Professional Documents
Culture Documents
Ap ro xi m a c i n a l m a l w a re
MAAGTICSI
Frameworks
para monitoreo
TICs y
ciberterrorismo
Quin te conoce?
CPL Malware
Contenido
04
12
18
Frameworks para
trfico de red - I
26
30
Quin te conoce?
34
Universidad Nacional Autnoma de Mxico. Direccin General de Cmputo y Tecnologas de Informacin y Comunicacin. Coordinacin de
Seguridad de la Informacin/UNAM-CERT. Revista .Seguridad Cultura de prevencin para TI M.R. , revista especializada en temas de seguridad
del UNAM-CERT. Se autoriza la reproduccin total o parcial de este contenido con fines de difusin y divulgacin de los conocimientos aqu
expuestos, siempre y cuando se cite completa la fuente y direccin electrnica y se le de crdito correspondiente al autor.
Editorial
Aproximacin al malware
De la deteccin al aprendizaje
Hace tiempo publicamos sobre una amenaza que
se propagaba a travs de videos en las redes
sociales, en uno de los comentarios se lea: stos
no son atacantes, eres t mismo quien se infecta por
no tomar precauciones, dicho comentario trataba
de explicar a la comunidad que una infeccin por
software malicioso no siempre es responsabilidad
de terceros sino que puede ser producto de un error
en las acciones de los usuarios. Si bien haba cierta
razn en esas ideas, nos hizo reflexionar en lo
siguiente: Detrs de cada muestra maliciosa, hay
un atacante al acecho.
UNAMCERT
04
UNAMCERT
Imagen 6.ConectividadcorrectadesdeDebianaWindows
05
UNAMCERT
Con Honeyd se proporcionarn los host que solicita el malware bajo demanda, y con Dionaea se
proporcionar el servicio SMB, por lo que ambas herramientas deben trabajar de manera conjunta.
06
Las primeras cuatro lneas definen el comportamiento al cual responder Honeyd. Fue
configurado para no redireccionar trfico UDP y TCP, pero s el trfico ICMP, debido a que se
deben realizar pruebas de conectividad mediante el uso del comando ping desde el equipo
Windows.
El puerto definido en la ltima lnea del archivo no estar bloqueado, de esta manera Honeyd
escuchar en todas las direcciones IP posibles por la interfaz eth0 (en nuestro caso) y reenviar
las conexiones del puerto 445 a listeners o servidores locales, en nuestro caso es el servicio
SMB proporcionado por Dionaea.
Ahora verificaremos la conectividad desde el equipo Windows hacia la mquina Debian donde
Honeyd responder a las peticiones ICMP.
Iniciar Honeyd
UNAMCERT
07
UNAMCERT
08
UNAMCERT
09
Detener el comando watch con las teclas CTRL+C; detener Dionaea, Honeyd y el proceso malicioso
desde Process Explorer.
Cuando Dionaea obtiene una "copia" del malware, lo nombra con el valor de su firma md5, mientras
la consigue genera archivos temporales.
Verificar el tipo de archivo con el comando file.
El resultado muestra que es tipo data y no un ejecutable de Windows, por lo que debemos revisar
el archivo capturado. Usar la herramienta Hexdump con la opcin -C para que muestre el archivo
en formato hexadecimal y en ASCII.
UNAMCERT
Se observa que tiene un byte de ms al inicio, por lo cual se usar el comando dd para quitarlo,
aunque tambin se puede abrir con un editor hexadecimal como Ghex y realizar el cambio.
Posteriormente se revisa el tipo de archivo con el comando file, se observa que es un ejecutable
para Windows. Por ltimo obtenemos su firma sha1 para compararla con la que inicialmente se
ejecut en el equipo Windows.
10
Cabe mencionar que no todos los archivos capturados por Dionaea tienen un byte de ms, pero
se debe considerar en caso de que se enven las muestras a sistemas automatizados de anlisis
de malware o se realice de forma manual. En UNAM-CERT se han detectado los siguientes inicios
de archivos capturados por Dionaea:
Posteriormente, obtener la firma sha1 de la muestra gusano445.exe en Windows para verificar que
se trata del mismo archivo.
