Una forma rentable de detectar ataques dirigidos en su empresa
Si bien es fácil quedar atrapado en la gran cantidad de nuevas y emocionantes estrategias de protección, recientemente hemos descubierto un enfoque interesante para detectar un ataque dirigido y el actor o actores relacionados. Sorprendentemente, una gran parte de la solución ya existe en la mayoría de las empresas: la plataforma de seguridad de punto final probada. En este caso, utilizamos nuestro propio McAfee Endpoint Security (ENS). Junto con ENS, utilizamos GetQuarantine, una herramienta gratuita de McAfee, y un servicio de análisis de amenazas de terceros.
El problema
Comenzaremos con una definición funcional de un ataque dirigido:
Un ataque dirigido es una amenaza en la cual un actor de amenaza persigue y compromete activamente a un objetivo específico. Para lograr el objetivo, el adversario puede adaptar y mejorar su (s) ataque (s) para contrarrestar las defensas de la víctima y persistir durante un largo período de tiempo.
¿Qué dice esto? Primero, el objetivo del adversario es comprometer un objetivo específico, no solo un objetivo arbitrario. En segundo lugar, el adversario es lo suficientemente hábil para saber cómo funcionan las defensas y es lo suficientemente ingenioso para adaptarse activamente y mejorar su ataque para vencer a las defensas. Tercero, el adversario está lo suficientemente determinado como para perseguir el objetivo por un período de tiempo quizás indefinido.
En conjunto, las características anteriores desafían la mayoría de las tecnologías de defensa. ¿Porque? Porque estas características son contrarias a los supuestos en los que se basan estas tecnologías.
En el fondo, la mayoría de las tecnologías de defensa se basan en firmas, donde las firmas las crea un analista humano, una máquina o el uso de instancias de comportamiento malicioso conocido. El costo de construir firmas es alto y se amortiza utilizando la misma firma para defenderse del mismo ataque en otros lugares.
Hace veinte años, cuando solo había unos pocos miles de ejemplos de software malicioso, era relativamente fácil encontrar el origen, los autores y el motivo de la creación y lanzamiento de un archivo o aplicación maliciosa. Los investigadores de seguridad analizarían manualmente cada muestra, identificarían cuidadosamente las similitudes con muestras previamente conocidas a través de la pura memoria y etiquetarían cada muestra con un nombre único. Este método funcionó bien porque los ataques eran oportunistas y tenían el objetivo de extenderse lo más posible. Esto significaba que las compañías antivirus podían descubrir un ataque en un lugar, extraer firmas de detección relevantes y enviar las actualizaciones de firmas a su base de instalación.
Ahora, las compañías de inteligencia de amenazas de seguridad reciben cientos de miles de nuevas muestras de malware todos los días. Simplemente no hay tiempo o recursos suficientes para analizar cada malware y responder quién, qué, cuándo y por qué. Lo mejor que puede hacer cualquier software antivirus es clasificar un archivo en solo dos contenedores: bueno o malo. Es imposible para los investigadores observar manualmente cada muestra y procesarlas con el mismo detalle que antes. Para empeorar las cosas, los ataques de hoy están dirigidos. Los atacantes crean variantes únicas dirigidas a una empresa específica. Esto hace que sea prácticamente imposible conectar ataques entre empresas para comprender al atacante.
Y ahí radica un problema importante. Así como el número y la sofisticación de los ataques han aumentado exponencialmente, el objetivo de rastrear quién está detrás de un ataque e identificar los vínculos entre diferentes muestras de malware y sus autores, y la intención detrás de un ataque, se han perdido.
¿Por qué debería importar? En ausencia de información sobre quién está tratando de violar una organización, los defensores quedan operando en la oscuridad. Toman decisiones de seguridad basadas en infracciones que suceden en otros lugares utilizando inteligencia de amenazas que a menudo es irrelevante y, cuando es relevante, es probable que esté desactualizada.
