UNIVERSIDADE DE TRÁS–OS–MONTES E ALTO DOURO Captura, análise e identificação de malware: caso de estudo DISSERTAÇÃO DE MESTRADO EM TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO Ricardo Sérgio Freitas Ferreira António Manuel Trigueiros da Silva Cunha Vila Real, 2013 Universidade de Trás–os–Montes e Alto Douro Captura, análise e identificação de malware: caso de estudo Dissertação de Mestrado em Tecnologias de Informação e Comunicação Ricardo Sérgio Freitas Ferreira António Manuel Trigueiros da Silva Cunha Composição do Júri: _______________________________________________________ _______________________________________________________ _______________________________________________________ Vila Real, 2013 “Somewhere, something incredible is waiting to be known.” Carl Sagan Agradecimentos Pela disponibilidade e contributo que prestaram durante a realização deste trabalho, gostaria de expressar o meu agradecimento a algumas instituições e pessoas: À Universidade de Trás os Montes e Alto Douro, agradeço o acolhimento que me foi dispensado como aluno integrado nesta instituição. Este projeto não teria sido possível sem o apoio e colaboração do orientador Professor Doutor António Cunha, por isso, em primeiro lugar, agradeço-lhe toda a ajuda que disponibilizou para a realização das diversas fases desta dissertação. Aos amigos do mirque pelo lulz colectivo e a toda a minha família e amigos que sempre se disponibilizaram para me ajudar. i Capítulo 1 – Introdução Resumo Atualmente a proliferação de software malicioso (malware) é enorme, tornando o malware num dos maiores problemas da Internet. Os sistemas tradicionais de segurança em redes de computadores, compostos por firewall e IDS, têm perdido eficácia devido ao atraso entre o surgimento das ameaças e o seu registo. Este atraso deve-se ao elevado número de novas ameaças e das suas variantes e também às técnicas de evasão cada vez mais sofisticadas, que dificultam a sua deteção. Neste contexto, foi efetuado um estudo sobre ferramentas baseadas em virtualização todas elas open source, que permitem a captura, análise e identificação de software malicioso. Foi também proposto e implementada uma solução composta pelas ferramentas dionaea, YARA, ssdeep e Cuckoo. Esta implementação foi testada durante 4 meses, registando os ataques numa base de dados. Os dados obtidos foram objeto de análise e conclusões foram retiradas. Palavras-chave: Malware, Honeypots, Virtualization, Dynamic Analysis, Incident Response, SIEM. ii Capítulo 1 – Introdução Abstract Nowadays one of the big problems of the Internet is malware. Even more malware is incorporating advanced evasion techniques that make the analysis even harder. In that context a study is proposed that shows the design and implementation of a solution that is able to capture, analyze and observe malware. The solution studied was based on opensource software and therefore demonstrates that opensource is a good choice in network security even though there a small steep learning curve in the beginning the benefits from it far outweigh the initial configuration. It’s also advocated that the systems should be unified. In this dissertation technology pertaining to the capture and analysis of the malware is based on virtualization so that topic it’s also discussed techniques that identify virtualized environments and their counter attacks are also discussed. After the initial study we configured and build architecture that was shown to help organizations or individuals to improve their security from the information obtained from a proactive architecture, so that we can better and more efficiently respond to threats and incidents. The data provided by this architecture is easily integrable with other systems for instance monitoring solutions or IDS, improving the process of responding to incident and monitoring the infrastructure therefore improving the general security. Keywords: Malware, Honeypot, Virtualization, Dynamic Analysis, Incident Response, SIEM. iii Capítulo 1 – Introdução Índice Agradecimentos ............................................................................................................. i Resumo ......................................................................................................................... ii Abstract ....................................................................................................................... iii Índice ........................................................................................................................... iv Índice de Figuras .......................................................................................................... vi Índice de Tabelas ....................................................................................................... viii Siglas e Acrónimos ...................................................................................................... ix 1. Introdução ............................................................................................................. 1 1.1. Contexto .......................................................................................................... 1 1.2. Objetivos ......................................................................................................... 2 1.3. Estrutura .......................................................................................................... 2 2. Contextualização ................................................................................................... 4 2.1. Malware .......................................................................................................... 4 2.2. Botnets ............................................................................................................ 7 2.3. Estratégias de infeção ...................................................................................... 9 2.4. Deteção de malware ...................................................................................... 10 2.5. Soluções com honeypots ................................................................................ 20 2.6. Risco de deteção ............................................................................................ 22 2.7. Emulação e Virtualização .............................................................................. 