IA vs. Malware: Sandbox e Análise Técnica Preliminar

IA vs. Malware: Sandbox e Análise Técnica Preliminar

Este artigo explora a utilização de Inteligência Artificial (IA) em conjunto com sandboxes e ferramentas de análise para combater malware. O autor detalha um experimento onde um agente LLM auxiliou na análise de um sample malicioso, desde a execução em ambiente isolado até a geração de regras de detecção.

MundiX News·10 de julho de 2026·10 min de leitura·👁 1 views

Este artigo busca concluir um experimento com um honeypot, detalhando a análise de malware realizada com o auxílio de IA. A premissa do projeto é verificar se a combinação de uma máquina virtual (VM) isolada, ferramentas clássicas de análise de malware e um agente LLM pode gerar não apenas um relatório esteticamente agradável, mas também informações úteis para a defesa contra ameaças.

Os requisitos mínimos definidos para o projeto incluem:

  • Execução segura de um sample em uma VM Windows.
  • Captura de memória, disco e tráfego de rede do host.
  • Análise estática utilizando Ghidra.
  • Geração de um parecer técnico que permita a tomada de decisões e a criação de regras de detecção.

Embora um leitor atento possa notar semelhanças com soluções como ANY.RUN, CAPE ou VirusTotal, a intenção aqui não é a análise de malware em larga escala, mas sim uma análise aprofundada de um sample específico, fornecendo respostas rápidas para o pesquisador. Com base nisso, o engenheiro reverso pode decidir se vale a pena investigar mais a fundo o binário.

O Que Foi Testado

A hipótese era que, ao conceder ao Codex (um modelo de linguagem grande) acesso controlado a ferramentas de análise, ele seria capaz de realizar uma pesquisa preliminar semelhante a um engenheiro reverso: identificar pontos vulneráveis no binário, correlacionar dados dinâmicos e estáticos, e formular conclusões e relatórios. O resultado foi positivo, mas com ressalvas importantes.

É crucial lembrar que a IA ainda não substitui especialistas em segurança. O controle humano é essencial, especialmente em cibersegurança. As decisões que permaneceram sob responsabilidade do autor incluíram:

  • Como isolar a máquina virtual.
  • Qual snapshot considerar como referência.
  • Quando permitir a execução da análise dinâmica.

O agente de IA foi encarregado do trabalho mais rotineiro e repetitivo: preparação de scripts, verificação de ambiente, execução do pipeline de transferência do sample da quarentena para a VM, processamento de artefatos, análise de dump de memória, importação no Ghidra e geração de relatórios.

Arquitetura do Sistema

A arquitetura é dividida em duas zonas: o host e a VM Windows convidada.

  • Host Linux: Utiliza libvirt/QEMU para gerenciamento da VM, captura de pcap, dump de memória, gerenciamento de discos e resultados, Volatility 3 para análise de memória, Ghidra + Ghidra MCP para análise estática e o Codex para orquestração e análise.
  • VM Windows 11: Contém um agente para execução do sample, Sysmon para monitoramento de eventos, logs e o próprio sample em execução.

A regra principal é capturar o máximo de dados do lado do host. O sistema convidado não é confiável, pois é considerado potencialmente comprometido após a execução do malware.

Componentes da VM Convidada

A VM Windows possui um conjunto mínimo de componentes para execução e registro de eventos:

  • Agente preparado para executar o sample.
  • Scripts PowerShell para execução.
  • Configuração do Sysmon.
  • Diretório para recebimento do sample.
  • Mecanismo para gravação de artefatos básicos.

Não há canais de rede, drag-and-drop ou pastas compartilhadas para evitar vetores de ataque durante a configuração da sandbox.

Componentes do Host

O host gerencia a lógica principal de orquestração:

  • Criação de disco a partir de um snapshot de referência.
  • Conexão de um dispositivo de armazenamento removível virtual à VM.
  • Inicialização da VM via libvirt.
  • Captura de PCAP.
  • Captura de dump de memória.
  • Análise com Volatility.
  • Análise com Ghidra.
  • Geração de relatórios.

A captura de dump e PCAP, bem como a análise com Volatility 3, são realizadas no host, pois o convidado é considerado comprometido.

