Investigation: Funciones de Malware Analysis

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analytics Malware Analysis es un procesador de análisis de malware automatizado que analiza determinados tipos de objetos de archivos (como Windows PE, PDF y MS Office) para evaluar la probabilidad de que un archivo sea malicioso. Mediante el uso de Malware Analysis, el analista de malware puede establecer prioridades entre la enorme cantidad de archivos capturados, con el fin de concentrar los esfuerzos de análisis en los archivos que tienen más probabilidad de ser maliciosos. 

Security Analytics Malware Analysis detecta indicadores de riesgo mediante el uso de cuatro metodologías de análisis distintas:

  • Análisis de sesión de red (red)
  • Análisis de archivo estático (estático)
  • Análisis de archivo dinámico (Sandbox)
  • Análisis de seguridad comunitario (comunidad)

Cada una de las cuatro metodologías de análisis está diseñada para compensar las debilidades inherentes de las demás. Por ejemplo, el análisis de archivo dinámico puede compensar los ataques de día cero que no se detectan durante la fase de análisis de seguridad comunitario. Al evitar análisis de malware que se concentran estrictamente en una metodología, el analista tiene más probabilidades de protegerse contra falsos negativos en los resultados.

Además de los indicadores de riesgo incorporados, a partir de Security Analytics 10.3, Malware Analysis también es compatible con indicadores de riesgo escritos en YARA. YARA es un lenguaje de reglas que permite a los investigadores de malware identificar y clasificar muestras de malware. Esto permite que los autores de IOC agreguen funcionalidades de detección a RSA Malware Analysis mediante la creación de reglas YARA y su publicación en RSA Live. Estos IOC basados en YARA en RSA Live se descargarán y se habilitarán automáticamente en el host suscrito con el fin de complementar el análisis existente que se ejecuta en cada archivo analizado. 

A partir de Security Analytics 10.4, Malware Analysis incluye funciones compatibles con alertas para Incident Management.

Descripción funcional

En esta figura se ilustra la relación funcional entre los servicios Security Analytics Core (Decoder, Concentrator y Broker), el servicio Security Analytics Malware Analysis y el servidor de Security Analytics.

El servicio Malware Analysis analiza objetos de archivos mediante cualquier combinación de los siguientes métodos:

  • Sondeo automático continuo de un Concentrator o un Broker para extraer sesiones que identificó un analizador como posibles portadoras de contenido de malware.
  • Sondeo según demanda de un Concentrator o un Broker para extraer sesiones que identificó un analista de malware como posibles portadoras de contenido de malware.
  • Carga según demanda de archivos de una carpeta especificada por el usuario.

Cuando se habilita el sondeo automático de un Concentrator o un Broker, el servicio Malware Analysis extrae y prioriza continuamente contenido ejecutable, documentos PDF y documentos de Microsoft Office en su red, directamente de los datos que capturó y analizó el servicio Security Analytics Core. Dado que el servicio Malware Analysis se conecta a un Concentrator o un Broker para extraer solo los archivos ejecutables que están marcados como posible malware, el proceso es rápido y eficiente. Este proceso es continuo y no requiere monitoreo.

Si selecciona el sondeo según demanda de un Concentrator o un Broker, el analista de malware utiliza Security Analytics Investigation para desglosar a los datos capturados y seleccionar las sesiones que se analizarán. El servicio Malware Analysis utiliza esta información para sondear automáticamente el Concentrator o el Broker y descargar las sesiones especificadas para el análisis.

La carga según demanda de archivos proporciona un método para que el analista revise los archivos capturados de manera externa a la infraestructura de Core. El analista de malware utiliza Security Analytics para seleccionar una ubicación de carpeta e identificar uno o más archivos con el fin de cargarlos y someterlos al análisis de Security Analytics Malware Analysis. Estos archivos se analizan con el uso de la misma metodología que los archivos que se extraen automáticamente de las sesiones de red. 

Método de análisis

Para el análisis de red, el servicio Malware Analysis busca características que parezcan desviarse de la norma, de manera muy similar a lo que hace un analista. Al observar cientos de miles de funciones y combinar los resultados en un sistema de puntaje ponderado, las sesiones legítimas que por coincidencia tienen algunos rasgos anormales se omiten, mientras que las sesiones realmente maliciosas se destacan. Un usuario puede aprender patrones que indican actividad anómala en las sesiones, como indicadores que requieren una investigación más detallada o indicadores de riesgo.

