Manual de Adaptive Defense
1
Manual de Adaptive Defense
Tabla de Contenidos Tabla de Contenidos ........................................................................................... 2 1. Prólogo .............................................................................................................. 6 1.1. ¿A quién está dirigida esta guía? .................................................................... 6 1.2. Iconos ................................................................................................................... 6
2. Introducción ..................................................................................................... 8 2.1. Características principales de Adaptive Defense. ....................................... 8 2.2. Perfil de Usuario de Adaptive Defense ........................................................... 9 2.3. Arquitectura general del servicio Adaptive Defense ................................... 9 2.3.1. Servidor Adaptive Defense ..................................................................................... 10 2.3.2. Servidor Web de la consola de administración.................................................. 11 2.3.3. Equipos protegidos con Adaptive Defense ........................................................ 11 2.3.4. Servidor Logtrust de conocimiento acumulado ................................................. 11 2.3.5. Servidores SIEM de clientes compatibles con Adaptive Defense .................. 12
3. Conceptos básicos de Adaptive Defense ................................................ 14 3.1. Características del servicio de protección en el endpoint ....................... 14 3.1.1. El ratio de detección ................................................................................................ 14 3.1.2. El ratio de clasificación ............................................................................................ 14 3.1.3. La fiabilidad de la clasificación ............................................................................. 14
3.2. Modelo Adaptive Defense ............................................................................. 14 3.3. Clasificación de procesos en Adaptive Defense........................................ 15 3.3.1. Procesos conocidos ................................................................................................. 15 3.3.2. Procesos desconocidos ........................................................................................... 15 3.3.3. Tipos de procesos conocidos ................................................................................. 16
3.4. Análisis de eventos ........................................................................................... 16 3.5. Confidencialidad de los datos del cliente ................................................... 17 3.5.1. Directrices de los datos recogidos por el servicio .............................................. 17 3.5.2. Información recogida de las máquinas ............................................................... 18 3.5.3. Privacidad de la información recogida ............................................................... 19
4. Instalación y puesta en marcha servicio Adaptive Defense ................. 21 4.1. Checklist de pasos y requisitos necesarios. .................................................. 21 4.2. Fase de aprendizaje ........................................................................................ 28 4.3. Fase de bloqueo de Malware (hardening) ................................................. 29
5. Estado de la seguridad y visibilidad de los equipos ................................ 31 5.1. Estado del servicio Adaptive Defense .......................................................... 31 5.2. Estado de la seguridad del parque informatico ......................................... 31 5.2.1. Programas maliciosos............................................................................................... 32 5.2.2. Investigando en nuestro laboratorio ..................................................................... 32 5.2.3. Programas vulnerables ............................................................................................ 33 5.2.4. Programas potencialmente no deseados........................................................... 34 5.2.5. Top riesgo Usuarios .................................................................................................... 34 5.2.6. Top Riesgo Equipos ................................................................................................... 35
5.3. Informes detallados de la actividad de las amenazas .............................. 36 5.3.1. Programas maliciosos............................................................................................... 36
2
Manual de Adaptive Defense
5.3.2. Programas en investigación ................................................................................... 37 5.3.3. Programas vulnerables ............................................................................................ 39 5.3.4. Programas potencialmente no deseados (PUP) ................................................ 39 5.3.5. Usuarios con más riesgo........................................................................................... 40 5.3.6. Equipos auditados .................................................................................................... 41
5.4. Informe ejecutivo ............................................................................................. 41
6. Configuración del comportamiento de Adaptive Defense .................. 43 6.1. Programas clasificados ................................................................................... 43 6.1.1. Ejecutar programas concretos clasificados como Malware........................... 43
6.2. Programas sin clasificar ................................................................................... 43 6.2.1. Modo auditoría ......................................................................................................... 44 6.2.2. Modo de bloqueo de programas en proceso de clasificación (Modo Extendido) ............................................................................................................................. 44 6.2.3. Modo de ejecución limitada de programas en proceso de clasificación (modo Deep Hardenig) ..................................................................................................... 44 6.2.4. Modo de ejecución completa de programas en proceso de clasificación (modo Hardenig) ................................................................................................................. 45
7. Análisis forense y prevención de ataques ................................................. 47 7.1. Modo Deep hardening e infección por Malware desconocido .............. 47 7.2. Análisis forense y prevención de ataques de equipos infectados........... 47 7.2.1. Análisis forense mediante las tablas de acciones ............................................. 47 7.2.2. Análisis forense mediante grafos de ejecución ................................................. 51 7.2.3. Diagramas .................................................................................................................. 52 7.2.4. Nodos .......................................................................................................................... 52 7.2.5. Líneas y flechas ......................................................................................................... 54 7.2.6. La línea temporal ...................................................................................................... 54 7.2.7. Zoom in y Zoom out .................................................................................................. 55 7.2.8. Timeline (línea temporal) ......................................................................................... 55 7.2.9. Filtros ............................................................................................................................ 56 7.2.10. Movimiento de los nodos y zoom general del grafo ....................................... 56
7.3. Interpretación de las tablas de acciones y grafos de actividad ............. 57 7.3.1. Ejemplo 1: Visualización de las acciones ejecutadas por el Malware Trj/OCJ.A ............................................................................................................................... 58 7.3.2. Ejemplo 2: Comunicación con equipos externos en BetterSurf ...................... 59 7.3.3. Ejemplo 3: acceso al registro con PasswordStealer.BT ...................................... 60 7.3.4. Ejemplo 4: Acceso a datos confidenciales en Trj/Chgt.F ................................. 62
8. Análisis de conocimiento y búsquedas avanzadas ................................ 65 8.1. Acceso al entorno LogTrust ............................................................................ 65 8.2. Descripción de las tablas Adaptive Defense .............................................. 65 8.2.1. Tabla Alert .................................................................................................................. 67 8.2.2. Tabla Drivers ............................................................................................................... 71 8.2.3. Tabla Filesdwn............................................................................................................ 72 8.2.4. Tabla hook .................................................................................................................. 76 8.2.5. Tabla Install ................................................................................................................. 78 8.2.6. Tabla Monitoredopen .............................................................................................. 79 8.2.7. Tabla Notblocked ..................................................................................................... 80 8.2.8. Tabla Ops .................................................................................................................... 83
3
Manual de Adaptive Defense
8.2.9. Tabla Registry ............................................................................................................. 85 8.2.10. Tabla Socket ............................................................................................................ 88 8.2.11. Tabla Toast ............................................................................................................... 92
9. Anexo I: Integración con productos SIEM ................................................. 96 10. Anexo II: Acuerdos de Nivel de Servicio .................................................. 98 10.1. Servicio de Preventa y Migración ................................................................ 98 10.2. Servicio de Soporte Técnico ......................................................................... 98 10.3. Nuestra Infraestructura en la Nube ............................................................. 99 10.4. Servicio de clasificación de software no confiable ................................ 101
4
Manual de Adaptive Defense
1. Prólogo ¿A quién está dedicada esta guía? Iconos
5
Manual de Adaptive Defense
1. Prólogo Esta guía contiene información y procedimientos de uso para obtener el máximo beneficio del producto Adaptive Defense.
1.1. ¿A quién está dirigida esta guía? La presente documentación está dirigida a administradores de red que necesiten proteger los equipos Windows del parque informático de la empresa frente a las amenazas y ataques dirigidos avanzados (APTs). Aunque Adaptive Defense es un servicio gestionado que ofrece seguridad garantizada sin intervención del administrador de la red, también provee de información muy detallada y fácil de comprender sobre los procesos y programas ejecutados por los usuarios en los equipos de la empresa, ya sean amenazas conocidas o desconocidas como programas legítimos. Para que el administrador de la red pueda interpretar correctamente la información ofrecida y extraer conclusiones que alimenten nuevas iniciativas para fortalecer la seguridad de la empresa son necesarios conocimientos técnicos de entornos Windows a nivel de procesos, sistema de ficheros y registro, así como entender los protocolos de red más frecuentemente utilizados.
1.2. Iconos En esta guía aparecen los siguientes iconos: Información adicional, como, por ejemplo, un método alternativo para realizar una determinada tarea. Sugerencias y recomendaciones. Consejo importante de cara a un uso correcto de las opciones de Adaptive Defense.
6
Manual de Adaptive Defense
2. Introducción Características principales Perfil de Usuario Arquitectura general
7
Manual de Adaptive Defense
2. Introducción Adaptive Defense es un servicio de seguridad gestionado basado en la supervisión, control y clasificación de los procesos ejecutados en el parque informático en base su comportamiento y naturaleza. A diferencia de los antivirus tradicionales, Adaptive Defense utiliza un nuevo concepto de seguridad que le permite adaptarse de forma precisa al entorno particular de cada empresa, supervisando la ejecución de todas las aplicaciones y aprendiendo constantemente de las acciones desencadenadas por cada uno de los procesos. Tras un breve periodo de aprendizaje Adaptive Defense es capaz de ofrecer un nivel de protección muy superior al de un antivirus tradicional, así como ofrecer una información valiosa sobre el contexto en el que se sucedieron los problemas de seguridad para poder determinar su alcance e implantar las medidas necesarias para evitar que se vuelvan a repetir. Adaptive Defense es un servicio Cloud y por lo tanto no requiere de nueva infraestructura de control en la empresa, manteniendo de esta manera un TCO bajo.
2.1. Características principales de Adaptive Defense. Adaptive Defense es un servicio gestionado que ofrece seguridad garantizada frente a amenazas y ataques avanzados y dirigidos a las empresas, a través de cuatro pilares:
Visibilidad en tiempo real de cada acción realizada por las aplicaciones en ejecución. Detección de amenazas mediante la clasificación automática de todos los ficheros y procesos de la red utilizando técnicas Machine Learning en entornos de explotación de información Big Data. Respuesta mediante análisis forense para investigar en profundidad el alcance de cada intento de intrusión. Prevención mediante información que ayudará al administrador de la red a evitar ataques dirigidos similares en el futuro.
8
Manual de Adaptive Defense
2.2. Perfil de Usuario de Adaptive Defense Aunque Adaptive Defense es un servicio gestionado que ofrece seguridad sin intervención del administrador de la red, también provee información muy detallada y comprensible sobre la actividad de los procesos ejecutados por los usuarios en toda la infraestructura de IT de la empresa. Esta información puede ser utilizada por el administrador para delimitar claramente el impacto de posibles problemas y adaptar sus protocolos de seguridad y así evitar situaciones equivalentes en el futuro. Todos los usuarios con un Agente Adaptive Defense instalado en su equipo disfrutarán de un servicio de seguridad con garantías, impidiendo la ejecución de programas que supongan una amenaza para el desarrollo de la empresa.
2.3. Arquitectura general del servicio Adaptive Defense Adaptive Defense es un servicio avanzado de seguridad basado en el análisis del comportamiento de los procesos ejecutados en el parque de cada cliente. El análisis de los procesos se realiza aplicando técnicas de Machine Learning en infraestructuras Big Data alojadas en la nube de forma que el cliente no tiene que instalar hardware ni recursos adicionales en sus oficinas. A continuación se muestra el esquema general de Adaptive Defense:
9
Manual de Adaptive Defense
Según la figura Adaptive Defense está formado por varios elementos:
Servidor Adaptive Defense Servidor web de la consola de administración Equipos protegidos con Adaptive Defense Equipo del administrador de red que accede a la consola web Servidor Logtrust de explotación en tiempo real del conocimiento acumulado Servidores SIEM del cliente compatibles con Adaptive Defense
A continuación se detallan los diferentes roles de la arquitectura mostrada.
