Caracterizaci´on de Sistemas de An´alisis en Sandbox de Malware p´ublicos ´ Alvaro Botas [email protected] ※ @AlvaroBotas※ February 10, 2016 Outline 1 Motivaci´on 2 Estado del arte 3 Trabajos previos T´ecnicas Anti-Forenses T´ecnicas deMitigaci´on 4 Trabajo Actual 5 Trabajo Futuro 6 Hitos 7 Plan dedifusi´on delos resultados a alcanzar A.Botas Caracterizacio´ndeSistemasdeAn´alisisenSandboxdeMalwarepu´blic8osMay’15 2/46 Motivaci´on Motivacio´n ¿Qu´e es el Malware? Malicious Software Objetivos del malware Informacio´n gubernamental Datos bancarios Espionaje Pedir rescates a cambio de ingresos Ataques Mueve m´as dinero que el narcotr´afico A.Botas Caracterizacio´ndeSistemasdeAn´alisisenSandboxdeMalwarepu´blic8osMay’15 3/46 Motivaci´on Motivacio´n Aumento de Malware Gran crecimiento en los u´ltimos an˜os [1] [2] Algunos nu´meros en 2014: 9839 variantes de malware Android 28 billones de muestras spam por d´ıa 317 millones de nuevas variantes de malware (a˜nadidas durante el a˜no) Los ataques ransomware crecieron un 113% durante el 2014 Hasta un 28% de todo el malware fue ”consciente de ser ejecutado en m´aquinas virtuales” A.Botas Caracterizacio´ndeSistemasdeAn´alisisenSandboxdeMalwarepu´blic8osMay’15 4/46 Motivaci´on Motivacio´n An´alisis de malware Tipos Est´atico Din´amico Problemas an´alisis manual: Largo Tedioso Errores humanos Nu´mero de muestras demasiado elevado Otros problemas (Dificultan averiguar el comportamiento): Muestras muertas (C&C ca´ıdos) Hosts eliminados Dominios no alcanzables A.Botas Caracterizacio´ndeSistemasdeAn´alisisenSandboxdeMalwarepu´blic8osMay’15 5/46 Motivaci´on Motivacio´n II ¿Qu´e hacer? Automatizar an´alisis Nu´mero de muestras limitadas Aumento de capacidad de an´alisis haciendo p´ublico el sistema de an´alisis al alcance de cualquiera Public MSAS Plataformas pu´blicas para el env´ıo de muestras Realizan an´alisis e indican si son aplicaciones benignas o maliciosas Diferentes niveles de informaci´on en los reportes Se centran en el an´alisis de diferentes plataformas, tipos de aplicaciones/archivos, sitios web, etc. A.Botas Caracterizacio´ndeSistemasdeAn´alisisenSandboxdeMalwarepu´blic8osMay’15 6/46 Motivaci´on Motivacio´n III Los criminales tambi´en aprenden... Las muestras malware utilizan t´ecnicas con las que modifican el comportamiento si detectan que est´an en entornos de an´alisis T´ecnicas anti-forenses T´ecnicas anti-virtualizaci´on Anti-Forense Existen varias t´ecnicas y herramientas para hacerlo A.Botas Caracterizacio´ndeSistemasdeAn´alisisenSandboxdeMalwarepu´blic8osMay’15 7/46 Outline 1 Motivaci´on 2 Estado del arte 3 Trabajos previos T´ecnicas Anti-Forenses T´ecnicas deMitigaci´on 4 Trabajo Actual 5 Trabajo Futuro 6 Hitos 7 Plan dedifusi´on delos resultados a alcanzar A.Botas Caracterizacio´ndeSistemasdeAn´alisisenSandboxdeMalwarepu´blic8osMay’15 8/46 Estadodelarte Sistemas Existentes Tipos Pu´blicos, privados, de pago An´alisis esta´tico y din´amico Conexi´on a Internet o aislados An´alisis de binarios, ficheros, Url’s, ... Ejemplos Anubis Malwr Akana Mastiff A.Botas Caracterizacio´ndeSistemasdeAn´alisisenSandboxdeMalwarepu´blic8osMay’15 9/46 Estadodelarte Trabajos Relacionados A view on Current Malware Behaviors [3] Realiza un estudio de las muestras enviadas a la plataforma Anubis An´alisis de la plataforma de an´alisis Informes con informacio´n de la actividad del binario bajo an´alisis Monitorizacio´n de las llamadas a la API de Windows y servicios del sistema Registra el tr´afico de red Almacena los flujos de datos Evalu´a los resultados de casi un mill´on de muestras de malware Estudia las tendencias y evoluci´on del comportamiento durante 2 an˜os A.Botas Caracterizacio´ndeSistemasdeAn´alisisenSandboxdeMalwarepu´blic8osMay’15 10/46