A análise de malware é uma tarefa difícil e complexa. Para isso, é imprescindível contar com diversas ferramentas que permitam processar e interpretar grandes volumes de dados para simplificar o trabalho de análise. Felizmente, quando se trata de analisar o tráfego de rede a procura de atividades maliciosas, existem ferramentas excelentes disponíveis, como o Wireshark ou NetworkMiner, que são bem conhecidas e para as quais há muita documentação disponível. Porém, desta vez, queremos apresentar o Brim, uma poderosa ferramenta gratuita para análise de tráfego de rede que foi lançada em meados de 2018 e que ainda não é tão popular.

Brim: uma ferramenta para analisar o tráfego da rede

O Brim é uma ferramenta open source projetada para especialistas em segurança de redes que facilita a pesquisa e análise de dados por meio das seguintes fontes:

  • Captura de tráfego de rede criadas pelo Wireshark ou TCPdump
  • Registros estruturados, como os provenientes do framework Zeek

Isso é particularmente útil para os profissionais que precisam processar grandes volumes de tráfego de rede, especialmente aqueles que são difíceis de analisar com o Wireshark, tshark ou outros analisadores de pacotes de dados.

Usando o Brim junto com o Wireshark (Fonte: Brimdata)

Entre as características mais destacadas dessa ferramenta podemos citar o seu suporte multiplataforma (é compatível com sistemas Windows, macOS e GNU/Linux), seu desenvolvimento e integração com outras ferramentas open source como Zed, Zeek, Suricata [1][2] e o projeto de regras para IDS/IPS conhecido como Emerging Threats.

Análise da atividade de rede do trojan Vidar com o Brim

Para fins práticos, analisamos um rastreamento de rede capturado enquanto o malware Vidar estava em execução em um computador comprometido.

Nota: é importante lembrar que ao analisar uma captura de tráfego em que haja evidência ou suspeita da presença de um malware, deve-se utilizar um sistema isolado e específico para essa finalidade (neste caso, recomenda-se uma máquina virtual em Linux, já que o malware em questão afeta os sistemas Windows). A manipulação incorreta da captura de rede e dos arquivos nela contidos pode levar ao comprometimento de nosso próprio computador.

Características gerais do malware que será analisado

O trojan Vidar é uma versão aprimorada do malware Arkei e está enfocada principalmente em roubar informações de hosts comprometidos, dados de acesso de navegador, histórico de navegação, cookies de login, produzir capturas de tela da atividade do usuário vítima e roubar dados usados ​​por soluções 2FA e carteiras de criptomoedas, entre outras. Depois que essas informações são coletadas, o malware as envia para o servidor C2 controlado pelos atacantes.

Seu método de propagação ou vetor inicial ocorre principalmente por meio de campanhas de malspam que contêm anexos e URLs maliciosas, ou por meio de keygens trojanizados contidos no malware.

1º Passo: Abrir a captura de tráfego de rede através do Brim

1º Passo.

2º Passo: Usar as pesquisas que vêm por padrão no Brim

Embora a ferramenta tenha uma linguagem de sintaxe de pesquisa completa, um dos recursos mais valiosos do Brim são as pesquisas configuradas por padrão na GUI. Usar essas consultas é um excelente ponto de partida na hora começar a sondar o tráfego de rede capturado.

Entre as diversas pesquisas disponíveis, algumas das que mais se destacam são:

  • Alertas do Suricata (IDS), por categorias;
  • Alertas do Suricata (IDS), por origem e destino;
  • Resumo das atividades
  • Pesquisas DNS exclusivas
  • Pesquisas HTTP
  • Atividades de arquivos

2° Passo.

3° Passo: Identificar atividades maliciosas com o Brim

Se selecionarmos a categoria de pesquisas do Suricata e localizarmos os chamados "Suricata alerts by category", verificamos que é possível encontrar rapidamente indicadores de atividade do malware e analisar os logs a procura de mais detalhes.

3º Passo.

É fácil, não é verdade? 😉

4º Passo: Identificar as informações exfiltradas pelo malware

Então, se selecionarmos a consulta "File activity", podemos encontrar um arquivo chamado “b9a69c67-9046-4571-a9af-0f60a1fcee8d8375730518.zip”

Levando em consideração as características desse malware, podemos observar que se trata de um arquivo compactado com as informações do computador, que foi exfiltrada pelo Vidar. Para isso, contamos com outra ferramenta de análise de tráfego de rede chamada NetworkMiner:

4° Passo.

Indicadores de comprometimento da amostra executada na captura de rede

Trojan Vidar analisado através do pcap:

Nome do arquivo
a2ef57bbe3a8af95196a419a7962bfaa.exe

Sha1 Sha1 Detecção
1a0c42723cd1e2e947f904619de7fcea5ca4a183 A Variant Of Win32/Kryptik.HMZJ

Binários baixados

Sha256 Rota do arquivo
a770ecba3b08bbabd0a567fc978e50615f8b346709f8eb3cfacf3faab24090ba Ruta del archivo: C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B6QGX7LP\freebl3[1].dll
3fe6b1c54b8cf28f571e0c5d6636b4069a8ab00b4f11dd842cfec00691d0c9cd C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Z2BCOUL\mozglue[1].dll
334e69ac9367f708ce601a6f490ff227d6c20636da5222f148b25831d22e13d4 C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PO2HN1X2\msvcp140[1].dll
e2935b5b28550d47dc971f456d6961f20d1633b4892998750140e0eaa9ae9d78 C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\78RFYB7Z\nss3[1].dll
43536adef2ddcc811c28d35fa6ce3031029a2424ad393989db36169ff2995083 C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B6QGX7LP\softokn3[1].dll
c40bb03199a2054dabfc7a8e01d6098e91de7193619effbd0f142a7bf031c14d C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Z2BCOUL\vcruntime140[1].dll

Pesquisas DNS

  • r3.o.lencr.org
  • mas.to

Conexões IP

  • 45.105.185
  • 248.139.254
  • 32.238.178
  • 99.75.82
  • 108.80.190

Solicitações HTTP/HTTPS

  • http:65.108.80[.]190/517
  • http://65.108.80.190/freebl3[.]dll
  • http://65.108.80.190/mozglue[.]dll
  • http://65.108.80.190/msvcp140[.]dll
  • http://65.108.80.190/softokn3[.]dll
  • http://65.108.80.190/nss3[.]dll
  • http://r3.o.lencr[.]org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgR7do%2BL7PzWWuh3sGFTAK0q9w%3D%3D
  • http://65.108.80.190/vcruntime140[.]dll
  • http://65.108.80[.]190/