Malwares Avançados e suas Características
- Time do TheWebGuardian
- 31 de mai. de 2024
- 3 min de leitura
Camuflagem e Mutação
Nos nossos Posts sobre malware, vimos os tipos mais comuns que, no entanto, prosseguem causando sérios danos.
Mas muitos outros foram criados e têm sido usados em ataques cibernéticos coordenados. Os malwares modernos são evasivos e furtivos - conseguem se esconder, ou se alterar.
Eles referem-se a softwares maliciosos novos e/ou desconhecidos. São muito sofisticados e têm ações específicas. Conseguem burlar os sistemas de defesa tradicionais.
Eles usam as redes para construir resiliência. Podem ser atualizados, de forma que o atacante consiga alterar seus planos, aprofundar-se na rede e tomar contra-medidas.
Por isso, diferenciam-se bastante dos malwares mais conhecidos - que são agentes independentes com função de infectar e se replicar.
Assinaturas - As Características de cada Malware
Cada software malicioso é composto de scripts, que atuam de modos diferentes e afetam determinados locais ou vulnerabilidades de sistemas, aplicações e redes.
Essas características diferenciadas ou padrões são conhecidas como assinaturas. É através da detecção desses padrões que certos tipos de Anti-Malwares funcionam.
Em um próximo Post, vamos falar sobre os vários tipos de soluções Anti-Malware, como funcionam, seus pontos fortes e fracos. Fique ligado!
Tipos de Malwares Avançados
Os cyber criminosos, através de ações de comando e controle (C2) - ou seja, acesso remoto em múltiplos locais, conseguem mudar as funcionalidades desses malwares.
1 - Ofuscação (Obsfuscation): Alguns usam técnicas de ofuscação para esconder strings binários - comumente usados em malwares.
Esses strings geralmente são detectados com facilidade pelos softwares Anti-Malwares, devido às suas assinaturas (características intrínsecas).
2 - Polimorfismo: Alguns malwares têm partes inteiras de código que não têm outra função, a não ser a de alterar a assinatura do mesmo.
Isto faz com que ele produza um número infinito de hashes de assinatura diferentes, alterando seções do código de forma dinâmica.
As técnicas de poli e metamorfismo são usadas para evitar a detecção do malware pelas ferramentas tradicionais de Anti-Malware, que baseiam-se em assinaturas (“Signature-Based”)
3 - Distribuído: Este tipo tem servidores múltiplos de controle, distribuídos pelo mundo, e assim conseguem várias alternativas de substitutos.
Conseguem se aproveitar de pontos já infectados, usando-os como canais de comunicação.
Assim, conseguem um número quase infinito de opções de comunicação, que se adaptam às alterações das condições, e fazem a atualização do código sempre que necessário.
4 - Stealth: Opera no modo escondido (“hidden mode”), escondendo-se dos softwares Anti-Virus. Quando este tenta escanear o arquivo, ele se remove temporariamente, e volta depois.
Consegue mudar o nome continuamente, ou então fica alterando sua localização no disco. Além disso, consegue alterar processos de operação.
Quando um Anti-Virus é acionado, este malware requisita ao sistema operacional para acessar determinado arquivo. O OS pede ao gerenciador de disco para que encontre aquele arquivo.
Mas quando o OS está infectado, toda vez que o Anti-Virus pede acesso ao arquivo contaminado, o Stealth envia um arquivo limpo.
5 - Multi-Funcionais: As atualizações feitas nos servidores C2 podem alterar completamente a funcionalidade do malware.
Isto permite ao hacker usar estrategicamente os pontos, para conseguir coisas como roubo de números de cartões de crédito, envio de spam contendo outros payloads ou instalação de Ransomwares.
6 - Criptografado: Utiliza criptografia para se esconder de softwares Anti-Malware. Se o virus está criptografado e você não tem a chave para decriptografar, não é possível analisá-lo.
NOS VEMOS NOS PRÓXIMOS POSTS!