Por Que QEMU/libvirt?

QEMU/libvirt foi escolhido por oferecer controle de baixo nível sobre o ciclo de vida da VM e gerenciamento via terminal, incluindo snapshots, montagem de discos, conexão de mídias, captura de dump e PCAP sem a necessidade de intervenção do convidado.

Primeira Lição de Engenharia: Permissões de Acesso

A principal dificuldade encontrada não foi a análise do malware ou a IA, mas sim as permissões de acesso. O QEMU roda como um usuário específico (ex: libvirt-qemu), enquanto o Codex roda como um usuário comum. Discos e dumps de memória eram criados em locais diferentes e por sujeitos distintos, gerando conflitos. A solução foi configurar ACLs (Access Control Lists) para garantir que o snapshot base fosse acessível para leitura pelo QEMU, o diretório /runs fosse acessível por ambos os usuários, e novos arquivos herdassem as ACLs corretas.

Segunda Lição: BitLocker e Extração Offline

O autor optou por não desativar a criptografia BitLocker do Windows para simular um cenário mais realista. No entanto, isso complica a extração de dados do disco. Se o sistema de arquivos convidado for criptografado, o dump de disco pode ser inútil sem chaves adicionais ou exportação da VM. Artefatos do convidado são exportados para um disco separado e não criptografado, o que representa um ponto de atenção em termos de segurança.

Exemplo de Execução: Um Stealer de Steam

O experimento utilizou um sample de Windows PE stealer (bac12c7b2bc08d4d552e4692bc1566d7d54efc67c3a1131628c491c23626d773) baixado do malwarebazaar. O sample foi escolhido por resolver para uma conta Steam real, o que o autor achou peculiar.

O cenário de execução foi:

  1. Preparação de um diretório com permissões adequadas.
  2. Criação de uma VM temporária a partir de um snapshot.
  3. Importação paralela do sample no Ghidra para análise estática.
  4. Conexão do sample (.exe) como um dispositivo de mídia.
  5. Início da VM.
  6. O agente inicia o sample.exe.
  7. O host captura o tráfego de rede (PCAP).
  8. Após um timeout, um dump de memória é capturado.
  9. A VM é parada.
  10. Volatility é executado para extrair artefatos suspeitos.
  11. Artefatos são importados no Ghidra para análise adicional, se necessário.
  12. Dados dinâmicos e estáticos são correlacionados.

O sample foi executado como sample.exe, com um agente PowerShell como pai. A execução foi interrompida por timeout após 180 segundos.

Análise Dinâmica: O Que a Memória Revelou

O Volatility identificou um artefato com permissões PAGE_EXECUTE_READWRITE e cabeçalho MZ dentro do processo sample.exe. Isso geralmente indica um módulo PE que não existe como arquivo normal no disco, podendo ser uma carga útil descompactada, um loader reflexivo ou algo mapeado diretamente na memória.

Um PE x64 foi extraído dessa região, com 4 seções, image base em 0x1a0000000 e entry point próximo a 0x1a00e3dec. O Import Directory estava vazio. Este foi um caso de referência para a análise estática, pois forneceu um segundo sample.

Rastro de Rede: Útil, Mas Incompleto

O tráfego de rede continha requisições DNS para telegram.me, steamcommunity.com e alguns domínios de background da Microsoft. No entanto, não foram encontradas sessões TCP/HTTP/TLS, devido ao isolamento da rede da sandbox.

Análise Estática: Código Fonte vs. PE Descompactado

Inicialmente, o PE original foi carregado no Ghidra, que o reconheceu como um binário Go. A análise foi ruidosa devido a funções de runtime, nomes ofuscados e IOCs não evidentes.

Em seguida, o PE extraído da memória foi carregado. O loader PE padrão do Ghidra falhou devido a marcações de debug/runtime corrompidas. A solução foi importá-lo como um arquivo bruto (BinaryLoader), especificando o base e a arquitetura. Com isso, o Ghidra conseguiu analisar o código, revelando cerca de 857 funções e um conjunto valioso de strings.

