taller plataforma avanzada malware · taller plataforma avanzada malware (misp-marta-maria) viii...

La defensa del patrimonio tecnológico

frente a los ciberataques

10 y 11 de diciembre de 2014

www.ccn-cert.cni.es © 2014 Centro Criptológico Nacional

C/Argentona 20, 28023 MADRID

Taller Plataforma Avanzada Malware

(MISP-MARTA-MARIA)

VIII JORNADAS STIC CCN-CERT

www.ccn-cert.cni.es

2

Innotec System

Fernando Muñoz

[email protected]

Innotec System

Myriam Sánchez

[email protected]


3

2. Plataforma avanzada de Malware

Índice

3. MARTA

4. MISP

5. MARIA

1. Situación actual ciberamenazas

www.ccn-cert.cni.es


4

Situación actual

ciberamenazas

1

www.ccn-cert.cni.es


Situación actual

• El panorama actual de la Seguridad, así como la tipología de amenazas

a las que se tienen que enfrentar las organizaciones, ha sufrido

grandes e importantes cambios durante estos últimos años.

• Si antiguamente la creación de código malicioso se debía

principalmente a la búsqueda de notoriedad, la realidad actual ha

cambiado radicalmente.

• Hoy día se crea malware con fines criminales y lucrativos que van

desde el fraude económico al robo de información, pasando por el

ciberespionaje gubernamental e industrial.


Situación actual

Nos enfrentamos a nuevas características del malware que dificultan en

gran medida su detección y su desinfección.

Erradicar una amenaza persistente en una organización puede suponer

un gran esfuerzo y un alto coste.

Alguna de las características avanzas que tiene el malware son:

• Polimorfismo

• Múltiples 0-day para explotar

• Código cifrado/ofuscado

• Técnicas anti-máquina virtual

• Técnicas anti-debuging

• Comunicaciones con C&C a través de sitios

legítimos


Ejemplo – Nueva ciberarma Regin

Regin concebida como una ciberarma, se publicó a finales de nov. 2014:

• Activa al menos 6 años

• Vigilancia y robo información a gobiernos, operadores de infraestructuras, empresas, etc, a nivel internacional.

• Desarrollo a través de fases de ejecución

• Configurable y adaptable al objetivo.

• Oculto y cifrado

Mas información: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf


8

Plataforma Avanzada de

Malware

1

www.ccn-cert.cni.es


Descripción

Es necesaria la combinación de varias herramientas para cubrir las

necesidades existentes para analizar las distintas muestras de malware

que “entran” en la organización.

Esta plataforma está compuesta por:

• Herramienta de análisis dinámico de malware

(MARTA)

•Herramienta de detección de multi-antivirus

(MARIA)

•Herramienta de recogida y compartición de

información (MISP)


Entorno

Inteligencia


11

MARTA

2

www.ccn-cert.cni.es


Descripción MARTA

• MARTA es una herramienta que permite la detección, el análisis y el

reporte de malware de manera totalmente automática y cuyas

principales características son:

Detección Temprana

Análisis Estático

Análisis Dinámico

Generación de Informes Personalizados

Envío de Alertas y Avisos

Almacenamiento de Evidencias para Post-Análisis

Gestión inteligente de los análisis


Funcionalidad

MARTA es una herramienta que permite el análisis estático y dinámico (ejecución en sandbox) de muestras de malware.

Tiene dos funcionalidades diferenciadas:

• Por un lado es capaz de recoger muestras de manera automática “in the wild” a través de los distintos colectores programados y generar un informe específico de las muestras.

• Por otro lado se pueden subir muestras a demanda para hacer análisis más concretos y dirigidos.

• Su motor inteligente analiza y clasifica las amenazas, permitiendo su categorización y agrupación de manera sencilla y flexible, y elabora informes en detalle de las mismas.

• MARTA almacena la información obtenida de los análisis permitiendo así búsquedas en profundidad sobre las muestras analizadas garantizando un perfecto conocimiento y control de las amenazas.


