taller plataforma avanzada malware · taller plataforma avanzada malware (misp-marta-maria) viii...
Post on 13-Oct-2020
10 Views
Preview:
TRANSCRIPT
La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
www.ccn-cert.cni.es © 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
Taller Plataforma Avanzada Malware
(MISP-MARTA-MARIA)
VIII JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
2
Innotec System
Fernando Muñoz
Fernando_munoz@innotecsystem.com
Innotec System
Myriam Sánchez
Myriam_sanchez@innotecsystem.com
VIII JORNADAS STIC CCN-CERT
3
2. Plataforma avanzada de Malware
Índice
3. MARTA
4. MISP
5. MARIA
1. Situación actual ciberamenazas
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
4
Situación actual
ciberamenazas
1
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
Situación actual
• El panorama actual de la Seguridad, así como la tipología de amenazas
a las que se tienen que enfrentar las organizaciones, ha sufrido
grandes e importantes cambios durante estos últimos años.
• Si antiguamente la creación de código malicioso se debía
principalmente a la búsqueda de notoriedad, la realidad actual ha
cambiado radicalmente.
• Hoy día se crea malware con fines criminales y lucrativos que van
desde el fraude económico al robo de información, pasando por el
ciberespionaje gubernamental e industrial.
VIII JORNADAS STIC CCN-CERT
Situación actual
Nos enfrentamos a nuevas características del malware que dificultan en
gran medida su detección y su desinfección.
Erradicar una amenaza persistente en una organización puede suponer
un gran esfuerzo y un alto coste.
Alguna de las características avanzas que tiene el malware son:
• Polimorfismo
• Múltiples 0-day para explotar
• Código cifrado/ofuscado
• Técnicas anti-máquina virtual
• Técnicas anti-debuging
• Comunicaciones con C&C a través de sitios
legítimos
VIII JORNADAS STIC CCN-CERT
Ejemplo – Nueva ciberarma Regin
Regin concebida como una ciberarma, se publicó a finales de nov. 2014:
• Activa al menos 6 años
• Vigilancia y robo información a gobiernos, operadores de infraestructuras, empresas, etc, a nivel internacional.
• Desarrollo a través de fases de ejecución
• Configurable y adaptable al objetivo.
• Oculto y cifrado
Mas información: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf
VIII JORNADAS STIC CCN-CERT
8
Plataforma Avanzada de
Malware
1
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
Descripción
Es necesaria la combinación de varias herramientas para cubrir las
necesidades existentes para analizar las distintas muestras de malware
que “entran” en la organización.
Esta plataforma está compuesta por:
• Herramienta de análisis dinámico de malware
(MARTA)
•Herramienta de detección de multi-antivirus
(MARIA)
•Herramienta de recogida y compartición de
información (MISP)
VIII JORNADAS STIC CCN-CERT
Entorno
Inteligencia
VIII JORNADAS STIC CCN-CERT
11
MARTA
2
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
Descripción MARTA
• MARTA es una herramienta que permite la detección, el análisis y el
reporte de malware de manera totalmente automática y cuyas
principales características son:
Detección Temprana
Análisis Estático
Análisis Dinámico
Generación de Informes Personalizados
Envío de Alertas y Avisos
Almacenamiento de Evidencias para Post-Análisis
Gestión inteligente de los análisis
VIII JORNADAS STIC CCN-CERT
Funcionalidad
MARTA es una herramienta que permite el análisis estático y dinámico (ejecución en sandbox) de muestras de malware.
Tiene dos funcionalidades diferenciadas:
• Por un lado es capaz de recoger muestras de manera automática “in the wild” a través de los distintos colectores programados y generar un informe específico de las muestras.
• Por otro lado se pueden subir muestras a demanda para hacer análisis más concretos y dirigidos.
• Su motor inteligente analiza y clasifica las amenazas, permitiendo su categorización y agrupación de manera sencilla y flexible, y elabora informes en detalle de las mismas.
• MARTA almacena la información obtenida de los análisis permitiendo así búsquedas en profundidad sobre las muestras analizadas garantizando un perfecto conocimiento y control de las amenazas.
VIII JORNADAS STIC CCN-CERT
Arquitectura
Fuentes
Públicas
INTERNET
Sede ASonda 1
Sede B
Sonda eMail
SFTP
BBDD
SandBoxes
Master Controller
Administración WEB
MARTA
ENVÍO
MUESTR
A
ANÁLISIS
DINÁMICO
ALMACENAMIENTO
EVIDENCIAS
INFORMES Y GESTIÓN
MARIA
ANÁLISIS ANTIVIRUS
MISP
ANÁLISIS
ESTÁTICO
MISP
VIII JORNADAS STIC CCN-CERT
Fuentes automáticas
MARTA detecta y recolecta automáticamente muestras de malware
desde fuentes públicas o privadas.
