híbrida são processados automaticamente e integrados aos relatórios do Falcon Sandbox. A automação permite ao Falcon Sandbox processar até 25.000 arquivos por mês e criar distribuição em larga escala usando balanceamento de carga. Os usuários mantém o controle por meio da capacidade de personalizar as configurações e determinar como o malware é detonado.
Saiba como a CrowdStrike pode ajudar você a aproveitar melhor a análise de malware:
Kurt Baker é o Diretor Sênior de Marketing de Produtos da Falcon Intelligence na CrowdStrike. Ele tem mais de 25 anos de experiência em cargos de liderança sênior, especializando-se em empresas de software emergentes. Tem experiência em inteligência de ciberameaças, análise de segurança, gerenciamento de segurança e proteção avançada contra ameaças. Antes de ingressar na CrowdStrike, Baker trabalhou em cargos técnicos na Tripwire e foi cofundador de startups em mercados que vão desde soluções de segurança empresarial até dispositivos móveis. É bacharel em Letras pela Universidade de Washington e agora mora em Boston, Massachusetts.
