caracterización de sistemas de análisis en sandbox de...
TRANSCRIPT
Caracterizacion de Sistemas de Analisis en Sandbox
de Malware publicos
Alvaro Botas
[email protected] ※ @AlvaroBotas ※
February 10, 2016
Outline
1 Motivacion
2 Estado del arte
3 Trabajos previos
Tecnicas Anti-Forenses
Tecnicas de Mitigacion
4 Trabajo Actual
5 Trabajo Futuro
6 Hitos
7 Plan de difusion de los resultados a alcanzar
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 2 / 46
Motivacion
Motivacion
¿Que es el Malware?
Malicious Software
Objetivos del malware
Informacion gubernamentalDatos bancariosEspionajePedir rescates a cambio de ingresosAtaques
Mueve mas dinero que el narcotrafico
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 3 / 46
Motivacion
Motivacion
Aumento de Malware
Gran crecimiento en los ultimos anos [1] [2]
Algunos numeros en 2014:
9839 variantes de malware Android28 billones de muestras spam por dıa317 millones de nuevas variantes de malware (anadidas durante el ano)Los ataques ransomware crecieron un 113% durante el 2014Hasta un 28% de todo el malware fue ”consciente de ser ejecutado enmaquinas virtuales”
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 4 / 46
Motivacion
Motivacion
Analisis de malware
Tipos
EstaticoDinamico
Problemas analisis manual:
LargoTediosoErrores humanosNumero de muestras demasiado elevado
Otros problemas (Dificultan averiguar el comportamiento):
Muestras muertas (C&C caıdos)Hosts eliminadosDominios no alcanzables
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 5 / 46
Motivacion
Motivacion II
¿Que hacer?
Automatizar analisis
Numero de muestras limitadas
Aumento de capacidad de analisis haciendo publico el sistema deanalisis al alcance de cualquiera
Public MSAS
Plataformas publicas para el envıo de muestras
Realizan analisis e indican si son aplicaciones benignas o maliciosas
Diferentes niveles de informacion en los reportes
Se centran en el analisis de diferentes plataformas, tipos deaplicaciones/archivos, sitios web, etc.
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 6 / 46
Motivacion
Motivacion III
Los criminales tambien aprenden...
Las muestras malware utilizan tecnicas con las que modifican elcomportamiento si detectan que estan en entornos de analisis
Tecnicas anti-forenses
Tecnicas anti-virtualizacion
Anti-Forense
Existen varias tecnicas y herramientas para hacerlo
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 7 / 46
Outline
1 Motivacion
2 Estado del arte
3 Trabajos previos
Tecnicas Anti-Forenses
Tecnicas de Mitigacion
4 Trabajo Actual
5 Trabajo Futuro
6 Hitos
7 Plan de difusion de los resultados a alcanzar
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 8 / 46
Estado del arte
Sistemas Existentes
Tipos
Publicos, privados, de pago
Analisis estatico y dinamico
Conexion a Internet o aislados
Analisis de binarios, ficheros, Url’s, . . .
Ejemplos
Anubis
Malwr
Akana
Mastiff
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 9 / 46
Estado del arte
Trabajos Relacionados
A view on Current Malware Behaviors [3]
Realiza un estudio de las muestras enviadas a la plataforma Anubis
Analisis de la plataforma de analisis
Informes con informacion de la actividad del binario bajo analisisMonitorizacion de las llamadas a la API de Windows y servicios delsistemaRegistra el trafico de redAlmacena los flujos de datos
Evalua los resultados de casi un millon de muestras de malware
Estudia las tendencias y evolucion del comportamiento durante 2 anos
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 10 / 46
Estado del arte
Trabajos Relacionados
Your Sandbox is Blinded: Impact of Decoy Injection to PublicMalware Analysis Systems [4]
Explican y demuestran como la direccion IP de una sandbox deanalisis puede ser facilmente descubierta por un atacante
Una vez descubierta, pueden ser colocadas de forma sencilla en unablacklist
Realizan el estudio en 15 sistemas de analisis
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 11 / 46
Estado del arte
Trabajos Relacionados
Detecting environment-sensitive malware [5]
Aplican una herramienta propia (DISARM) para detectar malwareevasivo
DISARM puede detectar malware que evade analisis detectandotecnologıa de emulacion, ası como caracterısticas especıficas de unsistema utilizado para el analisis
Nombres de usuarioIdentificadores unicosbugs especıficosetc.
