Responder com citaçãoQue me veio a cabeça agora foi o site do CAIS, aonde são catalogadas todas as fraudes identificadas pelo próprio.
Mas sinceramente não sei se é isso que você quer, em todo caso da uma conferida.
[]s,
ceth
Usuário Registrado
Seguinte pessoal, gostaria de saber se aqui no Brasil existe alguma empresa particular ou algum órgão governamental que faça análise de arquivos maliciosos mantendo uma base de dados sobre os mesmos... algo relacionado com isso! Hehe, acho que entendem o que estou querendo dizer...
Obrigado.
htll
Que me veio a cabeça agora foi o site do CAIS, aonde são catalogadas todas as fraudes identificadas pelo próprio.
Mas sinceramente não sei se é isso que você quer, em todo caso da uma conferida.
[]s,
ceth
the human power is its own end.. Karl Marx
Usuário Registrado
Sim, eu conheço o CAIS já faz algum tempo, uma semana depois que foi ao ar o projeto eu já estava por lá! Mas lá eles apenas deixam catalogadas as fraudes e (pelo menos eu acho) não fazem mais nada, pois muitos usuários que enviam as fraudes não enviam os arquivos para serem análizados.Originalmente enviado por ceth
É, pelo visto acho que não existe nenhuma empresa assim aqui no Brasil, fiz o mesmo post na Linha Defensiva mas sem resposta...
Mas estou no aguardo de uma resposta ainda...
Até!
Usuário Avançado
Esse tipo de serviço é raridade até mesmo no exterior, que dirá aqui no Brasil. Das empresas de fora conheço a HB Gary (www.hbgary.com) e a Mandiant (www.mandiant.com) e as já clássicas empresas de antivirus que têm como especialidade analisar malwares.
Eu só trabalho aqui
Qual seria a vantagem de se prestar esse tipo de serviço?
A não ser que você crie produtos para combater esses programas maliciosos, que é o caso das empresas de anti-vírus, esse tipo de análise não passa de uma engenharia reversa que, apesar de importante em vários casos, costuma ser uma tarefa muito discriminada.
[]s, MM
Na Linha Defensiva fazemos a análise de bankers de origem brasileira para adição ao BankerFIX. Posteriormente reportamos o arquivos para as companhias antivirus e também para os hosts onde o(s) arquivo(s) está(ão) hospedado(s). Arquivamos os malwares analisados somente para fins estatísticos.mantendo uma base de dados sobre os mesmos...
No CastleCops, site de segurança americano também há uma boa base de dados de malware para estudo, colhidos por honeypots e pelos membros da Equipe, porém o acesso ao mesmo é dado somente a pesquisadores do MIRT (Malware Incident Report and Termination).
O único site que conheço que oferece algumas análises e mantém uma base de dados de malware de acesso público e aberto é o OffensiveComputing.
;)
Usuário Registrado
Se esse serviço fosse raridade até no exterior, provavelmente não teríamos uma demanda enorme de anti-virus rolando por aí... Sim, aqui no Brasil não deve existir mesmo... Vou dar uma conferida neste sites.
Obrigado.
A vantagem de prestar esse tipo de serviço:
1) Teríamos uma base de dados contendo as mais variadas informações sobre as pragas atuais brasileiras, que nada mais são do que a mesma coisa de sempre só mudando de endereço.
2) Estas informações serviriam de prova para incriminar os responsáveis pela criação das pragas.
3) mmachado, você sabe muito bem que todos os anti-virus tem a mesma heurística na detecção de pragas. O que os anti-virus não fazem (e que agora as empresas estão começando a tratar disso) é a verificação dos arquivos diante seu comportamento, que no caso, pelo menos aqui no Brasil, é o que mais cresce, e são pragas praticamente do mesmo tipo, raras são as vezes que se modificam, tanto os arquivos em si quanto ao ataques de engenharia social. Tendo ciência disso, acho que se obtermos mais informações sobre essas pragas, pq não criarmos soluções de combate a isto?
4) Bom, se caso não tenhamos tanta eficiência para desenvolvermos uma solução de qualidade e bla bla bla, pq não vendermos nossas pesquisas à grandes empresas de segurança?
E sim, exatamente, engenharia reversa dentre outras coisas como sandboxes também...
