FOR710: Malware de engenharia reversa: Análise de código avançada

À medida que os defensores aprimoram suas habilidades de análise e os recursos automatizados de detecção de malware melhoram, os autores de malware têm trabalhado mais para obter a execução dentro da empresa. O resultado é um malware modular com várias camadas de ofuscação que são executadas na memória para dificultar a detecção e a análise. Os analistas de malware devem estar preparados para lidar com esses recursos avançados e usar a automação sempre que possível para lidar com o volume, a variedade e a complexidade do fluxo constante de malware direcionado à empresa.FOR710: Análise de Código Avançada contínua onde o curso FOR610: Engenharia reversa de Malware: ferramentas e técnicas de análise de malware termina, ajudando os alunos que já obtiveram capacidades de análise de malware de nível intermediário a levar suas habilidades de reversão para o próximo nível. De autoria do instrutor certificado SANS Anuj Soni, este curso prepara especialistas em malware para dissecar executáveis sofisticados do Windows, como aqueles que dominam as manchetes e preocupam as equipes de resposta a incidentes em todo o mundo.Desenvolver habilidades profundas de engenharia reversa requer prática consistente. Este curso não apenas inclui os antecedentes necessários e as orientações do instrutor, mas também oferece aos alunos inúmeras oportunidades de lidar com cenários de engenharia reversa do mundo real durante a aula.“À medida que o malware fica mais complicado, a análise de malware também fica. Nos últimos anos, os autores de malware aceleraram a produção de códigos perigosos e não detectados usando técnicas de evasão criativas, algoritmos robustos e desenvolvimento iterativo para melhorar os pontos fracos. Os engenheiros reversos proficientes devem realizar uma análise de código aprofundada e empregar automação para descascar as camadas de código, caracterizar a funcionalidade de alto risco e extrair indicadores ofuscados.” – Anuj Soni, Autor do Curso