Comparan comportamientos en diferentes sandboxes
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 12 / 46
Estado del arte
Trabajos Relacionados
Towards the Detection of Isolation-Aware Malware [6]
Revision de las tecnicas que se utilizan para reconocer entornos deanalisis
Desarrollo de la herramienta PinVMShiel
Mediante Instrumentacion Dinamica de Binarios detecta y es capaz aevadir evasiones del malware
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 13 / 46
Outline
1 Motivacion
2 Estado del arte
3 Trabajos previos
Tecnicas Anti-Forenses
Tecnicas de Mitigacion
4 Trabajo Actual
5 Trabajo Futuro
6 Hitos
7 Plan de difusion de los resultados a alcanzar
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 14 / 46
Trabajos previos
Counterfeiting and defending the digital forensic process
Objetivos
Crear una taxonomıa de tecnicas Anti-Forenses
Relacionar estas tecnicas con las fases de un proceso forense
Revisar las tecnicas de mitigacion Anti-Forense actuales yrelacionarlas con las fases previas
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 15 / 46
Trabajos previos
Counterfeiting and defending the digital forensic process
Related Work
Las clasificaciones Anti-Forenses son revisadas y categorizadasbasadas en:
Objetivo atacadoOrientacion del ataqueNovedad de las tecnicasFuncionalidad
S. Garfinke, G. C. Kessler, B. Sarting, A. Jain et al.
Mitigacion de tecnicas anti-forense (pocos trabajos relacionados)
Educar a los analistas forensesDisminuir la dependencia en herramientas forensesRecoger de forma proactiva y preservar evidencias antes de que ocurraun incidenteMejorar las herramientas antiforenses actuales
R. Harris, S. Alharbi et al., K. Dahbur
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 16 / 46
Trabajos previos
Uso de tecnicas Anti-Forenses por parte del malware
Usos
Permanecer el mayor tiempo posible sin detectar
Exfiltrar datos
Impedir su analisis
Eliminar rastros
Provocar mayor dano
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 17 / 46
Trabajos previos Tecnicas Anti-Forenses
Taxonomıa de Tecnicas Anti-Forenses
Bloques principales
Basados en los componentes de un computador que maneja datos1 Memoria Volatil2 Software3 Red4 Memoria No-Volatil
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 18 / 46
Trabajos previos Tecnicas Anti-Forenses
Taxonomıa de Tecnicas Anti-Forenses
1. Memoria Volatil
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 19 / 46
Trabajos previos Tecnicas Anti-Forenses
Taxonomıa de Tecnicas Anti-Forenses
2. Software
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 20 / 46
Trabajos previos Tecnicas Anti-Forenses
Taxonomıa de Tecnicas Anti-Forenses
3. Red
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 21 / 46
Trabajos previos Tecnicas Anti-Forenses
Taxonomıa de Tecnicas Anti-Forenses
4. Memoria No-Volatil
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 22 / 46
Trabajos previos Tecnicas de Mitigacion
Mitigation Techniques
1. Volatile memory
Mitigar la personalizacion de las funciones de manejo de memoria delSistema Operativo
Detectar si las APIs han sido modificadas de algun modoAcceder directamente a la memoria a traves del manejador deEntrada/Salida
Mitigar la contaminacion
Listas blancas con el tipo de archivos de interes para el analista
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 23 / 46
Trabajos previos Tecnicas de Mitigacion
Mitigation Techniques
2. Software
Mitigar la deteccion y explotacion de las herramientas forenses
Mejorar las herramientas actualesHeurısticas mas fuertesAplicacion de tecnicas de transformacion de datos para evitar ladeteccion de herramientas forenses por tecnicas de deteccion comunes
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 24 / 46
Trabajos previos Tecnicas de Mitigacion
Mitigation Techniques
3. Network
Tecnicas de Mitigacion utilizando maquinas externas
Revisar todos los paquetes de redMaquinas intermedias utilizadas por un criminal pueden contenertrazas de la localizacion original del criminal
Tecnicas de Mitigacion utilizando las propias maquinas
Monitorizar los paquetes de red de entrada y salidaAnalizar memoria volatil
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 25 / 46
Trabajos previos Tecnicas de Mitigacion
Tecnicas de Mitigacion
4. Memoria No-Volatil
Mitigar Almacenaje
Utilizar el propio hardware donde se encontraron las unidades
Virtualizacion
Obten datos cuando el sistema se esta ejecutandoPara sistemas virtualizados en la nube, analiza las conexiones de red
