Engenharia Reversa de Trojan-Banker_Hack'nRio

9
Engenharia Reversa de Trojan-Banker Ronaldo P. Lima www.crimesciberneticos.com

description

Por Ronaldo P. Limawww.crimesciberneticos.com

Transcript of Engenharia Reversa de Trojan-Banker_Hack'nRio

Page 1: Engenharia Reversa de Trojan-Banker_Hack'nRio

Engenharia Reversa de

Trojan-BankerRonaldo P. Lima

www.crimesciberneticos.com

Page 2: Engenharia Reversa de Trojan-Banker_Hack'nRio

agenda

introduçãoengenharia reversa de malwareproteções e ofuscação de códigoferramentasetapas da engenharia reversaestudo de caso / demonstração

Page 3: Engenharia Reversa de Trojan-Banker_Hack'nRio

introdução

porque analisar manualmente

um trojan?incidentes internosdados sigilososdescoberta de novas ameaças e

técnicascriação de novas assinaturas

para apps de segurança

Page 4: Engenharia Reversa de Trojan-Banker_Hack'nRio

engenharia reversa de malware análise estática reverter o processo do compilador entender o funcionamento do

malware conhecimentos desejados:

programação, API windows,

memória, formato PE, (dis)assembly,

curiosidade para começar basta saber usar as

ferramentas certas

Page 5: Engenharia Reversa de Trojan-Banker_Hack'nRio

proteções e ofuscação de código

packers ofuscação de código e compressão de dados

cryptors ofuscação de código

binders anexa a outro arquivo

funções internas strings e informações relevantes (decrypt em

runtime)

Page 6: Engenharia Reversa de Trojan-Banker_Hack'nRio

ferramentas

máquina virtual

Virtual Box

VMware

identificadores

PEiD

exeinfoPE

RDG

file, TrID

unpackers

lammer info

busca no

google

manual

disassemblers e

debuggers

IDA

OllyDbg

Imm Debugg

er

WinDbg

descompiladores

DeDe (delphi

)VB

Decompiler

showmycode.com (Java, Flash,

PHP, .NET)

Page 7: Engenharia Reversa de Trojan-Banker_Hack'nRio

etapas da engenharia reversa1. identificar o arquivo e proteções

PEiD, exeinfoPE , RDG, file, TrID

2. retirar proteções

unpackers, manualmente

3. disassembly do código (IDA, OllyDbg)

4. buscar strings relevantes

5. descriptografar strings (OllyDbg)

6. no IDA ir atualizando com as descobertas

7. tentar descompilar (DeDe e VB Decompiler)

Page 8: Engenharia Reversa de Trojan-Banker_Hack'nRio

estudo de casovídeo de demonstração

Assista em:

http://www.youtube.com/watch?v=S8FSuKWmIYY