# DC0011 — Malware Content ## Descrição O componente de dados **Malware Content** engloba o código, strings, assinaturas e características identificadoras de um payload malicioso armazenado em repositórios de análise. Inclui tanto componentes estáticos (análise de arquivo) quanto dinâmicos (comportamento durante execução) que podem ser analisados para inteligência de ameaças, detecção e prevenção. Este componente é a base para criação de regras de detecção baseadas em assinatura e comportamento. A análise estática de conteúdo de malware examina o binário sem executá-lo: extração de strings (URLs de C2, caminhos de arquivo, chaves de registro, mensagens de debug), análise de imports/exports de PE, identificação de seções empacotadas ou criptografadas, e criação de regras YARA. Ferramentas como IDA Pro, Ghidra, Binary Ninjá e Radare2 são usadas para engenharia reversa completa. A extração de strings com `floss` (FLARE FLOSS) é particularmente eficaz para revelar strings ofuscadas em memória. A análise dinâmica executa o malware em ambiente controlado (sandbox) para capturar comportamento real: chamadas de API, modificações de registro, criação de arquivos, tráfego de rede e injeção de processos. Plataformas como Hybrid Analysis, Any.run, Cuckoo Sandbox e Joe Sandbox automatizam este processo e geram relatórios estruturados com IoCs e mapeamento MITRE ATT&CK. A integração com MISP e OpenCTI permite compartilhamento de inteligência derivada do conteúdo analisado. Grupos APT como [[g0096-apt41]] e [[g0032-lazarus-group]] frequentemente incorporam configurações específicas em seus implantes — como chaves de criptografia, endereços de C2 codificados, e identificadores de campanha — que são extraídos via análise de conteúdo e permitem rastrear evolução de famílias de malware ao longo do tempo. ## Telemetria | Fonte | Tipo de Análise | Dados Coletados | |-------|----------------|----------------| | VirusTotal | Estática + Multi-AV | Hashes, detecções, PE info, strings | | Hybrid Analysis | Estática + Sandbox | Comportamento, MITRE TTPs, IoCs de rede | | Any.run | Sandbox Interativo | API calls, registry, network, screenshots | | MalwareBazaar | Repositório | Amostras indexadas, tags de família | | Cuckoo Sandbox | Sandbox Local | Análise completa offline, privacidade | | CAPE Sandbox | Sandbox Local | Extração de configuração de malware | ## Queries de Detecção ### KQL — Microsoft Sentinel (baseado em IoCs extraídos) ```kql // Correlaciona IoCs de conteúdo de malware com eventos de endpoint let MalwareIOCs = datatable(IOC: string, MalwareFamily: string) [ "malicious-c2.example.com", "AsyncRAT", "192.168.x.x", "njRAT" ]; DeviceNetworkEvents | join kind=inner MalwareIOCs on $left.RemoteUrl == $right.IOC | project Timestamp, DeviceName, RemoteUrl, RemotePort, MalwareFamily, InitiatingProcessFileName | order by Timestamp desc ``` ### SPL — Splunk ```spl | inputlookup malware_ioc_list.csv | rename domain AS query | join type=inner query [ search index=dns sourcetype=stream:dns | rename query AS query ] | stats count by host, query, malware_family | sort -count ``` ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — Análise de conteúdo revela técnicas de ofuscação - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — Strings e scripts embutidos no malware - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — Configurações de C2 descobertas via análise de conteúdo - [[t1105-ingress-tool-transfer|T1105-ingress-tool-transfer]] — URLs de download de stages adicionais embutidas no payload > [!tip] YARA é Essencial para Detecção em Escala > Regras YARA criadas a partir de análise de conteúdo de malware permitem varredura proativa de endpoints e e-mails. Repositórios públicos como YARA-Rules, YARA-Forge e regras de fornecedores (Kaspersky, Elastic, Mandiant) devem ser integrados ao pipeline de detecção. Combine análise de conteúdo com threat hunting baseado em comportamento para cobertura completa. ## Contexto LATAM > [!warning] Relevância para SOCs Brasileiros > O Brasil possui um dos ecossistemas de malware bancário mais ativos do mundo. Famílias como [[s0531-grandoreiro]], [[mekotio]], [[s0528-javali]] e [[amavaldo]] têm conteúdo específico — strings em português, referências a bancos brasileiros, módulos de captura de token OTP de apps bancários — que permitem criação de regras YARA de alta precisão. Plataformas como o CERT.br e grupos de pesquisa brasileiros como o time da Kaspersky LATAM públicam regularmente análises de conteúdo destes malwares. ## Referências - [MITRE ATT&CK — DC0011: Malware Content](https://attack.mitre.org/datasources/DS0015/#Malware%20Content) - [MalwareBazaar — abuse.ch](https://bazaar.abuse.ch/) - [FLARE FLOSS — FireEye](https://github.com/mandiant/flare-floss) - [YARA Rules GitHub](https://github.com/Yara-Rules/rules) - [Any.run Interactive Sandbox](https://any.run/)