Fernando Mercês

Montar uma máquina virtual para analisar malware no Windows pode ser bastante demorado devido à quantidade de ferramentas que precisamos baixar e configurar. Mesmo existindo soluções que as baixam automaticamente, a banda de internet necessária pode ser bem grande, já que algums programas possuem muitos gigabytes. Pensando em otimizar este tempo, criamos o retoolkit, um conjunto de ferramentas pré-configurado que você baixa uma vez e usa sempre, em quantas máquinas virtuais quiser. A lista de ferramentas é grande, por isso criamos uma wiki no respositório do projeto no Github falando sobre cada uma delas, inclusive com exemplos de uso. Além de acelerar o setup de uma VM nova, você pode utilizar o retoolkit simplesmente para conhecer mais sobre algumas ferramentas utilizadas na área. ?

Muitas vezes quando analisando processos suspeitos estes criam arquivos e podem apagá-los depois. Algumas famílias de ransomware chegavam a escrever a chave usada para encriptar os arquivos no disco e depois apagar com o recurso de shredding (substituindo os bytes com zero ou com bytes aleatórios) para evitar a recuperação. Da necessidade de recuperar estes arquivos que "tocam" o filesystem surgiu, em 2014, o FileGrab, um software para monitorar a criação de arquivos no Windows e copiar assim que este for "fechado" (ter todo o seu conteúdo escrito). Na monitoração, é possível especificar um padrão de arquivos específicos para monitorar, utilizando a expansão tradicional do Windows (como *.exe) ou expressões regulares: Os nomes de arquivos que casarem sofrerão uma ação, se especificada na aba Capture. Esta pode ser a cópia para uma outra pasta, drive de rede ou um servidor FTP: O FileGrab é particularmente útil em máquinas virtuais para análise de malware e sandboxes. O código-fonte, assim como binários para Windows estão disponíveis no repositório do Github.

O vx-underground notou que o site do Ministério da Defesa Russo, https://mil.ru, está devolvendo um código de erro HTTP 418 para quem tenta acessá-lo de fora da Rússia, como mostra captura de tela abaixo: Mensagem de erro ao tentar acessar o site em 24/02/2022 às 15h51 UTC-3 Esse código de retorno foi parte de uma piada de primeiro de abril implementada na RFC do HTTP em 1998. De acordo com a documentação, o código HTTP 418 significa “Eu sou um bule de chá”, brincando com o fato de não poder fazer café por tal motivo. A única razão pela qual um webserver emitiria esse erro é trollar quem tenta acessar. Historicamente, alguns administradores de servidores web configuram seus servidores para emitirem este erro quando o webserver detecta scripts automatizando acessos (crawlers). Se um site oficial do governo russo o faz, é justamente para trollar o mundo, pois é algo configurado manualmente. A piada vem em momento de muito mal gosto, já que ontem a Rússia invadiu a Ucrânia, atacando a capital Kiev com mísseis, o que deu início a uma guerra. Diversas personalidades no mundo da tecnologia já se pronunciaram a respeito da guerra iniciada pela Rússia. Um dos criadores da criptomoeda Ethereum, o russo-canadense Vitaly Dmitriyevich "Vitalik" Buterin, disse num tweet que "O Ethereum é neutro, mas eu não". "Muito triste com a decisão do Putin de abandonar a possibilidade de solução pacífica na disputa com a Ucrânia e partir para a guerra. Isso é um crime contra os cidadãos ucranianos e russos. Eu espero que todos fiquem seguros, embora eu saiba que não vai haver segurança. Glória à Ucrânia.", diz no seu segundo tweet.

O que é o radare2? O framework radare2 é um conjunto de poderosas ferramentas para engenharia reversa totalmente open source e multiplataforma que conta com inúmeras funções desde de um poderoso disassembler, debugger, decompiler, emulação de código, uma interface para scripting e criação de plugins, assim como suporte para vários formatos de arquivos. O curso O curso abordará os conceitos iniciais e intermediários do framework radare2, desde de à mais superficial análise de arquivos até emulação e scripting usando r2pipe, além de ser feito à análise de alguns arquivos usando features de debugging e scripting para automação de atividades em RE. O instrutor @anderson_leite (Buzzer no Discord) é um profissional da segurança da informação, com grande ênfase e prática em desenvolvimento, engenharia reversa e análise de malwares, utiliza o radare2 e o Cutter no seu dia a dia como ferramenta de trabalho para analisar diversas ameaças que atingem sistemas macOS e Windows. Pré-requisitos VM com Ubuntu 20.04. Conhecimento básico de programação, especialmente Python e C. Ter feito o Programação Moderna em C e o CERO, nessa ordem. Familiaridade com arquitetura de computadores e engenharia reversa. Aulas publicadas Aula 0 - Instalação do r2 Aula 1 - Trabalhando com o rax2 e o rahash2 Aula 2 - Navegando e resolvendo um crackme Aula 3 - Referências de chamadas e modo visual (Parte 1) Aula 4 - Referências de chamadas e modo visual (Parte 2) Aula 5 - Scripting com r2pipe (Parte 1) Aula 6 - Scripting com r2pipe (Parte 2) Aula 7 - Debugging Aula 8 - Conhecendo o Cutter Aula 9 - Reconstruindo structs e navegando pelo binário Aula 10 - Debugando e reconhecendo ponteiros