Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII...
Transcript of Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII...
![Page 1: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/1.jpg)
La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
www.ccn-cert.cni.es © 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
Taller Plataforma Avanzada Malware
(MISP-MARTA-MARIA)
![Page 2: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/2.jpg)
VIII JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
2
Innotec System
Fernando Muñoz
Innotec System
Myriam Sánchez
![Page 3: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/3.jpg)
VIII JORNADAS STIC CCN-CERT
3
2. Plataforma avanzada de Malware
Índice
3. MARTA
4. MISP
5. MARIA
1. Situación actual ciberamenazas
www.ccn-cert.cni.es
![Page 4: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/4.jpg)
VIII JORNADAS STIC CCN-CERT
4
Situación actual
ciberamenazas
1
www.ccn-cert.cni.es
![Page 5: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/5.jpg)
VIII JORNADAS STIC CCN-CERT
Situación actual
• El panorama actual de la Seguridad, así como la tipología de amenazas
a las que se tienen que enfrentar las organizaciones, ha sufrido
grandes e importantes cambios durante estos últimos años.
• Si antiguamente la creación de código malicioso se debía
principalmente a la búsqueda de notoriedad, la realidad actual ha
cambiado radicalmente.
• Hoy día se crea malware con fines criminales y lucrativos que van
desde el fraude económico al robo de información, pasando por el
ciberespionaje gubernamental e industrial.
![Page 6: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/6.jpg)
VIII JORNADAS STIC CCN-CERT
Situación actual
Nos enfrentamos a nuevas características del malware que dificultan en
gran medida su detección y su desinfección.
Erradicar una amenaza persistente en una organización puede suponer
un gran esfuerzo y un alto coste.
Alguna de las características avanzas que tiene el malware son:
• Polimorfismo
• Múltiples 0-day para explotar
• Código cifrado/ofuscado
• Técnicas anti-máquina virtual
• Técnicas anti-debuging
• Comunicaciones con C&C a través de sitios
legítimos
![Page 7: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/7.jpg)
VIII JORNADAS STIC CCN-CERT
Ejemplo – Nueva ciberarma Regin
Regin concebida como una ciberarma, se publicó a finales de nov. 2014:
• Activa al menos 6 años
• Vigilancia y robo información a gobiernos, operadores de infraestructuras, empresas, etc, a nivel internacional.
• Desarrollo a través de fases de ejecución
• Configurable y adaptable al objetivo.
• Oculto y cifrado
Mas información: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf
![Page 8: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/8.jpg)
VIII JORNADAS STIC CCN-CERT
8
Plataforma Avanzada de
Malware
1
www.ccn-cert.cni.es
![Page 9: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/9.jpg)
VIII JORNADAS STIC CCN-CERT
Descripción
Es necesaria la combinación de varias herramientas para cubrir las
necesidades existentes para analizar las distintas muestras de malware
que “entran” en la organización.
Esta plataforma está compuesta por:
• Herramienta de análisis dinámico de malware
(MARTA)
•Herramienta de detección de multi-antivirus
(MARIA)
•Herramienta de recogida y compartición de
información (MISP)
![Page 10: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/10.jpg)
VIII JORNADAS STIC CCN-CERT
Entorno
Inteligencia
![Page 11: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/11.jpg)
VIII JORNADAS STIC CCN-CERT
11
MARTA
2
www.ccn-cert.cni.es
![Page 12: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/12.jpg)
VIII JORNADAS STIC CCN-CERT
Descripción MARTA
• MARTA es una herramienta que permite la detección, el análisis y el
reporte de malware de manera totalmente automática y cuyas
principales características son:
Detección Temprana
Análisis Estático
Análisis Dinámico
Generación de Informes Personalizados
Envío de Alertas y Avisos
Almacenamiento de Evidencias para Post-Análisis
Gestión inteligente de los análisis
![Page 13: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/13.jpg)
VIII JORNADAS STIC CCN-CERT
Funcionalidad
MARTA es una herramienta que permite el análisis estático y dinámico (ejecución en sandbox) de muestras de malware.
