Análisis de malware e inteligencia sobre amenazas

a. Huellas criptográficas

Las huellas criptográficas son cálculos condensados que identifican de forma única un archivo, sea cual sea su naturaleza. El nombre de un archivo puede modificarse, pero siempre seguirá siendo el mismo archivo si su contenido no ha cambiado.

Los tres algoritmos de cálculo de compendios más comunes hoy en día son md5, sha1 y sha256. Se recomienda utilizar el sha256.

Ejemplo de cálculo de la huella criptográfica sha256 del archivo military.exe (familia de ransomware):

De la imagen anterior, vemos que su sha256 es: 1deb1efad2c469198aabbb618285e2229052273cf654ee5925c2540ded224402.

Para calcular los compendios sha1 y md5, los comandos de Linux son sha1sum y md5sum. Si cambiamos el nombre del archivo, las huellas seguirán siendo las mismas:

Las huellas digitales son obviamente muy inestables. Si se cambia un byte, la huella también cambia.

Como ejemplo, vamos a cambiar un byte en la cabecera DOS del archivo military2.exe. Esta es la cabecera original:

Sustituimos la h minúscula de la palabra «This» por una H mayúscula utilizando el siguiente script de Python:

content = open('military2.exe','rb').read()  
fw = open('military2.exe','wb')  
fw.write(content)  
fw.seek(0x4f) // 0x4f es el desplazamiento de h en This.  
fw.write(b'H')  
fw.close() 

He aquí la cabecera modificada:

El nuevo cálculo del compendio sha256 es: 03b20024594e4e283d1e66df9cb0d1b81ec06c6e111014a379a8d33b321ca06d.

Es distinto al anterior.

Es interesante observar que, si el malware se recompila, su compendio cambiará. Esto se debe a que la fecha de compilación se almacena en la cabecera del archivo. Sin embargo, el atacante puede modificar este campo.

b. Huellas digitales por similitud: ssdeep y TLSH

Podemos ver claramente las limitaciones de la detección criptográfica, ya que basta con cambiar un byte para que la huella digital se modifique por completo. El programa ssdeep supera en cierta medida estas limitaciones. Este programa procede del mundo forense. Su objetivo principal era encontrar archivos en soportes alterados utilizando una base de datos de huellas dactilares conocidas. Fue presentado en el DRFWS (Digital Forensics Research) en 2006: https://dfrws.org/presentation/identifying-almost-identical-files-using-context-triggered-piecewise-hashing/. La herramienta ssdeep implementa un algoritmo que se describió ese mismo año en esta revista científica: https://www.sciencedirect.com/science/article/pii/S1742287606000764?via%3Dihub. Está disponible para Linux, Windows y macOS en: https://ssdeep-project.github.io/ssdeep/index.html

sebdraven@lab:~$ ssdeep -h  
ssdeep version 2.14.1 by Jesse Kornblum and the ssdeep Project  
For copyright information, see man page or README.TXT.  
  
Usage: ssdeep [-m file] [-k file] [-dpgvrsblcxa] [-t val] [-h|-V] [FILES] 
-m - Match FILES against known hashes in file  
-k - Match signatures in FILES against signatures in file  
-d - Directory mode, compare all files in a directory  
-p - Pretty matching mode. Similar to -d but includes all matches  
-g - Cluster matches together  
-v - Verbose mode. Displays filename as its being processed  
-r - Recursive mode  
-s - Silent mode; all errors are suppressed  
-b - Uses only the bare name of files; all path information omitted  
-l - Uses relative paths for filenames  
-c - Prints output...

a. Presentación

El MITRE es una organización estadounidense sin ánimo de lucro que proporciona documentación sobre las técnicas utilizadas por el malware, las herramientas y los grupos de atacantes, en varias matrices.

Cualquiera que desee contribuir puede actualizar esta documentación. Está disponible en línea en: https://attack.mitre.org

Hay tres matrices disponibles, que representan diferentes entornos en los que se producirán los ataques informáticos:

Presentaremos la matriz ATT&CK Enterprise, ya que es la más utilizada y también está integrada en herramientas como MISP (véase la sección MISP).

