BR102013030941A2 - método automatizado para a detecção de bankers - Google Patents

método automatizado para a detecção de bankers Download PDF

Info

Publication number
BR102013030941A2
BR102013030941A2 BR102013030941A BR102013030941A BR102013030941A2 BR 102013030941 A2 BR102013030941 A2 BR 102013030941A2 BR 102013030941 A BR102013030941 A BR 102013030941A BR 102013030941 A BR102013030941 A BR 102013030941A BR 102013030941 A2 BR102013030941 A2 BR 102013030941A2
Authority
BR
Brazil
Prior art keywords
banker
malware
detection
internet banking
network traffic
Prior art date
Application number
BR102013030941A
Other languages
English (en)
Inventor
André Ricardo Abed Gregio
Dario Sim Es Filho Fernandes
Paulo Licio De Geus
Victor Furuse Martins
Vitor Monte Afonso
Original Assignee
Unicamp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unicamp filed Critical Unicamp
Priority to BR102013030941A priority Critical patent/BR102013030941A2/pt
Publication of BR102013030941A2 publication Critical patent/BR102013030941A2/pt

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

método automatizado para a detecção de bankers. a presente invenção refere-se a um método automatizado para a detecção de bankers e recursos comprometidos (endereços ip e contas de e-mail) em decorrência de uma infecção por esse tipo de malware. mais especificamente, a detecção é realizada durante a execução do malware e combina técnicas de similaridade visual, correspondência de padrões de tráfego de rede e monitoração do sistema de arquivos da máquina vítima. a invenção se insere na indústria eletrônica e está associada a segurança da informação.