La solución
El análisis de las campañas dirigidas muestra que los programas que forman parte de un ataque generalmente muestran un par de características similares. Primero, el malware o mecanismo de ataque se enfoca en una empresa o, como máximo, en un sector y segundo, el programa de malware demuestra características evolutivas donde el actor desata repetidamente diferentes variantes del mismo. Nuestra solución propuesta se centra en estas características y trata de descubrir campañas específicas mediante la búsqueda de semántica binaria entre malware encontrado en entornos de clientes y campañas específicas conocidas.
Nuestra estrategia de solución es:
Endpoint-security detecta una muestra de malware. Se compara con una muestra de un ataque dirigido conocido. Si la similitud es alta, es una fuerte indicación de que la muestra detectada por ENS es parte de ese ataque dirigido y el actor de amenaza es el mismo.
La estrategia se implementa en tres bloques de construcción: recolector de muestras, almacenamiento de muestras y análisis de ataques dirigidos mediante la aplicación de análisis de amenazas de terceros.
Colector de muestra (GetQuarantine)
La recolección de muestras se realiza con el software gratuito con licencia de propiedad de McAfee, GetQuarantine. GetQuarantine es una herramienta implementable de McAfee e-Policy Orchestrator (ePO) que puede ejecutarse en todos los puntos finales protegidos por McAfee ENS. GetQuarantine se ejecuta como una tarea de implementación de producto programada de ePO. ENS limpia o elimina elementos que se detectan como amenazas y guarda copias en un formato no ejecutable en la carpeta Cuarentena. La herramienta GetQuarantine en una ejecución programada, comprueba la carpeta de cuarentena y carga elementos en el backend de McAfee si los elementos no se han cargado durante las ejecuciones de herramientas anteriores.
Almacenamiento de muestra (McAfee Workflow y AWS)
El backend de flujo de trabajo de McAfee recibe envíos de muestra de GetQuarantine y los almacena en un depósito S3. Las muestras se segregan por empresa y se ponen a disposición para su posterior análisis. Aplicaciones de análisis de terceros como MÁGICO se puede ejecutar en muestras para extraer información de ataque dirigida. Los servicios de análisis están disponibles para los clientes de McAfee que participan en un programa de análisis de terceros. Para los clientes que no participan en un programa de análisis de terceros, el procesamiento de la muestra finaliza en la capa de fondo de McAfee y, finalmente, la muestra se elimina sin más análisis.
Análisis de ataque dirigido
Para nuestra implementación piloto utilizamos los servicios Cythereal MAGIC. El backend de McAfee envía muestras a MAGIC para el análisis de similitud binaria. Los clientes pueden consultar los informes de análisis utilizando el sitio web de Cythereal. Cythereal es el socio de McAfee’s Security Innovation Alliance (SIA).
Cythereal MAGIC ™ (correlación genómica de malware) es un servicio web promocionado como "BinDiff con esteroides ". El sistema lleva a cabo análisis de similitud semántica de programas utilizando técnicas avanzadas de análisis de programas en el código de nivel de instrucción de ensamblaje. La semántica del programa ofrece ideas más significativas que las características estructurales o de comportamiento. MAGIC puede encontrar similitud entre las muestras enviadas usando GetQuarantine y también encontrar variantes de esas muestras de la base de datos de MAGIC. Tiene la facilidad de proporcionar alertas para la detección de campañas y puede generar reglas YARA que pueden usarse para buscar otros servicios, como VirusTotal.
Primero probamos el análisis interno impulsado por el hombre utilizando herramientas de código abierto como SSDEEP, SDHASH, TLSH, etc. para probar el concepto de identificar ataques dirigidos utilizando la similitud binaria de las muestras encontradas en cuarentena. Aunque tuvimos éxito al probar este concepto con estas herramientas de código abierto, no fueron muy efectivas, especialmente con variantes polimórficas, por lo que exploramos opciones de terceros e identificamos Citeral MAGIC ™.
Arquitectura
La Figura 1 muestra la arquitectura general de nuestro sistema:
(Figura 1: McAfee ENS detecta una muestra sospechosa al estudiar su comportamiento u otros medios y luego mueve el archivo de muestra a la carpeta de cuarentena. La ejecución programada de la Herramienta GetQuarantine configurada en ePO como una tarea programada envía la muestra al backend de McAfee. La aplicación de análisis de terceros recibe periódicamente muestras del backend de McAfee para su posterior análisis).
