{"id":24797,"date":"2026-03-11T10:30:37","date_gmt":"2026-03-11T13:30:37","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24797"},"modified":"2026-03-11T10:23:58","modified_gmt":"2026-03-11T13:23:58","slug":"ktae-onprem-ida-pro-plugin","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ktae-onprem-ida-pro-plugin\/24797\/","title":{"rendered":"Atribui\u00e7\u00e3o de malware sem nuvem"},"content":{"rendered":"

Em uma postagem anterior<\/a>, analisamos um exemplo pr\u00e1tico para entender como a atribui\u00e7\u00e3o de amea\u00e7as ajuda nas investiga\u00e7\u00f5es de incidentes. Al\u00e9m disso, apresentamos o Kaspersky Threat Attribution Engine (KTAE), a nossa ferramenta usada para fazer uma estimativa sobre qual grupo APT espec\u00edfico pertence uma amostra de malware. Para fazer a demonstra\u00e7\u00e3o, usamos o Portal do Kaspersky Threat Intelligence<\/a>, uma ferramenta baseada na nuvem que fornece acesso ao KTAE como parte de nosso servi\u00e7o abrangente de An\u00e1lise de Amea\u00e7as, juntamente com uma sandbox e uma ferramenta de pesquisa de similaridade sem atribui\u00e7\u00e3o. As vantagens de um servi\u00e7o em nuvem s\u00e3o \u00f3bvias: os clientes n\u00e3o precisam investir em hardware, instalar nada ou gerenciar qualquer software. No entanto, assim como indica a experi\u00eancia do mundo real, a vers\u00e3o na nuvem de uma ferramenta de atribui\u00e7\u00e3o n\u00e3o \u00e9 para todo mundo\u2026<\/p>\n

Primeiro, algumas organiza\u00e7\u00f5es est\u00e3o sujeitas a restri\u00e7\u00f5es regulat\u00f3rias que pro\u00edbem estritamente que quaisquer dados saiam de seu per\u00edmetro interno. Para os analistas de seguran\u00e7a dessas empresas, o upload de arquivos para um servi\u00e7o de terceiros est\u00e1 fora de quest\u00e3o. Em segundo lugar, algumas empresas empregam ca\u00e7adores de amea\u00e7as hardcore que precisam de um kit de ferramentas mais flex\u00edvel, ou seja, um kit que permita trabalhar com a pr\u00f3pria pesquisa propriet\u00e1ria juntamente com a intelig\u00eancia de amea\u00e7as da Kaspersky. \u00c9 por isso que o KTAE est\u00e1 dispon\u00edvel em duas op\u00e7\u00f5es: uma vers\u00e3o baseada na nuvem e uma implementa\u00e7\u00e3o no local.<\/p>\n

Quais s\u00e3o as vantagens do KTAE local em rela\u00e7\u00e3o \u00e0 vers\u00e3o na nuvem?<\/h2>\n

Em primeiro lugar, a vers\u00e3o local do KTAE garante a perman\u00eancia total da confidencialidade de uma investiga\u00e7\u00e3o. Toda a an\u00e1lise ocorre diretamente na rede interna da organiza\u00e7\u00e3o. A fonte de intelig\u00eancia de amea\u00e7as \u00e9 um banco de dados implementado dentro do per\u00edmetro da empresa que cont\u00e9m indicadores exclusivos e dados de atribui\u00e7\u00e3o de cada amostra maliciosa conhecida por nossos especialistas. Al\u00e9m disso, ele tamb\u00e9m cont\u00e9m as caracter\u00edsticas relativas aos arquivos leg\u00edtimos para excluir detec\u00e7\u00f5es de falsos positivos. O banco de dados recebe atualiza\u00e7\u00f5es regulares, mas opera em um sentido, ou sejam, nenhuma informa\u00e7\u00e3o sai da rede do cliente.<\/p>\n

\"\"Ali\u00e1s, a vers\u00e3o local do KTAE oferece aos especialistas a capacidade de adicionar novos grupos de amea\u00e7as ao banco de dados para que sejam vinculados a amostras de malware que foram descobertas por conta pr\u00f3pria. Isso significa que a atribui\u00e7\u00e3o subsequente de novos arquivos ser\u00e1 respons\u00e1vel pelos dados adicionados por pesquisadores internos. Isso permite que os especialistas cataloguem seus pr\u00f3prios clusters de malware exclusivos, trabalhem com eles e identifiquem semelhan\u00e7as.<\/p>\n

Aqui est\u00e1 outra ferramenta especializada muito \u00fatil: nossa equipe desenvolveu um plug-in gratuito para o IDA Pro, um desmontador popular,<\/a> para uso juntamente com a vers\u00e3o local do KTAE.<\/p>\n

Qual \u00e9 a finalidade de um plug-in de atribui\u00e7\u00e3o para um desmontador?<\/h2>\n

Para um analista de SOC que atua na triagem de alertas, atribuir um arquivo malicioso encontrado na infraestrutura \u00e9 simples: basta que ele seja carregado no KTAE (nuvem ou local) para obter um veredito, como Manuscrypt (83%)<\/em>. Isso \u00e9 suficiente para tomar as contramedidas adequadas em rela\u00e7\u00e3o ao conjunto de ferramentas conhecido desse grupo e avaliar a situa\u00e7\u00e3o geral. Um ca\u00e7ador de amea\u00e7as, no entanto, talvez n\u00e3o queira aceitar esse veredito pela apar\u00eancia. Em um sentido alternativo, eles podem perguntar: \u201cQuais fragmentos de c\u00f3digo s\u00e3o exclusivos em todas as amostras de malware usadas por este grupo?\u201d Ent\u00e3o, nesse momento, usar um plug-in de atribui\u00e7\u00e3o para um desmontador pode ser uma boa ideia.<\/p>\n