Arquitectura

Fuentes

Públicas

INTERNET

Sede ASonda 1

Sede B

Sonda eMail

SFTP

BBDD

SandBoxes

Master Controller

Administración WEB

MARTA

ENVÍO

MUESTR

A

ANÁLISIS

DINÁMICO

ALMACENAMIENTO

EVIDENCIAS

INFORMES Y GESTIÓN

MARIA

ANÁLISIS ANTIVIRUS

MISP

ANÁLISIS

ESTÁTICO

MISP


Fuentes automáticas

MARTA detecta y recolecta automáticamente muestras de malware

desde fuentes públicas o privadas.

Actualmente están configuradas las siguientes

• Zeus Tracker

• CyberCryme

• Malware Malekal

• Malc0de

• Sophos

• Virus Total

Permite la activación y

configuración de cada una

de las fuentes, así como el

informe asociado.


Monitorización del estado del sistema

Se tiene un control global de cada uno de los componentes de MARTA a

través de su panel de monitorización.

Actualmente se monitoriza:

Estado del sistema de análisis

Análisis completados

Análisis reportados

Análisis en ejecución

Análisis programados

Máquinas disponibles para análisis


Inteligencia

MARTA se adapta a la muestra de malware a analizar:

• Análisis periódicos para la detección de malware con

actividad variable.

• Adaptación de la sandbox en función de los criterios del

análisis estático (VM, conexión a Internet, tiempo de

ejecución, etcétera).

• Agrupación de malware por características y etiquetas.

• Sistemas configurados para evitar la detección de los análisis,

su entorno, la virtualización, herramientas, etcétera.


Paneles principales

Para realizar análisis más dirigidos, MARTA presenta un portal web muy

intuitivo.

La pantalla principal se divide en tres pestañas principales:

•Binarios: Listado de las muestras subidas al sistema bajo demanda

•Análisis: Listado de los análisis realizados en la herramienta.

•Búsqueda avanzada: Permite búsquedas de campos clave.

•Configuración: Permite realizar configuraciones específicas de la

herramienta (usuarios, roles, fuentes automáticas, etiquetas, etc)


Características generales de análisis

MARTA permite el análisis estático y/o dinámico de distintas muestras

sospechosas de ser código dañino.

Los tipos de ficheros que actualmente soporta el sistema son:

Binarios de 32bits

Binarios de 64bits

Ficheros PDF

Ficheros Ofimáticos

El sistema tiene la capacidad de

detectar la tipología de fichero

que se incorpora al análisis y

detectar si es posible realizarle

análisis dinámico


Características generales de análisis

Análisis de binarios. Las características configurables para el análisis de las muestras son las siguientes:

Establecer prioridad de análisis

Marcar tiempo de espera de análisis

Seleccionar tipo de salida a internet:

A través de la red TOR

Simulando Internet

Habilitar información de Triana.

Selección de una o varias máquinas

para realizar el análisis

Análisis sin privilegios

Simulación interacción humana

Envío de correo una vez finalizado


Máquinas Virtuales Disponibles

Actualmente está disponible el siguiente listado de máquinas:

Windows XP (32bits)

Windows 7 (32 y 64 bits)

Windows 8 (32 y 64 bits)

A 31 de Diciembre de 2014

Windows Server 2003

Windows Server 2008

Primer trimestre del 2015

Linux

Android (hasta Lollipop)

Mac OS X


Re-análisis y programación

El sistema permite que podamos realizar un re-análisis de las muestras:

De manera inmediata.

De manera programada. Muy útil para programar análisis en horas concretas del día.

Además se permite

Descarga de informes (PDF y DOC)

• Informe general

• Informe general +

Información de Triana

Descarga de los binarios


Información Análisis

En esta pestaña se gestionan los distintos análisis realizados. En la

ventana de detalles se muestra la información concreta del análisis.