TODO CONTEÚDO DO CURSO É MINISTRADO EM INGLÊS.Um sistema configurado corretamente é necessário para participar totalmente deste curso. Se você não ler e seguir cuidadosamente estas instruções, provavelmente sairá insatisfeito da aula porque não poderá participar dos exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.Isso é senso comum, mas diremos de qualquer maneira: faça backup do seu sistema antes da aula. Melhor ainda, não tenha dados confidenciais armazenados no sistema. SANS não pode ser responsável por seu sistema ou dados.REQUISITOS DE HARDWARE DO SISTEMA OBRIGATÓRIOS PARA O 710: CPU: Intel i5/i7 de 64 bits (4ª geração+) – processador x64 bit 2.0+ GHz ou processador mais recente é obrigatório para esta classe. Importante – Leia: um processador de sistema de 64 bits é obrigatório. NOTA CRÍTICA: Os sistemas Apple que usam a linha de processadores M1 não podem executar a funcionalidade de virtualização necessária e, portanto, não podem ser usados de forma alguma para este curso. É fundamental que sua CPU e sistema operacional suportem 64 bits para que nossas máquinas virtuais convidadas de 64 bits sejam executadas em seu laptop. A VMware fornece uma ferramenta gratuita para Windows que detecta se o seu host oferece suporte ou não a máquinas virtuais convidadas de 64 bits. Para mais soluções de problemas, este artigo também fornece boas instruções para os usuários do Windows determinarem mais sobre os recursos da CPU e do sistema operacional. Para Macs, use esta página de suporte da Apple para determinar a capacidade de 64 bits. As configurações do BIOS devem ser definidas para habilitar a tecnologia de virtualização, como “Intel-VT”. Esteja absolutamente certo de que você pode acessar seu BIOS se ele estiver protegido por senha , caso sejam necessárias alterações. Teste antes da aula! 16 GB (Gigabytes) de RAM ou superior é obrigatório para esta classe Importante – Leia: 16 GB de RAM ou superior de RAM é obrigatório e mínimo. É necessária uma porta USB 3.0 tipo A. É necessária pelo menos uma porta USB 3.0 tipo A aberta e funcionando. Portanto, um adaptador Type-C para Type-A pode ser necessário para laptops mais novos. Alguns softwares de proteção de endpoint impedem o uso de dispositivos USB – teste seu sistema com uma unidade USB antes da aula para garantir que você pode carregar os dados do curso. 200 Gigabytes de Espaço Livre no Disco Rígido do Sistema. O espaço livre no disco rígido é fundamental para hospedar as VMs que distribuímos. O acesso de administrador local é necessário. Isso é absolutamente necessário. Não deixe sua equipe de TI dizer o contrário. Se a sua empresa não permitir esse acesso durante o curso, você deve providenciar um laptop diferente. A capacidade Wi-Fi 802.11 é obrigatória. Você precisará se conectar a uma rede Wi-Fi da classe ao participar deste curso em um evento importante. Sem Wi-Fi funcionando, você não poderá participar de aspectos importantes do curso.REQUISITOS DE SOFTWARE E CONFIGURAÇÃO DO HOST 710 OBRIGATÓRIOS: Sistema operacional do host: seu sistema deve estar executando o Windows 10 Pro, Linux ou macOS 10.14 ou posterior, que também pode instalar e executar os produtos de virtualização VMware descritos abaixo. É necessário atualizar totalmente o sistema operacional host antes da aula para garantir que você tenha os drivers e patches corretos instalados para utilizar os dispositivos USB 3.0 mais recentes. Aqueles que usam um host Linux também devem poder acessar partições exFAT usando o kernel apropriado ou módulos FUSE. Baixe e instale 7-Zip (para hosts Windows) ou Keka (macOS). Sem essas ferramentas de extração, você não conseguirá extrair arquivos grandes que forneceremos a você em sala de aula.INSTALE O SOFTWARE VMWARE “PRO”: Baixe e instale a versão mais recente das versões VMware Workstation Pro ou VMware Fusion Pro antes da aula. Nossos alunos tiveram problemas com a compatibilidade do VMware com o sistema operacional subjacente mais recente, a menos que também estivessem usando a versão mais recente da classe VMware.e. Se você não possui uma cópia licenciada do VMware Workstation ou Fusion, pode baixar uma cópia de avaliação gratuita de 30 dias da VMware. A VMware enviará a você um número de série com tempo limitado se você se registrar para a avaliação em seu site. Você deve obter as versões dos produtos que possuem “Pro” em seu nome. As versões gratuitas não profissionais desses produtos (por exemplo, VMware Workstation Player) não são suficientes para este curso porque não oferecem suporte à funcionalidade de instantâneo, que precisaremos usar. Outros softwares de virtualização, como VirtualBox e Hyper-V, não são apropriados devido a problemas de compatibilidade e solução de problemas que você pode encontrar durante as aulas. O VMware Workstation Pro no Windows 10 não é compatível com as tecnologias Windows 10 Credential Guard e Device Guard. Desative esses recursos durante a aula, se estiverem ativados em seu sistema, seguindo as instruções da VMware .A mídia do seu curso agora será entregue por download. Os arquivos de mídia da aula podem ser grandes, alguns na faixa de 40 a 50 GB. Você precisa de bastante tempo para que o download seja concluído. As conexões e a velocidade da Internet variam muito e dependem de muitos fatores diferentes. Portanto, não é possível dar uma estimativa do tempo que levará para baixar seus materiais. Inicie os downloads da mídia do curso assim que receber o link. Você precisará da mídia do curso imediatamente no primeiro dia de aula. Esperar até a noite anterior ao início da aula para iniciar o download tem uma grande probabilidade de falha.O SANS começou a fornecer materiais impressos em formato PDF. Além disso, algumas classes estão usando uma pasta de trabalho eletrônica além dos PDFs. O número de aulas usando eWorkbooks crescerá rapidamente. Neste novo ambiente, descobrimos que um segundo monitor e/ou um tablet pode ser útil para manter os materiais de aula visíveis enquanto o instrutor está apresentando ou enquanto você está trabalhando em exercícios de laboratório.

