SACI: Solução para Análise Comportamental Automatizada de Código Infeccioso em SO MS Windows Modernos

  • Bernardo Tomasi UFPR
  • Davi C. Ribeiro UFPR
  • Pedro Friedrich UFPR
  • Ruibin Mei UFPR
  • Yago Furuta UFPR
  • Jorge Correia UFPR
  • André Grégio UFPR

Resumo


Embora os sistemas operacionais evoluam suas defesas, os códigos maliciosos continuam sendo a principal forma de infectar usuários. Neste artigo, é proposto o SACI, uma solução para análise comportamental automatizada de executáveis suspeitos para MS Windows 10 e 11. Por meio de um filter driver e uma infraestrutura que promove alta disponibilidade e escalabilidade, SACI permite a obtenção de informações a respeito do tempo de vida do malware no sistema monitorado, além de fornecer dados sobre os seus tokens de segurança, operações de E/S, alterações no Registro, rastreamento da criação de processos e a utilização de threads.

Referências

Botacin, M., Ceschin, F., and Grégio, A. (2021). Corvus: Uma solução sandbox e de threat intelligence para identificação e análise de malware. In Anais Estendidos do XXI SBSeg, pages 50–57, Porto Alegre, RS, Brasil. SBC.

Botacin, M., de Geus, P. L., and Grégio, A. R. A. (2018). The other guys: automated analysis of marginalized malware. Journal of Computer Virology and Hacking Techniques, 14:87–98.

CISA (2022). Mar-10375867-1.v1 – hermeticwiper. [link].

Figueiredo, G. V., Cattelan, R. G., and Miani, R. S. (2022). Sandbox as a service: automatizando a configuracão do cuckoo sandbox e a geração de dados para análise de malware. In WTICG, SBSeg. SBC.

Guarnieri, C. (2013). Cuckoo sandbox. [link].

Proxmox (2024). Proxmox virtual environment. [link].

Ribeiro, A. d. S., Canedo, E. D., Mendonça, F. L. L., and Junior, R. T. d. S. (2020). Malware analysis using the unbox tool. In 17th International Conference on Information Technology–New Generations (ITNG 2020), pages 127–135. Springer.

Souza, C. and Silva, F. (2021). Freki: Uma ferramenta para análise automatizada de malware. In Anais Estendidos do XXI SBSeg, pages 58–65, Porto Alegre, RS, Brasil. SBC.
Publicado
16/09/2024
TOMASI, Bernardo; RIBEIRO, Davi C.; FRIEDRICH, Pedro; MEI, Ruibin; FURUTA, Yago; CORREIA, Jorge; GRÉGIO, André. SACI: Solução para Análise Comportamental Automatizada de Código Infeccioso em SO MS Windows Modernos. In: SALÃO DE FERRAMENTAS - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 24. , 2024, São José dos Campos/SP. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2024 . p. 153-160. DOI: https://doi.org/10.5753/sbseg_estendido.2024.243328.