caracterización de sistemas de análisis en sandbox de...

Caracterizacion de Sistemas de Analisis en Sandbox

de Malware publicos

Alvaro Botas

[email protected] ※ @AlvaroBotas ※

February 10, 2016

mailto:[email protected]

https://twitter.com/AlvaroBotas

Outline

1 Motivacion

2 Estado del arte

3 Trabajos previos

Tecnicas Anti-Forenses

Tecnicas de Mitigacion

4 Trabajo Actual

5 Trabajo Futuro

6 Hitos

7 Plan de difusion de los resultados a alcanzar

A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 2 / 46

Motivacion

Motivacion

¿Que es el Malware?

Malicious Software

Objetivos del malware

Informacion gubernamentalDatos bancariosEspionajePedir rescates a cambio de ingresosAtaques

Mueve mas dinero que el narcotrafico


Motivacion

Motivacion

Aumento de Malware

Gran crecimiento en los ultimos anos [1] [2]

Algunos numeros en 2014:

9839 variantes de malware Android28 billones de muestras spam por dıa317 millones de nuevas variantes de malware (anadidas durante el ano)Los ataques ransomware crecieron un 113% durante el 2014Hasta un 28% de todo el malware fue ”consciente de ser ejecutado enmaquinas virtuales”


Motivacion

Motivacion

Analisis de malware

Tipos

EstaticoDinamico

Problemas analisis manual:

LargoTediosoErrores humanosNumero de muestras demasiado elevado

Otros problemas (Dificultan averiguar el comportamiento):

Muestras muertas (C&C caıdos)Hosts eliminadosDominios no alcanzables


Motivacion

Motivacion II

¿Que hacer?

Automatizar analisis

Numero de muestras limitadas

Aumento de capacidad de analisis haciendo publico el sistema deanalisis al alcance de cualquiera

Public MSAS

Plataformas publicas para el envıo de muestras

Realizan analisis e indican si son aplicaciones benignas o maliciosas

Diferentes niveles de informacion en los reportes

Se centran en el analisis de diferentes plataformas, tipos deaplicaciones/archivos, sitios web, etc.


Motivacion

Motivacion III

Los criminales tambien aprenden...

Las muestras malware utilizan tecnicas con las que modifican elcomportamiento si detectan que estan en entornos de analisis

Tecnicas anti-forenses

Tecnicas anti-virtualizacion

Anti-Forense

Existen varias tecnicas y herramientas para hacerlo


Outline

1 Motivacion

2 Estado del arte

3 Trabajos previos



4 Trabajo Actual

5 Trabajo Futuro

6 Hitos



Estado del arte

Sistemas Existentes

Tipos

Publicos, privados, de pago

Analisis estatico y dinamico

Conexion a Internet o aislados

Analisis de binarios, ficheros, Url’s, . . .

Ejemplos

Anubis

Malwr

Akana

Mastiff


Estado del arte

Trabajos Relacionados

A view on Current Malware Behaviors [3]

Realiza un estudio de las muestras enviadas a la plataforma Anubis

Analisis de la plataforma de analisis

Informes con informacion de la actividad del binario bajo analisisMonitorizacion de las llamadas a la API de Windows y servicios delsistemaRegistra el trafico de redAlmacena los flujos de datos

Evalua los resultados de casi un millon de muestras de malware

Estudia las tendencias y evolucion del comportamiento durante 2 anos


Estado del arte


Your Sandbox is Blinded: Impact of Decoy Injection to PublicMalware Analysis Systems [4]

Explican y demuestran como la direccion IP de una sandbox deanalisis puede ser facilmente descubierta por un atacante

Una vez descubierta, pueden ser colocadas de forma sencilla en unablacklist

Realizan el estudio en 15 sistemas de analisis


Estado del arte


Detecting environment-sensitive malware [5]

Aplican una herramienta propia (DISARM) para detectar malwareevasivo

DISARM puede detectar malware que evade analisis detectandotecnologıa de emulacion, ası como caracterısticas especıficas de unsistema utilizado para el analisis

Nombres de usuarioIdentificadores unicosbugs especıficosetc.