Tiene dos funcionalidades diferenciadas:
• Por un lado es capaz de recoger muestras de manera automática “in the wild” a través de los distintos colectores programados y generar un informe específico de las muestras.
• Por otro lado se pueden subir muestras a demanda para hacer análisis más concretos y dirigidos.
• Su motor inteligente analiza y clasifica las amenazas, permitiendo su categorización y agrupación de manera sencilla y flexible, y elabora informes en detalle de las mismas.
• MARTA almacena la información obtenida de los análisis permitiendo así búsquedas en profundidad sobre las muestras analizadas garantizando un perfecto conocimiento y control de las amenazas.
![Page 14: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/14.jpg)
VIII JORNADAS STIC CCN-CERT
Arquitectura
Fuentes
Públicas
INTERNET
Sede ASonda 1
Sede B
Sonda eMail
SFTP
BBDD
SandBoxes
Master Controller
Administración WEB
MARTA
ENVÍO
MUESTR
A
ANÁLISIS
DINÁMICO
ALMACENAMIENTO
EVIDENCIAS
INFORMES Y GESTIÓN
MARIA
ANÁLISIS ANTIVIRUS
MISP
ANÁLISIS
ESTÁTICO
MISP
![Page 15: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/15.jpg)
VIII JORNADAS STIC CCN-CERT
Fuentes automáticas
MARTA detecta y recolecta automáticamente muestras de malware
desde fuentes públicas o privadas.
Actualmente están configuradas las siguientes
• Zeus Tracker
• CyberCryme
• Malware Malekal
• Malc0de
• Sophos
• Virus Total
Permite la activación y
configuración de cada una
de las fuentes, así como el
informe asociado.
![Page 16: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/16.jpg)
VIII JORNADAS STIC CCN-CERT
Monitorización del estado del sistema
Se tiene un control global de cada uno de los componentes de MARTA a
través de su panel de monitorización.
Actualmente se monitoriza:
Estado del sistema de análisis
Análisis completados
Análisis reportados
Análisis en ejecución
Análisis programados
Máquinas disponibles para análisis
![Page 17: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/17.jpg)
VIII JORNADAS STIC CCN-CERT
Inteligencia
MARTA se adapta a la muestra de malware a analizar:
• Análisis periódicos para la detección de malware con
actividad variable.
• Adaptación de la sandbox en función de los criterios del
análisis estático (VM, conexión a Internet, tiempo de
ejecución, etcétera).
• Agrupación de malware por características y etiquetas.
• Sistemas configurados para evitar la detección de los análisis,
su entorno, la virtualización, herramientas, etcétera.
![Page 18: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/18.jpg)
VIII JORNADAS STIC CCN-CERT
Paneles principales
Para realizar análisis más dirigidos, MARTA presenta un portal web muy
intuitivo.
La pantalla principal se divide en tres pestañas principales:
•Binarios: Listado de las muestras subidas al sistema bajo demanda
•Análisis: Listado de los análisis realizados en la herramienta.
•Búsqueda avanzada: Permite búsquedas de campos clave.
•Configuración: Permite realizar configuraciones específicas de la
herramienta (usuarios, roles, fuentes automáticas, etiquetas, etc)
![Page 19: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/19.jpg)
VIII JORNADAS STIC CCN-CERT
Características generales de análisis
MARTA permite el análisis estático y/o dinámico de distintas muestras
sospechosas de ser código dañino.
Los tipos de ficheros que actualmente soporta el sistema son:
Binarios de 32bits
Binarios de 64bits
Ficheros PDF
Ficheros Ofimáticos
El sistema tiene la capacidad de
detectar la tipología de fichero
que se incorpora al análisis y
detectar si es posible realizarle
análisis dinámico
![Page 20: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/20.jpg)
VIII JORNADAS STIC CCN-CERT
Características generales de análisis
Análisis de binarios. Las características configurables para el análisis de las muestras son las siguientes:
Establecer prioridad de análisis
Marcar tiempo de espera de análisis
Seleccionar tipo de salida a internet:
A través de la red TOR
Simulando Internet
Habilitar información de Triana.