Caso de estudio
Para un estudio de caso, utilizamos muestras de una campaña descubierta de McAfee, Oceansalt. Probamos la capacidad de la solución para agrupar muestras usando similitud semántica y también probamos la capacidad de la solución para identificar nuevas variantes de muestras de Oceansalt.
Ilustración de la capacidad de la solución para agrupar malware de cuarentena
McAfee Endpoint Security (ENS) detectó dos muestras de Oceansalt (como se enumera en la Tabla 1). GetQuarantine envió estas muestras al backend de McAfee. El análisis de ataque dirigido de estos archivos mostró una similitud semántica del 95.1%. La comparación de sus gráficos de flujo de control en la Figura 2 justifica el alto puntaje de similitud semántica.
(Tabla 1: Muestras de Oceansalt informadas por el centro de operaciones de seguridad de McAfee ™ en junio-julio de 2018).
(Figura 2: Gráfico de control de flujo de muestras de Oceansalt de la Tabla 1)
Ilustración de la capacidad de la solución para vincular nuevas variantes de la naturaleza a un ataque dirigido conocido
Finalmente, llegamos al caso de uso que motivó este estudio. El malware que pertenece a un ataque dirigido se identifica por sus archivos hash. Sin embargo, los atacantes usan polimorfismo y otras ofuscaciones para crear nuevas variantes. Aunque McAfee ENS puede bloquear tales variantes, puede que no lo vincule al ataque original. El análisis de ataque dirigido puede ayudar a llenar este vacío.
Para probar la capacidad de la solución de localizar tales ataques dirigidos, subimos una muestra de Oceansalt (MD5: 531DEE019792A089A4589C2CCE3DAC95 (Vermont)) a MAGIC y lo identificó como un APT. Luego cargamos una gran cantidad (miles) de muestras de malware a través de GetQuarantine. Como habíamos pensado, los análisis de ataques dirigidos enviaron una alerta de que había detectado variantes de Oceansalt (Figura 3).
(Figura 3: Alerta sobre la detección de una variante de Oceansalt en la cuarentena)
La alerta de MAGIC se activó porque encontró dos variantes de Oceansalt de la naturaleza que no fueron informadas previamente por McAfee SOC o cualquier otra inteligencia de amenaza global.
(Tabla 2: Dos nuevas variantes de muestras de Oceansalt encontradas usando similitud semántica)
Prueba tu cuarentena
Probamos la solución basada en GetQuarantine en nuestro laboratorio y encontramos resultados alentadores. Si desea probar esta solución, siga los siguientes pasos, junto con McAfee Endpoint Security (ENS):
- Descargue la versión beta de GetQuarantine, un software gratuito con licencia patentada.
- Impleméntelo utilizando el ecosistema de ePO.
- En el envío exitoso de la muestra al backend de McAfee, reciba un correo electrónico de confirmación.
Para obtener resultados de análisis de la aplicación de análisis de terceros, siga estos pasos:
- Visitar Cythereal MAGIC ™.
- El panel de MAGIC contiene tramas con detalles sobre varias campañas en curso.
- Al seleccionar una campaña en la trama, se muestra una tabla con todo el malware asociado donde el cliente puede descargar muestras y reglas de YARA.
- Cada vez que MAGIC detecta un ataque dirigido, envía un correo electrónico de alerta a la dirección de correo electrónico registrada del cliente, junto con información adicional sobre amenazas, como información sobre el grupo de amenazas, investigaciones de terceros sobre el grupo y IoC asociados. Los clientes también pueden ver la lista de alertas en el sitio web de MAGIC.
Resumen
Como puede ver en este ejercicio, el AV tradicional todavía tiene mucho que ofrecer y puede desempeñar un papel importante en la estrategia de seguridad general contra ataques dirigidos. Podemos amplificar las señales que salen de las detecciones AV utilizando herramientas como GetQuarantine y ejecutando análisis de artefactos de cuarentena para descubrir ataques dirigidos. Podemos adoptar un enfoque incremental para resolver los desafíos de ataque dirigido.
