6 MALWARE THREATS

Objetivos de Aprendizagem:

Os objetivos principais deste módulo são fornecer conhecimento sobre vários tipos de malware e ilustrar como executar análises de malware. Este módulo apresenta diferentes tipos de 
Trojans, backdoors, vírus e worms, explica como eles funcionam e se propagam ou se espalham na Internet, descreve seus sintomas e discute suas consequências junto com várias técnicas 
de análise de malware, como análise de malware estática e dinâmica. Ele também discute diferentes maneiras de proteger redes ou recursos do sistema contra infecção por malware.
Ao final deste módulo, você será capaz de:

• Descrever os conceitos de malware e técnicas de propagação de malware
• Explicar aplicativos potencialmente indesejados (PUAs) e adware
• Descrever os conceitos de ameaças persistentes avançadas (APTs) e seu ciclo de vida
• Descrever os conceitos de cavalos de Troia, seus tipos e como eles infectam sistemas
• Explicar os conceitos de vírus, seus tipos e como eles infectam arquivos
• Explicar o conceito de worms de computador
• Explicar os conceitos de malware sem arquivo e como eles infectam arquivos
• Executar análise de malware
• Explicar diferentes técnicas para detectar malware
• Adotar contramedidas contra malware

Malware Concepts 

Para entender os vários tipos de malware e seu impacto nos recursos de rede e sistema, 
começaremos com uma discussão dos conceitos básicos de malware. Esta seção descreve malware, 
destaca as técnicas comuns usadas por invasores para distribuir malware na web e explica 
aplicativos potencialmente indesejados (PUAs).

Introdução ao Malware

Malware é um software malicioso que danifica ou desabilita sistemas de computador e dá 
controle limitado ou total dos sistemas ao criador do malware para atividades maliciosas, 
como roubo ou fraude. Malware inclui vírus, worms, cavalos de Troia, rootkits, backdoors, 
botnets, ransomware, spyware, adware, scareware, crapware, roughware, crypters, keyloggers, 
etc. Eles podem excluir arquivos, deixar computadores lentos, roubar informações pessoais, 
enviar spam ou cometer fraudes. Malware pode executar várias atividades maliciosas, desde 
simples propaganda por e-mail até roubo complexo de identidade e senha.
Programadores de malware desenvolvem e usam malware para:

Ataque navegadores e rastreie sites visitados
■	Deixar os sistemas lentos e degradar o desempenho do sistema
■	Causar falha de hardware, tornando os computadores inoperantes
■	Roubar informações pessoais, incluindo contatos
•	Apagar informações valiosas, resultando em perda substancial de dados
•	Atacar sistemas de computador adicionais diretamente de um sistema comprometido
Caixas de entrada de spam com e-mails publicitários

Diferentes maneiras de malware entrar em um sistema:

Aplicativos de mensagens instantâneas
A infecção pode ocorrer por meio de aplicativos de mensagens instantâneas, como Facebook 
Messenger, WhatsApp Messenger, Linkedln Messenger, Google Hangouts ou ICQ. Os usuários correm 
alto risco ao receber arquivos por meio de mensagens instantâneas. Independentemente de quem 
envia o arquivo ou de onde ele é enviado, sempre há risco de infecção por um Trojan. O 
usuário nunca pode ter 100% de certeza de quem está do outro lado da conexão em um momento 
específico. Por exemplo, se você receber um arquivo por meio de um aplicativo de mensagens 
instantâneas de uma pessoa conhecida, como Bob, você tentará abrir e visualizar o arquivo. 
Isso pode ser um truque pelo qual um invasor que hackeou o ID e a senha do messenger de Bob 
quer espalhar Trojans pela lista de contatos de Bob para capturar mais vítimas.

• Mídia de Hardware Portátil/Dispositivos Removíveis
o Mídia de hardware portátil, como pen drives, CDs/DVDs e discos rígidos externos, também 
pode injetar malware em um sistema. Uma maneira simples de injetar malware no sistema alvo é 
por meio de acesso físico. Por exemplo, se Bob puder acessar o sistema de Alice na ausência 
dela, ele poderá instalar um Trojan copiando o software Trojan de seu pen drive para o disco 
rígido dela.
o Outro meio de infecção por malware de mídia portátil é por meio da função Autorun. Autorun, 
também conhecido como Autoplay ou Autostart, é um recurso do Windows que, se habilitado, 
executa um programa executável quando um usuário insere um CD/DVD na bandeja de DVD-ROM ou 
conecta um dispositivo USB. Os invasores podem explorar esse recurso para executar malware 
junto com programas genuínos. Eles colocam um arquivo Autorun.inf com o malware em um CD/DVD 
ou dispositivo USB e enganam as pessoas para inseri-lo ou conectá-lo

seus sistemas. Como muitas pessoas não estão cientes dos riscos envolvidos, suas máquinas são 
vulneráveis ​​ao malware Autorun. O seguinte é o conteúdo de um arquivo Autorun.inf:
[autorun]
open=setup.exe
icon=setup.exe
Para mitigar essa infecção, desative a funcionalidade Autostart. Siga as instruções abaixo 
para desativar a Reprodução Automática no Windows 10:

1. Clique em Iniciar. Digite gpedit.msc na caixa Iniciar Pesquisa e pressione ENTER.
2. Se for solicitada uma senha de administrador ou confirmação, digite a senha ou clique em 
Permitir.
3. Em Configuração do Computador, expanda Modelos Administrativos, expanda Componentes do 
Windows e clique em Políticas de Reprodução Automática.
4. No painel Detalhes, clique duas vezes em Desativar Reprodução Automática.
5. Clique em Habilitado e selecione Todas as unidades na caixa Desativar Reprodução 
Automática para desativar a Execução Automática em todas as unidades.
6. Reinicie o computador.