Tener en cuenta que Dionaea podra tener vulnerabilidades, por lo que, para minimizar el impacto,
debera ejecutarse con permisos de usuario que
no sean de administracin.
Ahora, el lector ya cuenta con las herramientas
necesarias para montar un laboratorio de captura
de malware y comenzar con el trabajo de anlisis.
Este primer acercamiento al uso de las tecnolo-
UNAMCERT
11
UNAMCERT
Gestin de Seguridad de la
Informacin
Un SGSI comprende la poltica, la estructura
organizativa, los procedimientos, los procesos y
los recursos necesarios para implantar la gestin
de seguridad de la informacin en una organizacin (Gmez Vieites & Surez Rey, 201 2), que
permita tratar los riesgos a los que est expuesta
la informacin.
Un Sistema de Gestin de Seguridad de la
Informacin toma como fundamento el garantizar
que la seguridad de la informacin sea gestionada correctamente, identificando inicialmente su
ciclo de vida y los aspectos relevantes para
asegurar su confidencialidad, integridad y
disponibilidad (CID) (ISO/IEC 27001 :2005),
teniendo en cuenta que los riesgos no se pueden
eliminar totalmente, pero s se pueden gestionar.
En este proceso es necesario contemplar un
modelo que tome en cuenta los componentes
tecnolgicos, organizativos, de marco legal y
factor humano, tal y como se presenta en la
Figura 1 (Gmez Vieites & Surez Rey, 201 2).
MAAGTICSI
El Manual Administrativo de Aplicacin General
en las materias de Tecnologas de la Informacin
y Comunicaciones y de Seguridad de la
Informacin (MAAGTICSI) fue publicado en el
ao 201 1 y es una actualizacin del MAAGTIC.
Ms tarde, en mayo de 201 4 fue publicado en el
Diario Oficial de la Federacin por la Secretara
de la Funcin Pblica una actualizacin del
MAAGTICSI, en el Acuerdo que tiene por objeto
emitir las polticas y disposiciones para la
Estrategia Digital Nacional en Mxico, definiendo
los procesos con los que, en las materias de TIC
yde seguridad de la informacin, las instituciones
pblicas en Mxico debern regular su operacin, independientemente de su estructura
organizacional y las metodologas de operacin
con las que cuenten.
UNAMCERT
13
UNAMCERT
14
UNAMCERT
15
Dos puntos clave que podemos recomendar durante este proceso son:
UNAMCERT
Recomendaciones
Construir una tabla de dependencias de activos y
Generar una matriz de riesgos en donde se posicione a cada activo.
16
UNAMCERT
17
Frameworks para
monitoreo, forense
y auditora de trfico de red - I
Javier Ulises Santilln Arenas
Frameworks de
monitoreo
UNAMCERT
18
UNAMCERT
19
UNAMCERT
20
UNAMCERT
21
de IDS, flujos, etctera que comnmente seran Las principales caractersticas de PNAF son:
tomados de bitcoras de sistemas u otros
Diseo modular con tres principales fases:
dispositivos, con la ventaja de que todo el proceso
se desarrolla de manera pasiva y nicamente a (1 ) captura/lectura de trfico, (2) procesamiento
y (3) visualizacin (Figura 5).Provee un resumen
partir de trfico de red.
del nivel de seguridad de lared basado en anlisis
de activos identifica- dos en el trfico de red.
PNA tambin se conoce como Identificacin
Identificacin de actividades anmalas.
Pasiva de Red (Passive Network Discovery) y
Auditora de polticas de seguridad.
algunas fuentes[1 2] la describen como una
Anlisis de impacto de vulnerabilidades
tecnologa para responder a las preguntas
Quin y qu hay en la red de la organizacin? basado en CVE (Common Vulnerabilities and
Exposures) de NVD (National Vulnerability
y Qu se est haciendo en la red de la
Database)[1 3].
organizacin?, mediante identificacin de
Recopilacin de evidencia.
utilizacin de la red, anlisis forense de eventos,
identificacin de vulnerabilidades y perfiles de
activos (equipos, servidores, entre otros).
