᥀š„ANĆLISE DE MALWARE: TIPOS DE MALWARE E VIRUS [EXPLICAĆĆES]᥀š„
outubro 16, 2021
Neste post, veremos os diferentes tipos de malware e o que eles fazem. Ao realizar uma anĆ”lise de malware estĆ”tica ou dinĆ¢mica, Ć© essencial ter uma boa compreensĆ£o dos diferentes tipos de malware disponĆveis para que vocĆŖ possa reconhecĆŖ-los e concentrar sua investigaĆ§Ć£o. Durante a anĆ”lise estĆ”tica de malware, as DLLs e as funƧƵes importadas geralmente nos dizem muito sobre as intenƧƵes e o comportamento do malware. Por exemplo, quando o malware importa funƧƵes de rede junto com funƧƵes para editar as funƧƵes de registro do Windows, podemos estar lidando com spyware, trojan ou outro malware na inicializaĆ§Ć£o. No caso mais simples de DLLs importadas estaticamente, vocĆŖ pode usar um aplicativo como o Dependency Walker para descobrir quais funƧƵes sĆ£o usadas no malware. Uma inspeĆ§Ć£o mais detalhada das funƧƵes, cabeƧalhos e recursos da DLL deve restringir muito os possĆveis tipos de malware. Vamos analisar os diferentes tipos de malware disponĆveis e o que exatamente eles fazem.
Adware
Adware como malware Ć© um software malicioso que apresenta publicidade indesejada ao usuĆ”rio. Esse tipo de malware geralmente usa janelas pop-up que nĆ£o podem ser fechadas pelo usuĆ”rio. Adware Ć© frequentemente incluso em softwares grĆ”tis e nas barras de ferramentas do navegador (famosas toolbar). O malware tambĆ©m pode coletar dados de usuĆ”rios, suas atividades e outras informaƧƵes, entrando um pouco no tipo spyware.
Backdoor
Um backdoor Ć© um cĆ³digo malicioso que permite que um invasor se conecte ao alvo infectado e assuma o controle do computador sem sua autorizaĆ§Ć£o. Na maioria dos casos, nĆ£o Ć© necessĆ”ria autenticaĆ§Ć£o para efetuar login na mĆ”quina remota. AlĆ©m disso, esse tipo de malware Ć© frequentemente gerado por um Trojan que passa despercebido se o host nĆ£o tiver mecanismos de detecĆ§Ć£o eficazes, como firewalls e antivĆrus. Os backdoors podem usar muitos mĆ©todos para se comunicarem, mas usa principalmente a porta 80 jĆ” que essa porta estĆ” aberta na maioria das mĆ”quinas conectadas Ć Internet. Referente a esse malware, existem dois principais tipos: o shell reverso e o Acesso Remoto / Ferramenta de AdministraĆ§Ć£o (RAT).
Shell reverso
Um shell reverso Ć© uma conexĆ£o iniciada a partir do host infectado e fornece ao hacker acesso ao host pelo shell. O shell reverso Ć© geralmente criado por um cavalo de Troia, funcionando praticamente como um backdoor. Depois que o shell reverso for configurado, o invasor tem a possibilidade de executar comandos como se fossem executados localmente.
Os mĆ©todos comumente usados para shells reversos sĆ£o o Netcat e o Windows CMD compactados dentro do malware. Um mĆ©todo simples usado por malware usando o Windows Ć© criar um soquete para estabelecer uma conexĆ£o com o invasor e vinculĆ”-lo aos fluxos padrĆ£o (entrada, saĆda e erro padrĆ£o) para o CMD. Assim o CMD Ć© executado com a janela oculta da vĆtima e assim os comandos sĆ£o executados sem a percepĆ§Ć£o do usuĆ”rio que estĆ” sendo atacado.
RAT - Trojan de acesso remoto
Um RAT (Remote Access Trojan), ou Ć s vezes chamado de Remote Administration Tool ou Remote Access Tool, Ć© uma ferramenta que permite um invasor assumir o controle total do computador infectado. Essa Ć© uma das ferramentas com o carĆ”ter mais malicioso, sendo comumente incluĆdos em cracks baixados na internet ou aqueles phising enviados por e-mail com um link de download do server malicioso.
Botnet
Uma botnet Ć© uma rede de computadores com backdoors que estĆ£o sendo controlados por um servidor de comando e controle. Todos os hosts infectados na rede sĆ£o controlados como um grupo e recebem as mesmas instruƧƵes do servidor que Ć© controlado pelo invasor. As botnets sĆ£o frequentemente usadas para enviar spam, executar ataques distribuĆdos de negaĆ§Ć£o de serviƧo (DDoS) ou distribuiĆ§Ć£o de malware.
