Como você pode usar com segurança a engenharia reversa para estudar malware?

Alimentado por IA e pela comunidade do LinkedIn

A engenharia reversa é uma técnica que permite analisar a estrutura, o comportamento e a funcionalidade de um programa de software, como malware. Ao desmontar, depurar e descompilar o código de malware, você pode obter insights sobre sua finalidade, origem e recursos. No entanto, o malware de engenharia reversa também envolve riscos, como infectar seu sistema, expor dados confidenciais ou violar limites legais ou éticos. Neste artigo, você aprenderá como usar com segurança a engenharia reversa para estudar malware, seguindo algumas práticas recomendadas e precauções.

Principais especialistas neste artigo

Selecionados pela comunidade a partir de 6 contribuições. Saiba mais

1 Configurar um ambiente seguro

O primeiro passo para fazer engenharia reversa de malware com segurança é configurar um ambiente seguro e isolado onde você possa executar e examinar o programa malicioso sem prejudicar seus próprios sistemas ou outros. Você pode usar uma máquina virtual, uma área restrita ou um dispositivo de hardware dedicado para criar um ambiente controlado e descartável que imita o sistema de destino do malware. Você também deve desativar quaisquer conexões de rede, software antivírus ou outros recursos que possam interferir na análise de malware ou alertar os invasores.

Adicione sua opinião

Mithun Vijay

🛡 Coffee powered Cyber Knight 🔎 Offensive Security Manager 🎓Assistant Professor in Cyber Security
Denunciar contribuição
A malware sample should be treated like a sample of a biological pathogen. Would you test a potentially infectious viral or bacterial material on yourself? It will make you sick. A similar concept should be applied to malware analysis. It should be tested on a fully isolated system called a sandbox. There are several ways you can build yourself a sandbox or simply use existing ones, like Cuckoo Sandbox - automated and open source malware analysis system.

Traduzido

Gostei
Steven SIM Kok Leong

✪ OT-ISAC EC Chair | ISACA Information Security Advisory & Emerging Trends | Lead Group Cybersecurity CoE | Award-winning Tech Talent Builder, Cyber Security Leader, Influencer, Board ✪ CSO50, CSO30 ASEAN & HK #1 ….
Denunciar contribuição
While the use of virtual machines are often relied upon, we need to be mindful of guest escapes. Vulnerabilities could be exploited in the guest VM to gain privileged entry into the host machine or server. Therefore, it would be much safer to deploy a physically isolated environment beyond just virtually isolated.

Traduzido

Gostei
Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Denunciar contribuição
From experience, I can't stress enough the criticality of a well-fortified environment. Over the years, there have been instances where malware was inadvertently unleashed during the analysis phase, causing significant damage. The choice between a physical lab or a virtualized setup is crucial; physical environments provide a higher degree of isolation but come with logistical challenges. However, the advent of advanced malware that can detect virtualized environments and behave differently or self-destruct means sometimes a physical lab becomes indispensable.

Traduzido

Gostei

2 Escolha as ferramentas certas

Ao fazer engenharia reversa de malware, as ferramentas certas devem ser escolhidas dependendo do nível de análise necessário e do tipo de malware. Desmontadores como IDA Pro ou Ghidra convertem código binário em linguagem assembly, enquanto depuradores como OllyDbg ou x64dbg permitem que você execute o malware passo a passo e modifique suas variáveis e registros. Descompiladores como JEB ou dnSpy tentam reconstruir o código-fonte a partir de código binário ou assembly, o que é útil para linguagens de alto nível como Java ou C#. Editores hexadecimais como HxD ou Hex Workshop podem ser usados para visualizar e editar bytes brutos do arquivo de malware, enquanto outras ferramentas como PEiD ou CFF Explorer podem ajudar a identificar compiladores, empacotadores, ofuscadores, cabeçalho, seções ou importações.

Adicione sua opinião

Jeff Moore
Denunciar contribuição
Selecting the right tools is crucial & depends on the desired level of analysis & the type of malware being examined. Different tools serve different purposes in the process. Disassemblers: IDA Pro & Ghidra are to convert binary code into assembly language, making it easier to understand. Debuggers such as OllyDbg / x64dbg allow step-by-step execution of the malware, enabling analysts to modify variables & registers during runtime. Overall, the selection of tools for reverse engineering malware depends on the specific goals of the analysis, the type of malware being examined, the expertise of the analyst. Utilizing the right combination of tools, analysts can gain a understanding of the malware, its functionality, potential countermeasures