Selección de una o varias máquinas
para realizar el análisis
Análisis sin privilegios
Simulación interacción humana
Envío de correo una vez finalizado
![Page 21: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/21.jpg)
VIII JORNADAS STIC CCN-CERT
Máquinas Virtuales Disponibles
Actualmente está disponible el siguiente listado de máquinas:
Windows XP (32bits)
Windows 7 (32 y 64 bits)
Windows 8 (32 y 64 bits)
A 31 de Diciembre de 2014
Windows Server 2003
Windows Server 2008
Primer trimestre del 2015
Linux
Android (hasta Lollipop)
Mac OS X
![Page 22: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/22.jpg)
VIII JORNADAS STIC CCN-CERT
Re-análisis y programación
El sistema permite que podamos realizar un re-análisis de las muestras:
De manera inmediata.
De manera programada. Muy útil para programar análisis en horas concretas del día.
Además se permite
Descarga de informes (PDF y DOC)
• Informe general
• Informe general +
Información de Triana
Descarga de los binarios
![Page 23: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/23.jpg)
VIII JORNADAS STIC CCN-CERT
Información Análisis
En esta pestaña se gestionan los distintos análisis realizados. En la
ventana de detalles se muestra la información concreta del análisis.
Datos generales del fichero y del análisis y configuración que se
programó al análisis
![Page 24: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/24.jpg)
VIII JORNADAS STIC CCN-CERT
Descarga de evidencias
Evidencias recogidas del análisis. Hay que destacar:
Reglas de snort generadas basadas en la detección
Fichero pcap interceptado de la comunicación con internet (simulado o
por Tor)
Fichero de strings detectados en la muestra.
Fichero de log asociado al análisis
![Page 25: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/25.jpg)
VIII JORNADAS STIC CCN-CERT
Cambios en Ficheros
MARTA registra los ficheros que se han creado / modificado / eliminado
en el sistema por parte de la muestra analizada:
![Page 26: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/26.jpg)
VIII JORNADAS STIC CCN-CERT
Cambios del registro
MARTA registra además los cambios producidos en el registro del
sistema con los valores finales
![Page 27: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/27.jpg)
VIII JORNADAS STIC CCN-CERT
Actividad de procesos
Se muestran los procesos que se han ejecutado en el sistema con su
identificación y valor
![Page 28: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/28.jpg)
VIII JORNADAS STIC CCN-CERT
Tráfico de red detectado
Dominos e IPs que se han registrado durante la actividad de la muestra
en el análisis dinámico.
Información de cabeceras HTTP detectadas
![Page 29: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/29.jpg)
VIII JORNADAS STIC CCN-CERT
Etiquetas asociadas al análisis
El análisis puede tener etiquetas asignadas manualmente o a través de
la ejecución de las reglas:
Etiquetas manuales
Etiqueta asignada
automáticamente,
basado en reglas
![Page 30: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/30.jpg)
VIII JORNADAS STIC CCN-CERT
Análisis de PDF
La información que se recoge corresponde específicamente a ficheros
PDF.
Versión de PDF
Scripts embebidos
Objetos sospechosos
Fecha de creación
Fecha de modificación
![Page 31: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/31.jpg)
VIII JORNADAS STIC CCN-CERT
Búsqueda Avanzada
Búsqueda incluyendo múltiples criterios sobre los análisis para obtener
los binarios que coinciden.
![Page 32: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/32.jpg)
VIII JORNADAS STIC CCN-CERT
Características especiales
Y ahora nos preguntamos:
¿Qué funcionalidad tiene MARTA más allá de el resto de herramientas
del mercado?
1º. Se aplican los nuevos métodos investigados en análisis de malware
2º. Utilización de etiquetas
3º Motor de reglas (IoCs)
![Page 33: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/33.jpg)
VIII JORNADAS STIC CCN-CERT
Etiquetas
Una de las funcionalidades más importantes que tiene el sistema es la posibilidad de definir Etiquetas y aplicarlas a análisis o binarios.
