MA: Cómo funciona Malware Analysis

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite Malware Analysis es un procesador de análisis de malware automatizado que analiza determinados tipos de objetos de archivos (como portable ejecutable de Windows (PE), PDF y MS Office) para evaluar la probabilidad de que un archivo sea malicioso. 

Malware Analysis detecta indicadores de riesgo mediante el uso de cuatro metodologías de análisis distintas:

  • Análisis de sesión de red (red)
  • Análisis de archivo estático (estático)
  • Análisis de archivo dinámico (Sandbox)
  • Análisis de seguridad comunitario (comunidad)

Cada una de las cuatro metodologías de análisis está diseñada para compensar las debilidades inherentes de las demás. Por ejemplo, el análisis de archivo dinámico puede compensar los ataques de día cero que no se detectan durante la fase de análisis de seguridad comunitario. Al evitar análisis de malware que se concentran estrictamente en una metodología, el analista tiene más probabilidades de protegerse contra falsos negativos en los resultados.

Además de los indicadores de riesgo incorporados, Malware Analysis es compatible con indicadores de riesgo escritos en YARA. YARA es un lenguaje de reglas que permite a los investigadores de malware identificar y clasificar muestras de malware. Esto permite que los autores de IOC agreguen funcionalidades de detección a RSA Malware Analysis mediante la creación de reglas YARA y su publicación en RSA Live. Estos IOC basados en YARA en RSA Live se descargarán y se habilitarán automáticamente en el host suscrito con el fin de complementar el análisis existente que se ejecuta en cada archivo analizado. 

Malware Analysis también tiene características compatibles con alertas para Incident Management.

Descripción funcional

En esta figura se ilustra la relación funcional entre los servicios principales (Decoder, Concentrator y Broker), el servicio Malware Analysis y el Servidor de NetWitness.

Relación entre los servicios principales, el servicio Malware Analysis y el servidor de NetWitness

El servicio Malware Analysis analiza objetos de archivos mediante cualquier combinación de los siguientes métodos:

  • Sondeo automático continuo de un Concentrator o un Broker para extraer sesiones que identificó un analizador como posibles portadoras de contenido de malware.
  • Sondeo según demanda de un Concentrator o un Broker para extraer sesiones que identificó un analista de malware como posibles portadoras de contenido de malware.
  • Carga según demanda de archivos de una carpeta especificada por el usuario.

Cuando se habilita el sondeo automático de un Concentrator o un Broker, el servicio Malware Analysis extrae y da prioridad continuamente al contenido ejecutable, documentos PDF y documentos de Microsoft Office en su red, directamente de los datos que capturó y analizó el servicio Security Analytics Core. Dado que el servicio Malware Analysis se conecta a un Concentrator o un Broker para extraer solo los archivos ejecutables que están marcados como posible malware, el proceso es rápido y eficiente. Este proceso es continuo y no requiere monitoreo.

Si selecciona el sondeo según demanda de un Concentrator o un Broker, el analista de malware usa Security Analytics Investigation para desglosar a los datos capturados y seleccionar las sesiones que se analizarán. El servicio Malware Analysis utiliza esta información para sondear automáticamente el Concentrator o el Broker y descargar las sesiones especificadas para el análisis.

La carga según demanda de archivos proporciona un método para que el analista revise los archivos capturados de manera externa a la infraestructura de Core. El analista de malware selecciona una ubicación de carpeta e identifica uno o más archivos con el fin de cargarlos y someterlos al análisis de Security Analytics Malware Analysis. Estos archivos se analizan con el uso de la misma metodología que los archivos que se extraen automáticamente de las sesiones de red. 

Método de análisis

Para el análisis de red, el servicio Malware Analysis busca características que parezcan desviarse de la norma, de manera muy similar a lo que hace un analista. Al observar cientos de miles de funciones y combinar los resultados en un sistema de puntaje ponderado, las sesiones legítimas que por coincidencia tienen algunos rasgos anormales se omiten, mientras que las sesiones realmente maliciosas se destacan. Un usuario puede aprender patrones que indican actividad anómala en las sesiones, como indicadores que requieren una investigación más detallada o indicadores de riesgo.

El servicio Malware Analysis puede ejecutar el análisis estático de objetos sospechosos que detecte en la red y determinar si esos objetos contienen código malicioso. En el caso del análisis comunitario, el nuevo malware detectado en la red se envía a RSA Cloud para compararlo con los análisis de malware propios de RSA y feeds de SANS Internet Storm Center, SRI International, el Departamento del tesoro y VeriSign. En el caso del análisis de Sandbox, los servicios también pueden enviar datos a importantes hosts de información de seguridad y administración de eventos (SIEM) (ThreatGrid Cloud). 