• Bugs de software de navegador e e-mail
Navegadores da web desatualizados geralmente contêm vulnerabilidades que podem representar um grande risco para o computador do usuário. Uma visita a um site malicioso desses navegadores 

pode infectar automaticamente a máquina sem baixar ou executar nenhum programa. O mesmo 
cenário ocorre ao verificar e-mails com o Outlook ou algum outro software com problemas bem 
conhecidos. Novamente, ele pode infectar o sistema do usuário sem nem mesmo baixar um anexo. 
Para reduzir esses riscos, sempre use a versão mais recente do navegador e do software de 
e-mail.
• Gerenciamento de patches inseguro
Software sem patches representa um alto risco. Usuários e administradores de TI não atualizam 
seus softwares de aplicativos com a frequência que deveriam, e muitos invasores tiram 
proveito desse fato bem conhecido. Os invasores podem explorar o gerenciamento de patches 
inseguro injetando malware no software que pode danificar os dados armazenados nos sistemas 
da empresa. Esse processo pode levar a violações de segurança extensas, como roubo de 
arquivos confidenciais e credenciais da empresa. Alguns aplicativos que foram considerados 
vulneráveis ​​e foram corrigidos recentemente incluem o Google Play Core Library 
(CVE-2020-8913), Cloudflare WARP para Windows (CVE-2020-35152), Oracle Weblogic Server 
(CVE-2020-14750) e Apache Tomcat (CVE-2021-24122). O gerenciamento de patches deve ser eficaz 
na mitigação de ameaças, e é vital aplicar patches e atualizar regularmente os programas de 
software.
• Aplicativos desonestos/isca
Os invasores podem facilmente atrair uma vítima para baixar aplicativos/programas gratuitos. 
Se um programa gratuito alega ser carregado com recursos como um catálogo de endereços, 
acesso a vários

Contas POP3 e outras funções, muitos usuários ficarão tentados a experimentar. POP3 (Post Office Protocol versão 3) é um protocolo de transferência de e-mail.

o Se uma vítima baixar programas gratuitos e rotulá-los como CONFIÁVEIS, o software de 
proteção, como o software antivírus, não indicará o uso de um novo software. Nessa situação, 
um invasor recebe um e-mail, senhas de contas POP3, senhas armazenadas em cache e 
pressionamentos de tecla por e-mail sem ser notado.
o Os invasores prosperam na criatividade. Considere um exemplo em que um invasor cria um site 
falso (digamos, Audio Galaxy) para baixar MP3s. Ele ou ela poderia gerar esse site usando 15 
GB de espaço para os MP3s e instalando quaisquer outros sistemas necessários para criar a 
ilusão de um site. Isso pode enganar os usuários, fazendo-os pensar que estão apenas baixando 
de outros usuários da rede. No entanto, o software pode atuar como um backdoor e infectar 
milhares de usuários ingênuos.
o Alguns sites até mesmo vinculam a software anti-Trojan, enganando os usuários a confiar 
neles e baixar freeware infectado. Incluído na configuração está um arquivo readme.txt que 
pode enganar quase qualquer usuário. Portanto, qualquer site de freeware requer atenção 
adequada antes que qualquer software seja baixado dele.
o Webmasters de portais de segurança bem conhecidos, que têm acesso a vastos arquivos 
contendo vários programas de hacking, devem agir responsavelmente com relação aos arquivos 
que fornecem e escaneá-los frequentemente com software antivírus e anti-Trojan para garantir 
que seu site esteja livre de Trojans e vírus. Suponha que um invasor envie um programa 
infectado com um Trojan (por exemplo, um UDP flooder) para o webmaster de um arquivo. Se o 
webmaster não estiver alerta, o invasor pode usar essa oportunidade para infectar os arquivos 
no site com o Trojan. Usuários que lidam com qualquer software ou aplicativo da web devem 
escanear seus sistemas diariamente. Se eles detectarem qualquer arquivo novo, é essencial 
examiná-lo. Se surgir qualquer suspeita sobre o arquivo, também é importante encaminhá-lo 
para laboratórios de detecção de software para análise posterior.
o É fácil infectar máquinas usando freeware; portanto, precauções extras são necessárias.

• Sites não confiáveis ​​e aplicativos/softwares gratuitos da Web
Um site pode ser suspeito se estiver localizado em um provedor de site gratuito ou que 
ofereça programas para atividades ilegais.
o É altamente arriscado baixar programas ou toais localizados em sites "underground", por
exemplo, software NeuroticKat, porque eles podem servir como um canal para um ataque de 
Trojan em computadores alvo. Os usuários devem avaliar o alto risco de visitar esses sites 
antes de navegar neles.
o Muitos sites maliciosos têm uma aparência profissional, arquivos enormes, fóruns de 
feedback e links para outros sites populares. Os usuários devem escanear os arquivos usando 
um software antivírus antes de baixá-los. Só porque um site parece profissional não significa 
que ele seja seguro.
o Sempre baixe software popular de seu site original (ou espelho oficialmente dedicado), e 
não de sites de terceiros com links para o (supostamente) mesmo software.

• Baixando arquivos da Internet
Trojans entram em um sistema quando os usuários baixam aplicativos controlados pela Internet,

como tocadores de música, arquivos, filmes, jogos, cartões comemorativos e protetores de tela 
de sites maliciosos, pensando que são legítimos. Macros do Microsoft Word e Excel também são 
usadas efetivamente para transferir malware, e arquivos maliciosos do MS Word/Excel baixados 
podem infectar sistemas. Malware também pode ser incorporado em arquivos de áudio/vídeo, bem 
como em arquivos de legenda de vídeo.
• Anexos de e-mail
Um anexo a um e-mail é o meio mais comum para transmitir malware. O anexo pode estar em 
qualquer formato, e o invasor usa ideias inovadoras para enganar a vítima para clicar e 
baixar o anexo. O anexo pode ser um documento, arquivo de áudio, arquivo de vídeo, folheto, 
fatura, carta de oferta de loteria, carta de oferta de emprego, carta de aprovação de 
empréstimo, formulário de admissão, aprovação de contrato, etc.
Exemplo 1: O amigo de um usuário está conduzindo uma pesquisa, e o usuário gostaria de saber 
mais sobre o tópico de pesquisa do amigo. O usuário envia um e-mail ao amigo para perguntar 
sobre o tópico e aguarda uma resposta. Um invasor que tenha como alvo o usuário também sabe o 
endereço de e-mail do amigo. O invasor simplesmente codificará um programa para preencher 
falsamente o campo "De:" do e-mail e anexar um Trojan no e-mail. O usuário verificará o 
e-mail e pensará que o amigo respondeu à consulta em um anexo, baixará o anexo e o executará 
sem pensar que pode ser um Trojan, resultando em uma infecção.