2.3.1. Servidor Adaptive Defense El servidor Adaptive Defense recopila todas las acciones realizadas por los procesos de usuario y enviadas desde los Agentes instalados en los equipos del cliente. Mediante técnicas de aprendizaje, evalúa su comportamiento y dicta una clasificación por cada proceso en ejecución, que es devuelta al Agente para ejecutar una decisión. El servidor Adaptive Defense está formado por una granja de servidores alojada en la nube que configura un entorno de explotación Big Data donde se aplican reglas Machine Learning de forma continuada para clasificar cada proceso ejecutado. Las ventajas de este nuevo modelo de análisis de procesos en la nube frente al adoptado por los antivirus tradicionales basados en el envío de muestras al proveedor y análisis manual son varias:
El porcentaje de error al clasificar un proceso ejecutado en multitud de endpoints a lo largo del tiempo es del 99’9991% (menos de 1 error cada 100.000 ficheros analizados) con lo que el número de falsos positivos y falsos negativos es cercano a cero.
El retraso en la clasificación de los procesos vistos por primera vez es mínimo ya que el Agente Adaptive Defense envía las acciones que desencadena cada proceso y el servidor las analiza buscando patrones sospechosos. Adicionalmente para los ficheros ejecutables encontrados en el equipo del usuario y que sean desconocidos para la plataforma Adaptive Defense el agente enviará el fichero al servidor para su análisis. El impacto en el rendimiento de la red del cliente debido al envío de los ejecutables desconocidos está configurado para pasar completamente desapercibido. Un fichero desconocido se envía una sola vez para todos los clientes que usan Adaptive Defense. Además se han implementado mecanismos de gestión del ancho de banda y limites por Agente y hora, con el objetivo de minimizar el impacto en la red del cliente.
El consumo de recursos de CPU en el equipo del usuario es mínimo y está estimado en un 2% frente al 5%-15% de las soluciones de seguridad tradicionales, ya que todo el proceso de análisis y clasificación se realiza en la nube. El Agente instalado simplemente recoge la clasificación enviada por el servidor Adaptive Defense y ejecuta una acción correctora.
El análisis en la nube libera al cliente de instalar y mantener infraestructuras de hardware y software junto al pago de licencias y gestión de garantías, con lo que el TCO desciende significativamente.
10
Manual de Adaptive Defense
Consulta el Anexo 2 para información sobre la disponibilidad de la plataforma Adaptive Defense y los tiempos de clasificación.
2.3.2. Servidor Web de la consola de administración Toda la gestión de Adaptive Defense se realiza a través de la consola web accesible para el administrador desde la URL https://paps.pandasecurity.com/paps La consola web es compatible con los navegadores más comunes y es accesible desde cualquier lugar y en cualquier momento utilizando cualquier dispositivo que tenga instalado un navegador compatible.
Consulta el Capítulo 4: Instalación y puesta en marcha servicio Adaptive Defense para verificar si tu navegador es compatible con el servicio.
La consola web es responsive de modo que es accesible desde móviles y tablets en cualquier momento y lugar.
2.3.3. Equipos protegidos con Adaptive Defense El Agente Adaptive Defense es un pequeño componente software que ocupa algo menos de 20MB y que tiene que estar instalado en todas las máquinas del parque informático susceptibles de sufrir problemas de seguridad. El modo de funcionamiento del Agente consiste en recoger información sobre todos los eventos que se producen en las máquinas, enviándolos al Servidor Adaptive Defense. Toda la información recogida corresponde a los eventos de software y los componentes que los producen. No se recoge información ni documentos del usuario. El Agente enviará en tiempo real toda la información al Servidor Adaptive Defense para su explotación y clasificación.
El Agente Adaptive Defense se instala sin problemas en máquinas con otras soluciones de seguridad
2.3.4. Servidor Logtrust de conocimiento acumulado Adaptive Defense se entrega opcionalmente con un servicio de almacenamiento para todo el conocimiento generado por los equipos del cliente, con un registro de cada acción realizada por los procesos que se ejecutan en el parque de IT, ya sean Goodware como Malware. De esta forma es posible relacionar y visualizar de forma flexible todos los datos recogidos para obtener información adicional sobre las amenazas y sobre el uso que los usuarios están dando a los equipos de la empresa. El servicio Logtrust es accesible desde el Dashboard de la propia consola Web.
11
Manual de Adaptive Defense
Consulta el Capítulo 8 para configurar y sacar provecho del servicio de análisis de conocimiento y búsquedas avanzadas.
2.3.5. Servidores SIEM de clientes compatibles con Adaptive Defense Adaptive Defense se integra con soluciones SIEM de proveedores externos enviando los datos recogidos sobre la actividad de todas las aplicaciones ejecutadas en los puestos. Esta información se entrega al SIEM ampliada con todo el conocimiento de la plataforma Adaptive Defense y podrá ser explotada por los sistemas de que disponga el cliente. A continuación se listan los sistemas SIEM compatibles con Adaptive Defense:
QRadar
AlienVault
ArcSight
LookWise
Bitacora Consulta el Anexo 1 Integración con productos SIEM para obtener más información sobre la integración de Adaptive Defense con SIEMs de terceros.
12
Manual de Adaptive Defense
3. Conceptos básicos de Adaptive Defense Características del servicio de protección en el endpoint Modelo Adaptive Defense Clasificación de procesos Análisis de eventos Confidencialidad de los datos
13
Manual de Adaptive Defense
3. Conceptos básicos de Adaptive Defense Adaptive Defense es un servicio de seguridad garantizada basado en un modelo de protección completamente diferente al utilizado en los antivirus tradicionales, ya sea On Premise, Cloud o mono puesto.
3.1. Características del servicio de protección en el endpoint Desde el punto de vista de la protección de los equipos de la red, son tres los parámetros fundamentales a la hora de ofrecer un producto de seguridad fiable: el ratio de detección, el ratio de clasificación y la precisión en la clasificación de los ficheros analizados. A estos tres parámetros se debe de añadir un cuarto adicional que los recoge: el factor temporal.
3.1.1. El ratio de detección El ratio de detección responde a la pregunta de “¿Cuantos virus conoce la solución de seguridad?” Se trata del porcentaje de muestras diferentes que el proveedor de seguridad reconoce, frente al número de muestras totales en circulación.
3.1.2. El ratio de clasificación El ratio de clasificación responde la pregunta de “¿Cuantos ficheros conoces?” Indica el porcentaje de ficheros que el proveedor ya ha reconocido para poder emitir una clasificación, frente al total de ficheros que circula por la red del cliente.
3.1.3. La fiabilidad de la clasificación La fiabilidad de la clasificación mide el nivel de certeza en el veredicto emitido a la hora de etiquetar un elemento como Goodware o Malware. O dicho de otro modo es la probabilidad de que un elemento conocido cambie su clasificación, bien porque inicialmente fue clasificado como Goodware y sea posteriormente reclasificado como Malware o viceversa.
3.2. Modelo Adaptive Defense En el modelo propuesto la actividad de clasificación y detección de Malware también se realiza en local con los conocidos métodos heurísticos del sistema tradicional pero la principal novedad es la recopilación automática de las acciones desencadenadas por cada proceso ejecutado en los equipos del cliente, y su posterior estudio utilizando técnicas de Machine Learning en los entornos Big Data desplegados dentro de la infraestructura del proveedor de seguridad. De esta forma cada Agente instalado en el equipo del cliente registra todas las acciones y cambios en el sistema que producen cada uno de los procesos que el usuario ejecuta. Estas acciones perfectamente detalladas son enviadas al proveedor, produciéndose un minado de
14
Manual de Adaptive Defense
datos de comportamiento continuo y en tiempo real. Así es como Adaptive Defense conoce las características y comportamiento de todos y cada uno de los ficheros que circulan en las redes de sus clientes. Debido a que una misma solución de software ejecutada en muchos clientes puede generar grupos de acciones diferentes dependiendo de cómo sea utilizada, el proveedor tendrá acceso a multitud de ejecuciones de un mismo programa, disponiendo así de un volumen de evidencias adicionales muy valioso e imposible de replicar en el modelo tradicional que, una vez cruzadas y explotadas con tecnologías de análisis estadístico sobre plataformas Big Data, permitirán una clasificación casi instantánea y automática en la mayoría de los casos de todos y cada uno de los procesos que ejecuta cada cliente, con un grado de fiabilidad muy próximo al 100%.
3.3. Clasificación de procesos en Adaptive Defense El proceso de clasificación consiste en determinar la peligrosidad de cada programa ejecutado en la empresa del cliente En un primer nivel el sistema distingue entre dos estados.
Procesos conocidos Procesos desconocidos
3.3.1. Procesos conocidos Se trata de procesos ya registrados y analizados por Adaptive Defense o con ciertas características que los convierten en procesos conocidos sin necesidad de analizarlos. En este último grupo entrarían los programas que forman parte del sistema operativo o programas firmados digitalmente por una entidad certificadora conocida. Todos los procesos conocidos por Adaptive Defense llevan un hash asociado de forma que el Agente pueda preguntar al Servidor Adaptive Defense si es conocido o no, y si lo es poder recuperar su clasificación.
3.3.2. Procesos desconocidos Son los procesos nuevos para el sistema y por lo tanto sin hash de identificación ni clasificación asociada. En función de la configuración del servicio se permitirá o no su ejecución en el equipo del cliente. En el caso de que se permita su ejecución el Agente enviará al servidor los eventos generados por cada ejecución del proceso en cada uno de los equipos de usuario. En el momento en que el número de eventos sea lo suficientemente relevante en el Servidor Adaptive Defense se emitirá una clasificación y el proceso pasara a estado Conocido.
15
Manual de Adaptive Defense
3.3.3. Tipos de procesos conocidos Dentro de los procesos conocidos existen dos tipos: Goodware y Malware/PUPS. Goodware: Goodware es un proceso conocido cuyo comportamiento desde el momento en que fue visto por primera vez en un equipo hasta el presente es seguro. Un proceso puede ser Goodware por varias razones:
Por pertenecer a la distribución base del sistema operativo y venir firmado digitalmente por una entidad emisora de certificados de confianza
Por haber sido monitorizada su ejecución una o más veces, y por lo tanto los eventos generados ya han sido estudiados por Adaptive Defense.
Malware / PUP: Adaptive Defense analiza el comportamiento de los procesos en ejecución y evalúa la peligrosidad de sus acciones. Si un proceso ha realizado acciones peligrosas en el pasado para el equipo o la red donde se encontraba en ejecución Adaptive Defense lo catalogará como Malware o como un programa potencialmente no deseado para todos los clientes del servicio.
3.4. Análisis de eventos Adaptive Defense basa su funcionamiento en tres pilares fundamentales: un Agente instalado en el endpoint del cliente, un sistema de análisis automatizado en la nube y un equipo de expertos en Panda Labs que estudia las amenazas más complicadas que los sistemas automáticos no pueden resolver por sí solos. El Agente instalado en cada equipo del cliente monitoriza cada uno de los procesos en ejecución y envía todos los eventos a la nube, donde se explota este conocimiento para determinar de forma automática para la mayor parte de los casos la peligrosidad de los procesos ejecutados. El número de tipos de acciones registradas y enviadas al proveedor es muy exhaustivo, una lista de las más importantes se detalla a continuación:
Descarga de ficheros
Instalación de software
URLs de descarga
Modificación del fichero de Hosts
Edad del fichero
Creación / instalación de drivers
Captura de ventanas
Comunicaciones de procesos (IP, puertos, protocolos)
16
Manual de Adaptive Defense
Creación y modificación de ficheros ejecutables
Carga de DLLs
Creación de servicios
Mapeo de ficheros ejecutables
Borrado y renombrado de ficheros
Creación de carpetas
Creación y apertura de archivos
Creación y modificación de ramas del registro
Creación de hilos en procesos remotos
Destrucción de procesos
Acceso a la SAM
Acceso a datos (alrededor de 200 formatos de fichero)
3.5. Confidencialidad de los datos del cliente El nuevo modelo de protección de Adaptive Defense requiere obtener información de las acciones realizadas por las aplicaciones instaladas en los equipos del cliente.
