wonderful world of malware

Glossário

  • APTs - Advanced Persistent Threats
  • TTPs - Tactics, Techniques & Procedures
  • Exploits - Programas que exploram vulnerabilidades
  • 0day - Uma vulnerabilidade desconhecida
  • Nday - Uma vulnerabilidade com patch disponível
  • Samples - Uma cópia, funcional ou não, de algum dos estágios de um malware
  • Campanha - Como identificamos o objetivo de um malware ou APT.

Disclaimer

Apts

Apts em 2025

  • Financiamento Governamental e/ou Paramilitar
  • Eficiência extrema
  • Recursos operacionais muitas vezes maior que as dos alvos

Contexto Militar

De organização, recursos e estrutura operacional

APts dentro de operações militares

  • PIRs - Priority Intelligence Requirement
  • Sempre atrelado ao objetivo da campanha cujo APT está contribuindo
  • Para grupos com motivação financeira, isso não se aplica necessariamente em!

Malware

(a.k.a virus, baidu, tigrinho...)

anatomia

stage 0: Infecção
Stage 1: Persistência e spreading 
Stage 2: Payload

Familias

Spyware

Ransomware

RAT

Stealer

Adware

Cryptoware / Cryptominers

Menção honrosa

  • MaaS - Malware as a Service
  • DDoSers - Relevância no conflito Rússia-Ucrânia
  • Loaders - Mercado paralelo de componentes
  • Hackitivismo - Ransomware na Disney Inc.

notpetya

mimikatz

eternalblue

diskencryptor.c

junho de 2017

10 da manhã

7 minutos depois do malware ser colocado nos servidores da m.e.Doc

 

60% do dano causado foi dentro da primeira hora

49.000 computadores  e servidores

windows

574 escritórios em 130 paises

impacto

no dia-a-dia

o notpetya foi um dos principais motivadores para a revisão das esferas de Guerra

"Yes, things like network segmentation would help to slow the spread. Things like a SOC would help us see the activity before the fateful day arrived. Patching would absolutely have helped ... But ultimately, the fundamental risk we had failed to address was management of privileged access."

Ex-Funcionário da Mersk

Igor Franca

writing malware is not a crime

Medium: @IFranca

GitHub: Horaddrim

LinkedIn: igor-franca

Mersk e o notPetya

By Igor Franca

Mersk e o notPetya

  • 543