Saiba Tudo sobre o Malware, a maior ameaça da CyberSegurança - SM!Tech
  • Home
    • Home Cyber Experience Saiba Tudo sobre o Malware, a maior ameaça da CyberSegurança

    Saiba Tudo sobre o Malware, a maior ameaça da CyberSegurança

    Share This
    Nos últimos anos, ouvimos falar de muitas pessoas e empresas grandes que perdem seus preciosos dados ou estão em uma situação em que seus sistemas são pirateados. Essas atividades indesejadas estão sendo causadas, na maioria dos casos, usando um pedaço de software inserido em um sistema de rede, servidor ou um computador pessoal. Este software é conhecido como um malware.
    Um malware pode causar danos a um sistema ou uma rede diretamente, ou subvertê-los para serem usados por outros, e não como os destinatários. É uma combinação de duas palavras: Mal significa Bad e Ware, que significa Software.
    Com base em www.av-test.org, as estatísticas estão crescendo tremendamente. Por favor, veja o gráfico a seguir para entender o crescimento do Malware.
    Como você pode ver, havia mais de 600.000.000 malwares detectados em 2016 sozinhos. Com base em securelist.com, os países que infectaram computadores em comparação com os mais limpos são
    Maximum risk (over 60%) 22 countries including


    Kyrgyzstan (60.77%)
    Afghanistan (60.54%).

    High risk (41-60%): 98 countries including


    India (59.7%)
    Egypt (57.3%)
    Belarus (56.7%)
    Turkey (56.2%)
    Brazil (53.9%)
    China (53.4%)
    UAE (52.7%)
    Serbia (50.1%)
    Bulgaria (47.7%)
    Argentina (47.4%)
    Israel (47.3%)
    Latvia(45.9%)
    Spain (44.6%)
    Poland (44.3%)
    Germany (44%)
    Greece (42.8%)
    France (42.6%)
    Korea (41.7%),
    Austria (41.7%)


    Moderate local infection rate (21-40.99%): 45 countries including


    Romania(40%)
    Italy (39.3%)
    Canada (39.2%)
    Australia (38.5%)
    Hungary (38.2%)
    Switzerland (37.2%)
    USA (36.7%)
    UK (34.7%)
    Ireland (32.7%)
    Netherlands(32.1%),
    Czech Republic (31.5%)
    Singapore (31.4%)
    Norway (30.5%)
    Finland (27.4%)
    Sweden (27.4%),
    Denmark (25.8%),
    Japan (25.6%).

    O malware pode ser projetado a partir de hackers para diferentes fins, como destruir dados, enviar os dados automaticamente para algum outro lugar, alterando os dados ou pode monitorá-lo até o período de tempo especificado. Desativar medidas de segurança, danificar o sistema de informações ou afetar de outra forma os dados e a integridade do sistema.
    Eles também vêm em diferentes tipos e formas, que discutiremos em detalhes nos próximos capítulos deste tutorial.

    Como Trabalha?
    Para entender como funciona o malware, primeiro devemos ver a anatomia de um ataque de malware, que é separado em cinco etapas como mostrado abaixo -
    • Ponto de entrada
    • Distribuição
    • Explorar
    • Infecção
    • Execução
    Vamos entender os pontos acima mencionados em detalhes.
    Ponto de entrada
    Um malware pode entrar no sistema de várias maneiras -
    • O usuário visita seu site favorito que foi infectado recentemente. Isso pode ser um ponto de entrada para um malware.
    • Se um usuário clicar em um URL que veio em um e-mail, ele irá seqüestrar esse navegador.
    • O malware também pode entrar através de qualquer mídia externa infectada, como um disco rígido USB ou externo.
    Distribuição
    O malware inicia um processo que redireciona o tráfego para um servidor de exploração que verifica o sistema operacional e aplicativos como o navegador, Java, Flash Player, etc.
    Explorar
    Nesta fase, o exploit tentará executar com base no sistema operacional e irá encontrar uma maneira de escalar o privilégio.
    Infecção
    Agora, o exploit que foi instalado com sucesso carregará uma carga útil para manter o acesso e gerenciar a vítima como acesso remoto, upload / download de arquivos, etc.
    Execução
    Nesta fase, o hacker que gerencia o Malware começará a roubar seus dados, criptografar seus arquivos, etc.