Description

MÉTODO AUTOMATIZADO PARA A DETECÇÃO DE BANKERS Campo da Invenção A presente invenção se insere na indústria eletrônica, e está associada a segurança da informação, visto que se refere a método de detecção de bankers e recursos comprometidos (endereços IP e contas de e-mail) em decorrência de uma infecção por esse tipo de malware. Mais especificamente, a detecção é realizada durante a execução do malware e combina técnicas de similaridade visual, correspondência de padrões de tráfego de rede e monitoração do sistema de arquivos da máquina vitima.
Estado da Técnica A crescente utilização da Internet para a realização de operações financeiras impulsionou o surgimento de um tipo especial de programa malicioso, conhecido como phishing Trojan, banking Trojan ou, mais comumente, banker. 0 principal objetivo dos bankers é roubar credenciais de clientes de Internet Banking de modo a acessar as contas bancárias online.
Em geral, bankers se utilizam de persuasão para enganar os usuários e levá-los a prover dados de agência, conta bancária, senha da Internet e do cartão, número do cartão de crédito e débito e valores contidos em tabelas de senhas ou tokens físicos. Uma outra forma de atuação é a instalação de programas capturadores de teclas para interceptar tais dados enquanto o usuário acessa sua conta de Internet Banking. De posse desses dados, um ciber criminoso pode ou revendê-los em mercados negros ou acessar diretamente o dinheiro da vítima. A taxa de sucesso destes ataques é tamanha que resulta em perdas de centenas de milhões de dólares no Brasil e em bilhões de dólares de prejuízos em escala global[1,2].
Exemplos recentes da disseminação de bankers incluem os ataques ocasionados por ZeuS [3] e SpyEye [4], denominação dada a duas famílias de malware cujo objetivo é o roubo das credenciais dos usuários de Internet Banking. Em geral, exemplares pertencentes às famílias ZeuS e SpyEye infectam os usuários por meio de mensagens de phishing e atuam de forma oculta, alterando arquivos e bibliotecas do sistema e injetando códigos em processos. Desse modo, tais exemplares não precisam forjar um e-mail original de banco ou clonar o site do banco alvo para obter as credenciais de suas vítimas, fazendo com que essas sejam capturadas quando o usuário acessa seu banco após ter sido infectado por ZeuS ou SpyEye. Por outro lado, diversas outras famílias de bankers são baseadas na tentativa de levar o usuário a acreditar que há a necessidade de atualização ou sincronização dos mecanismos de autenticação utilizados para Internet Banking. Tais exemplares apelam para supostas vulnerabilidades de mecanismos como tokens físicos ou tabelas de senhas e até mesmo solicitam o recadastramento dos dados dos usuários. Este tipo de banker tem sido comum no ciberespaço brasileiro por pelo menos dez anos, sendo que no final de 2006, estimava-se que mais de 30% dos bankers observados tinham por alvo bancos brasileiros acessíveis via Internet [5].
Mais recentemente, um relatório da Kaspersky [6] apontou o Brasil como sendo o país mais frequentemente atacado por bankers.
Tais estimativas podem ocorrer principalmente por duas razões: os usuários de bancos online chegam a 28 milhões no Brasil e a jurisprudência relacionada a crimes digitais é recente, o que torna o cenário brasileiro favorável à atuação de ciber criminosos. Esta situação propiciou a criação de um comércio paralelo (underground) no qual criminosos vendem desde números de cartão de crédito até kits de "faça você mesmo" oferecidos em redes sociais como Orkut para compilar códigos maliciosos de forma a permitir a produção rápida de variantes que evitem mecanismos de proteção. Logo, o foco da invenção proposta são os programas maliciosos (malware) que atacam bancos disponíveis na Internet, cujas amostras foram obtidas de documentos anexos em mensagens de correio eletrônico enganosas (phishing) ou de coletores específicos posicionados no ciberespaço brasileiro. Entretanto, as técnicas aqui propostas se aplicam a bankers em geral, bastando-se a atualização dos padrões de detecção e da coleção de imagens.
Internet Banking O acesso à Internet Banking trouxe para os usuários a conveniência de se realizar pagamentos, transferências e verificações do estado de suas contas sem a necessidade de comparecimento a uma agência fisica. Entretanto, tal acesso é também conveniente aos atacantes, que podem efetuar roubos de maneira anônima e sem o possível confronto com guardas e policiais. Para minimizar os riscos, bancos implantam mecanismos de segurança específicos para a proteção das transações online, tais como tokens físicos e tabelas de senhas. Esses mecanismos, quando combinados com as credenciais do usuário e suas senhas (da Internet e da conta), provê em fatores adicionais de autenticação que tornam mais difícil a forja de uma transação válida. A fim de subverter os mecanismos de proteção e acessar a conta de uma vítima, os atacantes precisam conhecer diversas informações que o banco online usa para autenticar seus clientes, como um PIN (Personal Identification Number), um valor de token ou uma entrada na tabela de senhas. O token físico e a tabela de senhas, fatores de autenticação adicionais comuns em bancos nacionais que atuam na Internet, são descritos a seguir. — Token Físico Alguns bancos disponibilizam aos seus clientes uma peça de hardware (token) para, por meio de um fator adicional de autenticação, prover segurança nas transações. Dessa forma, o cliente deve prover uma senha, isto é, um número gerado periodicamente e mostrado na tela do token, todas as vezes em que efetuar uma operação financeira via Internet Banking, sob a pena de a transação não ser concluída. Além disso, esse tipo de autenticação possui um tempo limitado para a entrada de senhas, forçando o cliente a digitar números diferentes para realizar várias operações. Isso é feito para aumentar a segurança de clientes de Internet Banking que porventura tenham suas credenciais de acesso roubadas. Entretanto, devido à complexidade e aos custos de implantação e gerenciamento relacionados aos milhões de usuários/dispositivos, poucos bancos utilizam os tokens de maneira generalizada, limitando-os geralmente aos usuários empresariais (pessoa jurídica). — Tabelas de Senhas Um outro tipo de fator adicional de autenticação é a tabela de senhas, um mecanismo mais simples e barato do que um token físico. Ela é utilizada durante transações financeiras online, quando o servidor de Internet Banking solicita ao cliente que valide a operação por meio da inserção de um valor (presente na tabela de senhas) associado ao identificador (posição da tabela) requisitado. Ao contrário dos valores apresentados por tokens físicos, os valores da tabela de senhas podem ser reutilizados por meio da requisição de posições repetidas, dado que a tabela pode não ser substituída tão frequentemente. Além disso, é comum que, durante uma sessão inteira de Internet Banking, o mesmo identificador seja requisitado pelo servidor de Internet Banking. Ataques de força bruta são minimizados por meio da definição de um número baixo de tentativas falhas em uma dada transação antes do travamento do acesso à conta. Nesses casos, o usuário é forçado a prover fatores de autenticação adicionais e a se utilizar de canais de comunicação que restaurem seu acesso ao ambiente de Internet Banking, o que pode envolver o comparecimento do cliente a uma agência fisica. — Anatomia de uma Infecção por Banker Infecções causadas por bankers podem ter efeitos nocivos tanto no lado do cliente quanto do lado do servidor. Não é raro encontrar atacantes que registram dominios que parecem legítimos à primeira vista mas que de fato consistem do nome do banco com algum erro de digitação. Do lado do servidor, um servidor Web geralmente sem relação com qualquer site de Internet Banking pode ser comprometido de modo a hospedar um clone do site do banco alvo. Nesse tipo de situação, um usuário incauto pode ser levado a revelar suas credenciais, inserindo-as inadvertidamente em um ambiente hostil controlado pelo ciber criminoso.
Do lado do cliente, as infecções costumam seguir um roteiro comum, cujos passos principais são detalhados a seguir: i. Primeiramente, uma mensagem de phishing que aparenta ser proveniente do time de segurança de um dado banco tenta convencer o usuário da necessidade de se atualizar seu cadastro (informações pessoais), suas credenciais de acesso e/ou os mecanismos de proteção para o uso em transações envolvendo Internet Banking. Esse tipo de mensagem leva o usuário a crer que a atualização do software do mecanismo de proteção ou a confirmação de seus dados para recadastramento são essenciais para a continuidade do acesso seguro ao Internet Banking; ii. A mensagem induz o usuário a abrir um anexo ou acessar um link que contém um programa malicioso ou um site de banco clonado; iii. Se o usuário cair no golpe, o programa malicioso (banker) é obtido, instalado e executado no sistema do cliente, em geral apresentando uma janela para "guiar" o usuário no processo de provisão de informações sensíveis. Essa janela trata-se de uma interface gráfica comum presente em programas, porém especialmente desenvolvida para simular o browser acessando o site do Internet Banking. O objetivo é apresentar formulários para o usuário colocar os valores de sua tabela de senhas, suas credenciais de acesso ao banco online, suas informações pessoais e/ou o valor corrente em seu token fisico, de modo enviar esses dados via rede para o criminoso, finalmente perpetrando o golpe.
Conforme mencionado, o primeiro passo é ludibriar o usuário por meio de uma mensagem de phishing com tema relacionado a alerta de segurança do banco online. Mensagens desse tipo tentam apelar para as preocupações dos usuários quando à falta de proteção durante o acesso ao site de Internet Banking para a realização de transações. Para dar a impressão de que são legitimas, as mensagens devem conter itens que convençam os usuários a instalar o banker e inadvertidamente comprometer suas próprias máquinas e credenciais.
Para alcançar o segundo passo, o atacante deve prover um link para um site clonado ou para um arquivo executável contido na mensagem de phishing.
Dependendo do modo como foi confeccionado, um link malicioso pode ser fácil de detectar, uma vez que o usuário pode perceber que "http://site-em-outro-país/http//www.meu-banco-legitimo.com.br/index.php" é estranho. O envio de um anexo malicioso é mais comum e mais propenso a ter sucesso, pois aparentemente faz mais sentido para um usuário realizar o download (e executar) um arquivo com nome "meubanco-iToken.exe" ou "meubanco-security-update.exe".
No terceiro passo, o banker já em operação efetivamente rouba as informações do usuário. Isso pode ocorrer de maneira online ou offline. No roubo online, o ciber criminoso subverte o uso do token físico, distraindo o usuário durante o período de tempo em que o valor do tokené válido (cerca de três minutos). Após solicitar ao usuário para que digite suas credenciais de acesso ao site do banco, o banker envia tais informações para o atacante (por métodos http, e-mail, conexões à bases de dados remotas ou servidores FTP), mostra uma tela pedindo o valor apresentado na tela do token fisico e, por fim, mostra uma tela com uma barra de status que imita uma atualização de software. Essa última tela visa assegurar que o usuário aguarde o término do "processo de atualização de segurança", enquanto o atacante se utiliza das credenciais e do valor de token momentaneamente válido para realizar transações com a conta roubada. Ataques online são de dificil realização, pois demandam que o atacante esteja atento e disponível no exato momento em que o usuário se infecta e provê seus dados de credenciais, inserindo-os nos formulários apresentados pelo banker.