Actualmente están configuradas las siguientes
• Zeus Tracker
• CyberCryme
• Malware Malekal
• Malc0de
• Sophos
• Virus Total
Permite la activación y
configuración de cada una
de las fuentes, así como el
informe asociado.
VIII JORNADAS STIC CCN-CERT
Monitorización del estado del sistema
Se tiene un control global de cada uno de los componentes de MARTA a
través de su panel de monitorización.
Actualmente se monitoriza:
Estado del sistema de análisis
Análisis completados
Análisis reportados
Análisis en ejecución
Análisis programados
Máquinas disponibles para análisis
VIII JORNADAS STIC CCN-CERT
Inteligencia
MARTA se adapta a la muestra de malware a analizar:
• Análisis periódicos para la detección de malware con
actividad variable.
• Adaptación de la sandbox en función de los criterios del
análisis estático (VM, conexión a Internet, tiempo de
ejecución, etcétera).
• Agrupación de malware por características y etiquetas.
• Sistemas configurados para evitar la detección de los análisis,
su entorno, la virtualización, herramientas, etcétera.
VIII JORNADAS STIC CCN-CERT
Paneles principales
Para realizar análisis más dirigidos, MARTA presenta un portal web muy
intuitivo.
La pantalla principal se divide en tres pestañas principales:
•Binarios: Listado de las muestras subidas al sistema bajo demanda
•Análisis: Listado de los análisis realizados en la herramienta.
•Búsqueda avanzada: Permite búsquedas de campos clave.
•Configuración: Permite realizar configuraciones específicas de la
herramienta (usuarios, roles, fuentes automáticas, etiquetas, etc)
VIII JORNADAS STIC CCN-CERT
Características generales de análisis
MARTA permite el análisis estático y/o dinámico de distintas muestras
sospechosas de ser código dañino.
Los tipos de ficheros que actualmente soporta el sistema son:
Binarios de 32bits
Binarios de 64bits
Ficheros PDF
Ficheros Ofimáticos
El sistema tiene la capacidad de
detectar la tipología de fichero
que se incorpora al análisis y
detectar si es posible realizarle
análisis dinámico
VIII JORNADAS STIC CCN-CERT
Características generales de análisis
Análisis de binarios. Las características configurables para el análisis de las muestras son las siguientes:
Establecer prioridad de análisis
Marcar tiempo de espera de análisis
Seleccionar tipo de salida a internet:
A través de la red TOR
Simulando Internet
Habilitar información de Triana.
Selección de una o varias máquinas
para realizar el análisis
Análisis sin privilegios
Simulación interacción humana
Envío de correo una vez finalizado
VIII JORNADAS STIC CCN-CERT
Máquinas Virtuales Disponibles
Actualmente está disponible el siguiente listado de máquinas:
Windows XP (32bits)
Windows 7 (32 y 64 bits)
Windows 8 (32 y 64 bits)
A 31 de Diciembre de 2014
Windows Server 2003
Windows Server 2008
Primer trimestre del 2015
Linux
Android (hasta Lollipop)
Mac OS X
VIII JORNADAS STIC CCN-CERT
Re-análisis y programación
El sistema permite que podamos realizar un re-análisis de las muestras:
De manera inmediata.
De manera programada. Muy útil para programar análisis en horas concretas del día.
Además se permite
Descarga de informes (PDF y DOC)
• Informe general
• Informe general +
Información de Triana
Descarga de los binarios
VIII JORNADAS STIC CCN-CERT
Información Análisis
En esta pestaña se gestionan los distintos análisis realizados. En la
ventana de detalles se muestra la información concreta del análisis.
Datos generales del fichero y del análisis y configuración que se
programó al análisis
VIII JORNADAS STIC CCN-CERT
Descarga de evidencias
Evidencias recogidas del análisis. Hay que destacar:
Reglas de snort generadas basadas en la detección
Fichero pcap interceptado de la comunicación con internet (simulado o
por Tor)
Fichero de strings detectados en la muestra.