La matriz describe un ataque desde varios puntos de vista llamados tácticas:

Para cada táctica se describen técnicas y subtécnicas. Cada técnica tiene un ID, y cada subtécnica un subID. He aquí un ejemplo de la técnica pass-the-hash (pasar el resumen criptográfico):

La identificación es T1550.002. Corresponde a la subtécnica 002 de la ID T1550. La matriz muestra a qué corresponde la T1550 (Use Alternate Authentication Material; Utilizar material de autenticación alternativo):

El sitio permite ver los vínculos entre las técnicas (o subtécnicas) y las herramientas (que pueden ser o no programas maliciosos). También muestra los vínculos entre los Intrusion Sets (conjuntos de intrusión) y los Threat Actors (actores de amenazas) (ver la sección Actores de amenazas y conjuntos de intrusión). 

Aquí tiene una captura de pantalla del conjunto de técnicas y subtécnicas en las que se utiliza la herramienta mimikatz:

El MITRE proporciona una herramienta llamada navigator para marcar las técnicas utilizadas por una herramienta o un grupo de atacantes. He aquí un ejemplo en el que se utiliza la herramienta mimikatz:

b. Ejemplos de uso de la matriz ATT&CK

La herramienta capa, presentada en el capítulo Malwares contra sistemas Microsoft Windows en la sección...

a. Introducción

Suricata es una sonda de detección de intrusos de código abierto desarrollada por la OSIF (el organismo de supervisión de las instituciones financieras). Su motor de detección está basado en reglas. Puede descargarse en: https://suricata.io/

He aquí un ejemplo de regla que detecta el tráfico DNS que resuelve el dominio olinaodi.com:

alert dns $HOME_NET any -> any any (msg:"ET MALWARE SunOrcal Reaver 
Domain Observed (olinaodi .com) in DNS Lookup";   
dns.query;   
content:"olinaodi.com";   
fast_pattern;   
nocase; endswith;   
classtype:trojan-activity;  
sid:2024989; rev:4;   
metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, 
attack_target Client_Endpoint, created_at 2017_11_14, deployment  
Perimeter, former_category MALWARE, malware_family SunOrcal,  
malware_family Reaver, performance_impact Low, signature_severity  
Major, updated_at 2022_07_22;) 

El formato de una regla es el siguiente:

acción protocolo ip_fuente puerto_fuente ip_destino  
puerto_destino *( palabra_clave: valor; *) 

En el marco de nuestro ejemplo, la acción consiste en generar una alerta que se escribirá en el archivo /var/log/suricata/eve.json. La vigilancia se realiza sobre el protocolo DNS desde la red interna hacia la externa, independientemente del puerto de destino o de la dirección IP.

El mensaje de alerta es: «ET MALWARE SunOrcal Reaver Domain Observed (olinaodi .com) in DNS Lookup». La supervisión se realiza en las consultas DNS utilizando la palabra clave dns.query y buscamos la cadena de caracteres olinaodi.com. La palabra clave nocase se utiliza para no tener en cuenta las mayúsculas ni minúsculas. La palabra clave classtype se utiliza para definir el tipo de alerta. La palabra clave sid es el ID de la firma. El campo metadatos del archivo de reglas se utiliza para dar contexto a la alerta, además del mensaje.

Se puede instalar localmente un servidor de sintaxis con una extensión VSCode. Dicho servidor se puede encontrar en: https://github.com/StamusNetworks/suricata-language-server. La extensión VSCode puede encontrarse en: https://github.com/StamusNetworks/suricata-language-server

b. Ejemplo de detección

Vamos a simular la conexión con el C&C utilizando la herramienta dig.

Obtenemos una alerta en el archivo eve.json.