Saturacion
Seleccion de datos clave para ser recogidos y examinadosUso de librerıas de decompresion mas inteligentes para luchar contrabombas de compresion
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 26 / 46
Trabajos previos Tecnicas de Mitigacion
Tecnicas de Mitigacion
4. Memoria No Volatil
Destruccion fısica
No puede ser mitigado
Destruccion logica
Utilizando herramientas especıficas o metodos conocidosFuzzy hashingReconstruccion de archivos de Log
Fabricacion
Checkear las unidades USB conectadas a slots USB y las conexiones
Eliminacion del fuente
Archivos de log de conexiones, actividades o eventos registrados
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 27 / 46
Trabajos previos Tecnicas de Mitigacion
Mitigation Techniques
4. Memoria No Volatil
Fabricacion
Comprobar las unidades USB fısicas conectadas en slots USB
Eliminacion de Fuente
Archivos de logs de conexiones, actividades, o eventos registrados
Transformaciones
Ataques de fuerza brutaUtilizacion de Keyloggers, camaras o ataques de cadena lateralAnalisis de datos estatico y dinamico
Ocultacion
Test de entropıa para detectar mensajes ocultosDatos ocultos in-band & out-of-band: ya manejados por las CFT
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 28 / 46
Outline
1 Motivacion
2 Estado del arte
3 Trabajos previos
Tecnicas Anti-Forenses
Tecnicas de Mitigacion
4 Trabajo Actual
5 Trabajo Futuro
6 Hitos
7 Plan de difusion de los resultados a alcanzar
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 29 / 46
Trabajo Actual
Caracterizacion de los servicios
Services Characterization
Analysis
Static
Dynamic Internet Connection
YES
NO
Platform
Mobile
Android
iOS
Windows Mobile
Desktop
Windows
MacOSX
LinuxUrl’s
Files
. . .
PDFs
swf
images
.doc
Price
Free
Payment
Basic + Premiun
Private
Report
Created Files
File Content
Bening or malware
Connections
How is the report shown to the user
Screen
Downloaded File
Figure: Caracterizacion de los serviciosA. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 30 / 46
Trabajo Actual
Caracterizacion de las maquinas: Parte Logica
Logical
Static
Software
Installed Programs
System Libraries
Directory
Users Lists
Specific Directories
Register keys
Account User
Type of User
Username
Permissions
Operating System
Release
Platform
Version
Product Id.
Installed system patches
Drivers
Dynamic
Connectivity
Open Ports
Remote hosts
Ip Address (public and private)
Processes
Services
User processes Active Windows Get Current Active Window title
TimeStamps
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 31 / 46
Trabajo Actual
Caracterizacion de las maquinas: Parte Fısica
Physical
MAC Address
Processor
Manufacturer
Speed
Cores
Model
RAM
Memory Quantity
Speed
Graphic Card
Chipset BIOS
Serial Number HDD
USB Identificators
Bridges Identificators
Audio Identificators
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 32 / 46
Trabajo Actual
Caracterizacion de Sistemas de Analisis en Sandbox deMalware publicos
Casos de uso
Desarrollo de aplicacion
Obtener caracterısticas vistas previamenteSer capaz de exfiltrar las caracterısticas
1 Mediante el envıo de los datos a traves de la red
2 Mediante la escritura en el nombre de ficheros
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 33 / 46
Outline
1 Motivacion
2 Estado del arte
3 Trabajos previos
Tecnicas Anti-Forenses
Tecnicas de Mitigacion
4 Trabajo Actual
5 Trabajo Futuro
6 Hitos
7 Plan de difusion de los resultados a alcanzar
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 34 / 46
Trabajo Futuro
Trabajo a corto plazo
Estudio de los resultados de las pruebas
Puntos en comun
Singularidades
Elementos diferenciantes
Elementos que indiquen si son entornos virtualizados
Artıculo con los resultados
Caracterizacion de servicios
Caracterizacion de maquinas
Casos de uso
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 35 / 46
Trabajo Futuro
Trabajo a largo plazo
Mejora de la aplicacion
Obtener mayor informacion
Automatizar la recopilacion de informacion
Gestion de errores, busqueda de vulnerabilidades especıficas
Exportar a plataformas moviles
Crear aplicacion movil que sea capaz a obtener informacion delentorno de analisis
Exfiltrar los datos obtenidos
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 36 / 46
Trabajo Futuro
Trabajo a largo plazo
Estudio de vulnerabilidades
¿Cuales son los puntos debiles de estas plataformas de analisis?