     Tipos
    Malwares são diversos; Eles vêm de diferentes funções e se comportam de forma diferente em várias situações. Alguns dos tipos de malwares mais infames e perigosos são apresentados a seguir:
    • Vírus
    • Adware
    • Spyware
    • Trojan
    • Rootkits
    • Botnets
    • Ransom Ware
    Deixe-nos entender cada detalhe detalhadamente.
    Vírus
    Virus é um programa de malware que atua de forma interessante. Este programa é executado ou se replica, colocando algumas cópias de si mesmo em outros programas de computador, setor de inicialização, arquivos de dados, disco rígido, etc. Quando o processo de replicação é feito, então as áreas afetadas são as infectadas .
    Os vírus são criados para executar algumas das atividades mais nocivas nos hosts quando estão infectadas. Eles podem roubar o tempo da CPU ou mesmo o espaço no disco rígido. Eles também podem corromper os dados e podem colocar algumas mensagens divertidas na tela do sistema.
    Adware
    Este software é principalmente o software de suporte publicitário. Um pacote que vem automaticamente com os anúncios dentro. Por isso, pode gerar boa renda para o proprietário.
    Spyware
    Spyware é um software que é usado principalmente para a coleta de informações sobre alguma organização ou pessoa. Essa informação é recolhida sem que ninguém saiba que a informação está sendo gerada pelo seu sistema.
    Trojan
    O Trojan é um tipo de malware não auto-replicante. Ele contém algum código malicioso, que realiza algumas ações que são determinadas pela natureza desse Trojan específico. Isso acontece somente com a execução. O resultado da ação é normalmente a perda de dados e também pode prejudicar o sistema de várias maneiras.
    Rootkits
    Os rootkits são o tipo de malware furtivo. Eles são projetados de maneira especial que eles realmente podem se esconder muito bem e é bastante difícil detectá-los em um sistema. Os métodos normais de detecção não funcionam neles.
    Botnets
    O Botnet é um software instalado em um computador conectado pela internet e pode ajudar a se comunicar com o outro tipo de programas, para que algumas ações possam ser executadas. Eles podem ser o mesmo que manter o controle de algum IRC, que são gráficos relacionados à Internet. Além disso, ele pode ser utilizado para enviar alguns e-mails de spam ou para participar de alguns ataques de distribuição de negação de serviços.
    Ransom Ware
    Ransom ware é um software que criptografa arquivos, que estão nos discos rígidos. Alguns deles podem até acabar simplesmente mostrando alguma mensagem sobre o pagamento de dinheiro para a pessoa, que implementou este programa.

    Ransom Ware
    Técnicas de detecção
    Geralmente, se um computador está infectado, existem alguns sintomas, que os usuários mais simples podem notar.
    Técnicas comuns de detecção de malware
    Algumas das técnicas de detecção de malware mais utilizadas são listadas da seguinte forma.
    • Seu computador mostra uma mensagem pop-up e de erro.
    • Seu computador congela freqüentemente e você não consegue trabalhar nisso.
    • O computador diminui quando um programa ou processo começa. Isso pode ser notado no gerenciador de tarefas que o processo do software começou, mas ainda não foi aberto para trabalhar.
    • Terceiros queixam-se de que estão recebendo convite nas redes sociais ou por e-mails de você.
    As alterações das extensões de arquivo aparecem ou os arquivos são adicionados ao seu sistema sem o seu consentimento.
    Blinking LED Light
    • O Internet Explorer congela com muita frequência mesmo que a velocidade da internet seja muito boa.
    O seu disco rígido é acessado na maioria das vezes, o que você pode ver a partir da luz LED piscando do seu computador.
    • OS files are corrupted or missing.
    NSIS Error
    • Se o seu computador estiver consumindo muita largura de banda ou recursos de rede, é o caso de um worm de computador.
    • O espaço no disco rígido é ocupado o tempo todo, mesmo que você não esteja tomando nenhuma ação. Por exemplo, uma instalação do Mew Program.
    • Os tamanhos de arquivos e programas mudam em comparação com a versão original.
    Erros não relacionados a malwares
    Os seguintes erros não estão relacionados a Atividades de Malware -
    • Erro enquanto o sistema está inicializando no estágio do Bios, como a tela da bateria da Bios, exibição do erro do temporizador.
    • Erros de hardware como Beeps, RAM burn, HDD, etc.
    • Se um documento não for iniciado normalmente como um arquivo corrompido, mas os outros arquivos podem ser abertos em conformidade.
    • O teclado ou o mouse não atende seus comandos; você deve verificar os plug-ins.
    Monitorando ligar e desligar muitas vezes, como piscar ou vibrar, esta é uma falha de hardware.
    In the next chapter, we will understand how to prepare for Malware removal.