3.5.1. Directrices de los datos recogidos por el servicio La recogida de datos en Adaptive Defense estrictamente unas directrices generales que se listan a continuación
Se recoge únicamente información relativa a ficheros ejecutables de Windows, (fichero .exe, .dll,…) que se ejecutan / cargan en el equipo del usuario. No se recoge ninguna información sobre ficheros de datos.
Los atributos de los ficheros se envían normalizados retirando la información referente al usuario logueado. Así por ejemplo las rutas de ficheros se normaliza como LOCALAPPDATA\nombre.exe en lugar de c:\Users\NOMBRE_DE_USUARIO \AppData \Local\nombre.exe)
Las URLS recogidas son únicamente las de descarga de ficheros ejecutables. No se recogen URLs de navegación de usuarios.
No existe nunca la relación dato-usuario dentro de los datos recogidos.
En ningún caso Adaptive Defense envía información personal a la nube.
17
Manual de Adaptive Defense
3.5.2. Información recogida de las máquinas La información del entorno de ejecución (hardware y software del equipo) recogida por el servicio es la siguiente:
Nombre del equipo.
Sistema operativo.
Service Pack.
Grupo en el que el PC protegido está incluido.
IP por defecto de la máquina.
MAC.
Direcciones IP asignadas al PC en los diferentes adaptadores de red.
MAC para los diferentes adaptadores de red.
Memoria Ram en MBytes.
Como información imprescindible para soportar el nuevo modelo de protección, Adaptive Defense envía información sobre las acciones que realizan las aplicaciones ejecutadas en cada equipo del usuario. Atributo
Dato
Descripción
Ejemplo
Fichero
Hash
Hash del fichero al que hace referencia el evento
N/A
URL
Url
Dirección desde donde se ha descargado un ejecutable
http://www.Malware.com/ejecu table.exe
Path
Path
Ruta normalizada en la que se encuentra el fichero al que hace referencia el evento
APPDATA\
Clave/Valor
Clave del registro de Windows y su contenido relacionado
HKEY_LOCAL_MACHINE\SOFTWA RE\Panda Security\Panda Research\Minerva\Version = 3.2.21
Operación
Id Operación
Identificador de operación realizada en el evento (creación/modificación/carga/.. de ejecutable, descarga de ejecutable, comunicación,…)
El evento de tipo 0 indica la ejecución de un ejecutable
Comunicación
Protocolo /Puerto/ Dirección
Recoge el evento de comunicación de un proceso (no su contenido) junto con el protocolo y dirección
Malware.exe envía datos por UDP en el puerto 4865
Registro
18
Manual de Adaptive Defense
Software Instalado
Software
Recoge la lista de software instalado en el endpoint según el API de Windows
Office 2007, Firefox 25, IBM Client Access 1.0
Adicionalmente puede ser necesario enviar ficheros ejecutables a nuestra plataforma de Inteligencia Colectiva. Para reducir el consumo de ancho de banda sólo se envían ficheros ejecutables a la plataforma de Inteligencia Colectiva en caso de no estar aún presentes. Al enviarse únicamente ficheros ejecutables nos aseguramos que en ningún caso contendrán información confidencial del usuario / cliente.
3.5.3. Privacidad de la información recogida Toda la información recogida se almacena únicamente en nuestra plataforma cloud de Windows Azure. La información no es compartida con terceros salvo en el caso de que los clientes:
Quieran recibir en su sistema SIEM información sobre las alertas y datos de seguridad que son recogidos por Adaptive Defense. La información recogida se enviará a los SIEM de los clientes por un protocolo seguro establecido por el cliente.
Usen la plataforma Logtrust, la plataforma de explotación en tiempo real del conocimiento acumulado con el que Adaptive Defense se integra por defecto. La información es enviada a Logtrust por HTTPS y se almacena en los CPDs de Logtrust.
Toda la información que se envía a la nube es cifrada con algoritmos de encriptación fuertes como BlowFish. Finalmente, la información recogida en el equipo del usuario por el Agente es almacenada temporalmente en una carpeta de almacenamiento cifrada.
19
Manual de Adaptive Defense
4. Instalación y puesta en marcha Checklist de pasos y requisitos necesarios Fase de aprendizaje Fase de bloqueo de Malware
20
Manual de Adaptive Defense
4. Instalación y puesta en marcha servicio Adaptive Defense En este capítulo se detallan los pasos necesarios para finalizar correctamente una instalación del servicio y su posterior puesta en marcha.
4.1. Checklist de pasos y requisitos necesarios. 1º Comprobar la compatibilidad del Agente Adaptive Defense con los equipos a proteger. Los sistemas Windows compatibles con el Agente son los siguientes:
Sistemas operativos (estaciones): Windows XP SP2 o superior (Vista, Windows 7, 8 y 8.1) en plataformas de 32 y 64 bits.
Sistemas operativos (servidores): Windows Server 2003, Windows Server 2008, Windows Server 2012 en cualquiera de sus configuraciones y arquitecturas.
2º Comprobar que se cumplen los prerrequisitos en cada equipo a instalar El Agente es una aplicación que requiere de los siguientes componentes estándar, generalmente ya instalados en el equipo del usuario:
.NET Framework versión 2.0 SP2 o cualquiera de las versiones superiores que lo incluyan. Si no se encuentra se requerirá su instalación manual
Visual C++ 2008 Redistributable Package. Si no se encuentra el instalador lo descargará e instalará por sí mismo.
3º Comprobar que se cumplen los prerrequisitos de conectividad El agente se comunica por defecto a través del protocolo HTTPS con el servidor de modo que requiere acceso por el puerto 443 a Internet con los destinos: https://paps.pandasecurity.com https://rpuws.pandasecurity.com https://rpkws.pandasecurity.com https://prws2.pandasecurity.com/PAPS/Login.aspx/ En el caso de utilizarse un proxy para acceder a Intenet se deben de configurar las credenciales correspondientes en el portal web antes de la descarga del instalador (ver paso 4º). Adicionalmente, el Agente tiene la capacidad de conmutar de conexión por proxy a conexión directa y viceversa automáticamente, permitiendo así el envío de eventos para equipos en movilidad conectados a redes no corporativas (sin proxy). 4º Generación del paquete de instalación La generación del paquete de instalación introduce cierta información en el instalador que facilitará al administrador el posterior despliegue y configuración del Agente.
21
Manual de Adaptive Defense
Configuración del proxy de salida a Internet: Si el acceso a Internet de la red es a través de un proxy, primero se deberá de configurar la información para su utilización en la Consola web. De este modo se generará un instalador MSI preparado para poder ser usado en la red. Si se van a utilizar varios proxys diferentes se deberá generar un instalador personalizado para cada uno de ellos y gestionar el despliegue en cada red correspondiente.
Para generar un paquete de instalación hay que hacer click en el botón Añadir equipos en el dashboard y rellenar los campos relativos al proxy si el acceso a internet de los agentes es de esta manera.
Una vez introducidos los datos y salvados se puede proceder a la descarga del MSI en el equipo local para comentar su despliegue.
El instalador es único y contiene tanto la versión del Agente compatible con sistemas de 32 bits como la de 64 bits.
Instalación del Agente en equipos con otros antivirus instalados: Adaptive Defense es compatible con los antivirus de endpoint tradicionales y se puede instalar como complemento para proteger los equipos del cliente contra ataques dirigidos y avanzados.
5º Descarga y distribución del instalador El fichero instalador MSI puede ser distribuido de varias formas en la red del cliente, dependiendo del número de equipos, su localización y otros factores. Instalación manual: El instalador MSI puede ser compartido en una carpeta de red de donde los usuarios lo recogerán e instalarán manualmente, o también puede ser enviado por email.
22
Manual de Adaptive Defense
La instalación del Agente requiere permisos de administrador local del equipo. Según la configuración del equipo el UAC requerirá confirmar la instalación o introducir la contraseña de administrador.
El programa de instalación no necesita ninguna información adicional. Si el paquete Visual C++ 2008 Redistributable Package no está instalado en el equipo el instalador lo descargará e instalara de forma automática.
Una vez terminado el proceso de instalación el Agente Adaptive Defense se actualizará con el nuevo conocimiento. El Agente Adaptive Defense está preparado para pasar inadvertido para el usuario y no admite ningún tipo de configuración desde el mismo equipo. Instalación centralizada mediante Políticas de grupo (GPO): Si el parque de equipos es muy grande puede usarse la infraestructura de Active Directory existente para desplegar el instalador o cualquier otro software de instalación remota. De esta manera el administrador de red no tendrá que desplazarse a los equipos uno por uno y podrá realizar una instalación silent en los equipos de la red que considere oportuno. A continuación se muestran los pasos de una instalación mediante una GPO (Group Policy Object).
Descarga del instalador Adaptive Defense y compartición: Colocar el instalador Adaptive Defense en una carpeta compartida que sea accesible por todos aquellos equipos que vayan a recibir el Agente.
Abrir el applet “Active Directory Users and Computers” y crear una nueva OU (Organizational Unit) de nombre “Adaptive Defense”.
23
Manual de Adaptive Defense
Abrir el snap-in Group Policy Management y en Domains seleccionar la UO recién
creada para bloquear la herencia.
Crear una nueva GPO en la UO “Adaptive Defense”
24
Manual de Adaptive Defense
Editar la GPO
25
Manual de Adaptive Defense
Añadir un nuevo paquete de instalación que contendrá el Agente Adaptive Defense. Para ello se nos pedirá que añadamos el instalador a la GPO.
Una vez añadido mostramos las propiedades y en la pestaña Deployment, Advanced seleccionamos el check box que evita la comprobación entre el sistema operativo de destino y el definido en el instalador.
26
Manual de Adaptive Defense
Finalmente añadimos en la OU Adaptive Defense creada anteriormente en “Active Directory Users and Computers” a todos los equipos de la red que queramos enviar el Agente.
6º Comprobación de la instalación del Agente
La instalación del Agente crea los siguientes elementos en los equipos:
R UTA DE INSTALACIÓN : ficheros correspondientes a los servicios instalados. - %programfiles%\Panda Security\Minerva Suite\
R UTA DE T RABAJO : Contiene la caché y diversos ficheros temporales de los eventos de actividad de la máquina recogidos - %ProgramData%\Minerva
SERVICIOS : la instalación registra 2 nuevos servicios cuyos ejecutables se encuentran firmados digitalmente por Panda Security, S.L. al igual que todos los ficheros de la solución: - Minerva Agent (RMMsvc.exe): Recopila y envía los eventos observados en el equipo. - Minerva Updater (MinervaUpdater.exe): Genera las actualizaciones del agente.
R EGISTRO : se crea la siguiente rama de registro con diversas configuraciones entre las que se encuentra el identificador de cliente, url del frontal del servicio, datos de proxy, etc… - HKEY_LOCAL_MACHINE\SOFTWARE\Panda Security\Panda Research\Minerva
Cambio de los datos de conexión a través de Proxy: Una vez que el Agente está instalado y funcionando ya no es posible cambiar los datos de conexión a través de proxy desde la consola del servicio. En su lugar se utiliza el programa SetMinervaProxy.zip descargable desde http://www.pandasecurity.com/resources/tools/paps/setminervaproxy.zip Una vez descargado descomprimir el archivo (contraseña: panda) en la carpeta de instalación de Adaptive Defense y lanzar una ventana de línea de comandos con permisos de Administrador. Teclear el siguiente comando, indicando la información correspondiente a los nuevos datos de configuración del proxy: SetMinervaProxy.exe [Domain] [User] [password] [proxy server] [proxy port] [PROXYAUTH (1/0)]
27
Manual de Adaptive Defense
Si se quiere desactivar el proxy y usar una conexión directa puedes ejecutar el siguiente comando: SetMinervaProxy.exe Activate=0 7º Actualización del Agente El Agente dispone de un servicio denominado Minerva Updater. Este servicio se encarga entre otras tareas, de la actualización del Agente, descargando desde el Servidor Adaptive Defense los datos de actualización publicados. La actualización es completamente transparente para el usuario final y puede ser monitorizada a través del Dashboard y de informes diarios accesibles en la Consola web.