Outra maneira de se roubar credenciais de Internet Banking é persuadir o usuário a digitar sua tabela de senhas inteira na tela provida pelo banker, o que permite o ataque offline. Assim, o ciber criminoso recebe todas as informações necessárias para realizar o golpe posteriormente, sem depender das mudanças constantes dos valores apresentados nos tokens físicos. O modo de operação é o mesmo do ataque online, mas após a solicitação das credenciais do usuário, o banker mostra uma tela pedindo pela digitação de todas as posições e valores constantes da tabela de senhas. Alguns bankers são mais bem desenvolvidos e, como medida de precaução, verificam se o usuário não está inserindo valores falsos (repetidos ou sequenciais).
Existem modos complementares de se redirecionar o usuário de Internet Banking para sites clonados, os quais envolvem a modificação do arquivo de resolução de nomes do sistema (arquivo "hosts") ou o carregamento de um arquivo de auto configuração de proxy no navegador (arquivo PAC). O arquivo "hosts" mapeia nomes de domínio para endereços IP e é o ponto inicial da resolução de uma consulta DNS.
Programas maliciosos podem modificar esse arquivo para mapear URLs de sites de bancos para endereços IP de sites clonados que contêm formulários para roubar credenciais de usuários. O método de ataque que se utiliza de arquivos PAC tem resultado similar. Um arquivo de PAC em geral contém uma função em JavaScript chamada "FindProxyForURL(uri, host) ", a qual define o proxy que um navegador Web deve utilizar para acessar uma dado endereço na Internet. Assim, o arquivo PAC criado ou obtido por um malware provê um endereço IP que faz com que o navegador Web leve o usuário a um site clonado quando este tentar se conectar com um site de banco legítimo.
Enfim, Os ganhos financeiros obtidos pelos criminosos digitais fazem com que os bankers sejam cada vez mais disseminados e, especificamente referente à detecção de bankers, destacam-se alguns documentos descritos no Estado da Técnica, os quais seguem abaixo. O comportamento de bankers que atacam usuários de Internet Banking da Alemanha, Suécia e Brasil são discutidos por Stahlberg [5]. Os mecanismos usados por estes bancos para proteger as contas de seus clientes, que incluem one-time-passwords (OTP) e transaction numbers (TAN), são também descritos. Stahlberg propõe uma ferramenta chamada "Mstrings", que procura por cadeias de caracteres relacionadas a Internet Banking na memória de um ambiente controlado, no qual a amostra de malware está em execução. Apesar da técnica ser efetiva na identificação dos bankers que capturam pressionamentos de teclas enquanto o usuário acessa a página Web do banco, esta pode ser ineficiente na identificação de bankers que utilizam engenharia social e não dependem do acesso, por parte do usuário, à página Web do banco.
Buescher et al. apresentam uma técnica de detecção de bankersque procura por mecanismos de interceptação (hooks) que roubam^ informações do usuário no navegador Web Internet Explorer [ 10] . Para isso, os autores desenvolveram "BankSafe", um componente que verifica mudanças de API (Application Programming Interface) durante a execução do Internet Explorer. Após o malware ser executado em um ambiente controlado, "BankSafe" checa por características de hooking para determinar se um mecanismo desse tipo foi instalado durante o período da análise. Os autores afirmam que o sistema produz resultados muito bons de detecção, mas está limitado à detecção de bankers que instalam hooks.
Medvet et al. apresentam uma abordagem para detectar páginas Web de phishing baseada em uma técnica de detecção visual [7]. Tal abordagem é capaz de informar ao usuário que seus dados estão sendo interceptados. A detecção de phishing é baseada em três atributos extraídos das páginas Web analisadas: a porção de texto; as imagens; a aparência visual da página Web. O problema desta abordagem é ser capaz de identificar apenas tentativas de phishing que são baseadas em páginas Web falsas acessadas durante a sessão de navegação Web do usuário, o que não contempla os bankers que forjam páginas Web de bancos através de janelas do próprio arquivo executável (como é o caso dos bankers brasileiros). Resumidamente, o presente documento do estado da técnica envolve a procura na memória por assinaturas compostas por cadeias de caracteres (strings) relacionadas a Internet Banking. A detecção da ferramenta Mstrings pode falhar caso as strings em memória estejam embaralhadas (ofuscadas ou criptografadas) ou caso não haja assinatura um determinado tipo de Internet Banking. Diferentemente, o método proposto na presente invenção não realiza a busca por assinaturas diretamente na memória dos processos.
Rieck et al. introduzem "Botzilla", um sistema que aplica detecção de certos tipos de malware (bots) por meio de assinaturas de rede [11] de forma semelhante a parte deste trabalho, dado que a etapa de detecção de rede do sistema apresentado também verifica por padrões invariantes. O objetivo de "Botzilla" é detectar quando o malware se conecta a uma página Web controlada pelo atacante para enviar informações. As assinaturas de "Botzilla" focam nas classes de malware cujas amostras foram coletadas da rede de uma grande universidade. Resumidamente, o presente documento do estado da técnica envolve a identificação de páginas Web de phishing através de características extraídas da página analisada e de páginas de referência, sendo que as características extraídas das imagens encontradas pela ferramenta são diferentes daquelas aplicadas no método proposto na presente invenção, o qual envolve a procura de textos com uma ferramenta de OCR e procura por logotipos de bancos cadastrados, enquanto a ferramenta apresentada por Rieck et al verifica informações como tamanho, origem e cor.
Holz et al. analisam a economia por trás da comercialização de credencias roubadas e o fato de capturadores de pressionamento de teclas se comunicarem com criminosos através de dropzones [12] . Estas, por sua vez, são diretórios públicos com possibilidade de escrita, disponibilizados em servidores pertencentes ao atacante e que atuam como pontos de troca para dados coletados pelos capturadores de teclas. A análise desse trabalho é focada em amostras do Limbo - um BHO (Browser Helper Object) para Internet Explorer - e do ZeuS - um malware capturador de teclas enviado por SPAM. Para automatizar a análise dos capturadores de teclas, Holz et al. desenvolveram "SimUser", uma ferramenta que simula comportamentos de usuário, como pressionamento de teclas, movimento do mouse e manipulação de janelas. Resumidamente, o presente documento do estado da técnica envolve a busca por padrões (assinaturas) no tráfego de rede a fim de detectar um tipo especifico de malware (botcllents) . Os botclients, zumbis, ou simplesmente "bots" são exemplares de malware que se comunicam com servidores de comando e controle em posse de um atacante com o objetivo de receber comandos para lançar ataques contra terceiros. Em relação ao método proposto, há diferenças no que se refere aos padrões (assinaturas) procurados, bem como no tipo de programa malicioso detectado, contudo a técnica (busca por padrões em tráfego de rede) é a mesma, sendo inclusive utilizada em sistemas de detecção de intrusões de rede baseados em assinaturas (NIDS). O documento do estado da técnica intitulado "New malware attacks target online banking" (Disponível em: http://www.upi.com/Science_News/2012/02/02/New-malware-attacks-target-onlinebanking/UPI-2535132 822 4 2 92/>. Acesso em: 01 ago. 2013) refere-se a análise do espaço de memória dos processos em execução no sistema operacional procurando por indicios (assinaturas) de código malicioso, contudo não há detalhes no site da ferramenta sobre como essa busca é feita [1] . A ferramenta DeBank é especifica para detectar apenas duas famílias de malware, denominadas ZeuS e SpyEye, cujo modo de operação difere dos exemplares que o método proposto na presente invenção se propõe a detectar. Adicionalmente, a invenção proposta não realiza a busca por assinaturas diretamente na memória dos processos. Já o documento do estado da técnica intitulado "Image Matching for Branding Phishing Kit Images" descrito por Chengcui Zhang, Rajan Kumar Kharel, Song Gao, e Jason Britt, refere-se a análise de imagens em kits de geração de phishing para identificar qual é a "marca" que está sendo atacada. As principais diferenças do presente documento em relação ao método proposto na presente invenção são duas basicamente: as imagens extraídas e analisadas pelo método proposto na presente invenção têm como origem as janelas abertas durante a execução de uma amostra de malware, enquanto que no estado da técnica as imagens são parte de kits de phishing {sites clonados operando na Internet); o algoritmo utilizado para reconhecimento de logotipos na presente invenção é o SURF, enquanto que no estado da técnica outros algoritmos de processamento de imagem (GCH, LCH, LCH+ e LCH++) são utilizados. As siglas GCH e LCH significam, respectivamente, Global Color Histogram e Local Color Histogram, dado que tais algoritmos baseiam-se na distribuição das cores das imagens comparadas. Algoritmos com base em distribuição de cores podem causar falhas na identificação de imagens de kits de phishing quando imagens completamente diferentes possuem distribuições (globais e/ou locais) similares de cores, resultando em falsos positivos, isto é, imagens não relacionadas a phishing sendo classificadas como tal. Um outro problema ocorre quando imagens de phishing que possuem o mesmo alvo (banco, bandeira de cartão de crédito) são ligeiramente modificadas em relação às imagens legítimas, causando diferenças na distribuição local das cores que levam a falsos negativos, isto é, imagens de phishing não sendo detectadas. De maneira diferente, o algoritmo utilizado para reconhecimento de logotipos na presente invenção (SURF) não utiliza histograma de cores para comparação, e sim na identificação de pontos de interesse nas imagens comparadas com base em uma ferramenta matemática conhecida como transformada de Haar. O Estado da Técnica também contempla documentos que descrevem tecnologias similares a invenção proposta pelo fato de resolverem o mesmo problema (por exemplo: gbplugin da GAS Tecnologia), embora de formas diferentes. Dentre eles destacam-se: A tecnologia da GAS, por exemplo, visa proteger o usuário enquanto o mesmo acessa o site de Internet Banking em seu navegador, protegendo as transações efetuadas. Logo, a tecnologia da GAS pode não ser efetiva em detectar malware que rouba informações bancárias do usuário forjando uma aplicação de Internet Banking, sem que o usuário