Alguns clientes de e-mail, como o Outlook Express, têm bugs que executam arquivos anexados 
automaticamente. Para evitar tais ataques, use serviços de e-mail seguros, investigue os 
cabeçalhos de e-mails com anexos, confirme o endereço de e-mail do remetente e baixe o anexo 
somente se o remetente for legítimo.

• Propagação de rede
A segurança de rede é a primeira linha de defesa para proteger sistemas de informação de 
incidentes de hacking. No entanto, vários fatores, como a substituição de firewalls de rede e 
erros de operadores, podem às vezes permitir tráfego de Internet não filtrado em redes 
privadas. Operadores de malware tentam continuamente conexões com endereços dentro do 
intervalo de endereços de Internet de propriedade de alvos para buscar uma oportunidade de 
acesso irrestrito. Alguns malwares se propagam por redes tecnológicas. Por exemplo, o Blaster 
começa a partir do endereço IP de uma máquina local ou um endereço completamente aleatório e 
tenta infectar endereços IP sequenciais. Embora ataques de propagação de rede que tiram 
proveito de vulnerabilidades em protocolos de rede comuns (por exemplo, SQL Slammer) não 
tenham sido prevalentes recentemente, o potencial para tais ataques ainda existe.

• Compartilhamento de arquivos
Se NetBIOS (porta 139), FTP (porta 21), SMB (porta 145), etc., em um sistema estiverem 
abertos para compartilhamento de arquivos ou execução remota, eles podem ser usados ​​por 
outros para acessar o sistema. Isso pode permitir que invasores instalem malware e modifiquem 
arquivos do sistema.

Os invasores também podem usar um ataque DoS para desligar o sistema e forçar uma 
reinicialização para que o Trojan possa reiniciar-se imediatamente. Para evitar tais ataques, 
certifique-se de que a propriedade de compartilhamento de arquivos esteja desabilitada. Para 
desabilitar a opção de compartilhamento de arquivos, clique em Iniciar e digite Contrai 
Panei. Em seguida, nos resultados, clique na opção Contrai Panei e navegue até Rede e 
Internet ➔ Central de Rede e Compartilhamento ➔ Alterar Configurações Avançadas de 
Compartilhamento. Selecione um perfil de rede e, na seção Compartilhamento de Arquivos e 
Impressoras, selecione Desativar compartilhamento de arquivos e impressoras. Isso evitará 
abuso de compartilhamento de arquivos.

Técnicas comuns que os invasores usam para distribuir malware na Web Fonte: Security Threat 
Report (https://www.sophos.com}
Algumas técnicas padrão usadas para distribuir malware na Web são as seguintes:

Black hat Search Engine Optimization (SEO): Black hat SEO (também conhecido como SEO 
antiético) usa táticas agressivas de SEO, como preenchimento de palavras-chave, inserção de 
páginas de entrada, troca de páginas e adição de palavras-chave não relacionadas para obter 
classificações mais altas em mecanismos de busca para páginas de malware.
Click-jacking de engenharia social: invasores injetam malware em sites que parecem legítimos 
para enganar os usuários a clicarem neles. Quando clicado, o malware incorporado no link é 
executado sem o conhecimento ou consentimento do usuário.
Sites de spear-phishing: essa técnica é usada para imitar instituições legítimas, como 
bancos, para roubar senhas, dados de cartão de crédito e conta bancária e outras informações 
confidenciais.
Malvertising: essa técnica envolve a incorporação de anúncios carregados de malware em canais legítimos de publicidade online para espalhar malware em sistemas de usuários desavisados.

• Sites Legítimos Comprometidos: Frequentemente, os invasores usam sites comprometidos para 
infectar sistemas com malware. Quando um usuário desavisado visita o site comprometido, ele/ela instala, sem saber, o malware em seu sistema, após o que o malware realiza atividades 
maliciosas.

• Drive-by Downloads: refere-se ao download não intencional de software pela Internet. Aqui, um invasor explora falhas no software do navegador para instalar malware simplesmente 
visitando um site.
• E-mails de spam: o invasor anexa um arquivo malicioso a um e-mail e o envia para vários 
endereços de destino. A vítima é enganada para clicar no anexo e, assim, executa o malware, 
comprometendo sua máquina. Essa técnica é o método mais comum atualmente em uso por 
invasores. Além dos anexos de e-mail, um invasor também pode usar o corpo do e-mail para 
incorporar o malware.
• Injeção de Rich Text Format (RTF): a injeção de RTF envolve a exploração de recursos do 
Microsoft Office, como arquivos de modelo RTF armazenados localmente ou em uma máquina 
remota. Os modelos RTF são usados ​​para especificar o formato do documento. Os invasores 
injetam macros maliciosas em arquivos RTF e os hospedam em seus servidores. Quando um usuário 
abre o documento, o modelo malicioso é recuperado automaticamente do servidor remoto, 
evitando os sistemas de segurança.

Componentes do Malware
Autores e invasores de malware criam malware usando componentes que podem ajudá-los a atingir 
seus objetivos. Eles podem usar malware para roubar informações, excluir dados, alterar 
configurações do sistema, fornecer acesso ou simplesmente se multiplicar e ocupar espaço. O 
malware é capaz de se propagar e funcionar secretamente.
Alguns componentes essenciais da maioria dos programas de malware são os seguintes:

• Crypter: é um programa de software que pode ocultar a existência de malware. Os invasores 
usam esse software para iludir a detecção de antivírus. Ele protege o malware de engenharia 
reversa ou análise, dificultando sua detecção por mecanismos de segurança.
• Downloader: é um tipo de Trojan que baixa outro malware (ou) código malicioso e arquivos da 
Internet para um PC ou dispositivo. Normalmente, os invasores instalam um downloader quando 
obtêm acesso a um sistema pela primeira vez.
• Dropper: é um portador secreto de malware. Os invasores incorporam arquivos de malware 
notórios dentro de droppers, que podem executar a tarefa de instalação secretamente. Os 
invasores precisam primeiro instalar o programa ou código de malware no sistema para executar 
o dropper. O dropper pode transportar código de malware e executar malware em um sistema de 
destino sem ser detectado por scanners de antivírus.
• Exploit: é a parte do malware que contém código ou uma sequência de comandos que pode tirar 
vantagem de um bug ou vulnerabilidade em um sistema ou dispositivo digital. Os invasores usam 
esse código para violar a segurança do sistema por meio de vulnerabilidades de software para 
espionar informações ou instalar malware. Com base no tipo de vulnerabilidades abusadas, os 
exploits são categorizados em exploits locais e exploits remate.