Consulta el Capítulo 5: Estado de la seguridad y visibilidad de los equipos para más información acerca de los informes y el dashboard.
Una vez completada la instalación de los Agentes en el parque de equipos el servicio comenzará a auditar los procesos ejecutados en las máquinas para proceder a su clasificación.
4.2. Fase de aprendizaje La fase de aprendizaje es un periodo de tiempo que comienza en el momento en que la instalación del Agente se ha completado y dura entre 2 días y 1 semana dependiendo del número de aplicaciones que se ejecuten en ese equipo. Durante este tiempo el Agente comienza a monitorizar los eventos que ocurren en la máquina enviando al servidor Adaptive Defense aquellos que consideran relevantes. Los Agentes también enviarán a los frontales únicamente aquellas muestras no registradas en el conocimiento de Panda Security hasta el momento. Un fichero se enviará una sola vez desde una máquina. El uso de ancho de banda está limitado y es monitorizado por el propio Agente. Una vez recibida en el Servidor la información recogida por los Agentes, ésta pasa al backend del servicio donde se aplican diferentes tecnologías para resolver los elementos desconocidos y/o potencialmente maliciosos e identificar software potencialmente vulnerable. Durante la fase de aprendizaje el comportamiento de Adaptive Defense con respecto al Goodware, Malware y ficheros desconocidos es el siguiente:
Goodware: se permite su ejecución de forma normal
Malware: se bloquea su ejecución
Ficheros desconocidos: Inicialmente se permite su ejecución hasta que Adaptive Defense concluya que se trata de Goodware o Malware. Una vez clasificado el conocimiento se difunde a todos los equipos que utilizan el servicio de protección. Si un equipo ejecutó un programa sin clasificar en su momento y que posteriormente ha resultado ser Malware el sistema bloqueará cualquier intento de ejecución posterior y marcará el equipo como infectado en la sección Alertas.
28
Manual de Adaptive Defense
Consulta el capítulo 5: Estado de la seguridad y visibilidad de los equipos para más información acerca de las Alertas.Consulta el Capítulo3: Conceptos básicos de Adaptive Defense para más información sobre Goodware, Malware y ficheros desconocidos.
Al final de la fase de aprendizaje el 100% de las aplicaciones ejecutadas por los usuarios son clasificadas como Goodware o Malware.
4.3. Fase de bloqueo de Malware (hardening) Una vez terminada la fase de aprendizaje Adaptive Defense comenzará a proteger el equipo según sea la configuración elegida por el administrador de red.
Consulta el Capítulo 6: Configuración del comportamiento de Adaptive Defense para más información.
29
Manual de Adaptive Defense
5. Estado de la seguridad y visibilidad de los equipos Estado del servicio Estado de la seguridad Informes detallados de la actividad de las amenazas Informe ejecutivo
30
Manual de Adaptive Defense
5. Estado de la seguridad y visibilidad de los equipos En este capítulo se mostrarán las diferentes formas de visualizar el estado de la seguridad del parque informático en Adaptive Defense así como el estado del servicio.
5.1. Estado del servicio Adaptive Defense El Dashboard es la pantalla principal de Adaptive Defense y su propósito es representar gráficamente tanto el estado de la seguridad de la red del cliente como del servicio contratado. De este modo se facilita la localización con un solo vistazo de los principales problemas encontrados en la red.
Para mostrar el estado del servicio Adaptive Defense se vale de 3 widgets que reportan al administrador la información indicada a continuación: - El widget situado a la izqierda muestra el estado del servicio “Activo” o “Inactivo” - El widget central muestra el número de dispositivos protegidos por Adaptive Defense. Para añadir nuevos dispositivos hacer clic en el botón “Añadir equipos…” tal y como se explica en el Capítulo 4: Instalación y puesta en marcha - En el widget de la derecha se indican los equipos del cliente que, teniendo un Agente Adaptive Defense correctamente instalado no se han comunicado con el servidor en los últimos, 3, 7 y 30 dias.
5.2. Estado de la seguridad del parque informatico El Dashboard en su parte central representa gráficamente el estado de la seguridad mediante 6 widgets que se actualizan en tiempo real y muestran un aspecto particular de la red del cliente en un momento concreto. Se puede hacer clic sobre cada widget para conseguir un desglose de los datos mostrados con mayor detalle. Todos los contadores incluidos en el Dashboard muestran el número de amenazas o programas únicos diferentes encontrados en el parque informático del cliente y en el periodo de tiempo establecido por el administrador.
De esta manera si una misma amenaza o programa
vulnerable es detectada varias veces en distintos equipos en el periodo de tiempo fijado solo se contabiliza una única vez.
31
Manual de Adaptive Defense
Mediante la herramienta de filtrado situada en la parte superior se puede cambiar el intervalo de tiempo establecido para mostrar datos del último dia, última semana, último mes y última año.
Las amenazas desinfectadas o programas vulnerables actualizados no desaparecen de los contadores o los dashboards en el intervalo de tiempo elegido, si bien al elegir un intervalo de tiempo posterior al momento de la desinfección ya no serán mostradas.
5.2.1. Programas maliciosos
Este widget muestra el número de amenazas de tipo Malware encontradas. Ofrece los siguientes datos: - Número de amenazas únicas encontradas en todo el parque informático del cliente - Ejecutados: amenazas que se llegaron a ejecutar en el equipo del usuario - Acceden a datos: amenazas encontradas que acceden a los ficheros del usuario - Dispositivos afectados: número de equipos que contienen malware - Conexión exterior: número de amenazas que acceden a otros equipos para el envio o recepción de datos
5.2.2. Investigando en nuestro laboratorio
32
Manual de Adaptive Defense
Este widget muestra los programas desconcidos encontrados en la red del cliente que, en un análisis preliminar han mostrado un comportamiento sospechoso, aunque están pendientes de ser clasificados definitivamente por los técnicos de Panda Security. En el plazo de 24 horas estos programas son clasificados como Goodware o Malware. Ofrece los siguientes datos: - Numero de programas sospechosos que están siendo analizados en los laboratorios de Panda Secuirty encontrados desde la instalación y puesta en marcha del servicio Adaptive Defense - Ejecutados: programas potencialmente peligrosos que se llegaron a ejecutar en el equipo del usuario - Acceden a datos: programas potencialmente peligrosos encontrados que acceden a los ficheros del usuario - Dispositivos
afectados:
número
de
equipos
que
contienen
programas
potencialmente peligrosos - Conexión exterior: número de programas potencialmente peligrosos que acceden a equipos externos para el envio o recepción de datos
5.2.3. Programas vulnerables
Este widget muestra el número de programas que contienen alguna vulnerabilidad aprovechable por malware y PUPs para infectar los equipos de la red del cliente.
33
Manual de Adaptive Defense
- Número de programas que contienen algún tipo de vulnerabilidad aprovechable por malware y PUPs encontrados desde la instalación y puesta en marcha del servicio Adaptive Defense - Ejecutados: programas vulnerables que se llegaron a utilizar en el equipo del usuario - Acceden a datos: programas vulnerables encontrados que acceden a los ficheros del usuario - Dispositivos afectados: número de equipos que tienen programas vulnerables instalados - Conexión exterior: número de programas vulnerables
que acceden a equipos
remotos para el envio o recepción de datos
5.2.4. Programas potencialmente no deseados
Este widget refleja los PUPS (Potentialy Unwanted Programs) encontrados en la red del cliente. Ofrece los siguientes datos: - Numero de programas potencialmente peligrosos encontradas desde la instalación y puesta en marcha del servicio Adaptive Defense - Ejecutados: programas potencialmente peligrosos que se llegaron a ejecutar en el equipo del usuario - Acceden a datos: programas potencialmente peligrosos encontradas que acceden a los ficheros del usuario - Dispositivos
afectados:
número
de
equipos
que
contienen
programas
potencialmente peligrosos - Conexión exterior: número de programas potencialmente peligrosos que acceden a equipos remotos para el envio o recepción de datos
5.2.5. Top riesgo Usuarios
34
Manual de Adaptive Defense
Este widget muestra a los cuatro usuarios de la red cuyos dispositivos tienen un mayor peligro de infección.
Para ello se muentran los cuatro conceptos vistos anteriormente agrupados por
usuario: - Número de programas maliciosos - Número de programas potencialmente no deseados (PUP) - Número de programas en investigación - Número de programas vulnerables
5.2.6. Top Riesgo Equipos
35
Manual de Adaptive Defense
Este widget muestra a los cuatro equipos de la red con mayor peligro de infección. Para ello se muentran los cuatro conceptos vistos anteriormente agrupados por equipos: - Número de programas maliciosos - Número de programas potencialmente no deseados (PUP) - Número de programas en investigación - Número de programas vulnerables
5.3. Informes detallados de la actividad de las amenazas Haciendo clic en los diferentes paneles del Dashboard se muestran informes y listados detallados del malware o del software vulnerable encontrado en la red del cliente. El contenido de todas las tablas mostradas se puede ordenar haciendo clic en los campos cabecera y en la parte inferior se encuentra el sistema de paginación para una navegación mas cómoda.
5.3.1. Programas maliciosos En este informe se muestra un listado de las amenazas encontradas en los equipos protegidos con Adaptive Defense. En la parte superior se encuentra la herramienta de búsqueda:
36
Manual de Adaptive Defense
El filtro (1) restringe la búsqueda indicada en el textbox (2) de escritura situado a su derecha al campo seleccionado:
Todos: el string de búsqueda se aplicará sobre los campos Computer, Name y Date
Equipo: el string de búsqueda se aplicará sobre el nombre del equipo
Nombre: el string de búsqueda se aplicará sobre el nombre del Malware
Fecha: el string de búsqueda se aplicará sobre la fecha de la detección
El filtro (3) muestra las amenazas que satisfagan los criterios seleccionados
Ejecutado: el Malware se llegó a ejecutar y equipo está infectado
No Ejecutado: Malware detectado por la protección contra vulnerabilidades
Bloqueado: Malware conocido por Adaptive Defense y bloqueada su ejecución
Permitido: Malware conocido por Adaptive Defense pero su ejecución se permite al estar incorporado en la pestaña Exceptions del menú lateral Settings.
Acceso a ficheros de datos: el Malware realizó accesos a disco para recoger información del equipo o para crear ficheros y los recursos necesarios para su ejecución
Comunicaciones: el Malware abrió sockets de comunicación con cualquier máquina, incluido localhost
Los campos de la tabla son los siguientes: - Equipo: equipo donde se realizó la detección - Nombre: nombre del Malware - Ruta: Path completo donde reside el fichero infectado - Estado: el Malware se llegó a ejecutar y el equipo puede estar infectado - Accede a datos: indica si la amenaza envía o recibe datos de otros equipos. - Comunica con el exterior: la amenaza se comunica con equipos remotos para enviar o recibir datos. - Fecha: fecha de la detección del Malware en el equipo
5.3.2. Programas en investigación En este informe se muestra un listado de aquellos ficheros que, sin haber sido completada su clasificación, de una forma preliminar Adaptive Defense ha detectado algun riego en su ejecución. En la parte superior se encuentra la herramienta de búsqueda:
37
Manual de Adaptive Defense
El filtro (2) permite restringir la búsqueda indicada en el textbox (1) de escritura indicando la probabilidad de que el programa potencialmente malicioso será en realidad una amenaza:
Media
Alta
Muy Alta
Los campos de la tabla son los siguientes: - Nombre: nombre del Malware - Equipos ejecutado: Número de equipos que ejecutaron el programa potencialmente peligroso. Haciendo clic en el número se obtiene un listado de los equipos con su nombre y la ruta del fichero potencialmente peligroso. Haciendo clic en cada nombre de equipo se mostrara la información de la máquina.