esteja conectado ao ambiente legitimo fazendo uma transação [http://www.gastecnologia.com.br/pt/solucoes /SOLU%C3%87%C3%83O%20ANTI-FRAUDE%20PARA%20E-BANKING.htm]. Diferentemente, o método proposto na presente invenção é capaz de detectar um programa suspeito. A ferramenta chamada G-Lock AntiHacker, também da GAS (http://www.g-lock.com.br/funcoes-do-g-lock) visa proteger os usuários evitando que estes sejam redirecionados para sites de phishing durante a navegação, examinando arquivos (como um antivírus) e analisando programas em memória, entre outras funções. Os antivírus também podem ser utilizados na detecção de programas maliciosos que atacam usuários de Internet Banking. Entretanto, a tecnologia dos antivírus depende de assinaturas de arquivos ou heurísticas de comportamento para realizar a detecção, em geral não analisando assinaturas de tráfego de rede nem comparando imagens em busca de "clones" de sites de Internet Banking. O Estado da Técnica contempla, ainda, documentos que descrevem métodos de monitoramento baseado em "comportamento", mesmo que diferente das aplicações prevista na presente invenção. O Estado da Técnica apresentado a seguir compreendem o monitoramento da execução de programas submetidos à análise, porém, a maioria delas não realiza a detecção, provendo apenas um relatório com as ações (comportamento geral de execução) observadas. Vale ressaltar que nenhuma das abordagens tem por foco a detecção de exemplares de malware que atacam usuários de Internet Banking do tipo que é encontrado no Brasil (programa independente que, durante sua execução, simula uma interface de atualização de segurança do banco alvo para roubar credenciais dos usuários). São eles: Panorama (http://dl.acm.org/citation.cfm?id=131526l) refere-se a um sistema de análise dinâmica capaz de detectar determinados tipos de malware através da captura do fluxo de informações sensíveis no sistema alvo. A captura é feita utilizando uma técnica chamada taint-tracking e o monitoramento é baseado em VMI (virtual machine introspection), o qual , modifica a camada de emulação de um sistema de virtualização/emulação. Assim, o uso de VMI faz com que o método de monitoração seja dependente do emulador, não podendo ser aplicado na proteção da máquina de um usuário comum.
BotHunter (http://dl.acm.org/citation.cfm?id=1362915) refere-se a um sistema de detecção de máquinas infectadas por bots que realiza a análise de tráfego de rede. TTAnalyze(https://www.auto.tuwien.ac.at/-chris/researc h/doc/eicar06_ttanalyze.pdf) refere-se a um sistema de análise de malware que monitora as interações entre um exemplar de malware e um ambiente controlado emulado de maneira parecida com Panorama. O monitoramento envolve a captura de processos criados e terminados, tráfego de rede, chaves de registro criadas, modificadas ou excluídas, arquivos criados, modificados ou excluídos e operações de sincronização (mutex). De modo similar ao Panorama, TTAnalyze é dependente de um emulador para a execução do malware, não podendo ser aplicado diretamente na proteção da máquina de um usuário comum.
Ether(http://dl.acm.org/citation.cfm?id=14 5577 0.145577 9) refere-se a um sistema de análise de malware baseado em extensões de virtualização de hardware (Intel VT) cuja proposta é ser transparente, isto é, não poder ser identificado por um malware sob análise. Entretanto, devido à forma como foi implementado e à dependência de hardware específico, Ether é muito lento e também não pode ser aplicado na protectão da máquina de um usuário. CWSandbox(http://pil.informatik.unimannheim.de/filepoo 1/publications/j2holz.pdf) refere-se a um sistema de análise dinâmica de malware que se utiliza da técnica de API hooking (interceptação de chamadas de funções no nível das APIs - Application Programming Interfaces), podendo assim ser utilizado em sistemas reais ou virtualizados para monitoração de ações de processos. Entretanto, nenhuma detecção é feita, seja no nível do sistema operacional e da rede, seja por meio da avaliação de janelas abertas durante a execução da amostra de malware.
Behavior-based Spyware Detection(http://static.usenix. org/event/sec06/tech/full_papers/kirda/kirda_html/) refere-se a um método de detecção de spyware (um tipo de malware que rouba informações do usuário por meio da monitoração e envio dos pressionamentos de teclas para um atacante). Mais especificamente, o documento descreve a capacidade de detectar apenas amostras de malware/spyware que atacam o navegador Internet Explorer utilizando BHO (Browser Helper Objects, que são extensões para modificar a navegação, adicionar características, etc.) ou atuando como uma barra de ferramentas (toolbar, mesmo objetivo dos BHO). Esse tipo de monitoramento não é capaz de detectar amostras de malware para Internet Banking que solicitam informações sensíveis do usuário através de janelas com formulários de preenchimento embutidas no próprio programa do malware (isto é, independente de página Web falsa apresentada no navegador), as quais são tratadas com o método proposto na presente invenção.
Um ataque contra usuários de Internet Banking tem como objetivo obter as credenciais utilizadas para acesso à sua conta bancária online, permitindo a transferência (roubo) de dinheiro e o pagamento de contas de um criminoso. As formas mais comuns de se atacar usuários de Internet Banking são: i) redirecionamento do usuário para sítios Web falsos que registram os dados digitados ingenuamente pela vítima; ii) instalação de capturadores de teclas (keyloggers) que enviam informações de conta e senha da vítima para o atacante; iii) execução de programas que simulam acesso à Internet Banking por meio da apresentação de telas enganosas, sendo que o estado da técnica e os produtos de segurança atuais são mais voltados para os dois primeiros casos supracitados (itens i e ii). O terceiro caso (iii), por envolver um programa que é executado na máquina do usuário que é, em geral, proveniente de um anexo de e-mail enganoso, ainda não possui solução adequada.
De forma geral, as tecnologias existentes têm seu foco na detecção de um tipo específico de banker ou na aplicação de uma técnica única e limitada. Por exemplo, existem ferramentas específicas para realizar, individualmente, a detecção de exemplares de malware de certas famílias mais comuns no cenário internacional; sítios de Internet Banking clonados; corrupção do browser por meio de injeção de dados na memória ou carregamento de plugins; padrões de ataque/evasão de informações presentes no tráfego de rede.
Sendo assim, diante do que é conhecido do Estado da Técnica, é fato que ainda há uma demanda por novos métodos para a detecção de bankers devido a capacidade limitada dos sistemas de análise de malware disponíveis em lidar com bankers, evitando assim os prejuízos financeiros decorrentes desta área. As limitações de capacidade em lidar com bankers dos sistemas de análise de malware disponíveis são as seguintes: sistemas de análise de malware baseados em assinaturas estáticas provenientes do programa executável (binário) podem ter sua detecção facilmente evadida por meio da modificação do malware sob análise; sistemas de análise de malware existentes baseados em execução (análise dinâmica) falham em detectar bankers que não se utilizam do navegador (Web browser) na tentativa de enganar o usuário de Internet Banking; sistemas que identificam páginas Web de phishing apresentadas ao usuário via navegador não são capazes de detectar bankers que não atuam no navegador, pois sua operação baseia-se na análise e identificação de páginas Web com intenção maliciosa.
Deste modo, o método proposto na presente invenção soluciona os problemas do estado da técnica ao descrever uma nova solução para o problema da identificação e detecção de programas maliciosos que roubam informações bancárias de um usuário através da apresentação de janelas de Internet Banking na máquina comprometida da vítima ou redirecionamento de domínios bancários legítimos para sítios maliciosos controlados por um atacante.
BREVE DESCRIÇÃO DA INVENÇÃO A presente invenção proporciona aumento da segurança dos usuários de Internet Banking por meio da detecção de bankers e de sites infectados que servem como ponto de obtenção de outros programas maliciosos ou de arquivos de configuração. Para tanto, propõe-se um método automatizado para a detecção de bankers em três etapas (visual, rede e sistema operacional), com base em dados obtidos por meio da execução e monitoração do exemplar malicioso em ambiente controlado. Além disso, aplica-se assinaturas de detecção nos niveis de rede e do sistema operacional, bem como provê-se a identificação de sites infectados e contas de e-mail comprometidas e/ou envolvidas nos ataques por bankers, objetivando assim reduzir e/ou eliminar os prejuízos financeiros decorrentes desta área.
Consequentemente, é objeto da presente invenção um método automatizado para a detecção de bankers que compreende as etapas de (Figura 1): (1) Identificação de amostras de malware; (2) Análise dinâmica da amostra de malware identificada na etapa (1) para a captura de dados de tráfego de rede, imagens de janelas abertas e das modificações realizadas no sistema operacional; (3) Detecção de malware por meio da combinação de técnicas capazes de detectar padrões em tráfego de rede, identificar marcas de Internet Banking (similaridade visual) e identificar modificações suspeitas realizadas no sistema operacional, em que a etapa de detecção de malware compreende as etapas de: (3A) Detecção de padrões em tráfego de rede; (3B) Identificação de marcas de Internet Banking; e (3C) Identificação de modificações suspeitas realizadas no sistema operacional; (4) Processamento dos resultados obtidos na etapa (3) ; (4A) Classificação dos resultados obtidos nas sub-etapas (3A), (3B) e (3C) em dois grupos principais: Amostra do tipo Banker e Amostra do tipo não-Banker; e (4Β) Listagem dos endereços IP e de e-mails comprometidos.
BREVE DESCRIÇÃO DOS DESENHOS A figura 1 é uma representação esquemática das etapas e componentes envolvidos na aplicação do método para identificação de amostras de malware que atacam usuários de Internet Banking. A figura 2 ilustra a requisição HTTP (POST) mostrando o envio de dados de vitimas roubados por banker. A figura 3 mostra a quantidade de exemplares (em porcentagem) que apresentou cada um dos comportamentos suspeitos comumente exibidos por bankers. A figura 4 apresenta os resultados de detecção gerados por cada uma das técnicas capazes de detectar padrões em tráfego de rede, identificar marcas de Internet Banking (similaridade visual) e identificar modificações suspeitas realizadas no sistema operacional.
