Montagem de um ambiente de análise de malware em sistemas windows
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2023 |
| Tipo de documento: | Trabalho de conclusão de curso |
| Idioma: | por |
| Título da fonte: | Repositório Institucional da Universidade Federal Fluminense (RIUFF) |
| Texto Completo: | http://app.uff.br/riuff/handle/1/31528 |
Resumo: | “Toda lei tem uma brecha”, diz um velho provérbio, significando que uma vez que uma regra é conhecida, também se sabe como evitá-la. Esta máxima pode ser aplicada em diversas situações da área de segurança da informação, em que sabendo-se como um sistema funciona, os criadores de malware utilizam as brechas para utilizarem em suas criações e, sabendo como o malware funciona, pode-se projetar defesas mais eficazes. O primeiro passo na tentativa de quebra desse ciclo é estudar o malware, entender como funciona, quais artefatos utiliza, como se comporta em determinados ambientes e os motivos pelos quais foi criado. Para isso é importante que tenhamos ferramentas e técnicas que nos permitam extrair informações do malware e a partir desse conhecimento, criar sistemas mais inteligentes, aplicando novas técnicas ou melhorando as técnicas já existentes. Na literatura existem algumas técnicas básicas de detecção de malware: assinaturas e heurísticas (que são mais usadas em sistemas antivírus), temos também métodos de análise: Análise Estática e Análise Dinâmica. Estas abordagens podem ser utilizadas em conjunto para analisar um malware e determinar seu comportamento e artefatos. Em paralelo, as ferramentas de virtualização tiveram grande avanço, evoluindo ao ponto de adicionarem muito pouco overhead às máquinas virtuais, popularizando esse tipo de ferramenta para utilização em muitas aplicações. Muitos serviços em nuvem são realizados sob virtualização, como por exemplo hospedagem de sites, Servidores Privados Virtuais e Servidores de Armazenamento. Esse avanço também permitiu que os analistas de malware pudessem criar ambientes seguros e similares aos reais para executar amostras maliciosas sem comprometer seus sistemas. Nosso objetivo é montar um sistema capaz de receber amostras de malware, executar essas amostras e monitorar seu funcionamento em um ambiente seguro e ao mesmo tempo imperceptível para os malwares analisados. Para esse fim, utilizamos as ferramentas VirtualBox como Hypervisor e o Cuckoo Sandbox em um Sistema Operacional Windows 7. Adicionalmente utilizamos outras ferramentas como INETSIM e Paranoid Fish para fornecer serviços de rede e verificação dos indicadores de virtualização. Os resultados obtidos foram condizentes com os resultados esperados, no sentido de que os ransomwares analisados funcionaram na máquina de análise como se estivessem em ambientes reais, possibilitando análise automática das amostras selecionadas |
| id |
UFF-2_5f4a9d5f87fae5f22b99970d8840b628 |
|---|---|
| oai_identifier_str |
oai:app.uff.br:1/31528 |
| network_acronym_str |
UFF-2 |
| network_name_str |
Repositório Institucional da Universidade Federal Fluminense (RIUFF) |
| repository_id_str |
2120 |
| spelling |
Montagem de um ambiente de análise de malware em sistemas windowsSegurança da informaçãoCiberespaçoAnálise de malwareRansomwareCuckoo sandboxHybrid analysisMalware detection“Toda lei tem uma brecha”, diz um velho provérbio, significando que uma vez que uma regra é conhecida, também se sabe como evitá-la. Esta máxima pode ser aplicada em diversas situações da área de segurança da informação, em que sabendo-se como um sistema funciona, os criadores de malware utilizam as brechas para utilizarem em suas criações e, sabendo como o malware funciona, pode-se projetar defesas mais eficazes. O primeiro passo na tentativa de quebra desse ciclo é estudar o malware, entender como funciona, quais artefatos utiliza, como se comporta em determinados ambientes e os motivos pelos quais foi criado. Para isso é importante que tenhamos ferramentas e técnicas que nos permitam extrair informações do malware e a partir desse conhecimento, criar sistemas mais inteligentes, aplicando novas técnicas ou melhorando as técnicas já existentes. Na literatura existem algumas técnicas básicas de detecção de malware: assinaturas e heurísticas (que são mais usadas em sistemas antivírus), temos também métodos de análise: Análise Estática e Análise Dinâmica. Estas abordagens podem ser utilizadas em conjunto para analisar um malware e determinar seu comportamento e artefatos. Em paralelo, as ferramentas de virtualização tiveram grande avanço, evoluindo ao ponto de adicionarem muito pouco overhead às máquinas virtuais, popularizando esse tipo de ferramenta para utilização em muitas aplicações. Muitos serviços em nuvem são realizados sob virtualização, como por exemplo hospedagem de sites, Servidores