• lnjector: Este programa injeta exploits ou código malicioso disponível no malware em outros 
processos vulneráveis ​​em execução e altera o método de execução para ocultar ou impedir sua 
remoção.
• Obfuscator: É um programa que oculta o código malicioso do malware por meio de várias 
técnicas, dificultando a detecção ou remoção por mecanismos de segurança.
• Packer: Este software compacta o arquivo de malware para converter o código e os dados do 
malware em um formato ilegível. Ele usa técnicas de compactação para compactar o malware.
• Payload: É a parte do malware que realiza a atividade desejada quando ativado. Ele pode ser 
usado para excluir ou modificar arquivos, degradar o desempenho do sistema, abrir portas, 
alterar configurações, etc., para comprometer a segurança do sistema.
• Código Malicioso: Este é um pedaço de código que define a funcionalidade básica do malware 
e compreende comandos que resultam em violações de segurança.
Ele pode assumir as seguintes formas:
o Applets Java
o ActiveX Contrais
o Plug-ins do navegador
o Conteúdo enviado

Aplicativos ou aplicativos potencialmente indesejados (PUAs)
Aplicativos ou programas potencialmente indesejados (PUAs ou PUPs, respectivamente), também 
conhecidos como grayware/junkware, são aplicativos potencialmente prejudiciais que podem 
representar riscos graves à segurança e privacidade dos dados armazenados no sistema onde 
estão instalados. A maioria dos PUAs se origina de fontes como pacotes de software legítimos 
e até mesmo aplicativos maliciosos usados ​​para atividades ilegais. Os PUAs podem degradar o 
desempenho do sistema e comprometer a privacidade e a segurança dos dados. A maioria dos PUAs 
é instalada ao baixar e instalar freeware usando um instalador de terceiros ou ao aceitar um 
contrato de licença enganoso. Os PUAs podem monitorar e alterar secretamente os dados ou 
configurações no sistema, de forma semelhante a outros malwares.

Tipos de PUAs

• Adware: Essas PUAs exibem anúncios não solicitados oferecendo vendas gratuitas e pop-ups de 
serviços online ao navegar em sites. Elas podem atrapalhar atividades normais e induzir 
vítimas a clicar em URLs maliciosas. Elas também podem emitir lembretes falsos sobre software 
ou sistema operacional desatualizados.
• Torrent: Ao usar aplicativos de torrent para baixar arquivos grandes, o usuário pode ser 
compelido a baixar programas indesejados que têm recursos de compartilhamento de arquivos 
ponto a ponto.
• Marketing: PUAs de marketing monitoram as atividades online realizadas pelos usuários e 
enviam detalhes do navegador e informações sobre interesses pessoais para proprietários de 
aplicativos de terceiros. Esses aplicativos então comercializam produtos e recursos com base 
nos interesses pessoais dos usuários.
• Criptomineração: PUAs de criptomineração fazem uso dos ativos pessoais e dados financeiros 
das vítimas no sistema e realizam a mineração digital de criptomoedas, como bitcoins.

Discadores: Discadores ou discadores spyware são programas que são instalados e configurados 
em um sistema automaticamente para ligar para um conjunto de contatos em vários! locais sem o 
consentimento do usuário. Discadores causam contas telefônicas enormes e às vezes são muito 
difíceis de localizar e excluir.

Aplicativo Potencialmente Indesejado: µTorrent
Fonte: https://www.myce.com
A Microsoft e outros produtos antimalware classificaram o µTorrent, um cliente BitTorrent 
popular, como malware ou um aplicativo potencialmente indesejado (PUA). Consequentemente, a 
instalação do µTorrent é bloqueada em muitos computadores. A Microsoft até lista o µTorrent 
em sua enciclopédia de malware como PUA:Win32/Utorrent, com a descrição, "Este aplicativo foi 
impedido de ser executado em sua rede porque tem uma má reputação. Este aplicativo também 
pode afetar a qualidade da sua experiência de computação."

Adware
Adware se refere a um software ou programa que suporta anúncios e gera anúncios e pop-ups não 
solicitados. Ele rastreia cookies e padrões de navegação do usuário para fins de marketing e 
para exibir anúncios. Ele coleta dados do usuário, como sites visitados, para personalizar 
anúncios para o usuário. Software legítimo pode ser incorporado com adware para gerar 
receita, caso em que o adware é considerado uma alternativa legítima fornecida aos clientes 
que não desejam pagar pelo software. Em alguns casos, software legítimo pode ser incorporado 
com adware por um invasor ou um terceiro para gerar receita.
Software contendo adware legítimo normalmente fornece a opção de desabilitar anúncios 
comprando uma chave de registro. Desenvolvedores de software utilizam adware como um meio de 
reduzir custos de desenvolvimento e aumentar lucros. Adware permite que eles ofereçam 
software gratuitamente ou a preços reduzidos, motivando-os a projetar, manter e atualizar 
seus produtos de software.
Adware normalmente requer uma conexão com a Internet para ser executado. Programas comuns de 
adware incluem barras de ferramentas na área de trabalho do usuário ou aquelas que funcionam 
em conjunto com o navegador da web do usuário. O adware pode executar pesquisas avançadas na 
web ou no disco rígido de um usuário e pode fornecer recursos para melhorar a organização de 
favoritos e atalhos. O adware avançado também pode incluir jogos e utilitários que são 
gratuitos, mas exibem anúncios enquanto os programas são iniciados. Por exemplo, os usuários 
podem ser obrigados a esperar até que um anúncio seja concluído antes de assistir a um vídeo 
do YouTube.
Embora o adware possa ser benéfico ao oferecer uma alternativa ao software pago, os invasores 
podem usar o adware indevidamente para explorar os usuários. Quando o adware legítimo é 
desinstalado, os anúncios devem parar. Além disso, o adware legítimo solicita permissão ao 
usuário antes de coletar dados do usuário. No entanto, quando os dados do usuário são 
coletados sem a permissão do usuário, o adware é malicioso. Esse adware é denominado spyware 
e pode afetar a privacidade e a segurança do usuário. O adware malicioso é

instalado em um computador por meio de cookies, plug-ins, compartilhamento de arquivos, 
freeware e shareware. Ele consome largura de banda adicional e esgota recursos da CPU e 
memória. Os invasores realizam ataques de spyware e coletam informações do disco rígido do 
usuário-alvo sobre sites visitados ou pressionamentos de tecla para fazer mau uso das 
informações e conduzir fraudes.
Indicações de Adware