- Equipos sin ejecutar: Número de equipos donde Adaptive Defense encontró el programa potencialmente peligroso pero no se llegó a ejecutar. Haciendo clic en el número se obtiene un listado de los equipos con su nombre y la ruta del fichero potencialmente peligroso. Haciendo clic en cada nombre de equipo se mostrara la información de la máquina. - Accede a datos: indica si la amenaza envía o recibe datos de otros equipos. - Comunica con el exterior: la amenaza se comunica con equipos remotos para enviar o recibir datos. - Probabilidad de que sea malicioso: Media, Alta, Muy Alta
38
Manual de Adaptive Defense
5.3.3. Programas vulnerables En este informe se muestra un listado de aquellos programas que contienen vulnerabilidades conocidas y aprovechables por el malware y las amenazas avanzadas para infectar el equipo. En la parte superior se encuentra la herramienta de búsqueda:
Los campos de la tabla son los siguientes: - Nombre: nombre del programa considerado vulnerable - Versión: Path completo donde reside el fichero infectado - Fabricante: Empresa que programó el software - Equipos ejecutado: Número de equipos que ejecutaron el programa considerado vulnerable. Haciendo clic en el número se obtiene un listado de los equipos con su nombre. Haciendo clic en cada nombre de equipo se mostrara la información de la máquina. - Equipos sin ejecutar: Número de equipos donde Adaptive Defense encontró el el programa considerado vulnerable pero que no se llegó a ejecutar. Haciendo clic en el número se obtiene un listado de los equipos con su nombre. Haciendo clic en cada nombre de equipo se mostrara la información de la máquina.
5.3.4. Programas potencialmente no deseados (PUP)
En este informe se muestra un listado de los PUPS (Potentially Unwanted Programs) encontrados en los equipos protegidos con Adaptive Defense. En la parte superior se encuentra la herramienta de búsqueda equivalente a la de Progrmamas Maliciosos: En la parte superior se encuentra la herramienta de búsqueda:
El filtro (1) restringe la búsqueda indicada en el textbox (2) de escritura situado a su derecha al campo seleccionado:
Todos: el string de búsqueda se aplicará sobre los campos Computer, Name y Date
Equipo: el string de búsqueda se aplicará sobre el nombre del equipo
Nombre: el string de búsqueda se aplicará sobre el nombre del PUP
39
Manual de Adaptive Defense
Fecha: el string de búsqueda se aplicará sobre la fecha de la detección
El filtro (3) muestra las amenazas que satisfagan los criterios seleccionados
Ejecutado: el PUP se llegó a ejecutar y equipo está infectado
No ejecutado: PUP detectado por la protección contra vulnerabilidades
Bloqueado: PUP conocido por Adaptive Defense y bloqueada su ejecución
Permitido: PUP conocido por Adaptive Defense pero su ejecución esta permitida por orden del administrador del sistema.
Acceso a ficheros de datos: el PUP realizó accesos a disco para recoger información del equipo o para crear ficheros y los recursos necesarios para su ejecución
Comunicaciones: el PUP abrió sockets de comunicación con cualquier máquina, incluido localhost
Los campos de la tabla son los siguientes: - Equipo: equipo donde se realizó la detección - Nombre: nombre del PUP - Ruta: Path completo donde reside el fichero PUP - Estado: el PUP se llegó a ejecutar y el equipo puede estar comprometido - Accede a datos: indica si el PUP envía o recibe datos de otros equipos. - Comunica con el exterior: el PUP se comunica con equipos remotos para enviar o recibir datos. - Fecha: fecha de la detección del PUP en el equipo
5.3.5. Usuarios con más riesgo En este informe se muestra un listado ordenado por importancia de los usuarios de la red con más amenazas encontradas en su equipo. Los campos de la tabla informe son los siguientes: - Usuario: usuario asociado al proceso ejecutado - Programas maliciosos: número de programas maliciosos ejecutados por el usuario - Programas en investigación: numero de programas potencialmente maliciosos ejecutados por el usuario - Programas Vulnerables: número de programas considerados como vulnerables y utilizados por el usuario - Programas Potencialmente no deseados: número de PUPs ejecutados por el usuario
40
Manual de Adaptive Defense
5.3.6. Equipos auditados En este informe se muestra un listado de todos los equipos auditados de la red. Los campos de la tabla informe son los siguientes: - Equipo: equipo auditado. Haciendo clic en el nombre se mostrará la información de la máquina - Sistema Operativo: versión del sistema operativo instalada en el equipo del usuario - Programas Maliciosos: número de programas maliciosos ejecutados en el equipo - Programas en investigación: numero de programas potencialmente maliciosos ejecutados en el equipo - Programas vulnerables: número de programas considerados como vulnerables y utilizados en el equipo - Programas potencialmnte no deseados: número de PUPs ejecutados en el equipo - Última conexión: timestamp de la ultima conexión del equipo al servidor de Adaptive Defense
5.4. Informe ejecutivo En la parte superior del Dashboard se encuentra el botón para generar un informe ejecutivo. Este informe reúne de forma resumida toda la informacion mostrada en el Dashboard y en los informes, lista para descargar en pdf o imprimir.
41
Manual de Adaptive Defense
6. Configuración del comportamiento Programas clasificados Programas sin clasificar
42
Manual de Adaptive Defense
6. Configuración del comportamiento de Adaptive Defense Adaptive Defense es un servicio gestionado que libera al administrador de la red de la mayor parte de la carga de trabajo asociada a productos basados en listas blancas / negras y excepciones. De esta manera Panda Security cataloga de forma automática la seguridad de todos los procesos ejecutados en cada equipo del cliente sin requerir ninguna intervención manual. El comportamiento de Adaptive Defense es configurable para dos grupos de programas:
Para programas clasificados
Para programas sin clasificar El administrador de la red deberá de solicitar a Panda Security el cambio de configuración del comportamiento de Adaptive Defense que considere apropiado, según sea el uso de la red de dispositivos de su empresa.
6.1. Programas clasificados Los programas conocidos por Adaptive Defense son clasificados como Goodware o Malware. Según sea la clasificación del programa que se intenta ejecutar la acción por defecto será:
Goodware: el servicio permite la ejecución del programa o proceso
Malware: el servicio impide por defecto la ejecución del programa o proceso.
6.1.1. Ejecutar programas concretos clasificados como Malware En los casos en los que el usuario necesite utilizar algún programa que esté catalogado como Malware o como Programa no deseado (herramientas de hacking, barras de navegadores etc) puede resultar conveniente permitir su ejecución controlada aunque Adaptive Defense los haya clasificado como potenciales amenazas.
6.2. Programas sin clasificar Más del 99% de los programas encontrados en los equipos de los usuarios están clasificados en los sistemas de Adaptive Defense, no obstante, los que todavía queden sin clasificar pueden ser ejecutados o bloqueados temporalmente hasta su clasificación. En caso de bloqueo Adaptive Defense permite la notificación al usuario del motivo del bloqueo, permitir su ejecución condicional según la decisión que tome el propio usuario o ser bloqueado de forma silenciosa.
El proceso de clasificación es una tarea continua en los servidores de Adaptive Defense y tras un breve periodo de tiempo los programas bloqueados en un principio por carecer de clasificación podrán ejecutarse si Adaptive Defense ha determinado que son lícitos.
43
Manual de Adaptive Defense
6.2.1. Modo auditoría En el modo auditoria Adaptive Defense solo informa de las amenazas detectadas pero no bloquea el Malware encontrado. Este modo es útil para probar la solución de seguridad o para comprobar que la instalación del producto no comprometa el buen funcionamiento del equipo.
6.2.2. Modo de bloqueo de programas en proceso de clasificación (Modo Extendido) En entornos donde la seguridad sea prioridad, y con el objetivo de ofrecer una protección de máximas garantías, Adaptive Defense deberá ser configurado el Modo Extendido para bloquear la ejecución del software en proceso de clasificación. De esta forma se podrá garantizar la ejecucion únicamente del software lícito. Al configurar este modo de funcionamiento en equipos o servidores donde el software cambie de forma habitual, la ejecución de estos programas no se permitirá hasta que estén clasificados. El proceso de clasificación es instantáneo en algunas ocasiones aunque en otras se realizará de forma automática en nuestra plataforma BigData en cuestión de minutos. Si el programa es especialmente complejo la labor de clasificación es realiza por nuestros expertos, normalmente en menos de 24 horas. Por esta razón, este modo es recomendado para equipos y servidores donde no se instale habitualmente nuevo software.
Es posible configurar Adaptive Defense para que en el Modo Extendido pregunte al usuario del equipo si desea permitir o no la ejecución de los programas en proceso de clasificación. Este modo tiene el riesgo de que el usuario final permita ejecutar Malware creyendo que es un software lícito; por esta razón se recomienda su configuración únicamente en equipos gestionados por usuarios avanzados.
6.2.3. Modo de ejecución limitada de programas en proceso de clasificación (modo Deep Hardenig) En el Modo Deep Hardening se permite la ejecución de los programas desconocidos ya instalados en el equipo del usuario aunque sus acciones serán igualmente enviadas al Servidor Adaptive Defense para su estudio. Para prevenir ataques de tipo Zero-day y similares los programas desconocidos que vienen del exterior (Internet, correo y otros) serán bloqueados hasta su clasificación. Una vez recogida y explotada la cantidad de evidencia suficiente, Adaptive Defense clasificará estos programas como Goodware o Malware, generando en este último caso una alerta al administrador para su posterior análisis forense. Una vez clasificados los programas que vienen del exterior se permitirá o se bloqueará su entrada y ejecución dependiendo de la clasificación (Goodware o Malware) que hayan obtenido.
44
Manual de Adaptive Defense
El Modo Deep Hardening se recomienda en entornos donde se producen cambios constantes en el software instalado en los equipos de los usuarios o se ejecutan muchos programas desconocidos, como por ejemplo programas de creación propia En estos escenarios puede no ser viable esperar a que Adaptive Defense aprenda de ellos para clasificarlos.
6.2.4. Modo de ejecución completa de programas en proceso de clasificación (modo Hardenig) En el Modo Hardening se permite la ejecución de los programas desconocidos aunque Adaptive Defense siempre recogerá evidencia hasta completar su clasificación. Una vez clasificado el programa el Agente procederá a su bloqueo si resultó ser Malware, generando una alerta al administrador para su posterior análisis forense con el objetivo de valorar el impacto en la empresa.
45
Manual de Adaptive Defense
7. Análisis forense y prevención de ataques Modo Deep hardening e infección por Malware desconocido Análisis forense y prevención de ataques Interpretación de las tablas de acciones y grafos de actividad
46
Manual de Adaptive Defense
7. Análisis forense y prevención de ataques Adaptive Defense es un servicio gestionado que se adapta al ecosistema de aplicaciones particular de cada empresa para ofrecer una protección que permita clasificar el 100% del software utilizado en cada cliente; sin embargo es posible que aparezcan incidencias de seguridad relacionadas con el modo de configuración elegido por el administrador de la red o debido a infecciones anteriores a la puesta en marcha del servicio.
7.1. Modo Deep hardening e infección por Malware desconocido En el modo Deep hardening es posible que algunos de los programas desconocidos por Adaptive Defense y que residan en el equipo del usuario puedan ser ejecutados, con lo que si el programa contenía Malware el equipo podría quedar comprometido. Adaptive Defense clasificará los programas desconocidos cuando tenga las evidencias suficientes, generalmente dentro de las primeras 24 horas desde la primera ejecución, generando una alerta al administrador y bloqueando a partir de ese momento el programa clasificado como amenaza.