E é claro que uma engenharia dessas é super importante, podemos colocar como exemplo os famosos KL's (KeyLoggers) que nada mais são que pequenos aplicativos, na maioria de sua vez feitos em Delphi ou C/C#, e se caso o desenvolvedor tem um pouco de conhecimento a mais, vai lá aplicar o Themida (software para camuflar arquivos) ou aplicativos similares em seus EXE's, e quando não fazem isso, se fizer uma pequena análise no arquivo, poderemos muito bem saber para onde os arquivos estão enviando os e-mails de log e onde eles se conectam para fazer o download de outros executáveis... Pq eles trabalham assim, geralmente é um arquivinho EXE, SRC, COM, PIF entre outros que "chamam" (fazem download) dos outros... e assim vai... Poxa, eu já peguei tantos trojans ai para análises, me surpreendi! Os caras são muito fracos mesmo! Cheguei a mandar e-mail para um dizendo que eu tinha hosting e servia domínio de graça pra hospedar arquivos e etc... Outros são tão, mas tão espertos, vejam:
Peguem o arquivo BNE.zip, extraim ele, e vocês vão ver 2 arquivos, um BNE.exe e outro bne.dll, o EXE é um Banker e essa DLL? com meros 54 bytes? O quê? Uma DLL com 54 bytes? Poxa, vamos abrí-la no Notepad então ;DCódigo:http://www.reservasfrereis.com/
E teremos:
Owow! Incrível né? Eu estava meio que monitorando a conta dele na Globo.com, só vendo o que ele hospedava no Kit.Net, ele apenas comprava certificados (arquivos .crt) com os nomes dos bancos, www.bradesco.com.br, www.bb.com.br, www.caixa.gov.br então já sabem para que ele utilizava...Código:ftp.kit.net diniz_ftp acdiniz www.diniz_ftp.kit.net
É uma pena que descobriram também e fizeram alguma coisa ou ele mesmo mandou apagar a conta... hehehe
Mas voltando ao site:
Se entrarmos ao diretório /img, veremos 3 arquivos, são eles: arquivo.txt, foto001.jpg, foto002.jpg.Código:http://www.reservasfrereis.com/
conteúdo do arquivo.txt:
Andei conversando com um amigo da Índia que trabalha no Google, no departamento do Orkut e ele me disse que é possível, através do link de uma foto do album descobrir o perfil de origem!Código HTML:<img src="http://images.orkut.com/orkut/albums2/ATcAAACK1fIXLVZj6Vw53vMewH2UJFeD1C82RKWv-18WBri66tRu0r8Aks5pzDmC8IusdTZp7ldhecugOPIVKB1EkX_KAJtU9VAQ4XduIP239TRGSQPrCbFIupmP9g.jpg" border=0> <BR> <p><a href="https://twitter.com/orkut_scrap/statuses/786928285"> <img src="http://images.orkut.com/orkut/albums2/ATgAAAAEPbZerUbv2lhbr59zC5-i3tygDRRhHcFezyprGoDrg8q6x3PiSZ0LfyjA6ZFALZ78sFEo9ozhHnnWCqoQBdTBAJtU9VABy70tah9m4fqEeXjsGRTUOgnnaw.jpg" border=0> <BR>
O perfil foi identificado e já foi excluído, por isso que as imagens não são mostradas, e o link vai pro twitter.com que redirecionava para um arquivo malicioso.
E o foto001.jpg e foto002.jpg, se clicarmos neles, vamos ver um tanto de código, logo não são imagens hehe, vamos clicar com o direito neles e salvarmos no nosso Desktop e renomeá-los de .jpg para .exe e pronto, temos mais dois trojans em mãos... e apartir desses já sabem como é o processo...
Bom, enfim, acho que se tivéssemos um departamento para fazer análises desse tipo com certeza iríamos pegar um bando de lixo espalhado por ai... Ah, sem contar no registro do domínio né?
Bom, ele pode ter registrado o domínio no nome do Silvio Santos, do Bill Gates, do João, da Maria e etc... Mas peraí, ele registrou o domínio em um lugar, e há outro lugar que mantém os arquivos, o hosting, já é uma coisa...Código:http://who.is/whois-com/ip-address/reservasfrereis.com/
Sinceramente eu acho que todo mundo conhece a ferida só que ninguém quer colocar o dedo nela...
Última edição por mmachado : 27/05/2008 às 17:46 Motivo: Formatação
Eu só trabalho aqui
Mas a questão é justamente essa! Foi o que quis dizer sobre qual seria a vantagem de se fazer essas análises. Eu já fiz tudo isso o que você fez, por pura curiosidade mesmo, como deve ser o seu caso. Mas o que mais poderia ser feito?
Esse tipo de pesquisa leva um certo tempo. Se eu for me dedicar a analisar cada porcaria desse tipo que chega no meu e-mail eu não vou mais ter tempo para nada. A não ser que essa tarefa pague o leitinho das crianças, não vai dar pra dedicar mais do que alguns minutos a isso. E mesmo que você possa identificar as pessoas por trás desses malware, você vai precisar da polícia para tomar alguma atitude concreta. A PF vem fazendo exatamente isso e me parece que com um certo sucesso (se a justiça libera os crápulas depois é uma outra história).
Então, tirando a investigação policial, eu vejo duas alternativas para essa atividade: a) você trabalha em uma empresa que produz um produto para combater esse tipo de malware. O Bankerfix do Linha Defensiva se enquadra nessa categoria. b) você presta este serviço de análise para empresas que foram invadidas e querem iniciar, por conta própria, um processo específico sobre o autor da ação.
Como o Einstein disse (não o físico, o nosso colega daqui) algumas empresas catalogam essas incidências e disponibilizam informações sobre onde estão e quais são os malwares encontrados. Mas esse método é tão ineficaz quanto assinatura de anti-vírus, já que a maioria desses arquivos só precisam ficar online por poucas horas, até que uma certa porcentagem das vítimas os baixem para seus computadores. Logo em seguida os marginais hospedam isso em outros sites (muitas vezes invadidos) e iniciam uma nova rodada de infecção, tornando a listagem do local anterior inútil.
[]s, MM
Última edição por mmachado : 03/05/2011 às 13:24
There are currently 1 users browsing this thread. (0 members and 1 guests)
Regras de envio