• Atraso frequente no sistema: se o sistema demorar mais do que o normal para responder, pode 
haver infecção por adware. O adware também afeta a velocidade do processador e consome 
memória, degradando o desempenho.
• Anúncios inundados: o usuário é inundado com anúncios e pop-ups não solicitados na 
interface do usuário durante a navegação. Ocasionalmente, os anúncios podem ser muito 
desafiadores de dosar, abrindo caminho para redirecionamentos maliciosos.
• Falha constante do sistema: o sistema do usuário pode travar ou congelar constantemente, 
ocasionalmente exibindo a tela azul da morte (BSoD).
• Disparidade na página inicial do navegador padrão: a página inicial do navegador padrão 
muda inesperadamente e redireciona para páginas maliciosas que contêm malware.
• Presença de nova barra de ferramentas ou complementos do navegador: a instalação de uma 
nova barra de ferramentas ou complemento do navegador sem o consentimento do usuário é uma 
indicação de adware.
• Internet lenta: o adware pode fazer com que a conexão com a Internet fique lenta, mesmo em 
uso normal, baixando anúncios enormes e itens indesejados em segundo plano.


Conceitos APT

Ameaças persistentes avançadas são uma grande preocupação de segurança para qualquer 
organização, pois representam ameaças aos ativos, recursos, registros financeiros e outros 
dados confidenciais da organização. Ataques APT podem prejudicar a reputação de uma 
organização ao revelar dados confidenciais. Esta seção discute APTs, bem como suas 
características e ciclo de vida.

O que são ameaças persistentes avançadas?
Uma ameaça persistente avançada é definida como um tipo de ataque de rede em que um invasor 
obtém acesso não autorizado a uma rede alvo e permanece na rede sem ser detectado por um 
longo tempo. A palavra "avançado" significa o uso de técnicas para explorar as 
vulnerabilidades subjacentes no sistema. A palavra "persistente" significa o sistema externo 
de comando e controle (C&C) que extrai continuamente os dados e monitora a rede da vítima. A 
palavra "ameaça" significa envolvimento humano na coordenação. Os ataques APT são ataques 
altamente sofisticados em que um invasor usa código malicioso bem elaborado junto com uma 
combinação de vários exploits de dia zero para obter acesso à rede alvo. Esses ataques 
envolvem técnicas bem planejadas e coordenadas em que os invasores apagam evidências de suas 
atividades maliciosas após seus objetivos terem sido cumpridos. Os ataques APT geralmente são 
realizados em organizações que possuem informações valiosas, como organizações financeiras, 
de saúde, de defesa e aeroespacial, de manufatura e comerciais. O principal objetivo desses 
ataques é obter informações confidenciais em vez de sabotar a organização e sua rede.
As informações obtidas por um invasor por meio de ataques APT incluem:

• Documentos classificados
• Credenciais do usuário
• Informações pessoais do funcionário ou cliente
• Informações da rede
r Informações sobre transações
r Informações sobre cartão de crédito
r Informações sobre estratégia de negócios da organização
r Informações sobre acesso ao sistema Contrai

Características de ameaças persistentes avançadas
APTs têm várias características com base nas quais os invasores podem projetar e planejar 
suas atividades para lançar um ataque com sucesso.

• Objetivos
O principal objetivo de qualquer ataque APT é obter repetidamente informações confidenciais, 
obtendo acesso à rede da organização para ganhos ilegais. Outro objetivo de um APT pode ser 
espionar para objetivos políticos ou estratégicos.
• Pontualidade
Refere-se ao tempo gasto por um invasor desde a avaliação do sistema alvo em busca de 
vulnerabilidades até a exploração delas para obter e manter acesso ao sistema alvo.
• Recursos
É definido como a quantidade de conhecimento, ferramentas e técnicas necessárias para 
executar um ataque. Os ataques APT são ataques mais sofisticados realizados por criminosos 
cibernéticos altamente qualificados e exigem recursos consideráveis.
• Tolerância ao risco
É definido como o nível até o qual o ataque permanece sem ser detectado na rede alvo. Os 
ataques APT são bem planejados e executados com conhecimento adequado da rede alvo, o que os 
ajuda a permanecer sem serem detectados na rede por um longo tempo.
• Habilidades e métodos
Esses são os métodos e ferramentas usados ​​pelos invasores para executar um determinado 
ataque. Os métodos usados ​​para executar o ataque incluem várias técnicas de engenharia 
social para reunir informações sobre o alvo, técnicas para evitar a detecção por mecanismos 
de segurança e técnicas para manter o acesso por um longo tempo.
• Ações
Os ataques APT seguem um certo número de "ações" técnicas que os tornam diferentes de outros 
tipos de ataques cibernéticos. O principal objetivo desses ataques é manter sua presença na 
rede da vítima por um longo tempo e extrair o máximo de dados possível.
• Pontos de Origem do Ataque
Eles se referem às inúmeras tentativas feitas para obter entrada na rede alvo. Esses pontos 
de entrada podem ser usados ​​para obter acesso à rede e lançar novos ataques. Para ter 
sucesso em obter acesso inicial, o invasor precisa conduzir uma pesquisa exaustiva para 
identificar as vulnerabilidades e funções de gatekeeper na rede alvo.
• Números envolvidos no ataque
É definido como o número de sistemas host envolvidos no ataque. Os ataques APT geralmente são 
realizados por um grupo criminoso ou organização criminosa.
• Fonte de conhecimento
É definido como a coleta de informações por meio de fontes online sobre ameaças específicas, 
que podem ser exploradas posteriormente para realizar certos ataques.