Con ellas podemos definir:
Agrupar campañas de malware específicos (por ejemplo: Dragonfly)
Definir comportamientos concretos de las muestras ( por ejemplo: persistencia)
Definir grupos de análisis (por ejemplo: fechas o países)
Definir alertas que ayuden a los analistas (por ejemplo: A Revisar)
Elaborar itinerarios de formación para los analistas.
Etc.
Este sistema es muy flexible a la hora de clasificar cualquier tipo de información
relacionado con el trabajo diario del analista. La gestión de etiquetas (creación,
modificación y asociación) puede realizarse desde cualquier parte de la aplicación en
la que se encuentren visibles binarios o análisis.
![Page 34: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/34.jpg)
VIII JORNADAS STIC CCN-CERT
Etiquetas
• El sistema de etiquetas permite la creación de las mismas en el mismo
entorno, facilitando la asignación momentánea de la misma cuando es
necesaria.
![Page 35: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/35.jpg)
VIII JORNADAS STIC CCN-CERT
Etiquetas
• El panel también permite el filtrado de los análisis o binarios que tenga
la etiqueta asociada.
Por último se pueden asignar etiquetas a Reglas o IoC registrados en el sistema. Esto nos permite poder clasificarlos de una manera muy visual.
Además cada vez que el análisis de un binario detecte y genere un IoC con un comportamiento etiquetado anteriormente, dicho análisis se etiquetará de manera automática.
Este sistema también funciona a la inversa. Si se genera una etiqueta asociada a un IoC o comportamiento concreto, se aplicará esta etiqueta a los análisis que tengan la misma coincidencia.
![Page 36: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/36.jpg)
VIII JORNADAS STIC CCN-CERT
Motor de Reglas (IoCs)
• El motor de reglas examina el resultado de los análisis de los binarios lo evalúa
comparando con reglas definidas en la herramienta. Estas reglas (basadas en OpenIOC)
se pueden crear basadas en términos tales como (y no únicamente):
• Valores de claves de registro.
• Parámetros de los procesos.
• Conexiones de red.
• Valores de análisis estático.
• Permite los operadores lógicos AND y OR
• Permite la creación de reglas a partir de
• otras reglas.
• Condiciones:
• Contains
• Contains not
• Is
• Is not
![Page 37: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/37.jpg)
VIII JORNADAS STIC CCN-CERT
Motor de Reglas (IoCs)
El motor de reglas permite la
activación/desactivación de
reglas con el objetivo crear
reglas de prueba o aprendizaje
que no sea necesario ejecutar
tras los análisis.
Adicionalmente, se puede
añadir etiquetas a las reglas
que se añadirán
automáticamente al análisis del
binario en caso de que la regla
coincida con los datos del
mismo.
![Page 38: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/38.jpg)
VIII JORNADAS STIC CCN-CERT
Motor de Reglas (IoCs)
La creación de reglas puede ser tanto manual como importando un
fichero XML en formato OpenIOC.
En la visualización de las reglas ejecutadas sobre un análisis puede
observarse las reglas que han coincidido con algún parámetro del
análisis.
![Page 39: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/39.jpg)
VIII JORNADAS STIC CCN-CERT
DEMO
![Page 40: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/40.jpg)
VIII JORNADAS STIC CCN-CERT
40
Malware Information Sharing Platform
MISP
3
www.ccn-cert.cni.es
![Page 41: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/41.jpg)
VIII JORNADAS STIC CCN-CERT
MISP - Definición
Dentro del marco de la compartición de información están apareciendo
algunas herramientas que nos permiten realizarlo de una manera
sencilla y flexible. Una de ellas es MISP, Plataforma para la compartición
de información sobre malware.
MISP es una plataforma para compartir, almacenar y correlación
indicadores de compromiso (IoC) de ataques o muestras de malware.
Herramienta de código abierto, en desarrollo
por un grupo de desarrolladores, principalmente
el CERT belga (CERT.be) y la OTAN (nato.int)
![Page 42: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/42.jpg)
VIII JORNADAS STIC CCN-CERT
MISP
Permite la compartición de información relacionada con el malware y sus indicadores de compromiso (características).
