FOR610: Engenharia reversa de Malware: Ferramentas e técnicas de análise de malware (36 CPEs)

O treinamento do FOR610 ajudou investigadores forenses, respondentes a incidentes, engenheiros de segurança e administradores de TI a adquirir as habilidades práticas para examinar programas maliciosos que visam e infectam sistemas Windows.

Compreender os recursos do malware é fundamental para sua capacidade de obter inteligência de ameaças, responder a incidentes de segurança cibernética e fortalecer as defesas corporativas. Este curso cria uma base sólida para software malicioso de engenharia reversa usando uma variedade de utilitários de monitoramento de sistema e rede, um desmontador, um depurador e muitas outras ferramentas disponíveis gratuitamente.

O curso começa estabelecendo a base para a análise de malware de uma forma que expande drasticamente as descobertas das ferramentas de análise automatizadas. Você aprenderá como configurar um laboratório flexível para examinar o funcionamento interno do software malicioso e como usar o laboratório para descobrir características de amostras de malware do mundo real. Você também aprenderá a redirecionar e interceptar o tráfego de rede no laboratório para explorar os recursos do espécime interagindo com o programa malicioso.

O curso continua discutindo conceitos essenciais de linguagem assembly relevantes para engenharia reversa. Você aprenderá a examinar o código malicioso com a ajuda de um desmontador e um depurador para entender seus principais componentes e fluxo de execução. Além disso, você aprenderá a identificar características comuns de malware examinando padrões suspeitos de API do Windows empregados por programas maliciosos.

Em seguida, você mergulhará no mundo do malware que prospera no ecossistema da web, explorando métodos para avaliar sites suspeitos e desobstruir JavaScript malicioso para entender a natureza do ataque. Você também aprenderá a analisar arquivos maliciosos do Microsoft Office, RTF e PDF. Esses documentos atuam como um vetor de infecção comum como parte de ataques convencionais e direcionados. Você também aprenderá a examinar malware “sem arquivo” e scripts mal-intencionados do PowerShell.

O malware geralmente é ofuscado para dificultar os esforços de análise, portanto, o curso fornecerá a você as habilidades para descompactar arquivos executáveis. Você aprenderá como despejar esses programas da memória com a ajuda de um depurador e ferramentas especializadas adicionais e como reconstruir a estrutura dos arquivos para contornar a proteção do empacotador. Você também aprenderá a examinar malware que exibe a funcionalidade de rootkit para ocultar sua presença no sistema, empregando análise de código e abordagens forenses de memória para examinar essas características.

O treinamento de análise de malware FOR610 também ensina como lidar com software malicioso que tenta se proteger da análise. Você aprenderá a reconhecer e ignorar medidas comuns de autodefesa, incluindo injeção de código, evasão de sandbox, direcionamento incorreto de fluxo e outras medidas. O curso culmina com uma série de desafios Capture-the-Flag projetados para reforçar as técnicas aprendidas em sala de aula e fornecer oportunidades adicionais para aprender habilidades práticas e práticas de análise de malware em um ambiente divertido.

Os exercícios práticos do workshop são um aspecto crítico deste curso. Eles permitem que você aplique técnicas de análise de malware examinando software malicioso de maneira controlada e sistêmica. Ao realizar os exercícios, você estudará os padrões comportamentais dos espécimes fornecidos e examinará as principais partes de seu código. Para dar suporte a essas atividades, você receberá máquinas virtuais Windows e Linux pré-criadas que incluem ferramentas para examinar e interagir com malware.

Importante! Configure o seu equipamento de acordo com as orientações do SANS!

É necessário um sistema devidamente configurado para participar plenamente deste curso. Se você não ler atentamente e seguir estas instruções, provavelmente sairá da aula insatisfeito porque não poderá participar de exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.

Isso é senso comum, mas vamos dizer assim mesmo: Faça backup do seu sistema antes da aula. Melhor ainda, não tenha nenhum dado sensível armazenado no sistema. SANS não pode ser responsável por seu sistema ou dados.

Para acessar os requisitos mais recentes do SANS para configurar o seu computador para a realização do curso, clique aqui.

O que você vai receber

Ao participar do FOR610, você receberá um kit de ferramentas eletrônico repleto de ferramentas úteis de análise de malware. Você os usará para realizar exercícios em aula e também poderá usá-los mais tarde para interrogar arquivos suspeitos quando retornar ao seu trabalho. As ferramentas foram pré-instaladas e configuradas para sua conveniência em duas máquinas virtuais que você receberá no kit de ferramentas do curso:

• Uma máquina virtual Windows REM Workstation com ferramentas de análise pré-instaladas, juntamente com a licença correspondente do Microsoft Windows.
• Uma máquina virtual REMnux configurada para executar a distribuição leve do Linux usada por muitos analistas de malware em todo o mundo.

O kit de ferramentas também inclui muitas amostras de malware do mundo real que você examinará durante o curso ao realizar exercícios práticos de laboratório, bem como arquivos de áudio MP3 das palestras completas do curso.

Você também receberá materiais de treinamento eletrônicos com explicações detalhadas e ilustrações dos conceitos, ferramentas e técnicas abordadas no curso. Os materiais incluem uma pasta de trabalho eletrônica que fornece instruções detalhadas passo a passo para todos os exercícios práticos de laboratório realizados no curso para facilitar a experiência de aprendizado.