SEÇÃO 1: Desofuscação e Execução de CódigoOs autores de malware complicam a execução e ofuscam o código para ocultar dados, obscurecer o código e dificultar a análise. Usando técnicas de evasão e execução na memória, os desenvolvedores mal-intencionados continuam a impedir a detecção e a complicar os esforços de engenharia reversa. Para facilitar uma discussão aprofundada sobre desofuscação e execução de código, esta seção primeiro discute o uso criativo de esteganografia para ocultar conteúdo malicioso. Em seguida, discutimos as principais etapas na execução do programa, para que possamos identificar como o código é iniciado e o rótulo funciona de acordo. Isso inclui uma revisão do carregador do Windows e uma inspeção do formato de arquivo Portable Executable (PE). Por fim, abordamos como analisar shellcode com o suporte do WinDbg Preview, um poderoso depurador do Windows.SEÇÃO 2: Criptografia em malwareEsta seção aborda uma área crítica de malware de engenharia reversa: o uso de criptografia em malware. A criptografia é usada por adversários por vários motivos, inclusive para criptografar arquivos, proteger chaves, ocultar definições de configuração e ofuscar comunicações de comando e controle (C2). Para realizar investigações abrangentes de malware de alto impacto, engenheiros reversos habilidosos devem estar preparados para investigar rotinas que implementam criptografia e entender sua finalidade.SEÇÃO 3: Automatizando a análise de malwareNesta seção, discutimos como escrever scripts para automatizar nossa análise. Apresentamos os principais aspectos do script Python e escrevemos código para automatizar parte do nosso trabalho realizado nas seções anteriores. Em seguida, apresentamos estruturas de instrumentação binária dinâmica (DBI) e examinamos como as ferramentas de DBI podem complementar e automatizar fluxos de trabalho comuns de engenharia reversa. Aplicamos nosso conhecimento de Python para extrair cargas e configurações automaticamente, acelerar os esforços de depuração e dar suporte à análise de código estático com Ghidra.SEÇÃO 4: Correlacionando Malware e Criando RegrasA análise correlacional ajuda a identificar semelhanças e diferenças entre amostras de malware. Isso fornece informações sobre a reutilização de código e facilita a criação de regras YARA e capa, permitindo que uma organização rastreie famílias de malware. A análise de correlação inclui comparações diretas de hash, bem como tentativas mais complexas de identificar diferenças de nível de função. Discutimos várias abordagens para diferenciar binários e avaliamos seus benefícios e limitações.SEÇÃO 5: Torneio Avançado de Análise de Malware (Exyended Access)A seção final deste curso oferece aos alunos a oportunidade de aplicar seus novos conhecimentos e habilidades em um ambiente mais independente e competitivo. Os participantes terão acesso estendido (além de uma aula ao vivo de 5 dias) a uma plataforma Capture The Flag (CTF), onde tentarão uma combinação de desafios de múltipla escolha e respostas curtas. Os alunos devem relembrar os principais conceitos e executar os fluxos de trabalho discutidos em sala de aula para navegar com sucesso no torneio e acumular pontos. Quer a competição o motive ou não, esta seção apresenta uma excelente oportunidade para analisar amostras complexas de malware do mundo real e reforçar suas novas habilidades avançadas de análise de código.

O FOR710 é um curso de engenharia reversa do Windows de nível avançado que ignora os conceitos introdutórios e intermediários de análise de malware. Este curso pressupõe que os alunos tenham conhecimento e habilidades equivalentes aos discutidos no curso SANS FOR610 Engenharia reversa de Malware. Os alunos devem ter pelo menos seis meses de experiência realizando análise comportamental, análise de código dinâmico (ou seja, usando um depurador) e análise de código estático (ou seja, análise de conteúdo executável desmontado). Além disso, os alunos devem ter alguma exposição prévia à estrutura de engenharia reversa Ghidra. Se você não estiver familiarizado com esse recurso, considere assistir a esta breve introdução de Anuj Soni.

FOR710 Análise de Código Avançada irá prepará-lo para: Lidar com técnicas de ofuscação de código que impedem a análise de código estático, incluindo o uso de esteganografia Identificar os principais componentes da execução do programa para analisar malware de vários estágios na memória Identificar e extrair shellcode durante a execução do programa Desenvolver habilidades para lidar com formatos não binários durante a análise de malware Sondar as estruturas e campos associados a um cabeçalho PE Usar o WinDBG Preview para depurar e avaliar as principais estruturas de dados do processo na memória Identificar algoritmos de criptografia em ransomware usados para criptografia de arquivos e proteção de chave Reconhecer APIs do Windows que facilitam a criptografia e articulam sua finalidade Criar scripts Python para automatizar a extração de dados Usar estruturas de Instrumentação Binária Dinâmica (DBI) para automatizar fluxos de trabalho comuns de engenharia reversa Escrever scripts no Ghidra para agilizar a análise de código Correlacionar amostras de malware para identificar semelhanças e diferenças entre binários maliciosos e acompanhar a evolução das variantes Criar regras para identificar, agrupar e classificar malware