Investigation: Módulos de puntaje de malware

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

RSA Security Analytics Malware Analysis analiza y asigna puntajes a las sesiones y a los archivos incorporados dentro de estas según cuatro categorías de puntaje: Red, Análisis estático, Comunidad y Sandbox. Cada categoría comprende muchas reglas y comprobaciones individuales que se usan para calcular un puntaje entre 1 y 100. Cuanto más alto es el puntaje, más probable es que la sesión sea maliciosa y que amerite una investigación de seguimiento más profunda.

Security Analytics Malware Analysis puede facilitar una investigación histórica de los eventos que conducen a una alarma o incidente en la red. Si sabe que cierto tipo de actividad está ocurriendo en su red, puede seleccionar solo los informes de interés para examinar el contenido de recopilaciones de datos. También puede modificar el comportamiento de cada categoría de puntaje de acuerdo con la categoría de puntaje o el tipo de archivo (Windows PE, PDF y Microsoft Office).

Una vez que se haya familiarizado con los métodos de navegación de datos, podrá explorar los datos de manera más completa con:

  • Búsqueda de tipos de información específicos
  • Revisión de contenido específico en detalle.

Los puntajes de categoría de Red, Análisis estático, Comunidad y Sandbox se mantienen y se informan de manera independiente. Cuando los eventos se visualizan según los puntajes independientes, siempre que una categoría detecte malware, es evidente en la sección Análisis.

Red

La primera categoría examina cada sesión de red principal de Security Analytics Core para determinar si la distribución de los candidatos de malware fue sospechosa. Por ejemplo, software benigno que se descarga desde un sitio seguro conocido, utilizando puertos y protocolos adecuados, se considera menos sospechoso que descargar software que se sabe que es malicioso desde un sitio de descarga dudoso. Los factores de muestra que se usan en el puntaje de este conjunto de criterios pueden incluir sesiones que:

  • Contienen información de feed de amenazas
  • Se conectan a sitios maliciosos bien conocidos
  • Se conectan a dominios/países de alto riesgo (por ejemplo, el dominio .cc)
  • Usan protocolos bien conocidos en puertos no estándar
  • Contienen JavaScript oculto

Análisis estático

La segunda categoría analiza cada archivo de la sesión en busca de señales de ocultamiento para predecir la probabilidad de que el archivo se comporte de manera maliciosa si se ejecuta. Por ejemplo, software que se vincula con bibliotecas en red tiene más probabilidades de ejecutar actividades sospechosas en la red. Los factores de muestra que se usan en el puntaje de este conjunto de criterios pueden incluir:

  • Archivos codificados con XOR
  • Archivos detectados incorporados dentro de formatos que no son .EXE (por ejemplo, si se encuentra un archivo PE incorporado dentro de un formato GIF)
  • Archivos que se vinculan a bibliotecas de importación de alto riesgo
  • Archivos que se desvían considerablemente del formato PE

Comunidad

La tercera categoría asigna puntaje a la sesión y los archivos de acuerdo con el conocimiento colectivo de la comunidad de seguridad. Por ejemplo, los archivos cuya huella digital/hash ya se ha identificado como buena o maliciosa por proveedores de antivirus (AV) respetables reciben el puntaje que corresponde según eso. Los archivos también reciben puntaje según el conocimiento de que un archivo provenga de un sitio conocido como bueno o malicioso por la comunidad de seguridad.

El puntaje de la comunidad también indica si el antivirus de su red marcó los archivos como maliciosos. No indica que el producto antivirus residente actuara para proteger su sistema.

Sandbox

La cuarta categoría examina el comportamiento del software ejecutándolo en un ambiente de Sandbox. Al ejecutar el software para observar su comportamiento, se puede calcular un puntaje según la identificación de actividad maliciosa bien conocida. Por ejemplo, software que se configura a sí mismo para iniciarse automáticamente en cada reinicio y establecer conexiones IRC tendría un puntaje más alto que un archivo que no presente un comportamiento malicioso conocido.

You are here
Table of Contents > Cómo funciona Investigation > Módulos de puntaje de malware

Attachments

    Outcomes