DESCRIÇÃO DETALHADA DA INVENÇÃO A presente invenção proporciona um método para detectar bankers e recursos comprometidos (endereços IP e contas de e-mail) em decorrência de uma infecção por esse tipo de malware. A detecção é realizada durante a execução do malware e combina técnicas de similaridade visual, correspondência de padrões de tráfego de rede e monitoração do sistema de arquivos da máquina vitima. A arquitetura do método de detecção proposto é mostrada na Figura 1. A execução do malware e consequente monitoração de suas atividades é feita em um ambiente controlado por meio de análise dinâmica. Para realizar a análise dinâmica, foi desenvolvido um driver para o kernel do Windows que traça a execução de um dado programa e seus processos-filhos por meio da interceptação das chamadas de sistema presentes na SSDT (System Service Dispatch Table). As chamadas interceptadas e seus parâmetros são armazenados em um arquivo texto e incluem: escrita e remoção de arquivos; criação e finalização de processos; criação, escrita e remoção de registros; escritas na memória de outros processos; conexão, envio, recebimento e término de conexão de tráfego de rede. Dado que a monitoração da execução do programa é realizada por um driver, a análise dinâmica pode ser feita em ambientes reais, virtuais e emulados. Técnicas para Detecção de Bankers: O conjunto de técnicas do método aqui descrito para a detecção de bankers envolve três etapas principais: detecção de padrões em tráfego de rede, identificação de marcas de Internet Banking (similaridade visual) e identificação de modificações suspeitas realizadas no sistema operacional (ou seja, monitoramento do sistema de arquivos da máquina vitima), as quais estão explicadas a seguir.
Similaridade Visual Neste passo, efetua-se o reconhecimento de logotipos e imagens características de Internet Banking, aproveitando-se da vantagem de o atacante não poder realizar grandes variações, seja nos padrões de cores do banco ou na apresentação e posição das imagens e' textos relacionados, a fim de não causar suspeitas na vítima e revelar o golpe.
Para alcançar a identificação visual, as imagens são obtidas do seguinte modo: extração do tráfego de rede, em caso de downloads; tentativa de extração de imagens embutidas no arquivo executável; janelas apresentadas pelo programa malicioso durante sua execução. Os diversos modos de obtenção de imagens visam aumentar as chances de sucesso se o banker tentar bloquear os screenshots, criptografar o tráfego de rede ou se o binário estiver ofuscado por um packer.
Após obtidas as imagens, é feita uma busca para verificar se estas contêm logotipos de bancos ou figuras relacionadas. Como um exemplo de concretização, foi desenvolvida uma ferramenta usando JavaCV [13], que realiza a procura pelos logotipos dos cinco maiores bancos brasileiros dentro das referidas imagens por meio do algoritmo SÜRF (Speed-Up Robust Features) [14]. Além disso, as imagens são processadas pelo Tesseract [15] - uma ferramenta de reconhecimento de textos (OCR) - para extrair textos que são então comparados com palavras-chaves presentes em um dicionário de termos relacionados ao Internet Banking brasileiro.
Tráfego de Rede A observação do tráfego de rede produzido por programas maliciosos que atacam usuários de Internet Banking levou à constatação de que tais programas comumente enviam dados roubados do sistema da vitima por meio de requisições HTTP. A análise dessas requisições revelou padrões que tornaram possíveis o desenvolvimento de assinaturas de rede que podem ser utilizadas na detecção de atividades de bankers. A Figura 2 ilustra o conteúdo de requisições feitas durante a infecção de bankers. Verificou-se que alguns exemplares de banker enviam este tipo de requisição logo no início de sua execução (para informar ao criminoso que a infecção foi alcançada), seguido por requisições similares que contêm informações (credenciais, senhas) de Internet Banking providas pela vítima. A etapa de análise do tráfego de rede permite também a obtenção de diversas informações adicionais, tais como arquivos de configuração de proxy do navegador, imagens, URLs, endereços de e-mail e de rede (IP) de servidores comprometidos.
Sistema de Arquivos As modificações feitas no sistema de arquivos da máquina infectada advêm da monitoração da execução do banker, mencionada anteriormente. Modificações suspeitas envolvem a inclusão de arquivos de autoconfiguração de proxies para navegadores Web (chamados de PAC), alterações no arquivo de resolução de nomes (hosts) e tentativas de desligamento de mecanismos de segurança (antivírus, firewall, atualizações automáticas do sistema operacional). Arquivos PAC podem ser obtidos se um banker os armazena no sistema infectado ou pelo download destes a partir das URLs armazenadas como valor na chave de Registro "Internet Settings\AutoConfigURL". A avaliação dos arquivos PAC para verificar se há redirecionamento de URLs de sites de bancos é feita da seguinte forma: executa-se o arquivo PAC em um processador de JavaScript baseado no Rhino [16] e realiza-se a chamada à função "FindProxyForURL" produzida utilizando-se domínios de Internet Banking como parâmetros. Assim, mesmo que o código JavaScript dentro do arquivo PAC esteja ofuscado, eventualmente ele será desofuscado e a função "FindProxyForURL" será chamada. O arquivo "hosts" é obtido após o processo de monitoração da execução do banker e, caso haja alteração, é feita uma busca por domínios de Internet Banking. O resultado da monitoração provê informações sobre tentativas de término de processos e mudanças em chaves de Registro específicas que permitem a identificação do desligamento dos mecanismos de segurança anteriormente citados.
Coleta e Análise dos Dados Os processos de levantamento de logotipos, criação de dicionário de termos de Internet Banking e desenvolvimento de assinaturas de rede e do sistema de arquivos envolveram a análise manual de 1.194 exemplares de malware coletados de mensagens de phishing e analisados dinamicamente entre agosto de 2010 e julho de 2011.
Como um exemplo de concretização para a presente invenção, foram selecionados 1.653 exemplares de malware provenientes de phishing e de bases particulares, todos coletados em 2012. Esses exemplares foram enviados para análise dinâmica em máquinas virtuais com sistema operacional Windows XP SP3 e executados por quatro minutos cada. A etapa de análise inclui a captura do tráfego de rede durante a execução e a extração de imagens embutidas no exemplar. Além disso, todos os exemplares foram verificados pelo antivírus Avira de modo a se obter seus identificadores de detecção, os quais foram normalizados para enfatizar o tipo ou família do malware em questão. Na Tabela 1, mostra-se a distribuição (em porcentagem) dos exemplares em famílias de acordo com a detecção.
Tabela 1: Distribuição dos exemplares de malware em famílias identificadas pelo antivírus.
Os dados contidos na Tabela 1 permitem algumas observações interessantes: aproximadamente 23% (ID = 15) dos 1.653 exemplares analisados não foram detectados como malware pelo antivírus; cerca de 10% do total de exemplares (ID = 16) está distribuído entre 63 famílias distintas; mais de 17% dos exemplares foram identificados explicitamente como bankers(ID = 03).
Exemplos A seguir, são mostrados os comportamentos suspeitos encontrados nos exemplares durante sua execução, o mapeamento das famílias identificadas na Tabela 1 em relação aos comportamentos suspeitos e os resultados de detecção obtidos pela aplicação das técnicas propostas. Comportamentos Suspeitos Observados Antes da realização dos testes com as técnicas propostas neste invento, todos os exemplares de 2012 (1.653) foram manualmente verificados pela presença dos comportamentos suspeitos anteriormente mencionados. A verificação manual indicou que 1.520 exemplares se comportaram como bankers. Esses exemplares serão considerados como o conjunto de referência para comparação das técnicas propostas aplicadas à detecção de bankers. Na Figura 3, mostra-se a quantidade de exemplares que apresentou cada comportamento suspeito definido. Nota-se que o roubo de informações é o comportamento mais frequentemente exibido, seguido pelo carregamento de arquivos PAC, envio de e-mail e a presença de imagens de bancos brasileiros.
Na Tabela 2, os identificadores das famílias de malware (coluna ID da Tabela 1) são associados a cada um dos comportamentos suspeitos observados. Pode-se perceber que os exemplares identificados pelo antivírus como bankers (ID = 06) exibiram, como esperado, todos os comportamentos suspeitos definidos - Roubo de Informações (RI), Envio de E-mail (EE), Carregamento de Arquivos PAC (CP), Modificação do Arquivo "Hosts" (MH) e Presença de Imagens de Bancos (IB) .
Entretanto, cabe ressaltar que, com exceção de Modificação do Arquivo "Hosts" e Presença de Imagens de Banco, todos os outros comportamentos suspeitos foram exibidos pelas famílias de malware. Com isso, pôde-se notar que a separação feita pelo antivírus é incipiente quando comparada à separação comportamental, sendo que esta última é melhor capaz de agrupar exemplares que exibem o mesmo tipo de ação danosa no sistema alvo. Outro fato interessante é que as imagens de banco encontradas nos exemplares são independentes da classificação destes como bankers pelo antivírus.
Tabela 2: Conjunto de comportamentos (colunas) apresentados por família (linhas) durante inspeção manual: RI = Roubo de Informações; EE = Envio de E-mail; CP = Carregamento de Arquivos PAC; MH = Modificação do Arquivo "Hosts"; IB = Presença de Imagens de Bancos. — Avaliação da Detecção Os resultados provenientes da aplicação das técnicas de similaridade visual, correspondência de padrões de tráfego de rede e monitoração do sistema de arquivos foram comparados com aqueles gerados pela análise dinâmica assistida (conjunto de referência). A principal vantagem de se aplicar diferentes técnicas na identificação de bankers é que essa agregação possibilita uma melhor chance de sucesso de detecção dos comportamentos suspeitos apresentados por esse tipo de malware. Na Figura 4, mostra-se quantos exemplares (dos 1.520 manualmente identificados como bankers) foram identificados automaticamente pelo conjunto de técnicas propostas. Utilizando as três técnicas, foi possivel detectar 98,8% dos exemplares (1.502) como bankers, sendo que a detecção de padrões em tráfego de rede foi a mais efetiva - sozinha, essa técnica foi capaz de detectar mais de 63% dos exemplares avaliados. Porém, as outras técnicas são também importantes para a detecção como um todo, haja visto que a monitoração do sistema de arquivos e a análise das imagens identificaram, em conjunto, mais de 35% dos exemplares.
Adicionalmente, a análise da execução dos exemplares de bankers permitiu a identificação de 88 endereços de e-mail e de 183 endereços de IP. Os endereços de e-mail capturados trataram-se de contas comprometidas ou foram especialmente criados com o objetivo de receber dados roubados de vitimas infectadas por bankers, enquanto que os endereços IP foram associados a servidores comprometidos de terceiros ou possuídos por ciber criminosos com a função de hospedar código malicioso ou receber dados de sitemas-alvo. Constatou-se que 77,1% dos exemplares que evadiram informações por meio da rede também contataram endereços IP no Brasil, nos Estados Unidos ou na Alemanha. Além disso, 80,7% dos endereços utilizados para armazenar arquivos PAC e de "hosts" são dos Estados Unidos, do Brasil ou da França. Cabe ressaltar que as contas de e-mail encontradas e IPs utilizados em atividades de bankers foram reportados para os responsáveis.
