A análise de malware é uma tarefa difícil e complexa. Para isso, é imprescindível contar com diversas ferramentas que permitam processar e interpretar grandes volumes de dados para simplificar o trabalho de análise. Felizmente, quando se trata de analisar o tráfego de rede a procura de atividades maliciosas, existem ferramentas excelentes disponíveis, como o Wireshark ou NetworkMiner, que são bem conhecidas e para as quais há muita documentação disponível. Porém, desta vez, queremos apresentar o Brim, uma poderosa ferramenta gratuita para análise de tráfego de rede que foi lançada em meados de 2018 e que ainda não é tão popular.
Brim: uma ferramenta para analisar o tráfego da rede
O Brim é uma ferramenta open source projetada para especialistas em segurança de redes que facilita a pesquisa e análise de dados por meio das seguintes fontes:
- Captura de tráfego de rede criadas pelo Wireshark ou TCPdump
- Registros estruturados, como os provenientes do framework Zeek
Isso é particularmente útil para os profissionais que precisam processar grandes volumes de tráfego de rede, especialmente aqueles que são difíceis de analisar com o Wireshark, tshark ou outros analisadores de pacotes de dados.
Usando o Brim junto com o Wireshark (Fonte: Brimdata)
Entre as características mais destacadas dessa ferramenta podemos citar o seu suporte multiplataforma (é compatível com sistemas Windows, macOS e GNU/Linux), seu desenvolvimento e integração com outras ferramentas open source como Zed, Zeek, Suricata [1][2] e o projeto de regras para IDS/IPS conhecido como Emerging Threats.
Análise da atividade de rede do trojan Vidar com o Brim
Para fins práticos, analisamos um rastreamento de rede capturado enquanto o malware Vidar estava em execução em um computador comprometido.
Nota: é importante lembrar que ao analisar uma captura de tráfego em que haja evidência ou suspeita da presença de um malware, deve-se utilizar um sistema isolado e específico para essa finalidade (neste caso, recomenda-se uma máquina virtual em Linux, já que o malware em questão afeta os sistemas Windows). A manipulação incorreta da captura de rede e dos arquivos nela contidos pode levar ao comprometimento de nosso próprio computador.
Características gerais do malware que será analisado
O trojan Vidar é uma versão aprimorada do malware Arkei e está enfocada principalmente em roubar informações de hosts comprometidos, dados de acesso de navegador, histórico de navegação, cookies de login, produzir capturas de tela da atividade do usuário vítima e roubar dados usados por soluções 2FA e carteiras de criptomoedas, entre outras. Depois que essas informações são coletadas, o malware as envia para o servidor C2 controlado pelos atacantes.
Seu método de propagação ou vetor inicial ocorre principalmente por meio de campanhas de malspam que contêm anexos e URLs maliciosas, ou por meio de keygens trojanizados contidos no malware.
1º Passo: Abrir a captura de tráfego de rede através do Brim
1º Passo.
2º Passo: Usar as pesquisas que vêm por padrão no Brim
Embora a ferramenta tenha uma linguagem de sintaxe de pesquisa completa, um dos recursos mais valiosos do Brim são as pesquisas configuradas por padrão na GUI. Usar essas consultas é um excelente ponto de partida na hora começar a sondar o tráfego de rede capturado.
Entre as diversas pesquisas disponíveis, algumas das que mais se destacam são:
- Alertas do Suricata (IDS), por categorias;
- Alertas do Suricata (IDS), por origem e destino;
- Resumo das atividades
- Pesquisas DNS exclusivas
- Pesquisas HTTP
- Atividades de arquivos
2° Passo.
3° Passo: Identificar atividades maliciosas com o Brim
Se selecionarmos a categoria de pesquisas do Suricata e localizarmos os chamados "Suricata alerts by category", verificamos que é possível encontrar rapidamente indicadores de atividade do malware e analisar os logs a procura de mais detalhes.
3º Passo.
É fácil, não é verdade? 😉
4º Passo: Identificar as informações exfiltradas pelo malware
Então, se selecionarmos a consulta "File activity", podemos encontrar um arquivo chamado “b9a69c67-9046-4571-a9af-0f60a1fcee8d8375730518.zip”
Levando em consideração as características desse malware, podemos observar que se trata de um arquivo compactado com as informações do computador, que foi exfiltrada pelo Vidar. Para isso, contamos com outra ferramenta de análise de tráfego de rede chamada NetworkMiner:
4° Passo.
Indicadores de comprometimento da amostra executada na captura de rede
Trojan Vidar analisado através do pcap:
| Nome do arquivo |
|---|
| a2ef57bbe3a8af95196a419a7962bfaa.exe |
| Sha1 | Sha1 Detecção |
|---|---|
| 1a0c42723cd1e2e947f904619de7fcea5ca4a183 | A Variant Of Win32/Kryptik.HMZJ |
Binários baixados
| Sha256 | Rota do arquivo |
|---|---|
| a770ecba3b08bbabd0a567fc978e50615f8b346709f8eb3cfacf3faab24090ba | Ruta del archivo: C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B6QGX7LP\freebl3[1].dll |
| 3fe6b1c54b8cf28f571e0c5d6636b4069a8ab00b4f11dd842cfec00691d0c9cd | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Z2BCOUL\mozglue[1].dll |
| 334e69ac9367f708ce601a6f490ff227d6c20636da5222f148b25831d22e13d4 | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PO2HN1X2\msvcp140[1].dll |
| e2935b5b28550d47dc971f456d6961f20d1633b4892998750140e0eaa9ae9d78 | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\78RFYB7Z\nss3[1].dll |
| 43536adef2ddcc811c28d35fa6ce3031029a2424ad393989db36169ff2995083 | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B6QGX7LP\softokn3[1].dll |
| c40bb03199a2054dabfc7a8e01d6098e91de7193619effbd0f142a7bf031c14d | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Z2BCOUL\vcruntime140[1].dll |
Pesquisas DNS
- r3.o.lencr.org
- mas.to
Conexões IP
- 45.105.185
- 248.139.254
- 32.238.178
- 99.75.82
- 108.80.190
Solicitações HTTP/HTTPS
- http:65.108.80[.]190/517
- http://65.108.80.190/freebl3[.]dll
- http://65.108.80.190/mozglue[.]dll
- http://65.108.80.190/msvcp140[.]dll
- http://65.108.80.190/softokn3[.]dll
- http://65.108.80.190/nss3[.]dll
- http://r3.o.lencr[.]org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgR7do%2BL7PzWWuh3sGFTAK0q9w%3D%3D
- http://65.108.80.190/vcruntime140[.]dll
- http://65.108.80[.]190/