• Multifásico
Uma das características importantes dos APTs é que eles seguem várias fases para executar um 
ataque. As fases seguidas por um ataque APT são reconhecimento, acesso, descoberta, captura e 
exfiltração de dados.
• Adaptado às vulnerabilidades
O código malicioso usado para executar ataques APT é projetado e escrito de forma a atingir 
as vulnerabilidades específicas presentes na rede da vítima.
• Vários pontos de entrada
Quando um adversário entra na rede alvo, ele/ela estabelece uma conexão com o servidor para 
baixar o código malicioso para ataques posteriores. Na fase inicial de um ataque APT, o 
adversário cria vários pontos de entrada por meio do servidor para manter o acesso à rede 
alvo. Se um ponto de entrada for descoberto e corrigido pelo analista de segurança, o 
adversário pode usar um ponto de entrada diferente.
• Evasão de sistemas de detecção baseados em assinatura
Os ataques APT estão intimamente relacionados a explorações de dia zero, que contêm malware 
que nunca foi descoberto ou implantado anteriormente. Assim, ataques APT podem facilmente 
contornar mecanismos de segurança como firewalls, software antivírus, IDS/IPS e filtros de 
spam de e-mail.
• Sinais de alerta específicos
Ataques APT são geralmente impossíveis de detectar. No entanto, algumas indicações de um 
ataque incluem atividades inexplicáveis ​​de conta de usuário, a presença de um Trojan 
backdoor para manter o acesso à rede, transferências e uploads de arquivos incomuns, 
atividades incomuns de banco de dados, etc.

Ciclo de vida de ameaças persistentes avançadas
No cenário de ameaças atual, as organizações precisam prestar mais atenção aos APTs. Os APTs 
podem ter como alvo os ativos de TI, ativos financeiros, propriedade intelectual e reputação 
de uma organização. Contras de segurança e defesa comumente usados ​​não serão suficientes 
para evitar tais ataques. Os invasores por trás desses ataques adaptam seus TTPs com base nas 
vulnerabilidades e na postura de segurança da organização-alvo. Assim, eles podem escapar dos 
contras de segurança da organização-alvo.
Para lançar um ataque APT, os invasores seguem um determinado conjunto de fases para atingir, 
penetrar e explorar a rede de uma organização. Os invasores devem seguir cada fase passo a 
passo para comprometer e obter acesso ao sistema-alvo com sucesso.
As várias fases do ciclo de vida do APT são as seguintes:

1. Preparação
A primeira fase do ciclo de vida do APT é a preparação, onde um adversário define o alvo, 
realiza uma pesquisa extensiva sobre o alvo, organiza uma equipe, cria ou obtém metas e 
realiza testes para detecção. Os ataques APT geralmente exigem um alto nível de preparação, 
pois o adversário não pode correr o risco de ser detectado pela segurança da rede do alvo. 
Recursos e dados adicionais podem ser necessários antes de realizar o ataque. Um invasor 
precisa executar operações altamente complexas antes de executar o plano de ataque contra a 
organização alvo.
2. Intrusão inicial
A próxima fase envolve a tentativa de entrar na rede alvo. Técnicas comuns usadas para uma 
intrusão inicial são o envio de e-mails de spear-phishing e a exploração de vulnerabilidades 
em servidores disponíveis publicamente. Os e-mails de spear-phishing geralmente aparecem

legítimos, mas contêm links maliciosos ou anexos contendo malware executável. Esses links 
maliciosos podem redirecionar o alvo para o site onde o navegador da web e o software do alvo 
são comprometidos pelo invasor usando várias técnicas de exploração. Às vezes, um invasor 
também pode usar técnicas de engenharia social para coletar informações do alvo. Após obter 
informações do alvo, os invasores usam essas informações para lançar mais ataques na rede 
alvo. Nesta fase, o código malicioso ou malware é implantado no sistema alvo para iniciar uma 
conexão de saída.

3. Expansão
Os objetivos principais desta fase são expandir o acesso à rede alvo e obter credenciais. Se 
o objetivo do invasor for explorar e obter acesso a um único sistema, não há necessidade de 
expansão. No entanto, na maioria dos casos, o objetivo de um invasor é acessar vários 
sistemas usando um único sistema comprometido. Neste cenário, a primeira etapa realizada por 
um invasor após um comprometimento inicial é expandir o acesso aos sistemas alvo. O principal 
objetivo do invasor nesta fase é obter credenciais de login administrativo para escalar 
privilégios e obter mais acesso aos sistemas na rede. Para esse propósito, o invasor tenta 
obter privilégios administrativos para o sistema alvo inicial a partir de credenciais 
armazenadas em cache e usa essas credenciais para obter e manter acesso a outros sistemas na 
rede. Quando os invasores não conseguem obter credenciais válidas, eles usam outras técnicas, 
como engenharia social, exploração de vulnerabilidades e distribuição de dispositivos USB 
infectados. Após o invasor obter as credenciais da conta do alvo, é difícil rastrear seu 
movimento na rede, pois ele usa um nome de usuário e senha legítimos.
Esta fase de expansão oferece suporte a outras fases do ciclo de vida do APT. Na fase de 
busca e exfiltração, o invasor pode obter os dados do alvo obtendo acesso aos sistemas. Os 
invasores identificam sistemas que podem ser usados ​​para instalar mecanismos de 
persistência e identificam sistemas apropriados na rede que podem ser aproveitados para 
exfiltrar dados.
4. Persistência
Esta fase envolve manter o acesso ao sistema alvo, começando pela evasão de dispositivos de 
segurança de endpoint, como IDS e firewalls, entrando na rede e estabelecendo acesso ao 
sistema, até que não haja mais uso dos dados e ativos. Para manter o acesso ao sistema alvo, 
os invasores seguem certas técnicas ou procedimentos, que incluem o uso de malware 
personalizado e reempacotamento de toais. Esses toais são projetados de forma que não possam 
ser detectados pelo software antivírus ou toais de segurança do alvo. Para manter a 
persistência, os invasores usam malware personalizado que inclui serviços, executáveis ​​e 
drivers instalados em vários sistemas na rede alvo. Outra maneira de manter a persistência é 
encontrar locais para instalar o malware que não são examinados com frequência. Esses locais 
incluem roteadores, servidores, firewalls, impressoras, etc.