24 2.8. Deteção de Virtualização ............................................................................... 25 2.9. Técnicas de deteção e dissimulação de ambientes virtualizados ..................... 28 2.10. Máquinas virtuais em HVM......................................................................... 30 3. Análise de malware ............................................................................................. 32 3.1. Análise estática ............................................................................................. 34 3.2. Análise dinâmica ........................................................................................... 35 3.3. Técnicas para análise dinâmica de malware ................................................... 37 3.4. Frameworks de análise dinâmica ................................................................... 38 4. Trabalho desenvolvido ........................................................................................ 44 4.1. Análise do problema ...................................................................................... 44 iv Capítulo 1 – Introdução 4.2. Proposta de arquitetura para deteção de malware ........................................... 48 4.3. Caso de estudo .............................................................................................. 54 5. Resultados do trabalho ........................................................................................ 55 5.1. Período analisado .......................................................................................... 55 5.2. Serviços atacados .......................................................................................... 56 5.3. Análise das amostras ..................................................................................... 64 5.4. Discussão de resultados ................................................................................. 69 6. Conclusões e trabalhos futuros ............................................................................ 71 Bibliografia ................................................................................................................. 74 Anexos........................................................................................................................ 82 Anexo 1 – Querys SQL ........................................................................................ 82 Anexo 2 – Análise de similaridade ....................................................................... 84 Anexo 3 – Análise de Cuckoo .............................................................................. 88 Anexo 4− Relatórios Cuckoo ................................................................................ 89 Anexo 5 – Regras de classificação de malware ..................................................... 92 Anexo 6 – Identificação de malware ..................................................................... 95 v Capítulo 1 – Introdução Índice de Figuras Figura 1 – Posicionamento de um NIDS distribuído na rede. ....................................... 13 Figura 2 – Classificação de honeypots adaptado de enisa[40]. ..................................... 16 Figura 3 – Arquitetura do sistema híbrido surdIDS[119] ............................................. 18 Figura 4 – Posicionamento tradicional de um honeypot. .............................................. 21 Figura 5 – Posicionamento interno de um honeypot ..................................................... 22 Figura 6 – Arquitectura genérica de máquinas virtuais. ............................................... 25 Figura 7 – Técnica de deteção baseada na instrução SIDT. .......................................... 28 Figura 8 – Técnica de deteção baseada na instrução STR. ........................................... 29 Figura 9 – Alterações para impedir a deteccao de VMware retirado de Liston[65]. ...... 30 Figura 10 − Método de funcionamento do rootkit Bluepill retirado de Rutkowska[100].31 Figura 11 − Modo de funcionamento do user mode e kernel mode no sistema windows, retirado de MSDN[76]. ............................................................................................... 33 Figura 12 − Funcionamento genérico da biblioteca detours adaptado de Galen [34]. ... 36 Figura 13 − Arquitectura CWSandbox adapdata de Provos[90]. .................................. 39 Figura 14 − Arquitetura Cuckoo adaptada de Rodriguez[95]. ...................................... 41 Figura 15 − Utilizacao JMP para hooking. .................................................................. 42 Figura 16 − Hooking efetuado pelo cHook utilizando a instrução MOV EAX,JMP EAX.42 Figura 17 − Rede tradicional. ...................................................................................... 45 Figura 18 − Arquitetura proposta. ............................................................................... 49 Figura 19 – Algoritmo de alto nível da arquitetura. ..................................................... 49 Figura 20 − Estrutura da BD dionaea. ......................................................................... 50 Figura 21 − Arquitetura desenvolvida. ........................................................................ 54 Figura 22 – Total de ligações e downloads de amostras capturados durante o período estudado. ..................................................................................................................... 55 Figura 23 – Visão global da atividade dos ataques. ...................................................... 56 vi Capítulo 1 – Introdução Figura 24 – Número de ligações por porto. .................................................................. 57 Figura 25 − Número de ataques no serviço MSSQL. ................................................... 58 Figura 26 - Número de hosts que estabeleceu ligações ao serviço MSSQL. ................. 59 Figura 27 – Listagem dos drivers mais utilizados nos ataques ao serviço MSSQL. ...... 60 Figura 28 - Número de ataques ao serviço SMB .......................................................... 62 Figura 29 - Downloads e número de hosts no serviço SMB. ........................................ 63 Figura 30 – Análise dinâmica Cuckoo para a amostra 1. .............................................. 66 Figura 31 – gráfico comparativo sobre a distribuição de packers nas amostras. ........... 68 vii