Parte 1 Parte II Parte III Parte IV Parte V Uma Vis˜ ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015 Marcus Botacin 1 , Andr´ e Gr´ egio 1,2 , Paulo L´ ıcio de Geus 1 12 de Novembro de 2015 Uma Vis˜ ao Geral do Malware Ativo no Espac¸o Nacional da Internet entre 2012 e 2015
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Parte 1 Parte II Parte III Parte IV Parte V
Uma Visao Geral do Malware Ativo no EspacoNacional da Internet entre 2012 e 2015
Marcus Botacin1, Andre Gregio1,2, Paulo Lıcio de Geus1
12 de Novembro de 2015
Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Parte 1 Parte II Parte III Parte IV Parte V
Topicos
1 Parte 1Introducao
2 Parte IIAnalise Estatica
3 Parte IIIAnalise Dinamica
4 Parte IVTrafego de Rede
5 Parte VConsideracoes FinaisConclusoes e Agradecimentos
Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Parte 1 Parte II Parte III Parte IV Parte V
Introducao
Topicos
1 Parte 1Introducao
2 Parte IIAnalise Estatica
3 Parte IIIAnalise Dinamica
4 Parte IVTrafego de Rede
5 Parte VConsideracoes FinaisConclusoes e Agradecimentos
Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Parte 1 Parte II Parte III Parte IV Parte V
Analise Estatica
Ofuscacao
Tabela : Uso de packers por malware ao longo do tempo. Comparacaoentre os resultados obtidos neste trabalho (T) entre 2012 e 2015 e porBranco (B) em 2012 e 2014.
Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Parte 1 Parte II Parte III Parte IV Parte V
Analise Estatica
Rotulos de Deteccao
0%
10%
20%
30%
PS
W
Do
wn
loa
de
r
Ge
ne
ric
Win
32
De
lf
Dro
pp
er
Lu
he
Su
sp
icio
n:
De
lfi
Au
toit_
c
Inje
ct2
un
kn
ow
n
Distribuição dos rótulos de detecção
Rótulos
Figura : Rotulos de Deteccao por Antivırus.Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Parte 1 Parte II Parte III Parte IV Parte V
Analise Estatica
Anti-Analise
Tabela : Tecnicas anti-VM identificadas e exemplares que asimplementam.
Tecnica # de exemplares Tecnica # de exemplaresVMCheck.dll 2.729 (12,77%) Deteccao de VirtualBox 306 (1,43%)VMware trick 843 (3,95%) Bochs & QEmu CPUID trick 267 (1,25%)
Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Parte 1 Parte II Parte III Parte IV Parte V
Analise Estatica
Evolucao das Tecnicas de Anti-Analise
0%
10%
20%
30%
40%
50%
60%
2012 2013 2014 2015
Porcentagem de exemplares X Técnica de ofuscação
PackerAnti−DbgAnti−VM
Figura : Evolucao das Tecnicas de Anti-Analise.Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Parte 1 Parte II Parte III Parte IV Parte V
Analise Dinamica
Topicos
1 Parte 1Introducao
2 Parte IIAnalise Estatica
3 Parte IIIAnalise Dinamica
4 Parte IVTrafego de Rede
5 Parte VConsideracoes FinaisConclusoes e Agradecimentos
Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Parte 1 Parte II Parte III Parte IV Parte V
Analise Dinamica
Comportamentos Suspeitos
Tabela : Comportamentos observados em comparacao com [Bayer etal.2009]
Porcentagem de exemplaresComportamento Este artigo Bayer et al.Modificacao no arquivo de hosts 0,11% 1,97%Criacao de arquivo 26,23% 70,78%Remocao de arquivo 13,71% 42,57%Modificacao em arquivo 17,37% 79,87%Instalacao de BHO no IE 1,26% 1,72%Trafego de rede 98,82% 55,18%Criacao de chave no Registro 33,67% 64,71%Criacao de Processo 18,79% 52,19%
Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Parte 1 Parte II Parte III Parte IV Parte V
Trafego de Rede
Topicos
1 Parte 1Introducao
2 Parte IIAnalise Estatica
3 Parte IIIAnalise Dinamica
4 Parte IVTrafego de Rede
5 Parte VConsideracoes FinaisConclusoes e Agradecimentos
Uma Visao Geral do Malware Ativo no Espaco Nacional da Internet entre 2012 e 2015
Parte 1 Parte II Parte III Parte IV Parte V
Trafego de Rede
Trafego de Rede
Tabela : Informacoes extraıdas do trafego de rede deste artigo (T) e de[Bayer et al.2009]