Privados Virtuais e Servidores de Armazenamento. Esse avanço também permitiu que os analistas de malware pudessem criar ambientes seguros e similares aos reais para executar amostras maliciosas sem comprometer seus sistemas. Nosso objetivo é montar um sistema capaz de receber amostras de malware, executar essas amostras e monitorar seu funcionamento em um ambiente seguro e ao mesmo tempo imperceptível para os malwares analisados. Para esse fim, utilizamos as ferramentas VirtualBox como Hypervisor e o Cuckoo Sandbox em um Sistema Operacional Windows 7. Adicionalmente utilizamos outras ferramentas como INETSIM e Paranoid Fish para fornecer serviços de rede e verificação dos indicadores de virtualização. Os resultados obtidos foram condizentes com os resultados esperados, no sentido de que os ransomwares analisados funcionaram na máquina de análise como se estivessem em ambientes reais, possibilitando análise automática das amostras selecionadas"Every law has a loophole,"says an old proverb, meaning that once a rule is known, it is also known how to avoid it. This maxim can be applied in various situations in the field of information security, where knowing how a system works, malware creators use the loopholes to use them in their creations, and knowing how malware works, more effective defenses can be designed. The first step in attempting to break this cycle is to study the malware, understand how it works, what artifacts it uses, how it behaves in certain environments, and why it was created. For this, it is important that we have tools and techniques that allow us to extract information from malware and, from this knowledge, create more intelligent systems, applying new techniques or improving existing ones. In the literature, there are some basic malware detection techniques: signatures and heuristics (which are most commonly used in antivirus systems), we also have analysis methods: Static Analysis and Dynamic Analysis. These approaches can be used together to analyze malware and determine its behavior and artifacts. In parallel, virtualization tools have made great strides, evolving to the point where they add very little overhead to virtual machines, popularizing this type of tool for use in many applications. Many cloud services are performed under virtualization, such as hosting websites, Virtual Private Servers, and Storage Servers. This advance has also allowed malware analysts to create secure environments similar to real ones to run malicious samples without compromising their systems. Our goal is to build a system capable of receiving malware samples, running those samples, and monitoring their operation in a secure and at the same time imperceptible environment for the analyzed malware. To this end, we use tools such as VirtualBox as a Hypervisor and the Cuckoo Sandbox on a Windows 7 operating system. Additionally, we used other tools such as INETSIM and Paranoid Fish to provide network services and check for virtualization indicators. The results obtained were consistent with the expected results, in the sense that the analyzed ransomware worked on the analysis machine as if they were in real environments, enabling automatic analysis of selected samples49 p.Machado, Raphael Carlos SantosBento, Lucila Maria de SouzaGusmão Neto, Augusto Parisot de2023-12-19T13:24:13Z2023-12-19T13:24:13Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/bachelorThesisapplication/pdfGUSMÃO NETO, Augusto Parisot de. 2023. 49 f. Trabalho de Conclusão de Curso (Graduação em Tecnologia em Sistemas de Computação) - Instituto de Computação, Universidade Federal Fluminense, Niterói, 2023.http://app.uff.br/riuff/handle/1/31528CC-BY-SAinfo:eu-repo/semantics/openAccessporreponame:Repositório Institucional da Universidade Federal Fluminense (RIUFF)instname:Universidade Federal Fluminense (UFF)instacron:UFF2023-12-19T13:24:16Zoai:app.uff.br:1/31528Repositório InstitucionalPUBhttps://app.uff.br/oai/requestriuff@id.uff.bropendoar:21202024-08-19T11:01:32.361596Repositório Institucional da Universidade Federal Fluminense (RIUFF) - Universidade Federal Fluminense (UFF)false |
| dc.title.none.fl_str_mv |
Montagem de um ambiente de análise de malware em sistemas windows |
| title |
Montagem de um ambiente de análise de malware em sistemas windows |
| spellingShingle |
Montagem de um ambiente de análise de malware em sistemas windows Gusmão Neto, Augusto Parisot de Segurança da informação Ciberespaço Análise de malware Ransomware Cuckoo sandbox Hybrid analysis Malware detection |
| title_short |
Montagem de um ambiente de análise de malware em sistemas windows |
| title_full |
Montagem de um ambiente de análise de malware em sistemas windows |
| title_fullStr |
Montagem de um ambiente de análise de malware em sistemas windows |