Browser Hijacker
Um sequestrador de navegador Ć© um cĆ³digo desenvolvido para controlar as configuraƧƵes do seu navegador, como a pĆ”gina inicial, por exemplo, ou o provedor de pesquisa padrĆ£o. Os sequestradores de navegador geralmente sĆ£o incluĆdos em programas gratuitos. Uma vez instalado, as barras de ferramentas dos navegadores podem ficar poluĆdas visualmente e no final das contas ainda ter um adware ou spyware escondido. Alguns sequestradores de navegador tambĆ©m alteram as configuraƧƵes de proxy do seu navegador, o que compromete sua privacidade e seguranƧa on-line.
Downloader Malware
O malware do download Ć© um software malicioso que baixa outros softwares maliciosos. O malware do download infecta a mĆ”quina de destino silenciosamente atravĆ©s de instaladores nĆ£o oficiais. Por exemplo, vocĆŖ estĆ” procurando o programa qualquer, como o Ccleaner, e entĆ£o vocĆŖ baixa o programa de um site nĆ£o oficial. Ao executar o programa, o mesmo afirma que serĆ” baixado o Ccleaner online, mas juntamente com o programa desejado Ć© baixado um malware oculto.
Malware de Roubo de InformaƧƵes
O malware de roubo de informaƧƵes Ć© uma coleĆ§Ć£o de tipos de malware desenvolvidos para roubar informaƧƵes como nĆŗmeros de cartĆ£o de crĆ©dito, detalhes de contas bancĆ”rias, detalhes de contas e outras informaƧƵes pessoais. As informaƧƵes coletadas geralmente sĆ£o enviadas ao invasor que geralmente as usa para obter acesso Ć sua conta pessoal ou colocĆ”-las Ć venda na dark web / deep web. O malware geralmente vem na forma de keyloggers, senhas (hash) e sniffers. As informaƧƵes roubadas geralmente sĆ£o enviadas para um servidor de comando ou controle para processamento adicional.
Keyloggers
O keylogger Ć© um software (ou hardware) malicioso que registra as teclas digitadas para roubar senhas, conversas e outros detalhes pessoais. Um keylogger Ć© uma maneira muito eficaz de os invasores roubarem senhas, porque nĆ£o hĆ” necessidade de quebrar hashes, descriptografar informaƧƵes ou farejar conexƵes seguras para senhas, pois todas as teclas digitadas sĆ£o enviadas para o atacante.
Malware LanƧador
Um lanƧador Ć© um cĆ³digo malicioso usado para iniciar outro malware. Esta parte do software malicioso Ć© frequentemente combinada com o malware do download. O malware lanƧador geralmente usa mĆ©todos furtivos e nĆ£o convencionais para iniciar outro cĆ³digo malicioso e assim evitar a detecĆ§Ć£o.
Ransomware
Tecnicamente falando, todo malware que impede o usuĆ”rio de acessar o computador ou arquivos e exigir dinheiro em troca de acesso Ć© chamado de ransomware. O ransomware geralmente criptografa seu disco rĆgido ou arquivos e exige dinheiro em troca da chave de descriptografia. Esse tipo de ransomware tambĆ©m Ć© chamado de crypto locker. ApĆ³s a infecĆ§Ć£o, o ransomware apresenta ao usuĆ”rio alguns mĆ©todos de pagamento que podem ser usados para desbloquear o computador ou descriptografar os arquivos. Se o ransomware ou o crypto locker realmente desbloquearem seu disco rĆgido ou arquivos, as chaves de descriptografia e o pagamento geralmente serĆ£o controlados por um servidor de comando e controle.
O ransomware se tornou cada vez mais popular, pois Ć© altamente lucrativo para desenvolvedores de malware. Especialmente em combinaĆ§Ć£o com mĆ©todos de pagamentos anĆ“nimos como monero ou bitcoin (menos seguro, jĆ” que Ć© rastreĆ”vel), minimizando os riscos de serem pegos.
Rootkit
Um rootkit Ć© um software malicioso projetado para ocultar a existĆŖncia de outro malware. O malware oculto Ć© geralmente um backdoor para fornecer acesso total ao invasor. Os rootkits podem ser difĆceis de detectar e remover com base em onde reside dentro do sistema operacional. Os rootkits no nĆvel do firmware, por exemplo, podem requerer substituiĆ§Ć£o de hardware e os rootkits no nĆvel do kernel podem exigir uma nova instalaĆ§Ć£o do sistema operacional.
