• Nazca: Sistema de Detecção de Malware em Larga Escala

    Um grupo de pesquisadores criou um novo sistema de detecção de infecções, que pode ajudar bastante os provedores de serviços de Internet e até mesmo as grandes empresas a detectar ataques de malware em larga escala, de uma forma que os antivírus e soluções de blacklist convencionais não poderiam ser capazes de detectar. Os últimos feitos com a utilização desta ferramenta foram, razoavelmente, bem sucedidos, quando se trata de dar um freio nas atividades das espécies de malware mais conhecidas. Entretanto, o fato deles dependerem de assinaturas e listas que são compilados a partir de uma amostra de software malicioso, foi analisado e identificado como meio não hábil para detecção de um malware zero-day.


    Os ataques drive-by download consistem em três fases:

    1. A fase de exploração, durante a qual o atacante tem como objetivo executar shellcode no computador da vítima;
    2. A fase de instalação, durante a qual o shellcode mencionado busca o binário malicioso real e passa a executá-lo;
    3. A fase de controle, durante a qual o malware alcança seu servidor C & C para instruções, atividades de malware adicional e para enviar informações.

    Nesse contexto surge o Nazca (como os pesquisadores apelidaram a ferramenta de detecção), que não procura detectar drive-by exploits que levam a downloads de malware, nem dependerá da análise e da reputação de programas baixados; ela concentra-se em infra-estruturas de distribuição de malware (ou seja, na segunda fase dos ataques). Além disso, o tráfego combinado produzido por um grande número de usuários na mesma rede, passa a detectar sinais reveladores como solicitações HTTP potencialmente maliciosas e conexões de Internet suspeitas, empregando técnicas evasivas (domain fluxing, malware repackaging, dentre outras).

    Em sua fase final, o utilitário Nazca agrega todas estas conexões e realiza pesquisas para todas as atividades maliciosas relacionadas. Segundo informaram os pesquisadores, a ferramenta funcionou muito bem quando foi testada durante um período de nove dias de tráfego de dados fornecidos por um ISP não identificado. Dessa forma, Nazca revelou-se imune a ofuscação de conteúdo e apresentou um percentual baixíssimo de falsos positivos.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/malware_news.php?id=2712

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L