Una desventaja de PNA es que el anlisis puede
ser limitado y no muy preciso debido a que el
trfico de red puede no contenerdatos suficientes
para identificar y generar informacin confiable
sobre la seguridad y el estado de la red.
UNAMCERT
22
Herramienta
Propsito
Datos generados
Observaciones
Enumeracin de red y
servicios.
Identificacin de
aplicaciones.
Prads
Enumeracin de red y
servicios.
Deteccin mediante
mltiples mtodos: firmas
y comportamiento.
Identificacin mediante
anlisis de protocolos y no
mediante nmero de
puerto.
Deteccin mediante
mltiples mtodos.
Snort IDS
Motor IDS.
Bro IDS
Cxtracker
Anlisis de flujos.
Argus
Anlisis de flujos.
Silk
Anlisis de flujos.
Tcpflow
Reensamblado de
sesiones TCP y
decodificacin HTTP.
Identificacin de
protocolos.
Tcpdstat
Estadsticas de trfico de
red.
Estadsticas de flujos de
trfico de red, protocolos y
decodificacin de
paquetes.
Estadsticas de trfico de
red.
Datos HTTP.
Anlisis de payloads.
Tcpxtract
Extraccin de archivos
transferidos.
Lista de archivos
transferidos.
TcpExtract
Extraccin de archivos
transferidos.
Lista de archivos
transferidos.
PassiveDNS
Anlisis de payloads.
Identificacin de malware
basado en DNS (como
Fastflux).
til para identificacin de
malware y violacin de
polticas.
Basado en Python.
UNAMCERT
Decodificacin de capa de
aplicacin.
Anlisis pasivo de DNS.
Chaosreader
23
Httpry
Decodificacin de
protocolo HTTP.
Datos de HTTP y
payloads.
Xplico
Extraccin de datos de
capa de aplicacin.
Extraccin de archivos
transferidos.
Extraccin de informacin
de protocolos SSLv3/SSL.
Informacin de
certificados.
Nftracker
Ssldump
UNAMCERT
PNAF puede ser utilizado sobre entornos GNU/Linux y su utilizacin es mediante la lnea de
comandos (CLI, Command Line Interface). El framework se alimenta de trfico de red, el cual es
analizado usando las herramientas mencionadas en la tabla anterior de modo que el administrador puede visualizar un resumen de una auditora bsica de trfico de red.
24
Referencias
Passive Network Audit Framework, Master thesis.
Santillan, Javier. Eindhoven University of Technology. The
Netherlands, 2014.
The Tao of network security monitoring: beyond intrusion
detection. Richard Bejtlich. Pearson Education, 2004.
The Practice of Network Security Monitoring:
Understanding Incident Detection and Response. Richard
Bejtlich No Starch Press, 2013.
Demystifying the myth of passive network discovery and
monitoring systems. Ofir Arkin. InsightiX McAfee, 2012.
[1] http://bammv.github.io/sguil/index.html
[2] http://www.snort.org
[3] http://qosient.com/argus/
[4] Richard Bejtlich. The Tao of network security monitoring:
beyond intrusion detection. Pearson Education, 2004.
[5] Richard Bejtlich. The Practice of Network Security
Monitoring: Understanding Incident Detection and
Response. No Starch Press, 2013.
[6] Post by Richard Bejtlichs on TaoSecurity blog.
http://taosecurity.blogspot.nl/2007/03/ nsm-and-intrusiondetection-differences.html
[7] http://www.cybervally.com/2012/10/siem-technology/
[8] https://www.alienvault.com/open-threatexchange/projects
[9] http://www.alienvault.com/open-threatexchange
[10] http://www.tenable.com/solutions/log-managementsiem
[11] http://www.splunk.com/
[13] https://nvd.nist.gov/
UNAMCERT
25
UNAMCERT
UNAMCERT
27
colisin de aeronaves[4].
Debe recordarse que, despus de los ataques
terroristas contra Estados Unidos el 1 1 de
septiembre de 2001 , los lderes estadounidenses reformularon la estrategia de seguridad
nacional de aquel pas para poner mayor nfasis
en las amenazas en las que los Estados y los
terroristas podran adquirir armas de destruccin masiva o que simplemente sean
considerados una amenaza a su seguridad
nacional. Pasaron a una poltica ms activa en
el tema, llegando al grado de formular los
llamados ataques preventivos[5]. Entonces, es
el pragmatismo de los Estados Unidos lo que
obliga a ser en extremo precisos a la hora de
considerar si dicho ataque es un ataque armado,
y por ende, causal de legtima defensa.