7.2. Análisis forense y prevención de ataques de equipos infectados Cuando la red del cliente ha sido infectada es necesario determinar hasta qué punto ha resultado comprometida y cómo protegerla de futuros ataques. El Malware de nueva generación se caracteriza por pasar inadvertido durante largos periodos de tiempo, que aprovecha para acceder a datos sensibles o a la propiedad intelectual generada por la empresa. Su objetivo es obtener una contrapartida económica, bien realizando chantaje cifrando los documentos de la empresa, bien vendiendo la información obtenida a la competencia, entre otras estrategias comunes a este tipo de ataques informáticos. Sea cual sea el caso, se hace imprescindible determinar las acciones que desencadenó el Malware en la red para poder tomar las medidas oportunas. Adaptive Defense es capaz de monitorizar de forma continuada todas las acciones desencadenadas por las amenazas y almacenarlas para mostrar el recorrido de las mismas, desde su primera aparición en la red hasta su neutralización. Adaptive Defense presenta de forma visual este tipo de información de dos maneras: a través de tablas de acciones y diagramas de grafos.
7.2.1. Análisis forense mediante las tablas de acciones Las tablas de acciones son visibles desde los informes Programas maliciosos y Programas en investigación haciendo clic cualquier columna de la tabla exceptuando la columna Computer
47
Manual de Adaptive Defense
que abrirá un diálogo con información del equipo seleccionado. Haciendo clic en cualquier otra columna se muestra un panel desplegables con el contenido de la tabla de acciones. Los campos incluidos para describir de forma general la amenaza son:
Ruta: Path del ejecutable que contiene el Malware.
Tiempo de exposición: tiempo que la amenaza ha permanecido en el sistema.
Usuario: esto no lo tengo claro.
MD5: Adaptive Defense muestra el hash del Malware que utilizara para su posterior consulta en VirusTotal o Google utilizando los botones Search in Google y Search in VirusTotal
Ciclo de vida del Malware en el equipo: es una tabla con el detalle de cada una de las acciones desencadenadas por la amenaza.
En la tabla de acciones de la amenaza solo se incluyen aquellos eventos relevantes ya que la cantidad de acciones desencadenadas por un proceso es tan alta que impediría extraer información útil para realizar un análisis forense. El contenido de la tabla se presenta inicialmente ordenado por fecha, de esta forma es más fácil seguir el curso de la amenaza. A continuación se detallan los campos incluidos en la tabla de acciones:
Fecha: fecha de la acción
Nº veces: número de veces que se ejecutó la acción. Una misma acción ejecutada varias veces de forma consecutiva solo aparece una vez en el listado de acciones con el campo times actualizado.
Acción: acción realizada. A continuación se indica una lista de las acciones que pueden aparecer en este campo: - File Download - Socket Used - Accesses Data - Executed By - Execute - Created By - Create - Modified By - Modify - Loaded By - Load - Installed By - Install - Mapped By
48
Manual de Adaptive Defense
- Map - Deleted By - Delete - Renamed By - Rename - Killed By - KillsP rocess - Remote Thread Created By - Creates Remote Thread - Kills Process: - Remote Thread Created By - Creates Remote Thread - Opened Comp By - Open Comp - Created Comp By - Create Comp - Creates Reg Key To Exe - Modifies Reg key To Exe
Path/URL/Clave de Registro /IP:Puerto: es la entidad de la acción. Según sea el tipo de acción podrá contener: - Clave de Registro: para todas las acciones que impliquen modificación del registro de Windows - IP:Puerto: para todas las acciones que impliquen una comunicación con un equipo local o remoto - Path: para todas las acciones que impliquen acceso al disco duro del equipo - URL: para todas las acciones que impliquen el acceso a una URL
Hash del Fichero/Valor del Registro/Protocolo-Dirección/Descripción: es un campo que complementa a la entidad. Según sea el tipo de acción podrá contener: - Hash del fichero: para todas las acciones que impliquen acceso a un fichero - Valor del Registro: para todas las acciones que impliquen un acceso al registro - Protocolo-Dirección: para todas las acciones que impliquen una comunicación con un equipo local o remoto. Los valores posibles son - TCP - UDP - Bidireccional - Desconocido - Descripción
Confiable: El fichero está firmado digitalmente
49
Manual de Adaptive Defense
Sujeto y predicado en las acciones Para entender correctamente el formato utilizado para presentar la información en listado de acciones es necesario establecer un paralelismo con el lenguaje natural:
Todas las acciones tienen como sujeto el fichero clasificado como Malware. Este sujeto no se indica en cada línea de la tabla de acciones porque es común para toda la tabla.
Todas las acciones tienen un verbo que relaciona el sujeto (la amenaza clasificada) con un complemento, llamado entidad. La entidad se corresponde con el campo Path/URL/Clave de Registro /IP:Puerto de la tabla.
La entidad se complementa con un segundo campo que añade información a la acción, que se corresponde con el campo Hash del Fichero/Valor del Registro/Protocolo-Dirección/Descripción.
De esta forma se presentan dos acciones de ejemplo de un mismo Malware hipotético:
Nª
Fecha
Veces
3/30/2015 4:38:40 PM
1
Acción
Connects with
Path/URL/Clave
Hash del Fichero/Valor del
de Registro
Registro/Protocolo-
/IP:Puerto
Dirección/Descripción
54.69.32.99:80
TCP-Bidrectional
Confiable
NO
PROGRAM_FILES|\M 3/30/2015 4:38:45 PM
1
Loads
OVIES
9994BF035813FE8EB6BC98EC
TOOLBAR\SAFETYNUT
CBD5B0E1
NO
\SAFETYCRT.DLL
La primera acción indica que el Malware (sujeto) se conecta (Acción) con la dirección IP 54.69.32.99:80 (entidad) mediante el protocolo TCP-Bidireccional. La segunda acción indica que el Malware (sujeto) carga (Acción) la librería PROGRAM_FILES|\MOVIES TOOLBAR\SAFETYNUT\SAFETYCRT.DLL con hash 9994BF035813FE8EB6BC98ECCBD5B0E1 Al igual que en el lenguaje natural se implementan dos tipos de oraciones:
Activa: Son acciones predicativas (con un sujeto y un predicado) relacionados por un verbo en forma activa. En estas acciones el verbo de la acción relaciona el sujeto, que siempre es el proceso clasificado como amenaza y un complemento directo, la entidad, que puede ser de múltiples tipos según el tipo de acción.
Pasiva: Son acciones donde el sujeto (el proceso clasificado como Malware) pasa a ser sujeto paciente (que recibe la acción, no que la ejecuta) y el verbo viene en forma
50
Manual de Adaptive Defense
pasiva (ser + participio). En este caso el verbo pasivo relaciona el sujeto pasivo que recibe la acción con la entidad, que es la que realiza la acción. Ejemplos de acciones activas son los siguientes:
Connects with
Loads
Creates
Ejemplos de acciones pasivas son los siguientes:
Is created by
Downloaded from
Un ejemplo de acción pasiva es el siguiente
Fecha
Nª Veces
Acción
Path/URL/Clave de Registro /IP:Puerto
Hash del Fichero/Valor del Registro/Protocolo-
Confiable
Dirección/Descripción
3/30/ 2015 4:51:4
1
Is executed by
WINDOWS|\explorer.exe
7522F548A84ABAD8FA516DE5 AB3931EF
NO
6 PM
En esta acción el Malware (sujeto pasivo) es ejecutado (acción pasiva) por el programa WINDOWS|\explorer.exe (entidad) de hash 7522F548A84ABAD8FA516DE5AB3931EF
Las acciones de tipo Activo nos permiten inspeccionar en detalle los pasos que ha ejecutado el Malware. Por el contrario las acciones de tipo pasivo suelen reflejar el vector de infección utilizado por el Malware (qué proceso lo ejecutó, qué proceso lo copió al equipo del usuario etc).
7.2.2. Análisis forense mediante grafos de ejecución Los grafos de ejecución representan de forma visual la información mostrada en las tablas de acciones poniendo énfasis en el enfoque temporal. Los grafos se utilizan inicialmente para tener, de un solo vistazo, una idea general de las acciones desencadenadas por la amenaza.
51
Manual de Adaptive Defense
7.2.3. Diagramas La cadena de acciones en la vista de grafos de ejecución queda representada por dos elementos:
Nodos: representan acciones en su mayoría o elementos informativos
Líneas y flechas: unen los nodos de acción e informativos para establecer un orden temporal y asignar a cada nodo el rol de “sujeto” o “predicado”.
7.2.4. Nodos Los nodos muestran la información mediante su icono asociado, color y un panel descriptivo que se muestra a la derecha de la pantalla cuando se seleccionan con el ratón. El código de colores utilizado es el siguiente: -
Rojo: elemento no confiable, Malware, amenaza. Naranja: elemento desconocido, no catalogado. Verde: elemento confiable, Goodware.
A continuación se listan los nodos de tipo acción junto con una breve descripción: Símbolo
Tipo Nodo
Descripción
Acción
-
Fichero descargado Fichero comprimido creado
Acción
-
Socket / comunicación usada
52
Manual de Adaptive Defense
Acción
-
Comenzada la monitorización
Acción
-
Proceso creado
Acción
-
Fichero ejecutable creado Librería creada Clave en el registro creada
Acción
-
Fichero ejecutable modificado Clave de registro modificada
Acción
-
Fichero ejecutable mapeado para escritura
Acción
-
Fichero ejecutable borrado
Acción
-
Librería cargada
Acción
-
Servicio instalado
-
Fichero ejecutable renombrado
-
Proceso detenido o cerrado
-
Hilo creado remotamente
-
Fichero comprimido abierto
Acción
Acción
Acción
Acción
A continuación se listan los nodos de tipo descriptivo junto con una breve descripción
53
Manual de Adaptive Defense
Símbolo
Tipo Nodo
Descripción
Nodo Final
o o o
Nombre de fichero y extensión Verde: Goodware Naranja: No catalogado Rojo: Malware/PUP
o o o
Equipo interno (está en la red corporativa) Verde: Confiable Naranja: desconocido Rojo: No confiable
o o o
Equipos externo Verde: Confiable Naranja: desconocido Rojo: No confiable
-
País asociado a la IP de un equipo externo
Nodo Final
-
Fichero y extensión
Nodo Final
-
Clave del registro
Nodo Final
Nodo Final
Nodo Final
7.2.5. Líneas y flechas Las líneas del diagrama de grafos relacionan los diferentes nodos y ayudan a establecer el orden de ejecución de acciones de la amenaza de forma visual. Los dos atributos de una línea son:
Grosor de la línea: el grosor de una línea que une dos nodos indica el número de ocurrencias que esta relación ha tenido en el diagrama. A mayor número de ocurrencias mayor tamaño de la línea
Flecha: marca la dirección de la relación entre los dos nodos.
7.2.6. La línea temporal La línea temporal o Timeline permite controlar la visualización de la cadena de acciones realizada por la amenaza a lo largo del tiempo. Mediante los botones situados en la parte inferior de la pantalla podemos colocarnos en el momento preciso donde la amenaza realizo cierta acción y recuperar información extendida que nos puede ayudar en los proceso de análisis forense. La línea temporal de los grafos de ejecución tiene este aspecto:
54
Manual de Adaptive Defense
Inicialmente podemos seleccionar un intervalo concreto de la línea temporal arrastrando los selectores de intervalo hacia la izquierda o derecha para abarcar la franja temporal que más nos interese.
Una vez seleccionada la franja temporal el grafo mostrará únicamente las acciones y nodos que caigan dentro de ese intervalo. El resto de acciones y nodos quedará difuminado en el diagrama. Las acciones de la amenaza quedan representadas en la línea temporal como barras verticales acompañadas del time stamp, que marca la hora y minuto donde ocurrieron.
