PDF de programación - Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA)

La defensa del patrimonio tecnológico
frente a los ciberataques

10 y 11 de diciembre de 2014

Taller Plataforma Avanzada

Malware

(MISP-MARTA-MARIA)

© 2014 Centro Criptológico Nacional

C/Argentona 20, 28023 MADRID

www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERT

Fernando Muñoz

Innotec System

[email protected]

Myriam Sánchez

Innotec System

[email protected]

www.ccn-cert.cni.es

2

VIII JORNADAS STIC CCN-CERT

Índice

1. Situación actual ciberamenazas

2. Plataforma avanzada de Malware

3. MARTA

4. MISP

5. MARIA

www.ccn-cert.cni.es

3

VIII JORNADAS STIC CCN-CERT

1

Situación actual
ciberamenazas

www.ccn-cert.cni.es

4

VIII JORNADAS STIC CCN-CERT

Situación actual

• El panorama actual de la Seguridad, así como la tipología de amenazas
a las que se tienen que enfrentar las organizaciones, ha sufrido
grandes e importantes cambios durante estos últimos años.



• Si antiguamente

la creación de código malicioso se debía
principalmente a la búsqueda de notoriedad, la realidad actual ha
cambiado radicalmente.



• Hoy día se crea malware con fines criminales y lucrativos que van
desde el fraude económico al robo de información, pasando por el
ciberespionaje gubernamental e industrial.



VIII JORNADAS STIC CCN-CERT

Situación actual

Nos enfrentamos a nuevas características del malware que dificultan en
gran medida su detección y su desinfección.

Erradicar una amenaza persistente en una organización puede suponer
un gran esfuerzo y un alto coste.



Alguna de las características avanzas que tiene el malware son:

• Polimorfismo

• Múltiples 0-day para explotar

• Código cifrado/ofuscado

• Técnicas anti-máquina virtual

• Técnicas anti-debuging

• Comunicaciones con C&C a través de sitios

legítimos



Ejemplo – Nueva ciberarma Regin

VIII JORNADAS STIC CCN-CERT

Regin concebida como una
ciberarma, se publicó a finales
de nov. 2014:

• Activa al menos 6 años
• Vigilancia y robo información

a gobiernos, operadores de
infraestructuras, empresas,
etc, a nivel internacional.

• Desarrollo a través de fases

de ejecución

• Configurable y adaptable al

objetivo.

• Oculto y cifrado



Mas información: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

VIII JORNADAS STIC CCN-CERT

1

Plataforma Avanzada de

Malware

www.ccn-cert.cni.es

8

VIII JORNADAS STIC CCN-CERT

Descripción

Es necesaria la combinación de varias herramientas para cubrir las
necesidades existentes para analizar las distintas muestras de malware
que “entran” en la organización.



Esta plataforma está compuesta por:

• Herramienta de análisis dinámico de malware

(MARTA)

•Herramienta de detección de multi-antivirus

(MARIA)

•Herramienta de recogida y compartición de

información (MISP)

VIII JORNADAS STIC CCN-CERT

Entorno



Inteligencia

VIII JORNADAS STIC CCN-CERT

2

MARTA

www.ccn-cert.cni.es

11

VIII JORNADAS STIC CCN-CERT

Descripción MARTA

• MARTA es una herramienta que permite la detección, el análisis y el
reporte de malware de manera totalmente automática y cuyas
principales características son:



Detección Temprana

Análisis Estático

Análisis Dinámico

Generación de Informes Personalizados

Envío de Alertas y Avisos

Almacenamiento de Evidencias para Post-Análisis

Gestión inteligente de los análisis

VIII JORNADAS STIC CCN-CERT

Funcionalidad

MARTA es una herramienta que permite el análisis estático y dinámico (ejecución en
sandbox) de muestras de malware.

Tiene dos funcionalidades diferenciadas:

• Por un lado es capaz de recoger muestras de manera automática “in the wild” a
través de los distintos colectores programados y generar un informe específico de
las muestras.


• Por otro lado se pueden subir muestras a demanda para hacer análisis más

concretos y dirigidos.


• Su motor inteligente analiza y clasifica las amenazas, permitiendo su categorización
y agrupación de manera sencilla y flexible, y elabora informes en detalle de las
mismas.


• MARTA almacena

la

los análisis permitiendo así
búsquedas en profundidad sobre las muestras analizadas garantizando un perfecto
conocimiento y control de las amenazas.


información obtenida de

Arquitectura

VIII JORNADAS STIC CCN-CERT

ANÁLISIS ANTIVIRUS

ANÁLISIS
DINÁMICO

MARIA

ALMACENAMIENTO

EVIDENCIAS

ANÁLISIS
ESTÁTICO

ENVÍO
MUESTR

A

INFORMES Y GESTIÓN

MISP

MISP

Fuentes PúblicasINTERNETSede ASonda 1Sede BSonda eMailSFTPBBDDSandBoxesMaster ControllerAdministración WEBMARTA VIII JORNADAS STIC CCN-CERT

Fuentes automáticas

MARTA detecta y recolecta automáticamente muestras de malware
desde fuentes públicas o privadas.