O Que o Módulo Descompactado Revelou

O PE descompactado continha strings como:

  • https://telegram.me/...
  • https://steamcommunity.com/profiles/...
  • winhttp.dll
  • User-Agent do Windows/Edge
  • Caminho local como C:\WINDOWS\TEMP\...
  • Um identificador/chave hexadecimal.

Através do Ghidra MCP, foram obtidos xrefs e a descompilação de funções chave. As principais descobertas incluíram:

  • Funções com lógica de XOR/rotate/hash para decodificação/ofuscação.
  • Função de inicialização para strings do Telegram/Steam/User-Agent.
  • Resolução dinâmica de API WinHTTP por hash.
  • Inicialização de sessão WinHTTP.
  • Candidato a rotina de rede.
  • Função de montagem de buffer/pacote.

As strings do Telegram/Steam, juntamente com as requisições DNS observadas, confirmaram sua relevância.

Conclusão Após a Execução

A cadeia de trabalho validada foi:

Execução na VM -> Dump de memória -> Volatility malfind -> Extração de PE do VAD -> Importação bruta no Ghidra -> Descompilação MCP -> Correlação com IOCs -> Relatório final.

A principal conclusão sobre o sample é que ele é malicioso, descompacta um módulo PE na memória, utiliza configuração em tempo de execução, resolve dinamicamente a API WinHTTP e contém IOCs do Telegram/Steam que se correlacionam com as requisições DNS capturadas.

Da Análise às Regras: YARA e Sigma

Após a verificação manual no Ghidra, foi adicionada uma etapa de geração de regras de detecção. O objetivo não é substituir o analista, mas sim transformar descobertas em modelos de regras reproduzíveis.

Para cada execução, são gerados:

  • iocs.json: Conjunto de IOCs legível por máquina.
  • iocs.md: Resumo legível por humanos.
  • Regra YARA para o PE descompactado.
  • Regra Sigma para indicadores DNS.
  • Regra Sigma para artefato de arquivo.

A regra YARA para este sample específico é construída com base em uma combinação de fatores: cabeçalho MZ + URL do Telegram + URL do Steam + User-Agent + winhttp.dll + identificador hexadecimal. Essa abordagem reduz o risco de falsos positivos, pois o Telegram e o Steam, por si só, não são IOCs maliciosos, mas em conjunto com outros elementos, formam uma assinatura útil para este cluster de malware.

As regras Sigma, focadas em DNS, são menos úteis isoladamente, pois requisições para telegram.me ou steamcommunity.com podem ser comportamento normal do usuário. No entanto, em um contexto de laboratório, essas regras são valiosas para verificar se o comportamento se repete em execuções futuras.

TLDR ou Minhas Conclusões

A análise manual de malware geralmente esbarra na desconexão entre conhecimento e ferramentas. O Volatility mostra uma coisa, Ghidra outra, PCAP um terceiro aspecto e o sistema de arquivos um quarto. Manter tudo isso em mente, em anotações, pode ser tedioso. Um agente LLM é ideal para o trabalho rotineiro, eliminando a necessidade de:

  • Executar manualmente o malware.
  • Examinar o binário inteiro no Ghidra.
  • Procurar artefatos suspeitos no Volatility.
  • Analisar pacotes PCAP.

As ações e decisões do assistente de IA forneceram material que permite ao analista decidir se vale a pena investigar mais a fundo ou se o sample é simples e não requer atenção adicional. A IA ainda não substitui completamente o pesquisador na tomada de decisões, mas libera tempo para tarefas mais complexas e interessantes.

O MVP (Minimum Viable Product) confirmou a hipótese. Um sample PE real foi executado em uma VM Windows isolada, a memória foi capturada, o módulo descompactado foi extraído, carregado no Ghidra, e a descompilação resultante foi correlacionada com os rastros de rede. Tudo isso consumindo apenas 20% do limite de tempo do Codex Pro, indicando que a economia de esforço é possível, mas limitada em ferramentas de fluxo contínuo.

O resultado final é um algoritmo reproduzível:

Sandbox controlada pelo host + Triagem inicial pela memória + Ghidra MCP + Correlação assistida por LLM = Fluxo de trabalho de análise de malware explicável.

P.S. O autor agradece aos leitores e se oferece para fornecer comentários adicionais para quem desejar implementar um sistema semelhante.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.