    Preparação para remover
    Malwares se liga a programas e transmite a outros programas fazendo uso de alguns eventos. Eles precisam desses eventos, porque eles não podem começar por si mesmos, se transmitem usando arquivos não executáveis ​​e infectando outras redes ou um computador.
    Para preparar a fase de remoção, primeiro devemos entender quais são os processos informáticos que estão sendo usados ​​pelo malware para matá-los. Quais portas de tráfego estão sendo usadas por eles para bloqueá-los? Quais são os arquivos relacionados a esses malwares, para que possamos ter a chance de repará-los ou excluí-los. Tudo isso inclui um monte de ferramentas que nos ajudarão a reunir essa informação.
    Processo de Investigação
    A partir das conclusões acima mencionadas, devemos saber que, quando alguns processos ou serviços incomuns funcionam sozinhos, devemos investigar suas relações com um possível vírus. O processo de investigação é o seguinte:
    Para investigar os processos, devemos começar usando as seguintes ferramentas -
    • fport.exe
    • pslist.exe
    • handle.exe
    • netstat.exe
    O Listdll.exe mostra todos os arquivos dll que estão sendo usados. O netstat.exe com suas variáveis ​​mostra todos os processos que estão sendo executados com suas respectivas portas. O exemplo a seguir mostra como um processo do Kaspersky Antivirus é mapeado para um comando netstat-ano para ver os números do processo. Para verificar qual número de processo pertence, usaremos o gerenciador de tarefas.
    Listdll.exe
     the path of Listdll.exe as shown in the following screenshot, then run it.
    For Listdll.exe, we have download it from the following link – https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx and we can run it to check which processes are connected with the DLL that are being used.
    We open CMD and go to
    We will get the result as shown in the following screenshot.
    Listdll Result
    For example, PID 16320 is being used by the dllhost.exe, which has a description COM Surrogate and on the left. It has shown all the DLL being shown by this process, which we can google and check.
    Now we will use the Fport, which can be downloaded from the following link – https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# to map the services and PID with the ports.
    PID Ports
    Another tool to monitor the services and to see how many resources they are consuming is called as the “Process Explorer”, which can be downloaded from the following link – https://download.sysinternals.com/files/ProcessExplorer.zip and after downloading it, you have to run the exe file and you will see the following result −
    Process Explorer
    Malware - Processo de Remoção
    Neste capítulo, entenderemos como passar pelo processo de limpeza de um computador, que foi infectado por qualquer tipo de malware. Deixe-nos seguir as etapas a seguir.
    Passo 1 - Para começar, precisamos desconectar o computador da rede, que pode ser uma conexão por cabo ou uma conexão sem fio. Isso é feito para que o processo de hacking perca a conexão com o hacker, então nenhum outro dado pode continuar a derrubar.
    Passo 2 - Inicie o computador no modo de segurança, apenas os programas e serviços mínimos necessários são carregados. Se algum malware for configurado para carregar automaticamente quando o Windows for iniciado, entrar nesse modo pode impedir que isso ocorra. Isso é importante porque permite que os arquivos sejam removidos com facilidade, já que eles não estão funcionando ou estão ativos.
    Iniciando um computador em modo de segurança
    Iniciar um computador em um modo seguro pode variar do Windows 7 para o Windows 10. Para o sistema operacional Windows 10, as etapas são as seguintes:
    Passo 1 - Pressione a tecla do logotipo do Windows + I no seu teclado para abrir Configurações. Se isso não funcionar, selecione o botão Iniciar no canto inferior esquerdo da tela e selecione Configurações. Selecione Atualização e segurança → Recuperação.
    Passo 2 - Na seção de inicialização Avançada, selecione Reiniciar agora.
    Passo 3 - Após o seu PC reiniciar para a tela Escolher uma opção, selecione Solucionar problemas → Opções avançadas → Configurações de Inicialização → Reiniciar.
    Passo 4 - Após o reinício do seu PC, você verá uma lista de opções. Selecione 4 ou F4 para iniciar o seu PC no modo de segurança. Se você precisar usar a Internet, selecione 5 ou F5 para modo de segurança com rede.
    Startup Settings
    Delete Temporary files
    Elimine seus arquivos temporários. Fazer isso acelerará a verificação de vírus, liberará espaço em disco e até se livrará de algum malware. Para usar o Disk Cleanup Utility, incluído no Windows 10, basta digitar Disk Cleanup na barra de pesquisa ou depois de pressionar o botão Iniciar e selecionar a ferramenta que aparece - Disk Cleanup.
    Disk Cleanup
    Pare o processo de malware que pode estar relacionado a ele
    Vamos tentar terminar todos os processos maliciosos associados. Para fazer isso, usaremos o Rkill, que pode ser baixado facilmente a partir do seguinte link - www.bleepingcomputer.com/download/rkill/
    Malware Process
    Download Malware Scanner and Start a Scan
    Se você já possui um programa antivírus ativo no seu computador, você deve usar um scanner diferente para esta verificação de malware, pois seu software antivírus atual pode não ter detectado o malware. A maioria dos conhecidos softwares antivírus são fornecidos na seguinte captura de tela.
    Malware Scanner
    Malware Removal - Proteção
    Devemos entender que os vírus infectam máquinas externas apenas com a assistência de um usuário de computador, que pode ser como clicar em um arquivo que acompanha um e-mail de uma pessoa desconhecida, conectar um USB sem digitalizar, abrir URLs inseguras, etc. Por essas razões , nós, como administradores de sistema, precisamos remover as permissões de administrador dos usuários em seus computadores.
    Algumas das coisas mais comuns para deixar o malware entrar em um sistema são as seguintes -
    • Não abra quaisquer anexos de e-mail provenientes de pessoas desconhecidas ou mesmo de pessoas conhecidas que contenham texto suspeito.
    • Não aceita qualquer convite de pessoas desconhecidas nas mídias sociais.
    • Não abra qualquer URL enviado por pessoas desconhecidas ou pessoas conhecidas que estejam de forma estranha.
    Alguns outros ponteiros importantes para manter seu sistema atualizado são os seguintes

    Tags
    Share This
    Author Image

    About Unknown

    Tags

    Nenhum comentário:

    Postar um comentário

    Assinar: Postar comentários (Atom)