Bootkit
Outro perigoso e quase impossĆvel de detectar Ć© o bootkit. O bootkit Ć© um rootkit escondido no setor de inicializaĆ§Ć£o que infecta o Master Boot Record (MBR). Esse tipo de rootkit Ć© capaz de ignorar a criptografia da unidade, jĆ” que funciona atravĆ©s de um cĆ³digo que Ć© executado antes do sistema operacional.
Scareware
Scareware Ć© um software malicioso que obriga a vĆtima a comprar algo assustando-o, pois geralmente inclui vĆrus ou arquivos embaraƧosos. Um dos scarewares mais comum sĆ£o aqueles que "parecem" um antivĆrus, dizendo que detectou alguns vĆrus no seu computador e sĆ³ poderĆ£o ser removidos apĆ³s comprar o suposto antivĆrus. Por causa dessas tĆ”ticas, muitas vĆtimas pagam pelo software para que o vĆrus ou outros materiais embaraƧosos sejam removidos silenciosamente. Um malware de "proteĆ§Ć£o" ou chantagem funciona mais ou menos como um ransomware, alĆ©m de ser muito lucrativo para esses desenvolvedores.
Spam
O Malware de Spam Ć© um software mal-intencionado que usa a mĆ”quina ou contas (facebook, whatsapp, por exemplo) infectadas para enviar spam. O malware de envio de spam pode fazer parte de uma botnet controlada por um servidor de comando ou controle funcionando como uma rede distribuĆda de envio de spam. Por causa da abordagem distribuĆda, nĆ£o hĆ” um Ćŗnico ponto de falha, se ¼ das mĆ”quinas infectadas forem limpas, outros ¾ continuarĆ” enviando e-mails de spam. Grandes botnets podem enviar bilhƵes de mensagens de spam por semana e, com muita frequĆŖncia, novos malwares sĆ£o espalhados junto com as mensagens de spam.
O envio de malwares por spam pode causar problemas, pois a conexĆ£o com a Internet do ISP pode ser cortada ou o endereƧo de e-mail pode estar na lista negra, por isso, remova esse tipo de malware o mais rĆ”pido possĆvel. Esse tipo de malware Ć© lucrativo para desenvolvedores de malware porque eles podem vender os serviƧos de envio de spam.
Trojan
Um Trojan ou um cavalo de Troia Ć© uns dos malwares mais perigosos, pois funcionam como um backdoor, com o intuito de roubar informaƧƵes, disseminar outros malwares ou usar os recursos da mĆ”quina infectada em um botnet. Literalmente, tudo Ć© possĆvel quando infectado por um Trojan que foi instalado ou executado com privilĆ©gios de administrador. Trojans na computaĆ§Ć£o existem hĆ” muito tempo, alguns cavalos de Troia antigos e populares sĆ£o: Netbus, SubSeven ou Sub7 e Back Orifice ou BO
VĆrus
Um vĆrus Ć© um programa malicioso que se replica em outros aplicativos, arquivos ou atĆ© mesmo no setor de inicializaĆ§Ć£o. Um vĆrus pode fazer qualquer coisa que seja programado, podendo roubar informaƧƵes, registrar teclas digitadas ou atĆ© mesmo inutilizar um computador. A caracterĆstica definidora de um vĆrus estĆ” na autorreplicaĆ§Ć£o e inserĆ§Ć£o de cĆ³digo malicioso em outros programas sem o consentimento do usuĆ”rio. Assim como a maioria dos outros malwares, um vĆrus Ć© projetado para obter lucro.
Worm
Um worm Ć© um malware que se replica para espalhar e infectar outros sistemas. Os worms de computador usam a rede, links, redes P2P, e-mail e exploram vulnerabilidades para se espalharem. Muitas vezes, mais de um malware Ć© usado para espalhar o worm. A diferenƧa com um vĆrus Ć© que um vĆrus insere cĆ³digo em outros programas, jĆ” o worm se replica sozinho.
![į„š„WARCHILD - "CONJUNTO DE NEGAĆĆO DE SERVIĆO" [DoS/DDoS] [KALI] [TERMUX] [DOWNLOAD]į„š„](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi9j3VPYJl0pXG_adyuQMZfbFglAYqJ68mB4nD6NfC5kc5ejG3hV1LcaRFBgoCzKvWYYtKYY5zbfTQvNIiVAyrALUizrOw-ht7t-xXbaD64zb7253Zc8n5SICclcuKFKdbUajph9fM_BQ/w100/WarChild.jpg)
0 ComentƔrios