7.2.7. Zoom in y Zoom out Con los botones + y – de la barra temporal podemos hacer zoom in o zoom out para ganar mayor resolución en el caso de que haya muchas acciones en un intervalo de tiempo corto.
7.2.8. Timeline (línea temporal) Para poder ver la ejecución completa de la amenaza y la cadena de acciones que ejecutó se utilizan los siguientes controles:
Iniciar: comienza la ejecución de la Timeline a velocidad constante de 1x. Los grafos y las líneas de acciones irán apareciendo según se vaya recorriendo la línea temporal.
1x: establece la velocidad de recorrido de la línea temporal
Detener: detiene la ejecución de la línea temporal
+ y -: zoom in y zoom out de la línea temporal
55
Manual de Adaptive Defense
< y >: mueve la selección del nodo al inmediatamente anterior o posterior
Zoom inicial: recupera el nivel de zoom inicial si se modificó con los botones + y –
Seleccionar todos los nodos: mueve los selectores temporales para abarcar toda la línea temporal
Primer nodo: Establece el intervalo temporal en el inicio, paso necesario para iniciar la visualización de la TimeLine complete Para poder visualizar el recorrido completo de la Timeline primero seleccionar “Primer nodo” y después “Iniciar”. Para ajustar la velocidad de recorrido seleccionar el botón 1x.
7.2.9. Filtros En la parte superior del diagrama de grafos se encuentran los controles para filtrar la información mostrada.
Los criterios de filtrado disponibles son:
Acción: desplegable que permite seleccionar un tipo de acción de entre todas las ejecutadas por la amenaza. De esta manera el diagrama solo muestra los nodos que coincidan con el tipo de acción seleccionada y aquellos nodos adyacentes relacionados con esta acción.
Entidad: desplegable que permite elegir una entidad (contenido del campo Path/URL/Entrada de registro /IP:Puerto)
7.2.10. Movimiento de los nodos y zoom general del grafo Para mover el grafo en las cuatro direcciones y hacer zoom in o zoom out se pueden utilizar los controles situados en la parte superior derecha del grafo.
Para hacer zoom in y zoom out más fácilmente se puede utilizar la rueda central del ratón.
El símbolo X permite salir de la vista de grafos.
56
Manual de Adaptive Defense
Si se prefiere ocultar la zona de botones Timeline para utilizar un mayor espacio de la pantalla para el grafo se puede seleccionar el símbolo
situado en la parte inferior derecha del
grafo. Finalmente, el comportamiento del grafo al ser representando en pantalla o arrastrado por alguno de sus nodos se puede configurar mediante el panel mostrado a continuación, accesible al seleccionar el botón situado a la izquierda arriba del grafo
7.3. Interpretación de las tablas de acciones y grafos de actividad Para interpretar correctamente las tablas de acciones y grafos de actividad se requieren ciertos conocimientos técnicos ya que ambos recursos son representaciones de los volcados de evidencias recogidas, que deberán ser interpretadas por el propio administrador de red de la empresa. En este capítulo se ofrecen unas directrices básicas de interpretación a través de varios ejemplos de Malware real.
57
Manual de Adaptive Defense
El nombre de las amenazas aquí indicadas puede variar entre diferentes proveedores de seguridad. Para identificar un Malware concreto se recomienda utilizar el hash de identificación.
7.3.1. Ejemplo 1: Visualización de las acciones ejecutadas por el Malware Trj/OCJ.A En la tabla mostrada en Programas maliciosos se incluye la información fundamental del Malware encontrado. En este caso los datos relevantes son los siguientes:
Fecha: 06/04/2015 3:21:36
Equipo: XP-BARCELONA1
Nombre: Trj/OCJ.A
Estado: Eejcutado
MD5: EEEEEEEEDDDD
Ruta: TEMP|\Rar$EXa0.946\appnee.com.patch.exe
Estado del equipo El estado del Malware es ejecutado debido a que el modo de Adaptive Defense configurado era Deep hardening: el Malware ya residía en el equipo en el momento en que Adaptive Defense se instaló y era desconocido en el momento de su ejecución. Hash Con la cadena de hash se podrá obtener más información en sitios como Virus total para tener una idea general de la amenaza y su forma de funcionamiento. Ruta del Malware La ruta donde se detectó el Malware por primera vez en el equipo pertenece a un directorio temporal y contiene la cadena RAR de modo que procede de un fichero empaquetado que el programa RAR descomprimió temporalmente en el directorio y dio como resultado el ejecutable appnee.com.patch.exe Tabla de acciones Paso
Fecha
Acción
Ruta
1
3:17:00
Created by
PROGRAM_FILES|\WinRAR\WinRAR.exe
2
3:17:01
Executed by
PROGRAM_FILES|\WinRAR\WinRAR.exe
3
3:17:13
Create
TEMP|\bassmod.dll
4
3:17:34
Create
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\AMTLIB.DLL.BAK
5
3:17:40
Modify
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\amtlib.dll
6
3:17:40
Delete
PROGRAM_FILES|\ADOBE\ACROBAT 11.0\ACROBAT\AMTLIB.DLL.BAK
58
Manual de Adaptive Defense
7
3:17:41
Create
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\ACROBAT.DLL.BAK
8
3:17:42
Modify
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\Acrobat.dll
9
3:17:59
Execute
PROGRAM_FILES|\Google\Chrome\Application\chrome.exe
Los pasos 1 y 2 indican que el Malware fue descomprimido por el WinRar.Exe y ejecutado desde el mismo programa: el usuario abrió el fichero comprimido e hizo clic en el binario que contiene. Una vez en ejecución en el paso 3 el Malware crea una dll (bassmod.dll) en una carpeta temporal y otra (paso 4) en el directorio de instalación del programa Adobe Acrobat 11. En el paso 5 también modifica una dll de Adobe, quizá para aprovechar algún tipo de exploit del programa. Después de modificar otras dlls lanza una instancia de Chrome y en ese momento termina la Timeline; Adaptive Defense catalogó el programa como amenaza después de esa cadena de acciones sospechosas y ha detenido su ejecución. En la Timeline no aparecen acciones sobre el registro de modo que es muy probable que el Malware no sea persistente o no haya podido ejecutarse hasta ese punto de lograr sobrevivir a un reinicio del equipo. El programa Adobe Acrobat 11 ha resultado comprometido de modo que se recomienda su reinstalación aunque gracias a que Adaptive Defense monitoriza ejecutables tanto si son Goodware como Malware, la ejecución de un programa comprometido será detectada en el momento en que desencadene acciones peligrosas, terminando en su bloqueo.
7.3.2. Ejemplo 2: Comunicación con equipos externos en BetterSurf BetterSurf es un programa potencialmente no deseado que modifica el navegador instalado en el equipo del usuario e inyecta anuncios en las páginas web que visite. En la tabla mostrada en Programas potencialmente no deseados se incluye la información fundamental del Malware encontrado. En este caso los datos relevantes son los siguientes:
Fecha: 30/03/2015
Equipo: MARTA-CAL
Nombre: PUP/BetterSurf
Ruta: PROGRAM_FILES|\VER0BLOCKANDSURF\N4CD190.EXE
Tiempo de exposición: 11 días 22 horas 9 minutos 46 segundos
Tiempo de exposición
59
Manual de Adaptive Defense
En este caso el tiempo de exposición ha sido muy largo: durante casi 12 días el Malware estuvo en estado latente en la red del cliente. Este comportamiento es cada vez más usual y puede deberse a varios motivos: puede ser que el Malware no ha realizado ninguna acción sospechosa hasta muy tarde o que simplemente el usuario descargó el fichero pero no lo ejecutó en el momento. Tabla de acciones Nº Paso 1 2 3 4 5 6 7 8 9
Fecha 08/03/2015 11:16 18/03/2015 11:16 18/03/2015 11:16 18/03/2015 11:16 18/03/2015 11:16 18/03/2015 11:16 18/03/2015 11:17 18/03/2015 11:17 18/03/2015 11:17
Acción
Path / IP
Hash / Protocolo
Created by
TEMP|\08c3b650-e9e14f.exe
EB0C9D2E28E1EE
Executed by
SYSTEM|\services.exe
953DF73048B8E8
Load
PROGRAM_FILES|\VER0BLOF\N4Cd190.d ll
CE44F5559FE618
Load
SYSTEM|\BDL.dll
D7D59CABE1270
Socket used
127.0.0.1:13879
0-UnKnown
Socket used
37.58.101.205:80
0-Bidrectional
Socket used
5.153.39.133:80
0-Bidrectional
Socket used
50.97.62.154:80
0-Bidrectional
Socket used
50.19.102.217:80
0-Bidrectional
En este caso se puede apreciar como el Malware establece comunicación con varias IPs diferentes. La primera de ellas (paso 5) es el propio equipo y el resto son IPs del exterior a las que se conecta por el puerto 80 de las cuales probablemente se descargue los contenidos de publicidad. La principal medida de prevención en este caso será bloquear las IPs en el cortafuegos corporativo.
Antes de añadir reglas para el bloqueo de IPs en el cortafuegos corporativo se recomienda consultar las IPs a bloquear en el RIR asociado (RIPE, ARIN, APNIC etc) para ver la red del proveedor al que pertenecen. En muchos casos la infraestructura remota utilizada por el Malware es compartida con servicios legítimos alojados en proveedores como Amazon y similares de modo que bloquear IPs equivaldría a bloquear también el acceso a páginas web normales.
7.3.3. Ejemplo 3: acceso al registro con PasswordStealer.BT PasswordStealer.BT es un troyano que registra la actividad del usuario en el equipo y envía la información obtenida al exterior. Entre otras cosas es capaz de capturar la pantalla del usuario, registras las teclas pulsadas y enviar ficheros a un servidor C&C (Command & Control).
60
Manual de Adaptive Defense
En la tabla mostrada en Programas Maliciosos se incluye la información fundamental del Malware encontrado. En este caso los datos relevantes son los siguientes:
Ruta: APPDATA|\microsoftupdates\micupdate.exe
Por el nombre y la localización del ejecutable el Malware se hace pasar por una actualización de Microsoft. Este Malware en concreto no tiene capacidad para contagiar equipos por sí mismo, requiere que el usuario ejecute de forma manual el virus. Estado del equipo El estado del Malware es Ejecutado debido a que el modo de Adaptive Defense configurado era Deep hardening: el Malware ya residía en el equipo en el momento en que Adaptive Defense se instaló y era desconocido en el momento de su ejecución. Tabla de acciones Nº Paso
Fecha
Acción
Path
Path / Hash
1
31/03/201 5 23:29
Executed by
PROGRAM_FILESX86|\internet explorer\iexplore.exe
7477021D17D781B24
2
31/03/201 5 23:29
Created by
INTERNET_CACHE|\Content.IE5\QGV8PV8 0\ index[1].php
C9D4C32DF27B3CDEF
3
31/03/201 5 23:30
Creates Reg Key To Exe
\REGISTRY\USER\S-1-5[...]95659\Software\Microsoft\Windows\ CurrentVersion \Run?MicUpdate
C:\Users\vig03\AppData \ Roaming\ MicrosoftUpdates\ MicUpdate.exe
4
31/03/201 5 23:30
Execute
SYSTEMX86|\notepad.exe
D378BFFB70864AA61C
5
31/03/201 5 23:30
Remote Thread Created by
SYSTEMX86|\notepad.exe
D378BFFB70864AA61C
En este caso el Malware es creado en el paso 2 por una página web y ejecutado por el navegador Internet Explorer.
El orden de las acciones tiene una granularidad de 1 microsegundo. Por esta razón varias acciones ejecutadas dentro del mismo microsegundo pueden aparecer desordenadas en la Timeline, como sucede en el paso 1 y paso 2.