5. Busca e Exfiltração
Nesta fase, um invasor atinge o objetivo final da exploração de rede, que geralmente é obter 
acesso a um recurso que pode ser usado para realizar outros ataques ou usar esse recurso para 
ganho financeiro. Em geral, os invasores visam dados ou documentos específicos antes de 
lançar um ataque. No entanto, em alguns casos, embora os invasores determinem que dados 
cruciais estão disponíveis na rede de destino, eles não sabem a localização dos dados. Um 
método comum para busca e exfiltração é roubar todos os dados, incluindo documentos 
importantes, e-mails, unidades compartilhadas e outros tipos de dados presentes na rede de 
destino. Os dados também podem ser coletados usando ferramentas automatizadas, como sniffers 
de rede. Os invasores usam técnicas de criptografia para escapar das tecnologias de prevenção 
de perda de dados (DLP) na rede de destino.
6. Limpeza
Esta é a última fase, onde um invasor executa certas ações para evitar a detecção e remover 
evidências de comprometimento. As técnicas usadas pelo invasor para cobrir seus rastros 
incluem evitar a detecção, eliminar evidências de intrusão e ocultar o alvo do ataque e os 
detalhes do invasor. Em alguns casos, essas técnicas também incluem a manipulação de dados no 
ambiente de destino para enganar analistas de segurança.
É imperativo que os invasores façam o sistema parecer como era antes de obterem acesso a ele 
e comprometerem a rede. Portanto, é essencial que um invasor cubra seus rastros e permaneça 
sem ser detectado pelos analistas de segurança. Os invasores podem alterar quaisquer 
atributos de arquivo de volta ao seu estado original. As informações listadas, como tamanho e 
data do arquivo, são apenas informações de atributo contidas no arquivo.

Conceitos de Trojan

Nesta seção, discutiremos os conceitos básicos de Trojans para entender vários Trojans e 
backdoors, bem como seu impacto nos recursos de rede e sistema. Esta seção descreve Trojans e 
destaca sua finalidade, sintomas e portas comuns usadas. Também discute os vários métodos 
adotados por invasores para instalar Trojans para infectar sistemas de destino e executar 
atividades maliciosas.
Esta seção também descreve vários tipos de Trojans. Todos os dias, os invasores descobrem ou 
criam novos Trojans projetados para descobrir vulnerabilidades de sistemas de destino. Os 
Trojans são categorizados pela maneira como entram nos sistemas e os tipos de ações que 
realizam nesses sistemas.

O que é um Trojan?

De acordo com a mitologia grega antiga, os gregos venceram a Guerra de Troia com a ajuda de 
um cavalo gigante de madeira que foi construído para esconder seus soldados. Os gregos 
deixaram este cavalo na frente dos portões de Troia. Os troianos pensaram que o cavalo era um 
presente dos gregos, que eles tinham deixado antes de aparentemente se retirarem da guerra e 
o trouxeram para sua cidade. À noite, os soldados gregos saíram do cavalo de madeira e 
abriram os portões da cidade para deixar entrar o resto do exército grego, que eventualmente 
destruiu a cidade de Troia.
Inspirado por esta história, um Trojan de computador é um programa no qual código malicioso 
ou prejudicial está contido dentro de um programa ou dados aparentemente inofensivos, que 
mais tarde podem ganhar controle e causar danos, como arruinar a tabela de alocação de 
arquivos em seu disco rígido. Os invasores usam Trojans de computador para enganar a vítima e 
fazê-la executar uma ação predefinida. Os trojans são ativados mediante ações predefinidas 
específicas dos usuários, como instalar involuntariamente um software malicioso, clicar em um 
link malicioso, etc., e mediante ativação, eles podem conceder aos invasores acesso 
irrestrito a todos os dados armazenados no sistema de informações comprometido e 
potencialmente causar danos graves. Por exemplo, os usuários podem baixar um arquivo que 
parece ser um filme, mas, quando executado, libera um programa perigoso que apaga o disco 
rígido ou envia números de cartão de crédito e senhas para o invasor.
Um trojan é encapsulado ou anexado a um programa legítimo, o que significa que o programa 
pode ter uma funcionalidade que não é aparente para o usuário. Além disso, os invasores usam 
as vítimas como intermediários involuntários para atacar outras pessoas. Eles podem usar o 
computador da vítima para cometer ataques DoS ilegais.
Os trojans funcionam no mesmo nível de privilégios das vítimas. Por exemplo, se uma vítima 
tem privilégios para excluir arquivos, transmitir informações, modificar arquivos existentes 
e instalar outros programas (como programas que fornecem acesso não autorizado à rede e 
executam ataques de elevação de privilégios),

uma vez que o Trojan infecte esse sistema, ele possuirá os mesmos privilégios. Além disso, 
ele pode tentar explorar vulnerabilidades para aumentar o nível de acesso, mesmo além do 
usuário que o executa. Se bem-sucedido, o Trojan pode usar esses privilégios aumentados para 
instalar outro código malicioso na máquina da vítima.
Um sistema comprometido pode afetar outros sistemas na rede. Sistemas que transmitem 
credenciais de autenticação, como senhas, em redes compartilhadas em texto simples ou em um 
formato criptografado trivial, são particularmente vulneráveis. Se um intruso comprometer um 
sistema em tal rede, ele poderá registrar nomes de usuário e senhas ou outras informações 
confidenciais.
Além disso, um Trojan, dependendo das ações que executa, pode implicar falsamente um sistema 
remoto como a fonte de um ataque por meio de falsificação, fazendo com que o sistema remoto 
incorra em responsabilidade. Os Trojans entram no sistema por meios como anexos de e-mail, 
downloads e mensagens instantâneas.

indicações de ataque de Trojan
Os seguintes problemas de funcionamento do computador são indicações de um ataque de Trojan:

• A gaveta do DVD-ROM abre e fecha automaticamente.
• A tela do computador pisca, vira de cabeça para baixo ou é invertida para que tudo seja 
exibido ao contrário.
• As configurações de plano de fundo ou papel de parede padrão mudam automaticamente. Isso 
pode ser feito usando imagens no computador do usuário ou no programa do invasor.
• As impressoras começam a imprimir documentos automaticamente.
• As páginas da Web abrem repentinamente sem a entrada do usuário.
• As configurações de colar do sistema operacional (SO) mudam automaticamente.
• Os protetores de tela convertem em uma mensagem de rolagem pessoal.
• O volume do som flutua repentinamente.
• Os programas antivírus são desabilitados automaticamente e os dados são corrompidos, 
alterados ou excluídos do sistema.
• A data e a hora do computador mudam.