Deste modo, resumidamente a presente invenção descreve um método automatizado para a detecção de bankers que compreende as etapas de (Figura 1) : (1) Identificação de amostras de malware, sendo que uma amostra (ou exemplar) de malware compreende qualquer programa executável suspeito, potencialmente malicioso, cujo comportamento de execução pode levar ao roubo de informações sensíveis pertencentes a um usuário de Internet Banking. (2) Análise dinâmica da amostra de malware identificada na etapa (1) para a captura de dados de tráfego de rede, imagens de janelas abertas e das modificações realizadas no sistema operacional. Mais especificamente, a análise dinâmica compreende um processo de execução da "amostra de malware" em um ambiente controlado denominado "sistema de análise", sendo que cada "amostra de malware" é executada isoladamente em uma instância de um "sistema de análise", a fim de não haver contaminação no ambiente controlado que possa causar erros no processo de detecção. Entretanto, várias instâncias de "sistemas de análise" podem ser colocadas em operação, de modo a proporcionar a execução de várias "amostras de malware" em paralelo. O sistema de análise é responsável por monitorar a execução de uma "amostra de malware" a fim de obter informações sobre seu comportamento por meio da captura de dados como o tráfego de rede gerado, as imagens extraídas de janelas abertas e as modificações realizadas no sistema operacional (mudanças em chaves de registro e arquivos). A etapa da análise dinâmica é essencial, embora a técnica utilizada para realizá-la é indiferente, desde que permita a captura dos três tipos de dados (tráfego de rede, imagens de janelas abertas e modificações realizadas no sistema operacional) necessários para a aplicação das técnicas de detecção de amostras de malware que atacam usuários de Internet Banking. (3) Defecção de malware por meio da combinação de técnicas capazes de detectar padrões em tráfego de rede, identificar marcas de Internet Banking (similaridade visual) e identificar modificações suspeitas realizadas no sistema operacional (ou seja, monitorar o sistema de arquivos da máquina vitima): a detecção de amostras de malware que se disfarçam de programas legítimos com a finalidade de obter informações sensíveis (confidenciais ou pessoais) e acesso a recursos computacionais dependentes das informações sensíveis obtidas (por exemplo, o usuário de Internet Banking) é feita por meio da aplicação conjunta de três técnicas em cada um dos dados obtidos do processo de "análise dinâmica" (2), isto é, tráfego de rede capturado, imagens extraídas de janelas abertas e modificações realizadas no sistema operacional. Para a eficácia da detecção, é essencial que as três técnicas sejam aplicadas, seja de maneira paralela ou sequencial, não importando a ordem. (3A) Detecção de padrões em tráfego de rede: essa técnica é utilizada para detectar padrões - também chamados de assinaturas - no conteúdo do tráfego de rede que indiquem a atividade de uma dada "amostra de malware" (1) cujo alvo é o usuário de Internet Banking. A detecção de padrões dá-se por meio da análise do tráfego de rede em busca de assinaturas pré-definidas relacionadas a ataques por bankers. Tais assinaturas referem-se ao tráfego de rede contendo informações sensíveis relacionadas à Internet Banking, tais como credenciais de usuário, valores de tabela de senhas, número da agência e conta do cliente de Internet Banking, etc. Essas informações são formatadas em um padrão definido pelo tipo da amostra de malware e determinam a assinatura de detecção. Um exemplo de assinatura capaz de detectar amostras de bankers do mesmo tipo é: "praquem=[A-Za-zO-9+@[A-Za-zO-9.-]+\.[A-Za-z]{2,4}&titulo=.*&texto=.*&"; (3B) Identificação de marcas de Internet Banking: essa técnica é utilizada para identificar logotipos e imagens relacionadas a bancos que atuam na Internet por meio da comparação entre imagens catalogadas em um banco de dados e as imagens extraídas de janelas abertas durante o processo de "análise dinâmica" (2) de uma "amostra de malware" (1). A técnica de identificação de marcas de Internet Banking aplicada durante a comparação é a busca de logotipos usando o algoritmo SURF (Speed-Up Robust Features), entretanto, há a liberdade de se usar outro algoritmo de processamento de imagens se este prover melhores resultados. (3C) Identificação de modificações suspeitas realizadas no sistema operacional: essa técnica visa identificar modificações suspeitas realizadas por uma "amostra de malware" (1) durante o processo de "análise dinâmica" (2), as quais possam indicar atividades relacionadas ao ataque de um banker. Tal identificação é feita por meio do monitoramento dos seguintes itens: arquivo de resolução de nomes (hosts.txt), que mapeia endereços IP para domínios na Internet; chaves do registro relacionadas à configurações do navegador (browser); criação de arquivos de autoconfiguração do navegador (arquivos.PAC); tentativas de desligamento de mecanismos de segurança (antivírus, firewall e atualizações automáticas do sistema operacional). (4) Processamento dos resultados obtidos na etapa (3) : o processamento dos resultados obtidos na etapa (3) visa obter informações acerca da aplicação das técnicas de forma a permitir a tomada de decisão sobre a "amostra de malware" (1) analisada, isto é, se o programa executado durante a "análise dinâmica" (2) deve ser considerado um banker. Essa etapa produz dois resultados adicionais, descritos a seguir- (4Α) Classificação dos resultados obtidos nas sub-etapas (3A), (3B) e (3C) em dois grupos principais: Amostra do tipo Banker e Amostra do tipo não-Banker, sendo que a classificação ocorre de maneira automática, dada a existência de um classificador já treinado para realizar a separação das amostras nos dois grupos supracitados. <4B) Listagem dos endereços IP e de e-mails comprometidos: caso o resultado de detecção seja positivo para "banker", são geradas duas listas com recursos potencialmente comprometidos (infectados), uma com os endereços IP e outra com os endereços de e-mail encontrados. Tais listas são produzidas com base nos endereços IP acessados para obtenção de arquivos (PAC, hosts.txt) ou envio de informações, endereços de e-mail utilizados durante a "análise dinâmica" (2) de uma "amostra de malware" (1), e/ou endereços IP escritos em chaves de registro monitoradas na etapa (3C) .
Sendo que: — A etapa (1) requer que a "amostra de malware" seja um programa do tipo PE (Portable Executable) ou de variações desse tipo, executável em sistemas operacionais Microsoft Windows; —A etapa (2) necessita de uma ferramenta de monitoração de sistemas operacionais que seja capaz de realizar a análise dinâmica da "amostra de malware" de modo a capturar o tráfego de rede produzido, as imagens provenientes de janelas abertas e as modificações realizadas no sistema operacional monitorado; — A etapa (3A) depende de um conjunto de padrões de tráfego de rede (assinaturas) típicos de malware bancários, do tráfego de rede extraído na etapa (2) e de uma ferramenta capaz de verificar se os padrões aparecem no tráfego obtido; — A etapa (3B) depende de um conjunto de logotipos de bancos, das imagens extraídas na etapa (2) e de uma ferramenta capaz de realizar a identificação dos logotipos nas imagens; — A etapa (3C) depende de um conjunto de padrões de ações suspeitas previamente catalogadas, das ações capturadas na etapa (2) e de uma ferramenta que verifica se os padrões aparecem nas ações capturadas; — A etapa {4A) depende dos resultados das etapas (3A), (3B) e (3C); — A etapa (4B) depende do tráfego de rede e das ações monitoradas, ambos obtidos na etapa (2). Além disso, depende de uma ferramenta para extrair as informações de IPs e e-mails desses dados. Consequentemente, a presente invenção refere-se a um método para detecção de bankers por meio de sua execução em um ambiente controlado de análise dinâmica de programas. Para alcançar esse objetivo, foi proposto um esquema que se utiliza de três técnicas: similaridade visual em imagens extraídas do arquivo ou de telas de execução do banker em busca de logotipos de bancos; correspondência de padrões (assinaturas) em tráfego de rede gerado pelo malware; monitoração de modificações no sistema de arquivos comprometido. Além disso, o sistema é capaz de produzir uma lista de endereços IP e contas de e-mail utilizados no processo de infecção. As taxas de detecção alcançadas foram de 98,8%, permitindo a identificação de exemplares maliciosos como bankers que atacam usuários de Internet Banking, os quais não foram detectados por antivírus; os 183 endereços de IP e os 88 de e-mail encontrados foram reportados para os provedores e times de tratamento de incidentes. O foco dessa invenção foi a defesa dos usuários de Internet Banking e propor uma solução na detecção de programas maliciosos que os atacam, dado que os trabalhos relacionados na literatura não tratam especificamente tal problema ou o tratam de maneira insatisfatória.
Embora a invenção tenha sido amplamente descrita, é óbvio para aqueles versados na técnica que várias alterações e modificações podem ser feitas sem que as referidas alterações não estejam cobertas pelo escopo da invenção.
REFERÊNCIAS [1] UPI. New malware attacks target online banking. http://www.upi.com/Science News/2012/02/02/New-malware-attacks-ta.rget-online-ban.ki.ng/UPI-2 5351328 22 4 2 92/, 2012. Acessado em maio de 2013. [2] C. Ilioiu. What is trojan banking, Computer virus designed to attack online transactions. http://www.f inancial-maqaz ine.org/what-is-troj an-banking-computer-virus-desiqned-to-attack-online-transactions-66473.html, 2012. Acessado em maio de 2013. [3] H. Binsalleeh, T. Ormerod, A. Boukhtouta, P. Sinha, A.
Youssef, M. Debbabi, and L. Wang. On the Analysis of the Zeus Botnet Crimeware Toolkit. In Eighth Annual International Conference on Privacy Security and Trust (PST), pages 31-38, August 2010. [4] P. Coogan. Spyeye bot versus zeus bot. http://www.symante c.com/connect/bloqs/spyeye-bot-versus-zeus-bot, 2010. Acessado em maio de 2012. [5] F.-S. Corporation. The trojan money spinner, 2007. Available at http://www.f-secure.com/webloq/archives/VB2007 TheTroj anMoneySpinner.pdf. [6] Kaspersky. Number of the week: 780 new malicious programs designed to steal users' online banking data detected every day, 2012. Available at http://www.kaspersky.com/about/news/virus/2012/Number of th e week 780 new malicious programs. [7] E. Medvet, Ε. Kirda, and C. Kruegel. Visual-similarity-based phishing detection. In Proceedings of the 4th International conference on Security and privacy in communication netowrks, SecureComm '08, pages 22:1-22:6. ACM, 2008. [10] A. Buescher, F. Leder, and T. Siebert. Banksafe Information stealer detection inside the web browser. In Proceedings of the 14th International conference on Recent Advances in Intrusion Detection, RAID'11, pages 262-280. Springer-Verlag, 2011. [11] K. Rieck, G. Schwenk, T. Limmer, T. Holz, and P. Laskov. Botzilla: detecting the "phoning home" of malicious software. In Proceedings of the 2010 ACM Symposium on Applied Computing (SAC), pages 1978-1984, 2010. [12] T. Holz, M. Engelberth, and F. Freiling. Learning more about the underground economy: a case-study of keyloggers and dropzones. In Proceedings of the 14th European conference on Research in Computer security, ESORICS'09, pages 1-18. Springer-Verlag, 2009.

