Empresa de análise de arquivos maliciosos aqui no Brasil?

[psalles]

Seguinte pessoal, gostaria de saber se aqui no Brasil existe alguma empresa particular ou algum órgão governamental que faça análise de arquivos maliciosos mantendo uma base de dados sobre os mesmos... algo relacionado com isso! Hehe, acho que entendem o que estou querendo dizer...

Obrigado.

[ceth]

Que me veio a cabeça agora foi o site do CAIS, aonde são catalogadas todas as fraudes identificadas pelo próprio.

Mas sinceramente não sei se é isso que você quer, em todo caso da uma conferida.


[]s,
ceth

[psalles]

Que me veio a cabeça agora foi o site do CAIS, aonde são catalogadas todas as fraudes identificadas pelo próprio.

Mas sinceramente não sei se é isso que você quer, em todo caso da uma conferida.

Sim, eu conheço o CAIS já faz algum tempo, uma semana depois que foi ao ar o projeto eu já estava por lá! Mas lá eles apenas deixam catalogadas as fraudes e (pelo menos eu acho) não fazem mais nada, pois muitos usuários que enviam as fraudes não enviam os arquivos para serem análizados.

É, pelo visto acho que não existe nenhuma empresa assim aqui no Brasil, fiz o mesmo post na Linha Defensiva mas sem resposta...

Mas estou no aguardo de uma resposta ainda...

Até!

[juliocesarfort]

Esse tipo de serviço é raridade até mesmo no exterior, que dirá aqui no Brasil. Das empresas de fora conheço a HB Gary (www.hbgary.com) e a Mandiant (www.mandiant.com) e as já clássicas empresas de antivirus que têm como especialidade analisar malwares.

[mmachado]

Esse tipo de serviço é raridade até mesmo no exterior, que dirá aqui no Brasil.

Qual seria a vantagem de se prestar esse tipo de serviço?

A não ser que você crie produtos para combater esses programas maliciosos, que é o caso das empresas de anti-vírus, esse tipo de análise não passa de uma engenharia reversa que, apesar de importante em vários casos, costuma ser uma tarefa muito discriminada.

[]s, MM

[Einstein]

mantendo uma base de dados sobre os mesmos...

Na Linha Defensiva fazemos a análise de bankers de origem brasileira para adição ao BankerFIX. Posteriormente reportamos o arquivos para as companhias antivirus e também para os hosts onde o(s) arquivo(s) está(ão) hospedado(s). Arquivamos os malwares analisados somente para fins estatísticos.

No CastleCops, site de segurança americano também há uma boa base de dados de malware para estudo, colhidos por honeypots e pelos membros da Equipe, porém o acesso ao mesmo é dado somente a pesquisadores do MIRT (Malware Incident Report and Termination).

O único site que conheço que oferece algumas análises e mantém uma base de dados de malware de acesso público e aberto é o OffensiveComputing.

;)

[psalles]

Esse tipo de serviço é raridade até mesmo no exterior, que dirá aqui no Brasil. Das empresas de fora conheço a HB Gary (www.hbgary.com) e a Mandiant (www.mandiant.com) e as já clássicas empresas de antivirus que têm como especialidade analisar malwares.

Se esse serviço fosse raridade até no exterior, provavelmente não teríamos uma demanda enorme de anti-virus rolando por aí... Sim, aqui no Brasil não deve existir mesmo... Vou dar uma conferida neste sites.

Obrigado.

Qual seria a vantagem de se prestar esse tipo de serviço?

A vantagem de prestar esse tipo de serviço:

1) Teríamos uma base de dados contendo as mais variadas informações sobre as pragas atuais brasileiras, que nada mais são do que a mesma coisa de sempre só mudando de endereço.

2) Estas informações serviriam de prova para incriminar os responsáveis pela criação das pragas.

3) mmachado, você sabe muito bem que todos os anti-virus tem a mesma heurística na detecção de pragas. O que os anti-virus não fazem (e que agora as empresas estão começando a tratar disso) é a verificação dos arquivos diante seu comportamento, que no caso, pelo menos aqui no Brasil, é o que mais cresce, e são pragas praticamente do mesmo tipo, raras são as vezes que se modificam, tanto os arquivos em si quanto ao ataques de engenharia social. Tendo ciência disso, acho que se obtermos mais informações sobre essas pragas, pq não criarmos soluções de combate a isto?

4) Bom, se caso não tenhamos tanta eficiência para desenvolvermos uma solução de qualidade e bla bla bla, pq não vendermos nossas pesquisas à grandes empresas de segurança?