| title_full_unstemmed |
Montagem de um ambiente de análise de malware em sistemas windows |
| title_sort |
Montagem de um ambiente de análise de malware em sistemas windows |
| author |
Gusmão Neto, Augusto Parisot de |
| author_facet |
Gusmão Neto, Augusto Parisot de |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Machado, Raphael Carlos Santos Bento, Lucila Maria de Souza |
| dc.contributor.author.fl_str_mv |
Gusmão Neto, Augusto Parisot de |
| dc.subject.por.fl_str_mv |
Segurança da informação Ciberespaço Análise de malware Ransomware Cuckoo sandbox Hybrid analysis Malware detection |
| topic |
Segurança da informação Ciberespaço Análise de malware Ransomware Cuckoo sandbox Hybrid analysis Malware detection |
| description |
“Toda lei tem uma brecha”, diz um velho provérbio, significando que uma vez que uma regra é conhecida, também se sabe como evitá-la. Esta máxima pode ser aplicada em diversas situações da área de segurança da informação, em que sabendo-se como um sistema funciona, os criadores de malware utilizam as brechas para utilizarem em suas criações e, sabendo como o malware funciona, pode-se projetar defesas mais eficazes. O primeiro passo na tentativa de quebra desse ciclo é estudar o malware, entender como funciona, quais artefatos utiliza, como se comporta em determinados ambientes e os motivos pelos quais foi criado. Para isso é importante que tenhamos ferramentas e técnicas que nos permitam extrair informações do malware e a partir desse conhecimento, criar sistemas mais inteligentes, aplicando novas técnicas ou melhorando as técnicas já existentes. Na literatura existem algumas técnicas básicas de detecção de malware: assinaturas e heurísticas (que são mais usadas em sistemas antivírus), temos também métodos de análise: Análise Estática e Análise Dinâmica. Estas abordagens podem ser utilizadas em conjunto para analisar um malware e determinar seu comportamento e artefatos. Em paralelo, as ferramentas de virtualização tiveram grande avanço, evoluindo ao ponto de adicionarem muito pouco overhead às máquinas virtuais, popularizando esse tipo de ferramenta para utilização em muitas aplicações. Muitos serviços em nuvem são realizados sob virtualização, como por exemplo hospedagem de sites, Servidores Privados Virtuais e Servidores de Armazenamento. Esse avanço também permitiu que os analistas de malware pudessem criar ambientes seguros e similares aos reais para executar amostras maliciosas sem comprometer seus sistemas. Nosso objetivo é montar um sistema capaz de receber amostras de malware, executar essas amostras e monitorar seu funcionamento em um ambiente seguro e ao mesmo tempo imperceptível para os malwares analisados. Para esse fim, utilizamos as ferramentas VirtualBox como Hypervisor e o Cuckoo Sandbox em um Sistema Operacional Windows 7. Adicionalmente utilizamos outras ferramentas como INETSIM e Paranoid Fish para fornecer serviços de rede e verificação dos indicadores de virtualização. Os resultados obtidos foram condizentes com os resultados esperados, no sentido de que os ransomwares analisados funcionaram na máquina de análise como se estivessem em ambientes reais, possibilitando análise automática das amostras selecionadas |
| publishDate |
2023 |
| dc.date.none.fl_str_mv |
2023-12-19T13:24:13Z 2023-12-19T13:24:13Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
| format |
bachelorThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
GUSMÃO NETO, Augusto Parisot de. 2023. 49 f. Trabalho de Conclusão de Curso (Graduação em Tecnologia em Sistemas de Computação) - Instituto de Computação, Universidade Federal Fluminense, Niterói, 2023. http://app.uff.br/riuff/handle/1/31528 |
| identifier_str_mv |
GUSMÃO NETO, Augusto Parisot de. 2023. 49 f. Trabalho de Conclusão de Curso (Graduação em Tecnologia em Sistemas de Computação) - Instituto de Computação, Universidade Federal Fluminense, Niterói, 2023. |
| url |
http://app.uff.br/riuff/handle/1/31528 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
CC-BY-SA info:eu-repo/semantics/openAccess |
| rights_invalid_str_mv |
CC-BY-SA |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.source.none.fl_str_mv |
reponame:Repositório Institucional da Universidade Federal Fluminense (RIUFF) instname:Universidade Federal Fluminense (UFF) instacron:UFF |
| instname_str |
Universidade Federal Fluminense (UFF) |
| instacron_str |
UFF |
| institution |
UFF |
| reponame_str |
Repositório Institucional da Universidade Federal Fluminense (RIUFF) |
| collection |
Repositório Institucional da Universidade Federal Fluminense (RIUFF) |
| repository.name.fl_str_mv |
Repositório Institucional da Universidade Federal Fluminense (RIUFF) - Universidade Federal Fluminense (UFF) |
| repository.mail.fl_str_mv |
riuff@id.uff.br |
| _version_ |
1811823639353360384 |