Claims (5)

1. Método de detecção de bankers caracterizado por compreender as etapas de: (1) Identificação de amostras de malware, sendo que a referida amostra de malware compreenda qualquer programa executável selecionado dentre programas do tipo PE (Portable Executable) ou programas similares; (2) Análise dinâmica da amostra de malware identificada na etapa (1) para captura do tráfego de rede produzido, das imagens provenientes de janelas abertas e das modificações realizadas no sistema operacional monitorado, sendo que cada um desses dados: deve ser obtido de maneira paralela, durante o tempo de execução da amostra de malware no sistema de análise dinâmica. (3) Detecção de malware por meio da combinação de técnicas capazes de detectar padrões em tráfego de rede, identificar marcas de Internet Banking (similaridade visual) e identificar modificações suspeitas realizadas no sistema operacional, em que a etapa de detecção compreende as etapas de: (3A) Detectar padrões em tráfego de rede, sendo que a referida detecção compreende a busca dè assinaturas pré-definidas relacionadas a ataques por bankers. (3B) Identificar marcas de Internet Banking, sendo que a referida identificação compreende a busca por logotipos, imagens ou figuras relacionadas a bancos que atuam na Internet por meio da comparação entre imagens catalogadas em um banco de dados e as imagens extraídas de janelas abertas obtidas na etapa (2); e (3C) Identificar modificações suspeitas realizadas no sistema operacional, sendo que a referida identificação compreende o monitoramento de qualquer item ou atividade selecionada dentre arquivo 1 de resolução de nomes (hosts.txt) que mapeia endereços IP para domínios na Internet; chaves de registro relacionadas às configurações do navegador (browser); criação de arquivos de autoconfiguração do navegador (arquivos do tipo (com extensão) .PAC); e tentativas de desligamento de mecanismos de segurança (antivírus, firewall e atualizações automáticas do sistema operacional); (4) Processamento dos resultados obtidos na etapa (3) , sendo que o processamento compreende as etapas de : (4A) Classificação dos resultados obtidos nas sub-etapas (3A) , (3B) e (3C) em dois grupos principais: 'POSITIVA para Banker' e 'NEGATIVA para Banker', sendo que a classificação ocorre de maneira automática, dada a existência de um classificador já treinado para realizar a separação das amostras nos dois grupos supracitados; e (4B) Listagem dos endereços IP e de e-mails comprometidos, caso o resultado da classificação da etapa (4A) seja do tipo 'POSITIVA para Banker'.
2. Método de detecção de bankers, de acordo com a reivindicação 1, caracterizado pelo fato de que a amostra de malware é compatível com sistemas operacionais da família Microsoft Windows.
3. Método de detecção de bankers, de acordo com a reivindicação 1, caracterizado pelo fato de que as assinaturas da etapa (3A) compreendem assinaturas do tráfego de rede que contém informações sensíveis relacionadas à Internet Banking.
4. Método de detecção de bankers, de acordo com a reivindicação 3, caracterizado pelo fato de que as informações sensíveis relacionadas à Internet Banking compreendem qualquer informação selecionada dentre credenciais de usuário; valores de tabela de senhas; número da agência; conta do cliente de Internet Banking; dentre outros.
5. Método de detecção de bankers, de acordo com a reivindicação 4, caracterizado pelo fato de que as informações sensíveis relacionadas à Internet Banking compreendem uma formatação em um padrão definido pelo tipo da amostra de malware e determinam a assinatura de detecção.
BR102013030941A 2013-11-28 2013-11-28 método automatizado para a detecção de bankers BR102013030941A2 (pt)

