CCNP SCOR v1.1 - Notas 8 (Técnicas de Análise de Malware)

porMatheus Damacena -

 


Olá a todos, como estão?

Como parte da minha jornada para obter a certificação CCNP Security, gostaria de compartilhar minha oitava nota de estudo do CCNP SCOR Cert Guide.

Nesta oitava nota, discutirei técnicas de análise de malware.

Análise Estática:

O que é: Examina o código do malware sem executá-lo.
Como funciona: Analisa estruturas de arquivos, trechos de código e assinaturas.
Exemplo: Ferramentas como IDA Pro ou VirusTotal verificam padrões conhecidos de malware.
Por que é importante? Ajuda a identificar malware com base em características do código e assinaturas conhecidas.


Análise Dinâmica:

O que é? Envolve a execução do malware em um ambiente controlado (sandbox).
Como funciona? Observa o comportamento do malware, incluindo alterações em arquivos, atividade de rede e modificações no sistema.
Exemplo: Usando ferramentas como Cuckoo Sandbox para ver como o malware interage com o sistema.
Por que é importante? Revela o que o malware faz em ação, o que é crucial para entender seu impacto.

 

Análise Comportamental:

O que é? Foca na monitorização do comportamento do malware durante a execução.
Como funciona? Acompanha alterações no sistema, conexões de rede e exfiltração de dados.
Exemplo: Analisando como o ransomware criptografa arquivos ou um keylogger captura teclas digitadas.
Por que é importante? Fornece insights sobre a funcionalidade do malware e o potencial de dano.

 

Análise Heurística:

O que é? Usa algoritmos para detectar malware novo ou desconhecido com base em comportamentos e padrões de código.
Como funciona? Identifica desvios do comportamento normal e sinaliza possíveis ameaças.
Exemplo: Programas antivírus utilizando varredura heurística para detectar ameaças previamente desconhecidas.
Por que é importante? Ajuda a identificar ameaças emergentes que ainda não foram catalogadas.

 

Análise Forense:

O que é? Trata-se de investigar evidências digitais para entender o que aconteceu durante um ciberataque.
Como funciona? Analistas examinam logs e arquivos para rastrear os passos do atacante e descobrir como ele obteve acesso.
Exemplo: Após um ataque, podem verificar logs de servidores para descobrir como o invasor conseguiu acesso e o que fez.
Por que é importante? Ajuda a entender melhor os ataques, corrigir falhas de segurança e prevenir futuras brechas.


O Cisco Secure Endpoint suporta todos os métodos mencionados neste post.

Para sua referência:

Obrigado por ler meu artigo! Se você achou útil, por favor, compartilhe com alguém que possa se beneficiar dessas informações.

Referência: CCNP e CCIE Security Core SCOR 350-701 Official Cert Guide por Omar Santos. Disponível em: Cisco Press

Fique seguro!

Matheus Damacena 

Matheus Damacena

Graduado em Tecnologia de Redes de Computadores na Universidade Estácio de Sá - Niterói. Atualmente atua como Engenheiro de Pré-vendas Cisco. Certificado CCNP EN e SEC, CCNA, Azure Solutions Architect Expert, Azure Network Engineer.

Postagem Anterior Próxima Postagem
Compartilhar com outros aplicativos
Copiar Link da postagem

Formulário de contato