Comparan comportamientos en diferentes sandboxes


Estado del arte


Towards the Detection of Isolation-Aware Malware [6]

Revision de las tecnicas que se utilizan para reconocer entornos deanalisis

Desarrollo de la herramienta PinVMShiel

Mediante Instrumentacion Dinamica de Binarios detecta y es capaz aevadir evasiones del malware


Outline

1 Motivacion

2 Estado del arte

3 Trabajos previos



4 Trabajo Actual

5 Trabajo Futuro

6 Hitos



Trabajos previos

Counterfeiting and defending the digital forensic process

Objetivos

Crear una taxonomıa de tecnicas Anti-Forenses

Relacionar estas tecnicas con las fases de un proceso forense

Revisar las tecnicas de mitigacion Anti-Forense actuales yrelacionarlas con las fases previas


Trabajos previos

Counterfeiting and defending the digital forensic process

Related Work

Las clasificaciones Anti-Forenses son revisadas y categorizadasbasadas en:

Objetivo atacadoOrientacion del ataqueNovedad de las tecnicasFuncionalidad

S. Garfinke, G. C. Kessler, B. Sarting, A. Jain et al.

Mitigacion de tecnicas anti-forense (pocos trabajos relacionados)

Educar a los analistas forensesDisminuir la dependencia en herramientas forensesRecoger de forma proactiva y preservar evidencias antes de que ocurraun incidenteMejorar las herramientas antiforenses actuales

R. Harris, S. Alharbi et al., K. Dahbur


Trabajos previos

Uso de tecnicas Anti-Forenses por parte del malware

Usos

Permanecer el mayor tiempo posible sin detectar

Exfiltrar datos

Impedir su analisis

Eliminar rastros

Provocar mayor dano


Trabajos previos Tecnicas Anti-Forenses

Taxonomıa de Tecnicas Anti-Forenses

Bloques principales

Basados en los componentes de un computador que maneja datos1 Memoria Volatil2 Software3 Red4 Memoria No-Volatil




1. Memoria Volatil




2. Software




3. Red




4. Memoria No-Volatil


Trabajos previos Tecnicas de Mitigacion

Mitigation Techniques

1. Volatile memory

Mitigar la personalizacion de las funciones de manejo de memoria delSistema Operativo

Detectar si las APIs han sido modificadas de algun modoAcceder directamente a la memoria a traves del manejador deEntrada/Salida

Mitigar la contaminacion

Listas blancas con el tipo de archivos de interes para el analista




2. Software

Mitigar la deteccion y explotacion de las herramientas forenses

Mejorar las herramientas actualesHeurısticas mas fuertesAplicacion de tecnicas de transformacion de datos para evitar ladeteccion de herramientas forenses por tecnicas de deteccion comunes




3. Network

Tecnicas de Mitigacion utilizando maquinas externas

Revisar todos los paquetes de redMaquinas intermedias utilizadas por un criminal pueden contenertrazas de la localizacion original del criminal

Tecnicas de Mitigacion utilizando las propias maquinas

Monitorizar los paquetes de red de entrada y salidaAnalizar memoria volatil




4. Memoria No-Volatil

Mitigar Almacenaje

Utilizar el propio hardware donde se encontraron las unidades

Virtualizacion

Obten datos cuando el sistema se esta ejecutandoPara sistemas virtualizados en la nube, analiza las conexiones de red

Saturacion

Seleccion de datos clave para ser recogidos y examinadosUso de librerıas de decompresion mas inteligentes para luchar contrabombas de compresion




4. Memoria No Volatil

Destruccion fısica

No puede ser mitigado

Destruccion logica

Utilizando herramientas especıficas o metodos conocidosFuzzy hashingReconstruccion de archivos de Log

Fabricacion

Checkear las unidades USB conectadas a slots USB y las conexiones

Eliminacion del fuente

Archivos de log de conexiones, actividades o eventos registrados




4. Memoria No Volatil

Fabricacion

Comprobar las unidades USB fısicas conectadas en slots USB

Eliminacion de Fuente

Archivos de logs de conexiones, actividades, o eventos registrados

Transformaciones

Ataques de fuerza brutaUtilizacion de Keyloggers, camaras o ataques de cadena lateralAnalisis de datos estatico y dinamico

Ocultacion

Test de entropıa para detectar mensajes ocultosDatos ocultos in-band & out-of-band: ya manejados por las CFT


Outline

1 Motivacion

2 Estado del arte

3 Trabajos previos



4 Trabajo Actual

5 Trabajo Futuro

6 Hitos



Trabajo Actual

Caracterizacion de los servicios

Services Characterization

Analysis

Static

Dynamic Internet Connection

YES

NO

Platform

Mobile

Android

iOS

Windows Mobile

Desktop

Windows

MacOSX

LinuxUrl’s

Files

. . .

PDFs

swf

images

.doc

Price

Free

Payment

Basic + Premiun

Private

Report

Created Files

File Content

Bening or malware

Connections

How is the report shown to the user

Email

Screen

Downloaded File

Figure: Caracterizacion de los serviciosA. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 30 / 46

Trabajo Actual

Caracterizacion de las maquinas: Parte Logica

Logical

Static

Software

Installed Programs

System Libraries

Directory

Users Lists

Specific Directories

Register keys

Account User

Type of User

Username

Permissions

Operating System

Release

Platform

Version

Product Id.

