Cdigos

Maliciosos

<Nome>
<Instituio>
<e-mail>

Agenda
Cdigos maliciosos
Tipos principais
Resumo comparativo
Cuidados a serem tomados
Crditos

Cdigos maliciosos (1/5)

Programas especificamente desenvolvidos para executar
aes danosas e atividades maliciosas em equipamentos
Tambm chamados de malware, pragas, etc.
Exemplos de equipamentos que podem ser infectados:
computadores
equipamentos de rede
modems, switches, roteadores

dispositivos mveis
tablets, celulares, smartphones

Cdigos maliciosos (2/5)

Um equipamento pode ser infectado ou comprometido:
pela explorao de vulnerabilidades nos programas instalados
pela auto-execuo de mdias removveis infectadas
pelo acesso a pginas Web maliciosas, via navegadores
vulnerveis
pela ao direta de atacantes
pela execuo de arquivos previamente infectados, obtidos:

anexos em mensagens eletrnicas

via links recebidos por mensagens eletrnicas e redes sociais
via mdias removveis
em pginas Web
diretamente de outros equipamentos

Cdigos maliciosos (3/5)

Porque so desenvolvidos e propagados:
obteno de vantagens financeiras
coleta de informaes confidenciais
desejo de autopromoo
vandalismo
extorso

So usados como intermedirios, possibilitam:

prtica de golpes
realizao de ataques
disseminao de spam

Cdigos maliciosos (4/5)

Uma vez instalados:
passam a ter acesso aos dados armazenados no equipamento
podem executar aes em nome do usurio
acessar informaes
apagar arquivos
criptografar dados
conectar-se Internet
enviar mensagens
instalar outros cdigos maliciosos

Cdigos maliciosos (5/5)

Melhor preveno
impedir que a infeco ocorra
nem sempre possvel reverter as aes danosas j feitas
ou recuperar totalmente os dados

Tipos
principais

Vrus (1/2)
Programa ou parte de um programa de computador,
normalmente malicioso, que se propaga inserindo
cpias de si mesmo e se tornando parte de outros
programas e arquivos
Depende da execuo do programa/arquivo hospedeiro para:
tornar-se ativo
dar continuidade ao processo de infeco
para que o equipamento seja infectado preciso que um
programa j infectado seja executado

Principais meios de propagao: e-mail e pen-drive

Vrus (2/2)
Tipos mais comuns de vrus:
vrus propagado por e-mail
vrus de script
vrus de macro
vrus de telefone celular

Cavalo de troia/trojan (1/2)

Programa que, alm de executar as funes para as
quais foi aparentemente projetado, tambm executa
outras funes, normalmente maliciosas, e sem o
conhecimento do usurio
Necessita ser explicitamente executado para ser instalado
Pode ser instalado:
pelo prprio usurio
por atacantes
aps invadirem o equipamento, alteram programas j existentes para
executarem aes maliciosas, alm das funes originais

Cavalo de troia/trojan (2/2)

Alguns tipos de trojans:

Downloader
Dropper
Backdoor
DoS
Destrutivo
Clicker
Proxy
Spy
Banker (Bancos)

Ransomware (1/2)
Programa que torna inacessveis os dados
armazenados em um equipamento, geralmente
usando criptografia, e que exige pagamento de
resgate para restabelecer o acesso ao usurio
Dois tipos principais:
Locker: impede o acesso ao equipamento
Crypto: impede o acesso aos dados armazenados no equipamento,
geralmente usando criptografia

Ransomware (2/2)
Normalmente usa criptografia forte
Costuma buscar outros dispositivos conectados, locais ou em
rede, e criptograf-los tambm
Pagamento do resgate (ransom) geralmente feito via bitcoins
Refora a importncia de ter backups
mesmo pagando o resgate no h garantias de que o acesso ser
restabelecido

Backdoor (1/2)
Programa que permite o retorno de um invasor a um
equipamento comprometido, por meio da incluso
de servios criados ou modificados para este fim