Certificação GIAC Reverse Engineering Malware (GREM)

A certificação GIAC Reverse Engineering Malware (GREM) foi projetada para tecnólogos que protegem a organização contra códigos maliciosos. Os tecnólogos certificados pelo GREM possuem o conhecimento e as habilidades para fazer engenharia reversa de software malicioso (malware) direcionado a plataformas comuns, como o Microsoft Windows e navegadores da web. Esses indivíduos sabem como examinar o funcionamento interno do malware no contexto de investigações forenses, resposta a incidentes e administração do sistema Windows. Torne-se mais valioso para seu empregador e/ou clientes, destacando suas habilidades de análise de malware de ponta por meio da certificação GREM.

• Análise de arquivos de documentos maliciosos, análise de executáveis ??protegidos e análise de malware baseado na Web
• Análise detalhada de scripts de navegador maliciosos e análise detalhada de executáveis ??maliciosos
• Análise de malware usando análise forense de memória e código de malware e fundamentos de análise comportamental
• Conceitos de código de assembly do Windows para engenharia reversa e características comuns de malware do Windows no assembly

Para mais detalhes sobre a Certificação GIAC Reverse Engineering Malware (GREM), clique aqui

• SEÇÃO 1: Fundamentos da análise de malware
• Montagem de um kit de ferramentas para análise eficaz de malware; Examinando Propriedades Estáticas de Programas Suspeitos; Realização de Análise Comportamental de Executáveis Mal-Intencionados do Windows; Realização de análise de código estático e dinâmico de executáveis maliciosos do Windows; Interagindo com malware em um laboratório para obter características comportamentais adicionais

• SEÇÃO 2: Revertendo Código Malicioso
• Noções básicas sobre os conceitos básicos do assembly x86 para executar a análise de código malicioso; Identificando Estruturas Lógicas de Montagem Chave com um Disassembler; Seguindo o fluxo de controle do programa para entender os pontos de decisão durante a execução; Reconhecendo características comuns de malware no nível da API do Windows (Manipulação de Registro, Keylogging, Comunicações HTTP, Droppers); Estendendo o conhecimento do assembly para incluir a análise de código x64

• SEÇÃO 3: Web e arquivos de documentos maliciosos
•  Interagir com sites maliciosos para avaliar a natureza de suas ameaças; Desofuscando JavaScript malicioso usando depuradores e intérpretes; Analisando Arquivos PDF Suspeitos; Examinando documentos maliciosos do Microsoft Office, incluindo arquivos com macros; Analisando arquivos de documentos RTF maliciosos

• SEÇÃO 4: Análise detalhada de malware
• Reconhecendo malware compactado; Começando com a descompactação; Usando depuradores para despejar malware compactado da memória; Analisando Multi-Tecnologia e Malware Fileless; Injeção de código e API Hooking; Usando a análise forense de memória para análise de malware

• SEÇÃO 5: Examinando malware de autodefesa
• Como o malware detecta os depuradores e protege os dados incorporados; Descompactação de Software Mal-Intencionado que Emprega Process Hollow; Ignorando as tentativas de malware para detectar e evitar o Analysis Toolkit; Manipulação de técnicas de desvio de código, incluindo retornos de chamada SEH e TLS; Descompactando o executável malicioso antecipando as ações do empacotador

• SEÇÃO 6: Torneio de Análise de Malware
• Análise Comportamental de Malware; Análise dinâmica de malware (usando um depurador); Análise estática de malware (usando um desmontador); Desofuscação JavaScript; Análise de Documentos PDF; Análise de Documentos Microsoft Office; Análise de memória

Quem deve participar:

• Indivíduos que lidarm com incidentes envolvendo malware e desejam aprender a entender os principais aspectos de programas maliciosos
• Tecnólogos que experimentaram informalmente aspectos de análise de malware e estão procurando formalizar e expandir seus conhecimentos nesta área
• Investigadores forenses e profissionais de TI que buscam expandir seus conjuntos de habilidades e aprender a desempenhar um papel fundamental no processo de resposta a incidentes

• Construir um ambiente de laboratório isolado e controlado para analisar código e comportamento de programas maliciosos
• Empregar ferramentas de monitoramento de rede e sistema para examinar como o malware interage com o sistema de arquivos, registro, rede e outros processos em um ambiente Windows
• Descobrir e analisar malware Componentes JavaScript e VBScript de páginas da Web, que são frequentemente usados ??por kits de exploração para ataques drive-by
• Controlar aspectos relevantes do comportamento do programa malicioso por meio de interceptação de tráfego de rede e correção de código para realizar uma análise eficaz de malware
• Use um desmontador e um depurador para examinar o funcionamento interno de executáveis ??maliciosos do Windows
• Ignorar uma variedade de compactadores e outros mecanismos defensivos projetados por autores de malware para direcionar, confundir e retardar o analista
• Reconhecer e entender padrões comuns de nível de assembly em código malicioso, como injeção de DLL e antimedidas de análise
• Avaliar a ameaça associada a documentos maliciosos, su ch como arquivos PDF e Microsoft Office
• Derivar indicadores de comprometimento (IOCs) de executáveis ??maliciosos para fortalecer a resposta a incidentes e os esforços de inteligência de ameaças