Installed system patches

Drivers

Dynamic

Connectivity

Open Ports

Remote hosts

Ip Address (public and private)

Processes

Services

User processes Active Windows Get Current Active Window title

TimeStamps


Trabajo Actual

Caracterizacion de las maquinas: Parte Fısica

Physical

MAC Address

Processor

Manufacturer

Speed

Cores

Model

RAM

Memory Quantity

Speed

Graphic Card

Chipset BIOS

Serial Number HDD

USB Identificators

Bridges Identificators

Audio Identificators


Trabajo Actual

Caracterizacion de Sistemas de Analisis en Sandbox deMalware publicos

Casos de uso

Desarrollo de aplicacion

Obtener caracterısticas vistas previamenteSer capaz de exfiltrar las caracterısticas

1 Mediante el envıo de los datos a traves de la red

2 Mediante la escritura en el nombre de ficheros


Outline

1 Motivacion

2 Estado del arte

3 Trabajos previos



4 Trabajo Actual

5 Trabajo Futuro

6 Hitos



Trabajo Futuro

Trabajo a corto plazo

Estudio de los resultados de las pruebas

Puntos en comun

Singularidades

Elementos diferenciantes

Elementos que indiquen si son entornos virtualizados

Artıculo con los resultados

Caracterizacion de servicios

Caracterizacion de maquinas

Casos de uso


Trabajo Futuro

Trabajo a largo plazo

Mejora de la aplicacion

Obtener mayor informacion

Automatizar la recopilacion de informacion

Gestion de errores, busqueda de vulnerabilidades especıficas

Exportar a plataformas moviles

Crear aplicacion movil que sea capaz a obtener informacion delentorno de analisis

Exfiltrar los datos obtenidos


Trabajo Futuro

Trabajo a largo plazo

Estudio de vulnerabilidades

¿Cuales son los puntos debiles de estas plataformas de analisis?

Estudio de posibles mejoras para los entornos de analisis

¿Como podemos reducir o tratar de eliminar esas debilidades?


Outline

1 Motivacion

2 Estado del arte

3 Trabajos previos



4 Trabajo Actual

5 Trabajo Futuro

6 Hitos



Hitos

Estimacion de fechas

1 Primera publicacion en conferencia en el primer trimestre 2016

2 Envıo artıculo JCR Diciembre 2016

3 Publicacion en conferencia en Marzo 2017

4 Envıo artıculo JCR Diciembre 2017

5 Publicacion en conferencia en Abril 2018

6 Escritura Tesis Febrero 2019

7 Presentacion Tesis Mayo 2019


Outline

1 Motivacion

2 Estado del arte

3 Trabajos previos



4 Trabajo Actual

5 Trabajo Futuro

6 Hitos



Plan de difusion de los resultados a alcanzar

Beneficios esperados

Busqueda de vulnerabilidades con el objetivo de conocer que fallos deseguridad deben ser arreglados, y con que prioridad



Planes para la difusion de los resultados

Publicaciones en revistas cientıficas

Publicaciones en congresos y workshops

Estancias en otros centros de investigacion

Participacion en actividades de formacion

Publicacion en revistas profesionales, empresariales o sectoriales

Divulgacion al publico

Difusion en la Web

Tesis doctoral



Turno de preguntas

¿Alguna pregunta?

Gracias por su atencion



References I

Kaspersky, “Kaspersky security bulletin,” Kaspersky, Tech. Rep.,2015, https://kas.pr/KSB2015 pdf.

Symantec, “Istr20 internet security threat report,” Symantec, Tech.Rep., 2015,https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932 GA-

X. Chen, J. Andersen, Z. Mao, M. Bailey, and J. Nazario, “Towardsan understanding of anti-virtualization and anti-debugging behavior inmodern malware,” in Dependable Systems and Networks With FTCS

and DCC, 2008. DSN 2008. IEEE International Conference on, June2008, pp. 177–186.


https://kas.pr/KSB2015_pdf

https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-20-2015-social_v2.pdf


References II

K. Yoshioka, Y. Hosobuchi, T. Orii, and T. Matsumoto, “Yoursandbox is blinded: Impact of decoy injection to public malwareanalysis systems,” Journal of Information Processing, vol. 19, pp.153–168, 2011.

M. Lindorfer, C. Kolbitsch, and P. M. Comparetti, “Detectingenvironment-sensitive malware,” in Recent Advances in Intrusion

Detection. Springer, 2011, pp. 338–357.

R. Rodrıguez, I. Rodrıguez-Gaston, and J. Alonso, “Towards thedetection of isolation-aware malware,” IEEE Latin American

Transactions, 2015.


Caracterizacion de Sistemas de Analisis en Sandbox

de Malware publicos

Alvaro Botas

[email protected] ※ @AlvaroBotas ※

February 10, 2016

mailto:[email protected]

https://twitter.com/AlvaroBotas

caracterización de sistemas de análisis en sandbox de...

Documents