Security Analytics Malware Analysis cuenta con un método de análisis exclusivo que se basa en asociaciones con líderes y expertos del sector, de modo que sus tecnologías puedan enriquecer el sistema de puntaje de Security Analytics Malware Analysis.

Acceso del Servidor de NetWitness al servicio Malware Analysis

El Servidor de NetWitness está configurado para conectarse al servicio Security Analytics Malware Analysis e importar datos etiquetados para un análisis más profundo en Security Analytics Investigation. El acceso se basa en tres niveles de suscripción.

  • Suscripción gratuita: Todos los clientes de NetWitness Suite tienen una suscripción gratuita con una clave de prueba gratuita para análisis de ThreatGrid. El servicio Malware Analysis tiene un límite de 100 muestras de archivo por día. La cantidad de muestras (dentro del conjunto de archivos anterior) enviadas a la nube de ThreatGrid para el análisis de Sandbox se limita a cinco por día. Si una sesión de red tuviera 100 archivos, los clientes alcanzarían el límite después de procesar esa sesión de red. Si los 100 archivos se cargaran manualmente, se alcanzaría el límite.
  • Nivel de suscripción estándar: La cantidad de envíos al servicio Malware Analysis es ilimitada. La cantidad de muestras enviadas a la nube de ThreatGrid para el análisis de Sandbox es de 1,000 por día.
  • Nivel de suscripción empresarial: La cantidad de envíos al servicio Malware Analysis es ilimitada. El número de muestras enviadas a ThreatGrid Cloud para el análisis de Sandbox es de 5,000 por día.

Método de puntaje

De manera predeterminada, los indicadores de riesgo (IOC) se ajustan para reflejar las mejores prácticas del sector. Durante el análisis, los IOC que se activan hacen que el puntaje aumente o disminuya para indicar la probabilidad de que la muestra sea maliciosa. El ajuste de los IOC se expone en NetWitness Suite para que el analista de malware pueda elegir si desea sobrescribir el puntaje asignado o deshabilitar la evaluación de un IOC. El analista tiene la flexibilidad de usar el ajuste predeterminado o de personalizarlo completamente de acuerdo con necesidades específicas.

Los IOC basados en YARA se entrelazan con los IOC incorporados dentro de cada categoría incorporada y no se distinguen de los IOC nativos. Cuando los IOC se muestran en la vista Configuración de servicio, los administradores pueden seleccionar YARA en la lista de selección Módulo para ver una lista de reglas YARA. 

Después de que se importa una sesión a NetWitness Suite, todas las funcionalidades de visualización y análisis de Security Analytics Investigation quedan disponibles para realizar un análisis más detallado de los indicadores de riesgo. Cuando se muestran en Investigation, los IOC de YARA se diferencian de los IOC nativos incorporados por la etiqueta Yara rule..

Implementación

El servicio Security Analytics Malware Analysis se implementa como un host de RSA Malware Analysis independiente. El host de Malware Analysis exclusivo cuenta con un Broker incorporado que se conecta a la infraestructura de Security Analytics Core (que puede ser otro Broker o un Concentrator). Antes de esta conexión, se debe agregar un conjunto de analizadores y feeds a los Decoders que están conectados a los Concentrators y los Brokers desde los cuales extrae datos el servicio Malware Analysis.  Esto permite que los archivos de datos sospechosos se marquen para extracción. Estos archivos son contenido etiquetado como malware analysis que está disponible a través del sistema de administración de contenido de RSA Live.

Módulos de puntaje

RSA NetWitness Suite Malware Analysis analiza y asigna puntajes a las sesiones y a los archivos integrados dentro de estas según cuatro categorías de puntaje: Red, Análisis estático, Comunidad y Sandbox. Cada categoría comprende muchas reglas y comprobaciones individuales que se usan para calcular un puntaje entre 1 y 100. Cuanto más alto es el puntaje, más probable es que la sesión sea maliciosa y que amerite una investigación de seguimiento más profunda.

Security Analytics Malware Analysis puede facilitar una investigación histórica de los eventos que conducen a una alarma o un incidente en la red. Si sabe que cierto tipo de actividad está ocurriendo en su red, puede seleccionar solo los informes de interés para examinar el contenido de recopilaciones de datos. También puede modificar el comportamiento de cada categoría de puntaje de acuerdo con la categoría de puntaje o el tipo de archivo (Windows PE, PDF y Microsoft Office).

Una vez que se haya familiarizado con los métodos de navegación de datos, podrá explorar los datos de manera más completa con:

  • Búsqueda de tipos de información específicos
  • Revisión de contenido específico en detalle.

Los puntajes de categoría de Red, Análisis estático, Comunidad y Sandbox se mantienen y se informan de manera independiente. Cuando los eventos se visualizan según los puntajes independientes, siempre que una categoría detecte malware, es evidente en la sección Análisis.