Datos generales del fichero y del análisis y configuración que se

programó al análisis


Descarga de evidencias

Evidencias recogidas del análisis. Hay que destacar:

Reglas de snort generadas basadas en la detección

Fichero pcap interceptado de la comunicación con internet (simulado o

por Tor)

Fichero de strings detectados en la muestra.

Fichero de log asociado al análisis


Cambios en Ficheros

MARTA registra los ficheros que se han creado / modificado / eliminado

en el sistema por parte de la muestra analizada:


Cambios del registro

MARTA registra además los cambios producidos en el registro del

sistema con los valores finales


Actividad de procesos

Se muestran los procesos que se han ejecutado en el sistema con su

identificación y valor


Tráfico de red detectado

Dominos e IPs que se han registrado durante la actividad de la muestra

en el análisis dinámico.

Información de cabeceras HTTP detectadas


Etiquetas asociadas al análisis

El análisis puede tener etiquetas asignadas manualmente o a través de

la ejecución de las reglas:

Etiquetas manuales

Etiqueta asignada

automáticamente,

basado en reglas


Análisis de PDF

La información que se recoge corresponde específicamente a ficheros

PDF.

Versión de PDF

Scripts embebidos

Objetos sospechosos

Fecha de creación

Fecha de modificación


Búsqueda Avanzada

Búsqueda incluyendo múltiples criterios sobre los análisis para obtener

los binarios que coinciden.


Características especiales

Y ahora nos preguntamos:

¿Qué funcionalidad tiene MARTA más allá de el resto de herramientas

del mercado?

1º. Se aplican los nuevos métodos investigados en análisis de malware

2º. Utilización de etiquetas

3º Motor de reglas (IoCs)


Etiquetas

Una de las funcionalidades más importantes que tiene el sistema es la posibilidad de definir Etiquetas y aplicarlas a análisis o binarios.

Con ellas podemos definir:

Agrupar campañas de malware específicos (por ejemplo: Dragonfly)

Definir comportamientos concretos de las muestras ( por ejemplo: persistencia)

Definir grupos de análisis (por ejemplo: fechas o países)

Definir alertas que ayuden a los analistas (por ejemplo: A Revisar)

Elaborar itinerarios de formación para los analistas.

Etc.

Este sistema es muy flexible a la hora de clasificar cualquier tipo de información

relacionado con el trabajo diario del analista. La gestión de etiquetas (creación,

modificación y asociación) puede realizarse desde cualquier parte de la aplicación en

la que se encuentren visibles binarios o análisis.


Etiquetas

• El sistema de etiquetas permite la creación de las mismas en el mismo

entorno, facilitando la asignación momentánea de la misma cuando es

necesaria.


Etiquetas

• El panel también permite el filtrado de los análisis o binarios que tenga

la etiqueta asociada.

Por último se pueden asignar etiquetas a Reglas o IoC registrados en el sistema. Esto nos permite poder clasificarlos de una manera muy visual.

Además cada vez que el análisis de un binario detecte y genere un IoC con un comportamiento etiquetado anteriormente, dicho análisis se etiquetará de manera automática.

Este sistema también funciona a la inversa. Si se genera una etiqueta asociada a un IoC o comportamiento concreto, se aplicará esta etiqueta a los análisis que tengan la misma coincidencia.


Motor de Reglas (IoCs)

• El motor de reglas examina el resultado de los análisis de los binarios lo evalúa

comparando con reglas definidas en la herramienta. Estas reglas (basadas en OpenIOC)

se pueden crear basadas en términos tales como (y no únicamente):

• Valores de claves de registro.

• Parámetros de los procesos.

• Conexiones de red.

• Valores de análisis estático.

• Permite los operadores lógicos AND y OR

• Permite la creación de reglas a partir de

• otras reglas.

• Condiciones:

• Contains

• Contains not

• Is

• Is not



El motor de reglas permite la

activación/desactivación de

reglas con el objetivo crear

reglas de prueba o aprendizaje

que no sea necesario ejecutar

tras los análisis.

Adicionalmente, se puede

añadir etiquetas a las reglas

que se añadirán

automáticamente al análisis del

binario en caso de que la regla

coincida con los datos del

mismo.