El servicio Malware Analysis puede ejecutar el análisis estático de objetos sospechosos que detecte en la red y determinar si esos objetos contienen código malicioso. En el caso del análisis comunitario, el nuevo malware detectado en la red se envía a RSA Cloud para compararlo con los análisis de malware propios de RSA y feeds de SANS Internet Storm Center, SRI International, el Departamento del tesoro y VeriSign. En el caso del análisis de Sandbox, los servicios también pueden enviar datos a importantes hosts de información de seguridad y administración de eventos (SIEM) (ThreatGrid Cloud). 

Security Analytics Malware Analysis cuenta con un método de análisis exclusivo que se basa en asociaciones con líderes y expertos del sector, de modo que sus tecnologías puedan enriquecer el sistema de puntaje de Security Analytics Malware Analysis.

Acceso del servidor de Security Analytics al servicio Malware Analysis

El servidor de Security Analytics está configurado para conectarse al servicio Security Analytics Malware Analysis e importar datos etiquetados para un análisis más profundo en Security Analytics Investigation. El acceso se basa en tres niveles de suscripción.

  • Suscripción gratuita: Todos los clientes de Security Analytics tienen una suscripción gratuita con una clave de prueba gratuita para análisis de ThreatGrid. El servicio Malware Analysis tiene un límite de 100 muestras de archivo por día. La cantidad de muestras (dentro del conjunto de archivos anterior) enviadas a la nube de ThreatGrid para el análisis de Sandbox se limita a cinco por día. Si una sesión de red tuviera 100 archivos, los clientes alcanzarían el límite después de procesar esa sesión de red. Si los 100 archivos se cargaran manualmente, se alcanzaría el límite.
  • Nivel de suscripción estándar: La cantidad de envíos al servicio Malware Analysis es ilimitada. La cantidad de muestras enviadas a la nube de ThreatGrid para el análisis de Sandbox es de 1,000 por día.
  • Nivel de suscripción empresarial: La cantidad de envíos al servicio Malware Analysis es ilimitada. El número de muestras enviadas a ThreatGrid Cloud para el análisis de Sandbox es de 5,000 por día.

Método de puntaje

De manera predeterminada, los indicadores de riesgo (IOC) se ajustan para reflejar las mejores prácticas del sector. A cada IOC se le asigna un puntaje que va desde -100 (bueno) a +100 (malo). Durante el análisis, los IOC que se activan hacen que el puntaje aumente o disminuya para indicar la probabilidad de que la muestra sea maliciosa. El ajuste de los IOC se expone en Security Analytics para que el analista de malware pueda elegir si desea reemplazar el puntaje asignado o deshabilitar la evaluación de un IOC. El analista tiene la flexibilidad de usar el ajuste predeterminado o de personalizarlo completamente de acuerdo con necesidades específicas.

Los IOC basados en YARA se entrelazan con los IOC incorporados dentro de cada categoría incorporada y no se distinguen de los IOC nativos. Cuando los IOC se muestran en la vista Configuración de servicio, los administradores pueden seleccionar YARA en la lista de selección Módulo para ver una lista de reglas YARA. 

Después de que se importa una sesión a Security Analytics, todas las funcionalidades de visualización y análisis de Security Analytics Investigation quedan disponibles para realizar un análisis más detallado de los indicadores de riesgo. Cuando se muestran en Investigation, los IOC de YARA se diferencian de los IOC nativos incorporados por la etiqueta Yara rule..

Implementación

El servicio Security Analytics Malware Analysis se implementa como un servicio que comparte ubicación en un servidor de Security Analytics o con un host de RSA Malware Analysis exclusivo.

El host de Malware Analysis exclusivo cuenta con un Broker incorporado que se conecta a la infraestructura de Security Analytics Core (que puede ser otro Broker o un Concentrator). Antes de esta conexión, se debe agregar un conjunto de analizadores y feeds a los Decoders que están conectados a los Concentrators y los Brokers desde los cuales extrae datos el servicio Malware Analysis.  Esto permite que los archivos de datos sospechosos se marquen para extracción. Estos archivos son contenido etiquetado como malware analysis que está disponible a través del sistema de administración de contenido de RSA Live.

You are here
Table of Contents > Cómo funciona Investigation > Funciones de Malware Analysis

Attachments

    Outcomes