E sim, exatamente, engenharia reversa dentre outras coisas como sandboxes também...

E é claro que uma engenharia dessas é super importante, podemos colocar como exemplo os famosos KL's (KeyLoggers) que nada mais são que pequenos aplicativos, na maioria de sua vez feitos em Delphi ou C/C#, e se caso o desenvolvedor tem um pouco de conhecimento a mais, vai lá aplicar o Themida (software para camuflar arquivos) ou aplicativos similares em seus EXE's, e quando não fazem isso, se fizer uma pequena análise no arquivo, poderemos muito bem saber para onde os arquivos estão enviando os e-mails de log e onde eles se conectam para fazer o download de outros executáveis... Pq eles trabalham assim, geralmente é um arquivinho EXE, SRC, COM, PIF entre outros que "chamam" (fazem download) dos outros... e assim vai... Poxa, eu já peguei tantos trojans ai para análises, me surpreendi! Os caras são muito fracos mesmo! Cheguei a mandar e-mail para um dizendo que eu tinha hosting e servia domínio de graça pra hospedar arquivos e etc... Outros são tão, mas tão espertos, vejam:

Código:

http://www.reservasfrereis.com/

Peguem o arquivo BNE.zip, extraim ele, e vocês vão ver 2 arquivos, um BNE.exe e outro bne.dll, o EXE é um Banker e essa DLL? com meros 54 bytes? O quê? Uma DLL com 54 bytes? Poxa, vamos abrí-la no Notepad então ;D

E teremos:

Código:

ftp.kit.net
diniz_ftp
acdiniz
www.diniz_ftp.kit.net

Owow! Incrível né? Eu estava meio que monitorando a conta dele na Globo.com, só vendo o que ele hospedava no Kit.Net, ele apenas comprava certificados (arquivos .crt) com os nomes dos bancos, www.bradesco.com.br, www.bb.com.br, www.caixa.gov.br então já sabem para que ele utilizava...

É uma pena que descobriram também e fizeram alguma coisa ou ele mesmo mandou apagar a conta... hehehe

Mas voltando ao site:

Código:

http://www.reservasfrereis.com/

Se entrarmos ao diretório /img, veremos 3 arquivos, são eles: arquivo.txt, foto001.jpg, foto002.jpg.

conteúdo do arquivo.txt:

Código HTML:

<img src="http://images.orkut.com/orkut/albums2/ATcAAACK1fIXLVZj6Vw53vMewH2UJFeD1C82RKWv-18WBri66tRu0r8Aks5pzDmC8IusdTZp7ldhecugOPIVKB1EkX_KAJtU9VAQ4XduIP239TRGSQPrCbFIupmP9g.jpg" border=0>
<BR>
<p><a href="https://twitter.com/orkut_scrap/statuses/786928285">
<img src="http://images.orkut.com/orkut/albums2/ATgAAAAEPbZerUbv2lhbr59zC5-i3tygDRRhHcFezyprGoDrg8q6x3PiSZ0LfyjA6ZFALZ78sFEo9ozhHnnWCqoQBdTBAJtU9VABy70tah9m4fqEeXjsGRTUOgnnaw.jpg" border=0>
<BR>

Andei conversando com um amigo da Índia que trabalha no Google, no departamento do Orkut e ele me disse que é possível, através do link de uma foto do album descobrir o perfil de origem!

O perfil foi identificado e já foi excluído, por isso que as imagens não são mostradas, e o link vai pro twitter.com que redirecionava para um arquivo malicioso.

E o foto001.jpg e foto002.jpg, se clicarmos neles, vamos ver um tanto de código, logo não são imagens hehe, vamos clicar com o direito neles e salvarmos no nosso Desktop e renomeá-los de .jpg para .exe e pronto, temos mais dois trojans em mãos... e apartir desses já sabem como é o processo...

Bom, enfim, acho que se tivéssemos um departamento para fazer análises desse tipo com certeza iríamos pegar um bando de lixo espalhado por ai... Ah, sem contar no registro do domínio né?

Código:

http://who.is/whois-com/ip-address/reservasfrereis.com/

Bom, ele pode ter registrado o domínio no nome do Silvio Santos, do Bill Gates, do João, da Maria e etc... Mas peraí, ele registrou o domínio em um lugar, e há outro lugar que mantém os arquivos, o hosting, já é uma coisa...

Sinceramente eu acho que todo mundo conhece a ferida só que ninguém quer colocar o dedo nela...