La creación de reglas puede ser tanto manual como importando un

fichero XML en formato OpenIOC.

En la visualización de las reglas ejecutadas sobre un análisis puede

observarse las reglas que han coincidido con algún parámetro del

análisis.


DEMO


40

Malware Information Sharing Platform

MISP

3

www.ccn-cert.cni.es


MISP - Definición

Dentro del marco de la compartición de información están apareciendo

algunas herramientas que nos permiten realizarlo de una manera

sencilla y flexible. Una de ellas es MISP, Plataforma para la compartición

de información sobre malware.

MISP es una plataforma para compartir, almacenar y correlación

indicadores de compromiso (IoC) de ataques o muestras de malware.

Herramienta de código abierto, en desarrollo

por un grupo de desarrolladores, principalmente

el CERT belga (CERT.be) y la OTAN (nato.int)


MISP

Permite la compartición de información relacionada con el malware y sus indicadores de compromiso (características).

Permite el despliegue en distintas instancias y la interconexión de las mismas, dentro de una misma organización o con otras organizaciones.

Permite la clasificación de información para compartir (public, private).

Permite la sincronización de diferentes instancias

Importación y exportación de información en distintos formatos


Pantalla principal

Organización de la información en “Eventos”


MISP – Información compartida

Información sobre malware para compartir. Se pueden ir añadiendo

atributos según la información que se tenga.

En MISP existen 4 opciones para

compartir información:

•Organización

•Esta comunidad

•Comunidades conectadas

•Todas las comunidades


Integración MISP

Características de importación/exportación de información en distintos

formatos:

Desarrollo de plug-ins que permiten integración con otras

herramientas (ej: misp-maltego)


MISP -> MARTA

MARTA tiene la capacidad de exportar las características desarrolladas

por una muestra de malware en su ejecución a un fichero XML, con dos

variantes:

•MISP - XML

•OpenIoC

De esta manera, cualquier análisis realizado en MARTA,

automáticamente se almacena dicha información en MISP. Esto nos

permite gestionar la información en un punto único y compartir lo que se

considere.


47

La evolución del Multi-antivirus

MARIA

4

www.ccn-cert.cni.es


• Evolución de la plataforma MultiAntiVirus para análisis estático de código dañino. Desarrollo propio completo.

• API para integración con otros servicios CCN-CERT (MARTA, MISP)

• Posibilidad de análisis privados y aislados de Internet necesario para la investigación de APT.

• Información detallada de ficheros analizados (metadatos de binarios, checksums, datos EXIF en imágenes, etc)

• Arquitectura escalable, con colas para análisis en paralelo de los motores de antivirus sin bloqueos.

• En proceso de incorporación de más de 30 antivirus y antimalware

MARIA: MultiAntiviRus IntegrAdo


Portal CCN-CERT

SISTEMAS CCN-CERT

MARTA

MISP

LUCIA P

RO

TO

CO

LO

SA

LT S

TAC

K

MARIA GUI

HTTPS


• Subida de ficheros

• Historial personal de análisis

por usuario

• Información de estado del

sistema

• Información de tipo de

fichero, metadatos, md5

• Resultados dinámicos

de análisis a medida

que se obtienen

• Indicador gráfico de

peligrosidad


• Lista de antivirus y antimalwares

disponbiles

• Estado de funcionamiento

• Fecha de actualización de firmas

por antivirus

• Historial de Análisis

• Resultados y nombre de

especimen


Mejoras de evolución futuras

Integración vía API con otros sistemas del CCN-CERT

Análisis de URL/IP

Análisis de URL contra listas negras

Comprobación MD5/SHA contra BBDD de ficheros legítimos

… aportaciones de los organismos

Síguenos en Linked in

E-Mails

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

Websites

www.ccn.cni.es

www.ccn-cert.cni.es

www.oc.ccn.cni.es

taller plataforma avanzada malware · taller plataforma avanzada malware (misp-marta-maria) viii...

Documents