Estudio de posibles mejoras para los entornos de analisis
¿Como podemos reducir o tratar de eliminar esas debilidades?
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 37 / 46
Outline
1 Motivacion
2 Estado del arte
3 Trabajos previos
Tecnicas Anti-Forenses
Tecnicas de Mitigacion
4 Trabajo Actual
5 Trabajo Futuro
6 Hitos
7 Plan de difusion de los resultados a alcanzar
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 38 / 46
Hitos
Estimacion de fechas
1 Primera publicacion en conferencia en el primer trimestre 2016
2 Envıo artıculo JCR Diciembre 2016
3 Publicacion en conferencia en Marzo 2017
4 Envıo artıculo JCR Diciembre 2017
5 Publicacion en conferencia en Abril 2018
6 Escritura Tesis Febrero 2019
7 Presentacion Tesis Mayo 2019
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 39 / 46
Outline
1 Motivacion
2 Estado del arte
3 Trabajos previos
Tecnicas Anti-Forenses
Tecnicas de Mitigacion
4 Trabajo Actual
5 Trabajo Futuro
6 Hitos
7 Plan de difusion de los resultados a alcanzar
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 40 / 46
Plan de difusion de los resultados a alcanzar
Beneficios esperados
Busqueda de vulnerabilidades con el objetivo de conocer que fallos deseguridad deben ser arreglados, y con que prioridad
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 41 / 46
Plan de difusion de los resultados a alcanzar
Planes para la difusion de los resultados
Publicaciones en revistas cientıficas
Publicaciones en congresos y workshops
Estancias en otros centros de investigacion
Participacion en actividades de formacion
Publicacion en revistas profesionales, empresariales o sectoriales
Divulgacion al publico
Difusion en la Web
Tesis doctoral
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 42 / 46
Plan de difusion de los resultados a alcanzar
Turno de preguntas
¿Alguna pregunta?
Gracias por su atencion
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 43 / 46
Plan de difusion de los resultados a alcanzar
References I
Kaspersky, “Kaspersky security bulletin,” Kaspersky, Tech. Rep.,2015, https://kas.pr/KSB2015 pdf.
Symantec, “Istr20 internet security threat report,” Symantec, Tech.Rep., 2015,https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932 GA-
X. Chen, J. Andersen, Z. Mao, M. Bailey, and J. Nazario, “Towardsan understanding of anti-virtualization and anti-debugging behavior inmodern malware,” in Dependable Systems and Networks With FTCS
and DCC, 2008. DSN 2008. IEEE International Conference on, June2008, pp. 177–186.
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 44 / 46
Plan de difusion de los resultados a alcanzar
References II
K. Yoshioka, Y. Hosobuchi, T. Orii, and T. Matsumoto, “Yoursandbox is blinded: Impact of decoy injection to public malwareanalysis systems,” Journal of Information Processing, vol. 19, pp.153–168, 2011.
M. Lindorfer, C. Kolbitsch, and P. M. Comparetti, “Detectingenvironment-sensitive malware,” in Recent Advances in Intrusion
Detection. Springer, 2011, pp. 338–357.
R. Rodrıguez, I. Rodrıguez-Gaston, and J. Alonso, “Towards thedetection of isolation-aware malware,” IEEE Latin American
Transactions, 2015.
A. Botas Caracterizacion de Sistemas de Analisis en Sandbox de Malware publicos8 May’15 45 / 46
Caracterizacion de Sistemas de Analisis en Sandbox
de Malware publicos
Alvaro Botas
[email protected] ※ @AlvaroBotas ※
February 10, 2016