• O cursor do mouse se move sozinho.
• As funções de clique esquerdo e direito do mouse são trocadas.
• O ponteiro do mouse desaparece completamente.
• O ponteiro do mouse clica automaticamente em ícones e fica incontrolável.
• O botão Iniciar do Windows desaparece.
• Pop-ups com mensagens bizarras aparecem de repente.
• Imagens e texto da área de transferência parecem ser manipulados.
• O teclado e o mouse congelam.
• Os contatos recebem e-mails do endereço de e-mail de um usuário que o usuário não enviou.
• Avisos estranhos ou caixas de perguntas aparecem. Muitas vezes, são mensagens pessoais 
direcionadas ao usuário, fazendo perguntas que exigem que ele/ela responda clicando em um 
botão Sim, Não ou OK.
• O sistema desliga e reinicia de maneiras incomuns.
• A barra de tarefas desaparece automaticamente.
• O Gerenciador de Tarefas é desabilitado. O invasor ou Trojan pode desabilitar a função 
Gerenciador de Tarefas para que a vítima não possa visualizar a lista de tarefas ou encerrar 
a tarefa em um determinado programa ou processo.

Como os hackers usam trojans
Os invasores criam programas maliciosos, como trojans, para os seguintes propósitos:

• Excluir ou substituir arquivos críticos do SO
• Gerar tráfego falso para executar ataques DOS
• Gravar capturas de tela, áudio e vídeo do PC da vítima
• Usar o PC da vítima para enviar spam e e-mails em massa
• Baixar spyware, adware e arquivos maliciosos
• Desativar firewalls e antivírus
• Criar backdoors para obter acesso remoto
• Infectar o PC da vítima como um servidor proxy para retransmitir ataques
• Usar o PC da vítima como um botnet para executar ataques DDoS
• Roubar informações confidenciais, como:
o Informações de cartão de crédito, que são úteis para registro de domínio, bem como para 
compras usando keyloggers
o Dados da conta, como senhas de e-mail, senhas de discagem e senhas de serviços da web
o Projetos importantes da empresa, incluindo apresentações e documentos relacionados ao 
trabalho
• Criptografar a máquina da vítima e impedir que ela acesse a máquina

• Use o sistema alvo da seguinte forma:
o Para armazenar arquivos de materiais ilegais, como pornografia infantil. O alvo continua 
usando seu sistema sem perceber que os invasores o estão usando para atividades ilegais
o Como um servidor FTP para software pirata
• Script kiddies podem querer apenas se divertir com o sistema alvo; um invasor pode plantar 
um Trojan no sistema apenas para fazer o sistema agir de forma estranha (por exemplo, a 
bandeja de CD/DVD abre e fecha com frequência, o mouse funciona incorretamente, etc.)
• O invasor pode usar um sistema comprometido para outros fins ilegais, de modo que o alvo 
seria responsabilizado se essas atividades ilegais fossem descobertas pelas autoridades

Tipos de Trojans
Os Trojans são classificados em muitas categorias, dependendo dos alvos de funcionalidade de exploração. Alguns tipos de Trojans estão listados abaixo:

1.	Remote Access Trojans
2.	Backdoor Trojans
3.	Botnet Trojans
4.	Rootkit Trojans
5.	E-Banking Trojans
6.	Point-of-Sale Trojans
7.	Defacement Trojans
8.	Service Protocol Trojans
9.	Mobile Trojans
10.	loT Trojans
11.	Security Software Disabler Trojans
12.	Destructive Trojans
13.	DDoS Attack Trojans
14.	Command Shell Trojans

Remote Access Trojans

Trojans de acesso remoto (RATs) fornecem aos invasores controle total sobre o sistema da 
vítima, permitindo que eles acessem remotamente arquivos, conversas privadas, dados 
contábeis, etc. O RAT atua como um servidor e escuta em uma porta que não deveria estar 
disponível para invasores da Internet. Portanto, se o usuário estiver atrás de um firewall na 
rede, é menos provável que um invasor remoto se conecte ao Trojan. Os invasores na mesma rede 
localizada atrás do firewall podem acessar facilmente os Trojans.
Por exemplo, Jason é um invasor que pretende explorar o computador de Rebecca para roubar 
seus dados. Jason infecta o computador de Rebecca com server.exe e planta um Trojan de 
conexão reversa. O Trojan se conecta pela Porta 80 ao invasor, estabelecendo uma conexão 
reversa. Agora, Jason tem controle total sobre a máquina de Rebecca.

Os invasores usam RATs para infectar a máquina alvo para obter acesso administrativo. Os RATs 
ajudam um invasor a acessar remotamente a GUI completa e controlar o computador da vítima sem 
que ela perceba. Além disso, eles podem executar captura de tela e câmera, execução de 
código, keylogging, acesso a arquivos, sniffing de senha, gerenciamento de registro e assim 
por diante. Eles infectam as vítimas por meio de ataques de phishing e downloads drive-by, e 
se propagam por meio de chaves USB infectadas ou unidades de rede. Eles podem baixar e 
executar malware adicional, executar comandos de shell, ler e gravar chaves de registro, 
capturar capturas de tela, registrar pressionamentos de tecla e espionar webcams.

• njRAT
njRAT é um RAT com poderosos recursos de roubo de dados. Além de registrar pressionamentos de 
tecla, ele pode acessar a câmera da vítima, roubar credenciais armazenadas em navegadores, 
carregar e baixar arquivos, executar manipulações de processos e arquivos e visualizar a área 
de trabalho da vítima.
Este RAT pode ser usado para contrair botnets (redes de computadores), permitindo assim que o 
invasor atualize, desinstale, desconecte, reinicie e feche o RAT e renomeie sua campanha 1D. 
O invasor pode criar e configurar ainda mais o malware para se espalhar por meio de unidades 
USB com a ajuda do software do servidor de comando e controle. Recursos:
o Acessar remotamente o computador da vítima
o Coletar informações da vítima, como endereço IP, nome do host e sistema operacional.
o Manipular arquivos e arquivos de sistema
o Abrir uma sessão remota ativa, fornecendo ao invasor acesso à linha de comando da máquina 
da vítima
o Registrar pressionamentos de tecla e roubar credenciais de navegadores