Fichero de log asociado al análisis
VIII JORNADAS STIC CCN-CERT
Cambios en Ficheros
MARTA registra los ficheros que se han creado / modificado / eliminado
en el sistema por parte de la muestra analizada:
VIII JORNADAS STIC CCN-CERT
Cambios del registro
MARTA registra además los cambios producidos en el registro del
sistema con los valores finales
VIII JORNADAS STIC CCN-CERT
Actividad de procesos
Se muestran los procesos que se han ejecutado en el sistema con su
identificación y valor
VIII JORNADAS STIC CCN-CERT
Tráfico de red detectado
Dominos e IPs que se han registrado durante la actividad de la muestra
en el análisis dinámico.
Información de cabeceras HTTP detectadas
VIII JORNADAS STIC CCN-CERT
Etiquetas asociadas al análisis
El análisis puede tener etiquetas asignadas manualmente o a través de
la ejecución de las reglas:
Etiquetas manuales
Etiqueta asignada
automáticamente,
basado en reglas
VIII JORNADAS STIC CCN-CERT
Análisis de PDF
La información que se recoge corresponde específicamente a ficheros
PDF.
Versión de PDF
Scripts embebidos
Objetos sospechosos
Fecha de creación
Fecha de modificación
VIII JORNADAS STIC CCN-CERT
Búsqueda Avanzada
Búsqueda incluyendo múltiples criterios sobre los análisis para obtener
los binarios que coinciden.
VIII JORNADAS STIC CCN-CERT
Características especiales
Y ahora nos preguntamos:
¿Qué funcionalidad tiene MARTA más allá de el resto de herramientas
del mercado?
1º. Se aplican los nuevos métodos investigados en análisis de malware
2º. Utilización de etiquetas
3º Motor de reglas (IoCs)
VIII JORNADAS STIC CCN-CERT
Etiquetas
Una de las funcionalidades más importantes que tiene el sistema es la posibilidad de definir Etiquetas y aplicarlas a análisis o binarios.
Con ellas podemos definir:
Agrupar campañas de malware específicos (por ejemplo: Dragonfly)
Definir comportamientos concretos de las muestras ( por ejemplo: persistencia)
Definir grupos de análisis (por ejemplo: fechas o países)
Definir alertas que ayuden a los analistas (por ejemplo: A Revisar)
Elaborar itinerarios de formación para los analistas.
Etc.
Este sistema es muy flexible a la hora de clasificar cualquier tipo de información
relacionado con el trabajo diario del analista. La gestión de etiquetas (creación,
modificación y asociación) puede realizarse desde cualquier parte de la aplicación en
la que se encuentren visibles binarios o análisis.
VIII JORNADAS STIC CCN-CERT
Etiquetas
• El sistema de etiquetas permite la creación de las mismas en el mismo
entorno, facilitando la asignación momentánea de la misma cuando es
necesaria.
VIII JORNADAS STIC CCN-CERT
Etiquetas
• El panel también permite el filtrado de los análisis o binarios que tenga
la etiqueta asociada.
Por último se pueden asignar etiquetas a Reglas o IoC registrados en el sistema. Esto nos permite poder clasificarlos de una manera muy visual.
Además cada vez que el análisis de un binario detecte y genere un IoC con un comportamiento etiquetado anteriormente, dicho análisis se etiquetará de manera automática.
Este sistema también funciona a la inversa. Si se genera una etiqueta asociada a un IoC o comportamiento concreto, se aplicará esta etiqueta a los análisis que tengan la misma coincidencia.
VIII JORNADAS STIC CCN-CERT
Motor de Reglas (IoCs)
• El motor de reglas examina el resultado de los análisis de los binarios lo evalúa
comparando con reglas definidas en la herramienta. Estas reglas (basadas en OpenIOC)
se pueden crear basadas en términos tales como (y no únicamente):
• Valores de claves de registro.
• Parámetros de los procesos.
• Conexiones de red.
• Valores de análisis estático.
• Permite los operadores lógicos AND y OR
• Permite la creación de reglas a partir de
• otras reglas.
• Condiciones:
• Contains
• Contains not
• Is
• Is not
VIII JORNADAS STIC CCN-CERT
Motor de Reglas (IoCs)
El motor de reglas permite la
activación/desactivación de
reglas con el objetivo crear
reglas de prueba o aprendizaje
que no sea necesario ejecutar
tras los análisis.
Adicionalmente, se puede
añadir etiquetas a las reglas
que se añadirán
automáticamente al análisis del
binario en caso de que la regla
coincida con los datos del
mismo.
VIII JORNADAS STIC CCN-CERT
Motor de Reglas (IoCs)
La creación de reglas puede ser tanto manual como importando un
fichero XML en formato OpenIOC.
