CyberGlossary

Malware

Malware furtivo

Também conhecido como: Malware evasivo, Malware antiforense

Definição

Malware concebido especificamente para escapar a utilizadores, ferramentas de segurança e analistas forenses, recorrendo a ocultação, mimetismo e anti-análise.

O malware furtivo combina muitas técnicas de evasão: hooking de APIs para ocultar ficheiros e processos, interceção de verificações de integridade, deteção de sandbox e VM, anti-debugging, ofuscação de código, uso de binários legítimos (LOLBins), manipulação de timestamps e limpeza de registos após a operação. Rootkits, trojans bancários avançados, implantes APT e muitos loaders de ransomware caem nesta categoria. A deteção exige EDR com visibilidade ao nível do kernel, forense de memória, análise de tráfego, threat hunting baseado em TTPs (MITRE ATT&CK) e registos infalsificáveis exportados para fora do host. As medidas de proteção incluem Secure Boot, drivers assinados, privilégio mínimo e redução do tempo de permanência através de caça proativa.

Exemplos

  • Rootkits TDL/TDSS que escondem ficheiros das APIs do Windows.
  • Beacons do Cobalt Strike configurados para detetar sandboxes e remover hooks de EDR.

Termos relacionados