Priority Applications (1)

Application Number Priority Date Filing Date Title
BR102013030941A BR102013030941A2 (pt) 2013-11-28 2013-11-28 método automatizado para a detecção de bankers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
BR102013030941A BR102013030941A2 (pt) 2013-11-28 2013-11-28 método automatizado para a detecção de bankers

Publications (1)

Publication Number Publication Date
BR102013030941A2 true BR102013030941A2 (pt) 2015-11-03

Family

ID=54543572

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102013030941A BR102013030941A2 (pt) 2013-11-28 2013-11-28 método automatizado para a detecção de bankers

Country Status (1)

Country Link
BR (1) BR102013030941A2 (pt)

Similar Documents

Publication Publication Date Title
CN109583193B (zh) 目标攻击的云检测、调查以及消除的系统和方法
Kharaz et al. {UNVEIL}: A {Large-Scale}, automated approach to detecting ransomware
EP3113064B1 (en) System and method for determining modified web pages
KR101497742B1 (ko) 인증, 데이터 전송 및 피싱에 대한 보호를 위한 방법 및 시스템
Lu et al. Blade: an attack-agnostic approach for preventing drive-by malware infections
JP6624771B2 (ja) クライアントベースローカルマルウェア検出方法
Patil et al. Survey on malicious web pages detection techniques
Wang et al. Automatically Traceback RDP‐Based Targeted Ransomware Attacks
US8856937B1 (en) Methods and systems for identifying fraudulent websites
Sood et al. An empirical study of HTTP-based financial botnets
JP6654985B2 (ja) 安全なオンライン認証のためのシステム及び方法
Nissim et al. Keeping pace with the creation of new malicious PDF files using an active-learning based detection framework
US9973525B1 (en) Systems and methods for determining the risk of information leaks from cloud-based services
Continella et al. Prometheus: Analyzing WebInject-based information stealers
Milletary Citadel trojan malware analysis
Praitheeshan et al. Attainable hacks on Keystore files in Ethereum wallets—A systematic analysis
Villalba et al. Ransomware automatic data acquisition tool
Atapour et al. Modeling Advanced Persistent Threats to enhance anomaly detection techniques
Süren et al. Know Your EK: A Content and Workflow Analysis Approach for Exploit Kits.
US7840958B1 (en) Preventing spyware installation
Utakrit Review of browser extensions, a man-in-the-browser phishing techniques targeting bank customers
Kour et al. Tracing out cross site scripting vulnerabilities in modern scripts
Grégio et al. An empirical analysis of malicious internet banking software behavior
Celik et al. Behavioral analysis of trickbot banking trojan with its new tricks
Sharma et al. Smartphone security and forensic analysis

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B06V Preliminary requirement: patent application procedure suspended [chapter 6.22 patent gazette]
B11B Dismissal acc. art. 36, par 1 of ipl - no reply within 90 days to fullfil the necessary requirements