Iniciando minha jornada em análise de malware, uma breve análise de um malware .NET
Analisar malware .NET é uma tarefa desafiadora, principalmente para alguém recém iniciado nesse campo. Neste artigo, compartilho minha abordagem passo a passo para a análise de malware, utilizando técnicas como sandbox analysis e engenharia reversa.
O primeiro passo que sempre dou é configurar um ambiente seguro, utilizo máquinas virtuais com o VirtualBox e Windows 11, equipadas com ferramentas como Flare-VM, dnSpy e .NET Reactor Slayer, antes de iniciar qualquer análise, desabilito os adaptadores de rede para evitar que o malware se comunique com o mundo externo, garantindo que minha análise permaneça isolada e segura.
A análise em sandbox me permite observar o comportamento do malware sem riscos diretos, ao executar o malware, foco em áreas críticas que podem indicar sua funcionalidade maliciosa, por exemplo, ao analisar um keylogger disfarçado de simulador de avião, identifiquei código de decriptação suspeito na função InitializeComponent, desativando esse código foi possível revelar sua verdadeira natureza.
Durante a fase de desconstrução, utilizo tanto análise estática quanto dinâmica, a análise estática me ajuda a identificar funções e estruturas no código, enquanto a dinâmica permite observar como o malware se comporta em tempo real.
Um aspecto interessante do malware analisado foi sua capacidade de exfiltrar dados através de SMTP, isso me levou a modificar o malware para facilitar a análise, desativando funcionalidades como verificação de conexão com a internet e auto-exclusão. Utilizei um script Python para criptografar as credenciais SMTP com uma chave derivada de um hash MD5.
Após realizar as modificações necessárias, executei o malware modificado em um ambiente sandbox para validar sua eficácia, Para deixar mais robusta minha análise, integrei dados do any run threat-intelligence-lookup, a plataforma oferece acesso a uma base de dados atualizada com informações sobre malware coletadas em mais de 1,5 milhão de investigações e através dela, consigo identificar riscos e analisar eventos relacionados ao malware em questão.
Enfim, depois de todo feito, percebi que a análise de malware, em específico desse caso um malware .NET é um campo dinâmico que exige atenção aos detalhes e uma abordagem metódica, ao empregar técnicas robustas e ferramentas adequadas, consigo não apenas entender as ameaças que enfrento, mas também desenvolver soluções eficazes para mitigá-las.