En la visualización de las reglas ejecutadas sobre un análisis puede
observarse las reglas que han coincidido con algún parámetro del
análisis.
VIII JORNADAS STIC CCN-CERT
DEMO
VIII JORNADAS STIC CCN-CERT
40
Malware Information Sharing Platform
MISP
3
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
MISP - Definición
Dentro del marco de la compartición de información están apareciendo
algunas herramientas que nos permiten realizarlo de una manera
sencilla y flexible. Una de ellas es MISP, Plataforma para la compartición
de información sobre malware.
MISP es una plataforma para compartir, almacenar y correlación
indicadores de compromiso (IoC) de ataques o muestras de malware.
Herramienta de código abierto, en desarrollo
por un grupo de desarrolladores, principalmente
el CERT belga (CERT.be) y la OTAN (nato.int)
VIII JORNADAS STIC CCN-CERT
MISP
Permite la compartición de información relacionada con el malware y sus indicadores de compromiso (características).
Permite el despliegue en distintas instancias y la interconexión de las mismas, dentro de una misma organización o con otras organizaciones.
Permite la clasificación de información para compartir (public, private).
Permite la sincronización de diferentes instancias
Importación y exportación de información en distintos formatos
VIII JORNADAS STIC CCN-CERT
Pantalla principal
Organización de la información en “Eventos”
VIII JORNADAS STIC CCN-CERT
MISP – Información compartida
Información sobre malware para compartir. Se pueden ir añadiendo
atributos según la información que se tenga.
En MISP existen 4 opciones para
compartir información:
•Organización
•Esta comunidad
•Comunidades conectadas
•Todas las comunidades
VIII JORNADAS STIC CCN-CERT
Integración MISP
Características de importación/exportación de información en distintos
formatos:
Desarrollo de plug-ins que permiten integración con otras
herramientas (ej: misp-maltego)
VIII JORNADAS STIC CCN-CERT
MISP -> MARTA
MARTA tiene la capacidad de exportar las características desarrolladas
por una muestra de malware en su ejecución a un fichero XML, con dos
variantes:
•MISP - XML
•OpenIoC
De esta manera, cualquier análisis realizado en MARTA,
automáticamente se almacena dicha información en MISP. Esto nos
permite gestionar la información en un punto único y compartir lo que se
considere.
VIII JORNADAS STIC CCN-CERT
47
La evolución del Multi-antivirus
MARIA
4
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
• Evolución de la plataforma MultiAntiVirus para análisis estático de código dañino. Desarrollo propio completo.
• API para integración con otros servicios CCN-CERT (MARTA, MISP)
• Posibilidad de análisis privados y aislados de Internet necesario para la investigación de APT.
• Información detallada de ficheros analizados (metadatos de binarios, checksums, datos EXIF en imágenes, etc)
• Arquitectura escalable, con colas para análisis en paralelo de los motores de antivirus sin bloqueos.
• En proceso de incorporación de más de 30 antivirus y antimalware
MARIA: MultiAntiviRus IntegrAdo
VIII JORNADAS STIC CCN-CERT
Portal CCN-CERT
SISTEMAS CCN-CERT
MARTA
MISP
LUCIA P
RO
TO
CO
LO
SA
LT S
TAC
K
MARIA GUI
HTTPS
VIII JORNADAS STIC CCN-CERT
• Subida de ficheros
• Historial personal de análisis
por usuario
• Información de estado del
sistema
• Información de tipo de
fichero, metadatos, md5
• Resultados dinámicos
de análisis a medida
que se obtienen
• Indicador gráfico de
peligrosidad
VIII JORNADAS STIC CCN-CERT
• Lista de antivirus y antimalwares
disponbiles
• Estado de funcionamiento
• Fecha de actualización de firmas
por antivirus
• Historial de Análisis
• Resultados y nombre de
especimen
VIII JORNADAS STIC CCN-CERT
Mejoras de evolución futuras
Integración vía API con otros sistemas del CCN-CERT
Análisis de URL/IP
Análisis de URL contra listas negras
Comprobación MD5/SHA contra BBDD de ficheros legítimos
… aportaciones de los organismos
Síguenos en Linked in
E-Mails
ccn-cert@cni.es
info@ccn-cert.cni.es
ccn@cni.es
sondas@ccn-cert.cni.es
redsara@ccn-cert.cni.es
carmen@ccn-cert.cni.es
organismo.certificacion@cni.es
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
top related