Backdoor (2/2)
Pode ser includo:
pela ao de outros cdigos maliciosos
que tenham previamente infectado o equipamento

por atacantes
que tenham invadido o equipamento

Aps includo:
usado para assegurar o acesso futuro ao equipamento
permitindo que seja acessado remotamente
sem ter que recorrer novamente as mtodos j usados

RAT
RAT (Remote Access Trojan)
trojan de acesso remoto
programa que combina as caractersticas de trojan e backdoor
permite ao atacante acessar o equipamento remotamente e
executar aes como se fosse o usurio

Worm (1/2)
Programa capaz de se propagar automaticamente
pelas redes, enviando cpias de si mesmo de
equipamento para equipamento
Modo de propagao:
execuo direta das cpias
explorao automtica de vulnerabilidades em programas

Consomem muitos recursos

devido grande quantidade de cpias geradas
podem afetar:
o desempenho de redes
o uso dos equipamentos

Worm (2/2)
Processo de propagao e infeco:
1. Identificao dos equipamentos alvos
2. Envio das cpias
3. Ativao das cpias
4. Reincio do processo

Bot
Programa que dispe de mecanismos de
comunicao com o invasor que permitem que ele
seja controlado remotamente
Modo de propagao similar ao worm:
execuo direta das cpias
explorao automtica de vulnerabilidades em programas

Comunicao entre o invasor e o equipamento infectado

pode ocorrer via:
canais de IRC
servidores Web
redes P2P, etc.

Zumbi
Zumbi como tambm chamado um equipamento
infectado por um bot, pois pode ser controlado
remotamente, sem o conhecimento do seu dono

Botnet
Rede formada por centenas ou milhares de equipamentos zumbis
e que permite potencializar as aes danosas dos bots
O controlador da botnet pode:
us-la para seus prprios ataques
alug-la para outras pessoas ou grupos que desejem executar
aes maliciosas especficas

Spyware (1/2)
Programa projetado para monitorar as atividades de um
sistema e enviar as informaes coletadas para terceiros

Spyware (2/2)
Alguns tipos de spyware:
Keylogger: capaz de capturar e armazenar as teclas
digitadas pelo usurio no teclado do equipamento

Screenlogger: capaz de armazenar a posio do cursor

e a tela apresentada no monitor, nos momentos em que
o mouse clicado, ou a regio que circunda a posio
onde o mouse clicado
Adware: projetado para apresentar propagandas

Rootkit
Conjunto de programas e tcnicas que permite
esconder e assegurar a presena de um invasor ou
de outro cdigo malicioso em um equipamento
comprometido
Pode ser usado para:
remover evidncias em arquivos de logs
instalar outros cdigos maliciosos
esconder atividades e informaes
capturar informaes da rede
mapear potenciais vulnerabilidades em outros equipamentos

Resumo
comparativo

Rootkit

Spyware

Bot

Worm

Backdoor

Ransomware

Trojan

Vrus

Cdigos Maliciosos

Como ob4do:

Recebido automa4camente pela rede

Recebido por e-mail

Baixado de sites na Internet

Compar4lhamento de arquivos

Uso de mdias removveis infectadas

Redes sociais

Mensagens instantneas

Inserido por um invasor

Ao de outro cdigo malicioso

Rootkit

Spyware

Bot

Worm

Backdoor

Ransomware

Trojan

Vrus

Cdigos Maliciosos

Como ocorre a instalao:

Execuo de um arquivo infectado
Execuo explcita do cdigo malicioso

Via execuo de outro cdigo malicioso

Explorao de vulnerabilidades

Rootkit

Spyware

Bot

Worm

Backdoor

Ransomware

Trojan

Vrus

Cdigos Maliciosos

Como se propaga:
Insere cpia de prprio em arquivos

Envia cpia de si prprio automa4camente pela rede

Envia cpia de si prprio automa4camente por e-mail

No se propaga

Rootkit

Spyware

Bot

Worm

Backdoor

Ransomware

Trojan

Vrus

Cdigos Maliciosos

Aes maliciosas mais comuns:

Altera e/ou remove arquivos

Criptografa arquivos

Impede o acesso ao equipamento

Consome grande quan4dade de recursos

Furta informaes sensveis

Instala outros cdigos maliciosos

Possibilita o retorno do invasor

Envia spam e phishing

Desfere ataques na Internet

Procura se manter escondido

Cuidados a
serem tomados

Mantenha os equipamentos atualizados (1/2)

Use apenas programas originais

Tenha sempre as verses mais recentes dos programas
Configure os programas para serem atualizados
automaticamente
Remova:
as verses antigas
os programas que voc no utiliza mais
programas no usados tendem a:
ser esquecidos
ficar com verses antigas e potencialmente vulnerveis

Mantenha os equipamentos atualizados (2/2)

Programe as atualizaes automticas para serem

baixadas e aplicadas em um horrio em que o
equipamento esteja ligado e conectado Internet
Cheque periodicamente por novas atualizaes usando
as opes disponveis nos programas
Crie um disco de recuperao de sistema
certifique-se de t-lo por perto no caso de emergncias

Use mecanismos de proteo (1/2)

Instale um antivrus (antimalware)
mantenha-o atualizado, incluindo o arquivo de assinaturas
atualize o arquivo de assinaturas pela rede, de preferncia
diariamente

configure-o para verificar automaticamente:

toda e qualquer extenso de arquivo
arquivos anexados aos e-mails e obtidos pela Internet
discos rgidos e unidades removveis

verifique sempre os arquivos recebidos antes de abri-los ou

execut-los

Use mecanismos de proteo (2/2)

Crie um disco de emergncia de seu antivrus
use-o se desconfiar que:
o antivrus instalado est desabilitado ou comprometido
o comportamento do equipamento est estranho
mais lento
gravando ou lendo o disco rgido com muita frequncia, etc.

Assegure-se de ter um firewall pessoal instalado e ativo

Ao instalar aplicativos de terceiros

Verifique se as permisses de instalao e execuo so
coerentes
Seja cuidadoso ao:
permitir que os aplicativos acessem seus dados pessoais
selecionar os aplicativos, escolhendo aqueles:
bem avaliados
com grande quantidade de usurios

Faa backups regularmente (1/2)

Mantenha os backups atualizados
de acordo com a frequncia de alterao dos dados

Configure para que seus backups sejam realizados

automaticamente
certifique-se de que eles estejam realmente sendo feitos

Mantenha backups redundantes, ou seja, vrias cpias

para evitar perder seus dados:
em incndio, inundao, furto ou pelo uso de mdias
defeituosas
caso uma das cpias seja infectada

Faa backups regularmente (2/2)

Assegure-se de conseguir recuperar seus backups
Nunca recupere um backup se desconfiar que ele contm
dados no confiveis
Mantenha os backups desconectados do sistema
Backup a soluo mais
efetiva contra ransomware

Seja cuidadoso ao clicar em links

Antes de clicar em um link curto:
use complementos que permitam visualizar o link de destino

Mensagens de conhecidos nem sempre so confiveis

o campo de remetente do e-mail pode ter sido falsificado, ou
podem ter sido enviadas de contas falsas ou invadidas

Outros
Use a conta de administrador do sistema apenas quando
necessrio
a ao do cdigo malicioso ser limitada s permisses de
acesso do usurio que estiver acessando o sistema

Cuidado com extenses ocultas

alguns sistemas possuem como configurao padro
ocultar a extenso de tipos de arquivos conhecidos

Desabilite a auto-execuo de:

mdias removveis
arquivos anexados

Mantenha-se informado (1/2)

Cartilha de Segurana para Internet

http://cartilha.cert.br/
RSS
http://cartilha.cert.br/rss/cartilha-rss.xml
Twitter
http://twitter.com/certbr

Mantenha-se informado (2/2)

Portal Internet Segura

http://www.internetsegura.br/

Campanha Antispam.br
http://www.antispam.br/

Crditos

Fascculo Cdigos Maliciosos

http://cartilha.cert.br/fasciculos/

Cartilha de Segurana para Internet

http://cartilha.cert.br/