Red

La primera categoría examina cada sesión de red principal de Security Analytics Core para determinar si la distribución de los candidatos de malware era sospechosa. Por ejemplo, software benigno que se descarga desde un site seguro conocido, utilizando puertos y protocolos adecuados, se considera menos sospechoso que descargar software que se sabe que es malicioso desde un site de descarga dudoso. Los factores de muestra que se usan en el puntaje de este conjunto de criterios pueden incluir sesiones que:

  • Contienen información de feed de amenazas
  • Se conectan a sitios maliciosos bien conocidos
  • Se conectan a dominios/países de alto riesgo (por ejemplo, el dominio .cc)
  • Usan protocolos bien conocidos en puertos no estándar
  • Contienen JavaScript oculto

Análisis estático

La segunda categoría analiza cada archivo de la sesión en busca de señales de ocultamiento para predecir la probabilidad de que el archivo se comporte de manera maliciosa si se ejecuta. Por ejemplo, software que se vincula con bibliotecas en red tiene más probabilidades de ejecutar actividades sospechosas en la red. Los factores de muestra que se usan en el puntaje de este conjunto de criterios pueden incluir:

  • Archivos codificados con XOR
  • Archivos detectados incorporados dentro de formatos que no son .EXE (por ejemplo, si se encuentra un archivo PE incorporado dentro de un formato GIF)
  • Archivos que se vinculan a bibliotecas de importación de alto riesgo
  • Archivos que se desvían considerablemente del formato PE

Comunidad

La tercera categoría asigna puntaje a la sesión y los archivos de acuerdo con el conocimiento colectivo de la comunidad de seguridad. Por ejemplo, los archivos cuya huella digital/hash ya se ha identificado como buena o maliciosa por proveedores de antivirus (AV) respetables reciben el puntaje que corresponde según eso. Los archivos también reciben puntaje según el conocimiento de que un archivo provenga de un sitio conocido como bueno o malicioso por la comunidad de seguridad.

El puntaje de la comunidad también indica si el antivirus de su red marcó los archivos como maliciosos. No indica que el producto antivirus residente actuara para proteger su sistema.

Sandbox

La cuarta categoría examina el comportamiento del software ejecutándolo en un ambiente de Sandbox. Al ejecutar el software para observar su comportamiento, se puede calcular un puntaje según la identificación de actividad maliciosa bien conocida. Por ejemplo, software que se configura a sí mismo para iniciarse automáticamente en cada reinicio y establecer conexiones IRC tendría un puntaje más alto que un archivo que no presente un comportamiento malicioso conocido.

Funciones y permisos para los analistas

En este tema se identifican las funciones y los permisos que se necesitan para que un usuario realice análisis de malware en NetWitness Suite. Si no puede realizar una tarea de análisis o abrir una vista, es posible que el administrador necesite ajustar las funciones y los permisos configurados para usted.

Funciones y permisos requeridos

RSA NetWitness Suite administra la seguridad mediante el acceso a las vistas y las funciones con el uso de permisos del sistema y permisos de servicios individuales.

En el nivel del sistema, es necesario que se asigne al usuario una función del sistema, en la vista Administration > Sistema, que proporcione acceso a vistas y funciones específicas.

A la función predeterminada de Malware_Analysts en NetWitness Suite 11.0 se asignan todos los permisos que se enumeran a continuación. Si es necesario, un administrador puede crear una función personalizada con alguna combinación de los siguientes permisos:

  • Acceder al módulo Investigation (requerido)
  • Investigation: navegar por los eventos
  • Investigation: navegar por los valores
  • Acceder al módulo Incident
  • Ver y administrar incidentes
  • Ver eventos de malware (para ver eventos)
  • Descarga de archivos (para descargar archivos desde el servicio Malware Analysis)
  • Iniciar escaneo de malware (para iniciar un escaneo de servicio de una sola vez o una carga de archivos de una sola vez)
  • Permisos de dashlet para mayor comodidad: Dashlet - Investigar dashlet de valores principales, Dashlet - Investigar dashlet de lista de servicios, Dashlet - Investigar dashlet de trabajos, Dashlet - Investigar dashlet de accesos directos.

Un caso de uso para la creación de una función personalizada sería una función Analista de malware junior, con permisos limitados que no incluyen el permiso de descarga de archivos.

En servicios específicos, un analista de malware debe ser miembro del grupo Analistas o de un grupo que tenga los dos permisos predeterminados asignados al grupo Analista: sdk.meta y sdk.content. Los usuarios que tienen estos permisos pueden usar aplicaciones específicas, ejecutar consultas y ver el contenido para fines de análisis del servicio.

You are here
Table of Contents > Cómo funciona Malware Analysis

Attachments

    Outcomes