Actualmente están configuradas las siguientes

• Zeus Tracker

• CyberCryme

• Malware Malekal

• Malc0de

• Sophos

• Virus Total



Permite
la activación y
configuración de cada una
de las fuentes, así como el
informe asociado.

VIII JORNADAS STIC CCN-CERT

Monitorización del estado del sistema

Se tiene un control global de cada uno de los componentes de MARTA a
través de su panel de monitorización.



Actualmente se monitoriza:

 Estado del sistema de análisis

 Análisis completados

 Análisis reportados

 Análisis en ejecución

 Análisis programados

 Máquinas disponibles para análisis



VIII JORNADAS STIC CCN-CERT

Inteligencia

MARTA se adapta a la muestra de malware a analizar:

• Análisis periódicos para

la detección de malware con

actividad variable.

• Adaptación de la sandbox en función de los criterios del

análisis estático

(VM, conexión a

Internet, tiempo de

ejecución, etcétera).

• Agrupación de malware por características y etiquetas.

• Sistemas configurados para evitar la detección de los análisis,

su entorno, la virtualización, herramientas, etcétera.



VIII JORNADAS STIC CCN-CERT

Paneles principales

Para realizar análisis más dirigidos, MARTA presenta un portal web muy
intuitivo.

La pantalla principal se divide en tres pestañas principales:

•Binarios: Listado de las muestras subidas al sistema bajo demanda

•Análisis: Listado de los análisis realizados en la herramienta.

•Búsqueda avanzada: Permite búsquedas de campos clave.

•Configuración: Permite realizar configuraciones específicas de la
herramienta (usuarios, roles, fuentes automáticas, etiquetas, etc)

VIII JORNADAS STIC CCN-CERT

Características generales de análisis

MARTA permite el análisis estático y/o dinámico de distintas muestras
sospechosas de ser código dañino.



Los tipos de ficheros que actualmente soporta el sistema son:

 Binarios de 32bits
 Binarios de 64bits
 Ficheros PDF
 Ficheros Ofimáticos

El sistema tiene la capacidad de
detectar la tipología de fichero
que se incorpora al análisis y
detectar si es posible realizarle
análisis dinámico

VIII JORNADAS STIC CCN-CERT

Características generales de análisis

Análisis de binarios. Las características configurables para el análisis de las muestras son
las siguientes:



 Establecer prioridad de análisis

 Marcar tiempo de espera de análisis

 Seleccionar tipo de salida a internet:

 A través de la red TOR

 Simulando Internet

 Habilitar información de Triana.

 Selección de una o varias máquinas

para realizar el análisis

 Análisis sin privilegios

 Simulación interacción humana

 Envío de correo una vez finalizado



VIII JORNADAS STIC CCN-CERT

Máquinas Virtuales Disponibles

Actualmente está disponible el siguiente listado de máquinas:



 Windows XP (32bits)

 Windows 7 (32 y 64 bits)

 Windows 8 (32 y 64 bits)



A 31 de Diciembre de 2014

 Windows Server 2003

 Windows Server 2008



Primer trimestre del 2015

 Linux

 Android (hasta Lollipop)

 Mac OS X



VIII JORNADAS STIC CCN-CERT

Re-análisis y programación

El sistema permite que podamos realizar un re-análisis de las muestras:



De manera inmediata.

De manera programada. Muy útil para programar análisis en horas concretas del día.



Además se permite

 Descarga de informes (PDF y DOC)

• Informe general

• Informe general +

Información de Triana

 Descarga de los binarios



VIII JORNADAS STIC CCN-CERT

Información Análisis

En esta pestaña se gestionan los distintos análisis realizados. En la
ventana de detalles se muestra la información concreta del análisis.

Datos generales del fichero y del análisis y configuración que se
programó al análisis



VIII JORNADAS STIC CCN-CERT

Descarga de evidencias

Evidencias recogidas del análisis. Hay que destacar:



 Reglas de snort generadas basadas en la detección
 Fichero pcap interceptado de la comunicación con internet (simulado o

por Tor)

 Fichero de strings detectados en la muestra.
 Fichero de log asociado al análisis



VIII JORNADAS STIC CCN-CERT

Cambios en Ficheros

MARTA registra los ficheros que se han creado / modificado / eliminado
en el sistema por parte de la muestra analizada:



VIII JORNADAS STIC CCN-CERT

Cambios del registro

MARTA registra además los cambios producidos en el registro del
sistema con los valores finales



VIII JORNADAS STIC CCN-CERT

Actividad de procesos

Se muestran los procesos que se han ejecutado en el sistema con su
identificación y valor



VIII JORNADAS STIC CCN-CERT

Tráfico de red detectado

Dominos e IPs que se han registrado durante la actividad de la muestra
en el análisis dinámico.



Información de cabeceras HTTP detectadas



VIII JORNADAS STIC CCN-CERT

Etiquetas as