Permite el despliegue en distintas instancias y la interconexión de las mismas, dentro de una misma organización o con otras organizaciones.
Permite la clasificación de información para compartir (public, private).
Permite la sincronización de diferentes instancias
Importación y exportación de información en distintos formatos
![Page 43: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/43.jpg)
VIII JORNADAS STIC CCN-CERT
Pantalla principal
Organización de la información en “Eventos”
![Page 44: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/44.jpg)
VIII JORNADAS STIC CCN-CERT
MISP – Información compartida
Información sobre malware para compartir. Se pueden ir añadiendo
atributos según la información que se tenga.
En MISP existen 4 opciones para
compartir información:
•Organización
•Esta comunidad
•Comunidades conectadas
•Todas las comunidades
![Page 45: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/45.jpg)
VIII JORNADAS STIC CCN-CERT
Integración MISP
Características de importación/exportación de información en distintos
formatos:
Desarrollo de plug-ins que permiten integración con otras
herramientas (ej: misp-maltego)
![Page 46: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/46.jpg)
VIII JORNADAS STIC CCN-CERT
MISP -> MARTA
MARTA tiene la capacidad de exportar las características desarrolladas
por una muestra de malware en su ejecución a un fichero XML, con dos
variantes:
•MISP - XML
•OpenIoC
De esta manera, cualquier análisis realizado en MARTA,
automáticamente se almacena dicha información en MISP. Esto nos
permite gestionar la información en un punto único y compartir lo que se
considere.
![Page 47: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/47.jpg)
VIII JORNADAS STIC CCN-CERT
47
La evolución del Multi-antivirus
MARIA
4
www.ccn-cert.cni.es
![Page 48: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/48.jpg)
VIII JORNADAS STIC CCN-CERT
• Evolución de la plataforma MultiAntiVirus para análisis estático de código dañino. Desarrollo propio completo.
• API para integración con otros servicios CCN-CERT (MARTA, MISP)
• Posibilidad de análisis privados y aislados de Internet necesario para la investigación de APT.
• Información detallada de ficheros analizados (metadatos de binarios, checksums, datos EXIF en imágenes, etc)
• Arquitectura escalable, con colas para análisis en paralelo de los motores de antivirus sin bloqueos.
• En proceso de incorporación de más de 30 antivirus y antimalware
MARIA: MultiAntiviRus IntegrAdo
![Page 49: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/49.jpg)
VIII JORNADAS STIC CCN-CERT
Portal CCN-CERT
SISTEMAS CCN-CERT
MARTA
MISP
LUCIA P
RO
TO
CO
LO
SA
LT S
TAC
K
MARIA GUI
HTTPS
![Page 50: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/50.jpg)
VIII JORNADAS STIC CCN-CERT
• Subida de ficheros
• Historial personal de análisis
por usuario
• Información de estado del
sistema
• Información de tipo de
fichero, metadatos, md5
• Resultados dinámicos
de análisis a medida
que se obtienen
• Indicador gráfico de
peligrosidad
![Page 51: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/51.jpg)
VIII JORNADAS STIC CCN-CERT
• Lista de antivirus y antimalwares
disponbiles
• Estado de funcionamiento
• Fecha de actualización de firmas
por antivirus
• Historial de Análisis
• Resultados y nombre de
especimen
![Page 52: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/52.jpg)
VIII JORNADAS STIC CCN-CERT
Mejoras de evolución futuras
Integración vía API con otros sistemas del CCN-CERT
Análisis de URL/IP
Análisis de URL contra listas negras
Comprobación MD5/SHA contra BBDD de ficheros legítimos
… aportaciones de los organismos
![Page 53: Taller Plataforma Avanzada Malware · Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) VIII JORNADAS STIC CCN-CERT 2 Innotec System Fernando Muñoz Fernando_munoz@innotecsystem.com](https://reader036.fdocuments.mx/reader036/viewer/2022071217/604af10111d9f56bc70b3c83/html5/thumbnails/53.jpg)
Síguenos en Linked in
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es