{  
        "timestamp": "2022-07-26T11:45:18.132448+0200",  
        "flow_id": 51431020037472,  
        "in_iface": "eth0",  
        "event_type": "alert",  
        "src_ip": "172.29.39.245",  
        "src_port": 47847,  
        "dest_ip": "172.29.32.1",  
        "dest_port": 53,  
        "proto": "UDP",  
        "tx_id": 0,  
        "alert": {  
            "action": "allowed",  
            "gid": 1,  ...

a. Definición

Estas plataformas exploran todas las direcciones IPv4 en diferentes puertos y recolectan varios tipos de datos.

Cada escáner dispone de su propio sistema de consultas. Estos datos nos permitirán rastrear infraestructuras específicas y, al mismo tiempo, grupos de atacantes. Si un atacante utiliza una determinada configuración de servidor web y ha sido explorado por estos servicios, será posible encontrar otras máquinas con la misma configuración.

Presentaremos tres servicios:

b. Shodan.io

Se puede acceder al portal Shodan a través de la URL: https://www.shodan.io/

Las consultas se realizan en el campo de búsqueda. Para buscar una dirección IP, basta con introducirla en el campo de búsqueda y obtendrá el resultado.

Tomemos el ejemplo de la dirección IP 203.124.43.229, que ha sido descrito como perteneciente a un C&C de Dropper Elephant en este artículo: https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/

Hay una serie de datos interesantes:

Es interesante ver los cambios de configuración, las claves SSH que cambian en el lado del servidor o los certificados. A menudo, estos cambios se deben a un nuevo propietario del servidor.

Los puntos de pivotaje interesantes (elementos técnicos que nos permitirán crear vínculos con otros elementos técnicos) son los hashes proporcionados por Shodan:

Si hacemos clic en el pivote, obtendremos solo 49 resultados:

La captura de pantalla muestra la misma configuración FTP con diferentes certificados en 49 máquinas alojadas en diferentes proveedores. Así, podemos agrupar estos servidores gracias a sus configuraciones.

La API está disponible en: https://developer.shodan.io/api y los clientes en diferentes idiomas en: https://developer.shodan.io/api/clients

c. Onyphe.io

Puede acceder al servicio oniphe.io en la siguiente URL: https://onyphe.io

Al igual que con el servicio anterior, podemos realizar una búsqueda directamente de una dirección IP.

Los resultados se clasifican según las categorías.

Una categoría especialmente interesante es threatlist. Una dirección IP aparece aquí si ha sido clasificada por un servicio de terceros al que Onyphe hace referencia.

He aquí el resultado con nuestra dirección IP de ejemplo:

Hay tres pivotes posibles:

Haciendo clic en el pivote HTTP header md5, obtenemos cinco servidores que se configurarían de la misma manera:

Este pivote es útil cuando buscamos C&C similares. El conjunto...

a. Presentación

MISP es una plataforma web multiusuario desarrollada en PHP, basada en MariaDB con numerosos módulos desarrollados en Python. Su mantenimiento corre a cargo de CIRCL (Computer Incident Response Center Luxembourg, en este caso CERT Luxemburgo) disponible en: https://github.com/MISP/MISP. Las instrucciones de instalación están disponi bles en GitHub: https://github.com/MISP/MISP/tree/2.4/INSTALL. Los módulos Python también están disponibles en el GitHub del proyecto: https://github.com/MISP/misp-modules. Hay máquinas virtuales disponibles para entrenarse o hacer pruebas en: https://vm.misp-project.org

Las instancias del MISP pueden vincularse entre sí para intercambiar información.

b. Características

Los indicadores se agrupan por eventos. Un analista creará un evento y le asociará indicadores. Los eventos que tiene derecho a ver el usuario se encuentran en la página de inicio:

Haga clic sobre la ID de un acontecimiento para acceder a su información.

Los indicadores están en el evento.

Si un indicador se encuentra en varios eventos, puede ver una lista de los eventos a los que pertenece.

Esto le permite dibujar un gráfico de correlación:

Para crear un evento...