Es normal que el ataque ciberntico tenga
efectos indirectos y que estos puedan ser
reparados relativamente en poco tiempo, sin
embargo, como ya se ha dicho, el ciberataque
puede recaer en infraestructura fsica, causando daos materiales. De tal modo, a este tipo de
operaciones tambin aplica el derecho
internacional humanitario, cuya finalidad es
limitar los sufrimientos causados por los conflictos armados, destacando que esta herramienta
tambin est regulada, tal como otros recursos
de guerra.
Referencias
[1] N. Schmitt, Michael. International Law in Cyberspace:
The Koh Speech and Tallinn Manual Juxtaposed. Harvard
International Law Journal, volume 54 (December 2012).
p.10.
[2] Feffrey, Carr (2012), Inside Cyber Warfare, United
States of America, Oreilly Media, Inc, second edition. p.59.
UNAMCERT
28
UNAMCERT
29
Quin te conoce?
David Trevio
UNAMCERT
UNAMCERT
31
UNAMCERT
32
Referencias
http://www.oecd.org/sti/ieconomy/oecd_privacy_fram
ework.pdf
David & Goliath. Bruce Schneier.
David Trevio
https://www.schneier.com/book-dg.html
33
UNAMCERT
34
Alcance en Brasil
Uno de los puntos ms importantes acerca de
los archivos CPL se relaciona con el impacto y
crecimiento que han tenido en los ltimos aos.
Para notar estos cambios podemos observar el
Grfico 1 , en el cual se puede apreciar la
relevancia que el malware en formato CPL ha
tenido en la regin:
Detecciones, amenazas y
funciones
UNAMCERT
35
Imagen 1. Detecciones
Cuando cuantificamos el peso de las infecciones para el pas en el mes de marzo de 201 5 es el
de cada pas en el listado de los diez pases ms siguiente:
afectados porestafamiliade TrojanDownloaders,
nos encontramos que el 76% de las detecciones
de esta familia en 201 4 correspondi a Brasil.
Esto es un ejemplo ms que claro de que esta
familia est dirigida a usuarios de ese pas, ya
que el siguiente puesto, ocupado por Espaa,
tiene casi once veces menos detecciones y la
brecha se extiende an ms con pases como
Argentina, Colombia e incluso Portugal.
URL y dominios
Prcticamente, una de cada diez amenazas que A lo largo de las mltiples campaas de estos
se detectan en Brasil corresponden a esta familia troyanos bancarios se han identificado un total
de troyanos bancarios. El ranking de amenazas de41 9URLcorrespondientesacasi 300dominios
UNAMCERT
36
En total, hubo alrededor de 1 0 mil clics relacionados con esta amenaza y, segn las mismas
estadsticas que otorga el sitio, el 88% de ellos
provinieron de Brasil. Esto vuelve a remarcar
que los cibercriminales en Brasil estn
atacando principalmente a gente de este pas
y su efectividad es bastante alta. En la prxima
tabla podemos observar otros nmeros para
diferentes enlaces acortados que se utilizaron:
Packers y protectores
Grfico6.PackeryprotectoresenarchivosCPL
maliciosos
Adems, vimos una gran cantidad de amenazas con protectores personalizados o poco
comunes, incluyendo el cifrado de las URL
mencionadas en secciones anteriores.
Habitualmente los atacantes suelen utilizar
UNAMCERT
37
Detecciones y familias de
malware
Referencias
[1] ESET Virus Radar, Win32/Spy.Banker,
http://virusradar.com/en/Win32_Spy.Banker/detail
[2] 2009-02-20, Sebastin Bortnik, Infeccin por archivos
ejecutables?, http://www.welivesecurity.com/laes/2009/02/20/infeccion-archivos-no-ejecutables/
Matas Porolli
UNAMCERT
38
UNAMCERT