Análise de malware em resposta a incidentes de segurança (1/3) – Introdução

Este é o primeiro de uma série de 3 posts sobre análise de malware e o seu papel na resposta a incidentes de segurança. Neste artigo será discutida a problemática da resposta a incidentes de segurança que envolvem malware e a motivação para a realização de análise de malware no processo de resposta a incidentes.

Os ataques com malware são hoje em dia algo que faz parte do dia a dia de qualquer organização. Os ataques podem, tal como o malware, ter diversas finalidades e podem de uma forma genérica ser separados em ataques genéricos, que afectam de forma transversal todas as organizações, ou em ataques dirigidos a uma organização em particular.

Alguns exemplos comuns de ataques genéricos com recurso a malware são:

  • Roubo de credenciais, como é o caso de trojans bancários, concebidos para roubar credenciais de acesso a sistemas de home banking;
  • Extorsão, como é o caso do conhecido malware cryptolocker, no qual os documentos de um utilizador são encriptados sendo posteriormente exigido um pagamento para que estes sejam decifrados;
  • Roubo de recursos (e.g. largura de banda, CPU), como é o caso de malware para o envio de campanhas de spam, ou malware que utiliza o CPU para minar bitcoins.

Os ataques dirigidos, embora menos comuns, existem com relativa frequência em determinados tipos de organizações e tipicamente têm como objectivos a recolha de informação privilegiada (e.g. propriedade industrial) e a manutenção de um acesso remoto persistente. Estes ataques de roubo de informação, são hoje em dia conhecidos como APT (Advanced Persistent Threat) e têm sido muito mediáticos nos últimos tempos.

Quer se trate de malware genérico ou de uma APT sofisticada, a indicação da ocorrência de um ataque pode surgir de diversas formas. Através da detecção em sistemas de monitorização de segurança (e.g. SIEM, DLP, IDS), através de colaboradores, clientes, parceiros ou fornecedores que detetem o ataque, ou mesmo através da comunicação social em casos mais mediáticos.

Uma vez detectado o ataque surgem naturalmente um grande número de questões:

  • Qual o objectivo dos atacantes?
  • De que tipo de malware se trata?
  • Quais as suas capacidades e funcionalidades?
  • Que sistemas foram afectados?
  • Que informação foi comprometida?
  • Como podemos bloquear o ataque rapidamente e de forma eficaz?

Sem resposta a estas questões, a solução passa muitas vezes pela execução sem sucesso de software antivírus, pela reinstalação mais ou menos cega de sistemas. Resultando em reinfecções consecutivas, no desconhecimento do impacto de um ataque e na incapacidade de determinar se este foi ou não bem sucedido no roubo de informação sensível.

A existência de um processo definido de resposta a incidentes que inclua a análise de malware é fundamental para que uma organização consiga responder a questões como as acima listadas e para que consiga responder de forma adequada a um ataque, bloqueando-o idealmente antes do compromisso de informação sensível.

Autor: Tiago Pereira @ SysValue