Traduzido

Gostei

3 Siga uma abordagem sistemática

O terceiro passo na engenharia reversa de malware é seguir uma abordagem sistemática, começando com uma visão geral e progredindo para uma análise mais detalhada. Como diretriz, você deve reunir informações básicas sobre o arquivo de malware, como seu nome, tamanho, hash, tipo e assinatura. Em seguida, você deve executar uma análise estática do código de malware usando desmontadores, descompiladores ou editores hexadecimais para descobrir suas funções, cadeias de caracteres, bibliotecas ou indicadores de comprometimento. Além disso, você deve realizar uma análise dinâmica do comportamento do malware usando depuradores ou sandboxes para observar suas ações, interações ou comunicações de rede. Finalmente, compare suas descobertas com outras fontes de informação, como bancos de dados on-line, fóruns ou relatórios para verificar seus resultados, identificar a família de malware ou descobrir novas variantes.

Adicione sua opinião

Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Denunciar contribuição
Like in solving a complex jigsaw puzzle, beginning without a strategy can be both overwhelming and fruitless. The mentioned steps are fundamental, but I'd emphasize the importance of the comparative analysis. Cross-referencing your results with shared intelligence from the cybersecurity community often provides crucial insights. Moreover, with the prevalence of polymorphic malware, recognizing slight variances and derivatives becomes a paramount task.

Traduzido

Gostei

4 Documente suas descobertas

O quarto passo no processo de engenharia reversa é documentar suas descobertas e conclusões em um formato claro e consistente. Isso ajuda a comunicar seus resultados, compartilhar conhecimento e apoiar decisões. Sua documentação deve incluir a finalidade, o escopo e a metodologia de sua análise, bem como as características, os recursos e os recursos do malware. Além disso, você deve incluir evidências, artefatos e indicadores de comprometimento do malware. Finalmente, você deve fornecer recomendações para contramedidas ou estratégias de mitigação para o malware.

Adicione sua opinião

5 Respeitar os limites legais e éticos

O passo final é respeitar os limites legais e éticos que se aplicam ao malware de engenharia reversa e evitar quaisquer ações que possam prejudicar a si mesmo, a outros ou aos autores do malware. Você não deve fazer engenharia reversa de malware sem um motivo legítimo, como pesquisa, educação ou defesa. Além disso, você deve ter a permissão do proprietário, autor ou lei antes da engenharia reversa, a menos que você tenha uma exceção ou justificativa válida. Além disso, você não deve fazer engenharia reversa de malware de uma forma que viole direitos autorais, marcas registradas ou direitos de patente do proprietário ou autor. Também é importante não fazer engenharia reversa de malware de uma forma que expõe, modifica ou exclui quaisquer dados confidenciais ou pessoais seus, de outros ou dos autores do malware. Finalmente, não faça engenharia reversa de malware de uma forma que acione, propague ou relate quaisquer ações maliciosas ou prejudiciais do malware.

Adicione sua opinião

6 Veja o que mais considerar

Este é um espaço para compartilhar exemplos, histórias ou insights que não se encaixam em nenhuma das seções anteriores. O que mais gostaria de acrescentar?

Adicione sua opinião

Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Denunciar contribuição
While all the above points are pivotal, one must also appreciate the psyche behind malware creation. Often, understanding the motives—whether financial, political, or ideological—provides unique insights into its design and possible future iterations. Networking with fellow professionals, attending workshops, and continuous learning are not just beneficial but essential. In this ever-evolving field, the moment you stop learning is the moment you become obsolete.

Traduzido

Gostei

Segurança da informação

+ Siga

Classificar este artigo

Criamos este artigo com a ajuda da IA. O que você achou?

É ótimo Não é muito bom

Denunciar este artigo

Ver todos

Como você pode usar com segurança a engenharia reversa para estudar malware?

1

2

3

4

5

6

1 Configurar um ambiente seguro

2 Escolha as ferramentas certas

3 Siga uma abordagem sistemática

4 Documente suas descobertas

5 Respeitar os limites legais e éticos

6 Veja o que mais considerar

Segurança da informação

Classificar este artigo

Agradecemos seu feedback

Outros artigos sobre Segurança da informação

Leitura mais relevante

Como você pode usar com segurança a engenharia reversa para estudar malware?

1

2

3

4

5

6

1 Configurar um ambiente seguro

2 Escolha as ferramentas certas

3 Siga uma abordagem sistemática

4 Documente suas descobertas

5 Respeitar os limites legais e éticos

6 Veja o que mais considerar

Segurança da informação

Classificar este artigo

Agradecemos seu feedback

Conhecer outras competências