\"\"Dentro da interface do IDA Pro, o plug-in destaca os fragmentos de c\u00f3digo desmontados e espec\u00edficos que acionaram o algoritmo de atribui\u00e7\u00e3o. Isso permite n\u00e3o s\u00f3 o aprofundamento mais detalhado nas novas amostras de malware, mas tamb\u00e9m o refinamento das regras de atribui\u00e7\u00e3o em tempo real pelos pesquisadores. Assim, o algoritmo, e o pr\u00f3prio KTAE, continua evoluindo, tornando a atribui\u00e7\u00e3o mais precisa a cada execu\u00e7\u00e3o.<\/p>\n

Como configurar o plug-in<\/h2>\n

O plug-in \u00e9 um script escrito em Python. Para executar o recurso, \u00e9 necess\u00e1rio ter o IDA Pro. Infelizmente, ele n\u00e3o funcionar\u00e1 no IDA Free, pois n\u00e3o tem suporte para plug-ins Python. Se o Python ainda n\u00e3o tiver sido instalado, ser\u00e1 necess\u00e1rio comprar o recurso, configurar as depend\u00eancias (verifique o arquivo de requisitos em nosso reposit\u00f3rio do GitHub<\/a>) e garantir que as vari\u00e1veis de ambiente do IDA Pro estejam apontando para as bibliotecas do Python.<\/p>\n

Em seguida, ser\u00e1 necess\u00e1rio inserir a URL de sua inst\u00e2ncia local do KTAE no corpo do script para fornecer o token de API (que est\u00e1 dispon\u00edvel comercialmente), assim como \u00e9 feito no script de exemplo descrito na documenta\u00e7\u00e3o do KTAE<\/a>.<\/p>\n

Por fim, basta simplesmente colocar o script na pasta de plug-ins do IDA Pro e iniciar o desmontador. Se isso for feito corretamente, depois de carregar e desmontar uma amostra, ser\u00e1 poss\u00edvel ver a op\u00e7\u00e3o para iniciar o plug-in do Kaspersky Threat Attribution Engine (KTAE)<\/em> em Editar<\/em> \u2192 Plug-ins<\/em>:<\/p>\n

\"\"Como usar o plug-in<\/h2>\n

Quando o plugin \u00e9 instalado, o seguinte ocorre nos bastidores: o arquivo atualmente carregado no IDA Pro \u00e9 enviado via API para o servi\u00e7o KTAE instalado localmente, no URL configurado no script. O servi\u00e7o analisa o arquivo e os resultados da an\u00e1lise s\u00e3o enviados de volta ao IDA Pro.<\/p>\n

Em uma rede local, o script geralmente termina o trabalho em quest\u00e3o de segundos (a dura\u00e7\u00e3o depende da conex\u00e3o com o servidor KTAE e do tamanho do arquivo analisado). Depois que o plug-in for encerrado, um pesquisador poder\u00e1 come\u00e7ar a investiga\u00e7\u00e3o nos fragmentos de c\u00f3digo destacados. Um clique duplo leva diretamente \u00e0 se\u00e7\u00e3o pertinente na montagem ou no c\u00f3digo bin\u00e1rio (exibi\u00e7\u00e3o Hex) para an\u00e1lise. Esses pontos de dados extras facilitam a identifica\u00e7\u00e3o de blocos de c\u00f3digo compartilhados e o rastreamento de altera\u00e7\u00f5es em um kit de ferramentas de malware.<\/p>\n

A prop\u00f3sito, este n\u00e3o \u00e9 o \u00fanico plug-in IDA Pro que a equipe do GReAT criou para facilitar a vida dos ca\u00e7adores de amea\u00e7as. Tamb\u00e9m oferecemos outro plug-in IDA<\/a> que acelera e agiliza significativamente o processo de engenharia reversa e que, ali\u00e1s, foi vencedor do Concurso de plug-ins IDA 2024<\/a>. <\/div>\n

Para saber mais detalhes sobre o Kaspersky Threat Attribution Engine, e como implementar o recurso, consulte a documenta\u00e7\u00e3o oficial do produto<\/a>. E para organizar um projeto de demonstra\u00e7\u00e3o ou piloto, preencha o formul\u00e1rio no site da Kaspersky<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Qual \u00e9 a finalidade de uma vers\u00e3o local do Kaspersky Threat Attribution Engine e como conectar o recurso ao IDA Pro?<\/p>\n","protected":false},"author":2792,"featured_media":24798,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[28,1975,1776],"class_list":{"0":"post-24797","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ataques","10":"tag-inteligencia-de-ameacas","11":"tag-servicos"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ktae-onprem-ida-pro-plugin\/24797\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ktae-onprem-ida-pro-plugin\/30234\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/25311\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/13251\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ktae-onprem-ida-pro-plugin\/30107\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ktae-onprem-ida-pro-plugin\/31905\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ktae-onprem-ida-pro-plugin\/30515\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ktae-onprem-ida-pro-plugin\/41387\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ktae-onprem-ida-pro-plugin\/14350\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/55350\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ktae-onprem-ida-pro-plugin\/23694\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ktae-onprem-ida-pro-plugin\/33302\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ktae-onprem-ida-pro-plugin\/30346\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ktae-onprem-ida-pro-plugin\/35991\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ktae-onprem-ida-pro-plugin\/35648\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/inteligencia-de-ameacas\/","name":"intelig\u00eancia de amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24797","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2792"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24797"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24797\/revisions"}],"predecessor-version":[{"id":24803,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24797\/revisions\/24803"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24798"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24797"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24797"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24797"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}