Una vez ejecutado el Malware se hace persistente en el paso 3 añadiendo una rama en la rama del registro que pertenece al usuario y que lanzará el programa en el inicio del sistema. Después comienza a ejecutar acciones propias del Malware como arrancar un notepad e inyectar código en uno de sus hilos.
61
Manual de Adaptive Defense
Como acción de remediación en este caso y en ausencia de un método de desinfección conocido se puede minimizar el impacto de este Malware borrando la entrada del registro. Es muy posible que en una maquina infectada el Malware impida modificar dicha entrada; dependiendo del caso sería necesario arrancar el equipo en modo seguro o con un CD de arranque para borrar dicha entrada.
7.3.4. Ejemplo 4: Acceso a datos confidenciales en Trj/Chgt.F Trj/Chgt.F fue publicado por wikileaks a finales de 2014 como herramienta utilizada por las agencias gubernamentales de algunos países para realizar espionaje selectivo. En este ejemplo pasaremos directamente a la tabla de acciones para observar el comportamiento de esta amenaza avanzada. Tabla de acciones Nº Paso
Fecha
Acción
Ruta
Info
1
4/21/2015 2:17:47 PM
Is executed by
SYSTEMDRIVE|\Python2 7\pythonw.exe
9F20D976AFFFB2D0B9BE38 B476CB2053
2
4/21/2015 2:18:01 PM
Accesses Data
#.XLS
Office Excel document access
3
4/21/2015 2:18:01 PM
Accesses Data
#.DOC
Office Word document access
4
4/21/2015 2:18:03 PM
Creates
TEMP|\doc.scr
4DBD8393522CD5DA7364 ACEA35E80719
5
4/21/2015 2:18:06 PM
Executes
TEMP|\doc.scr
4DBD8393522CD5DA7364 ACEA35E80719
6
4/21/2015 2:18:37 PM
Executes
PROGRAM_FILES|\Micro soft Office\Office12\WINW ORD.EXE
CEAA5817A65E914AA178B 28F12359A46
7
4/21/2015 8:58:02 PM
Connects with
192.168.0.1:2042
TCP-Bidrectional
Inicialmente el Malware es ejecutado por el intérprete de Python (paso 1) para luego acceder a un documento de tipo Excel y otro de tipo Word (paso 2 y 3). En el paso 4 se ejecuta un fichero de extensión scr, probablemente un salvapantallas con algún tipo de fallo o error que provoque una situación anómala en el equipo y que pueda ser aprovechada por el Malware. En el paso 7 se produce una conexión de tipo TCP. La dirección IP es privada de modo que se estaría conectando a la red del propio cliente.
62
Manual de Adaptive Defense
En este caso se deberá de comprobar el contenido de los ficheros accedidos para evaluar la pérdida de información aunque viendo la Timeline la información accedida en principio no ha sido extraída de la red del cliente. Adaptive Defense bloqueará de forma automática posteriores ejecuciones del Malware en ese cliente y en otros clientes.
63
Manual de Adaptive Defense
8. Análisis de conocimiento y búsquedas avanzadas Acceso al entorno LogTrust Descripción de las tablas Adaptive Defense
64
Manual de Adaptive Defense
8. Análisis de conocimiento y búsquedas avanzadas El entorno LogTrust es un módulo opcional de Adaptive Defense. Si no tiene acceso a este entorno contacte con su comercial.
Logtrust es un servicio explotación en tiempo real del conocimiento acumulado complementario que importa y analiza de forma automática y en tiempo real toda la información generada por Adaptive Defense. Logtrust facilita las búsquedas de información relativa a la seguridad del parque informático del cliente y ayuda al generar vistosas gráficas para interpretar los datos registrados por los Agentes de Adaptive Defense. En este capítulo se mostrará en detalle el esquema de organización diseñado para el almacenamiento de la información generada por Adaptive Defense así como los procedimientos necesarios para explotar esta información. El objetivo de la plataforma LogTrust es el de complementar la información ofrecida por Adaptive Defense a la hora de establecer nuevos protocolos de remediación y profundizar en las técnicas de análisis forense mostradas en el capítulo 7. El entorno LogTrust cuenta con una ayuda online accesible desde el panel superior Ayuda.
8.1. Acceso al entorno LogTrust Para acceder al entorno de LogTrust hay que seleccionar el link Advanced Search desde el Dashboard de Adaptive Defense.
Una vez accedido se presentará el entorno pre configurado con el Dashboard mostrado en la consola de Adaptive Defense.
8.2. Descripción de las tablas Adaptive Defense Adaptive Defense envía toda la información recogida de los Agentes instalados en los equipos del cliente al servicio LogTrust, el cual se encarga de organizarlo en tablas de fácil lectura. Cada línea de una tabla se corresponde a un evento supervisado por Adaptive Defense. Las tablas contienen una serie de campos específicos además de campos comunes que aparecen
65
Manual de Adaptive Defense
en todas y que ofrecen información como el momento en que ocurrió el evento, la maquina donde se registró, su dirección IP etc. Muchos campos utilizan prefijos que ayudan a referir la información mostrada. Los dos prefijos más usados son:
Parent: los campos que comienzan con la etiqueta Parent (parentPath, parentHash, parentCompany…) reflejan el contenido de una característica o atributo del proceso padre.
Child: los campos que comienzan con la etiqueta Child (childPath, childHash, childCompany…) reflejan el contenido de una característica o atributo de un proceso hijo creado por el proceso padre.
Además de estos prefijos en muchos campos y valores se utilizan abreviaturas; conocer su significado ayuda a interpretar el campo en cuestión:
Sig: Signature (firma digital)
Exe: executable (ejecutable)
Prev: prevalencia
Mw: Malware
Sec: seconds (segundos)
Op: operación
Cat: categoría
PUP: Potential Unwanted Program (programa potencialmente no deseado)
Ver: versión
SP: Service Pack
Cfg: configuración
Svc: servicio
Op: operación
PE: programa ejecutable
Cmp y comp: comprimido
Dst: destino
A continuación, se listan las tablas disponibles indicando el tipo de información que contienen y sus campos específicos.
66
Manual de Adaptive Defense
8.2.1. Tabla Alert Esta tabla contiene una línea por cada amenaza detectada en la red del cliente con información sobre el equipo involucrado, tipo de alerta, Timestamp y resultado de la alerta. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
machineIP
IP de la máquina del cliente que desencadenó la alerta
Dirección IP
date
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
alertType
Categoría de la amenaza que disparó la alerta
Malware, PUP
machineName
Nombre de la máquina del cliente
String
version
versión del Agente Adaptive Defense instalada en la máquina
x.x.x
executionStatus
La amenaza se llegó a ejecutar o no
Executed o Not Executed
dwellTimeSecs
Tiempo transcurrido en segundos desde la primera vez que la amenaza fue vista en la red del cliente
Segundos
itemHash
Hash de la amenaza encontrada
String
itemName
Nombre de la amenaza detectada
String
itemPath
Path completo del fichero que contiene la amenaza
String
Gracias a la información contenida en esta tabla es muy sencillo obtener estadísticas de los equipos más infectados: 10 equipos más atacados e infectados Se puede obtener un listado simple de los 10 equipos más atacados haciendo clic en la cabecera de la columna machineName o manicheIP.
67
Manual de Adaptive Defense
Este listado abarca desde el primer momento en que Adaptive Defense comenzó a funcionar en el cliente, si se quiere reducir el rango simplemente se puede acotar el intervalo con los controles Search limits.
Estos listados incluyen tanto bloqueos como ejecuciones de Malware, si se quieren mostrar únicamente los equipos infectados será necesario añadir un filtro haciendo clic en el icono de la barra de herramientas
Y configurando un filtro de datos utilizando el campo executionStatus e igualando a Executed, tal y como se muestra en la imagen.
68
Manual de Adaptive Defense
10 amenazas más vistas De forma equivalente haciendo clic en las columnas itemHash o ítemName se pueden visualizar estadísticas rápidas sobre las 10 amenazas más vistas en la red del cliente. Otra forma de obtener información de forma mucho más visual es generar una gráfica del Malware más visto. Para ello en el eje de las coordenadas se muestra el nombre del Malware y en el eje de abscisas el número de ocurrencias. Para ello hay que seguir los siguientes pasos:
Añadir una agrupación sobre el campo itemName sin límite temporal (No temporal aggrupation).
Añadir una función contador para determinar cuántas ocurrencias hay en cada grupo itemName.
69
Manual de Adaptive Defense
Añadir un filtro para discriminar las agrupaciones de 2 o menos ocurrencias. De esta forma limpiamos la gráfica de aquellas amenazas que solo hayan sido vistas 2 veces
Añadir un gráfico de tipo Chart Aggregation y utilizar la columna Count como parámetro.
En este punto ya se dispone de un listado alertas agrupadas por amenaza y con el número de ocurrencias por cada amenaza. Con estos datos se puede construir una gráfica simple:
70
Manual de Adaptive Defense
Otra información útil Hay varios campos interesantes en la tabla Alerts que pueden ser utilizados para extraer información valiosa acerca de los ataques recibidos en la red del cliente:
Eventdate: agrupando por este campo podemos visualizar el número de ataques diarios y así determinar si hay una epidemia en curso.
dwellTimeSecs: Es un campo que nos permite obtener la ventana de detección de las amenazas recibidas, es decir, el tiempo desde que la amenaza fue vista por primera vez en la red del cliente hasta su clasificación.
itemHash: dado que el nombre de la amenaza varía entre proveedores de seguridad se puede utilizar el campo hash para agrupar amenazas en vez del itemName. Esto permite discriminar además el Malware que se etiqueta con el mismo nombre.
8.2.2. Tabla Drivers Esta tabla incluye todas las operaciones que se realizan sobre drivers detectadas en los procesos ejecutados en los equipos del usuario. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIp
IP de la máquina del cliente
Dirección IP
ver
Versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso que realizo la operación sobre el driver registrada
String
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx
Operación realizada por el proceso sobre el
Open
driver
Creation
hash
Hash / digest del fichero
String
driveType
Tipo de unidad donde reside el proceso que desencadenó la operación sobre el driver registrada
Fixed, Remote, Removable
path
Path del proceso que desencadenó la operación registrada sobre el driver
String
validSig
Proceso firmado digitalmente
Boolean
company
Contenido del atributo Company de los metadatos del proceso
String
imageType
Arquitectura interna del ejecutable
EXEx32, EXEx64, DLLx32, DLLx64
muid op
71
Manual de Adaptive Defense
exeType
Tipo de ejecutable
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de Panda Security
HIGH, LOW, MEDIUM
prevLastDay
Prevalencia para día anterior en los sistemas de Panda Security
HIGH, LOW, MEDIUM
cat
Categoría del fichero que realizo la operación sobre el driver
Goodware, Malware, PUP,
mwName
Nombre del Malware si el fichero está
String, (Null si el elemento no es
catalogado como una amenaza
Malware)
serviceDriveType
Tipo de unidad donde reside el driver que recibe la operación registrada
Fixed, Remote, Removable
servicePath
Path del driver recibió la operación registrada
String
Unknown, Monitoring
Esta tabla indica las operaciones de todos los procesos sobre los drivers instalados. Puesto que el Malware que crea o o modifica drivers se considera especialmente peligroso por atacar elementos básicos del sistema lo idóneo en este caso es filtrar el campo Cat y descartar todo lo que este catalogado como “Goodware” o “Monitoring”.
8.2.3. Tabla Filesdwn Esta tabla contiene información sobre las operaciones de descarga de datos por HTTP realizadas por los procesos vistos en la red del cliente (URL, datos de los ficheros descargados, equipos que las realizaron etc). Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor
Date
72
Manual de Adaptive Defense
de Adaptive Defense machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx
type
Tipo del fichero descargado
Zip, Exe, Cab, Rar
url
url de descarga
Recurso URI
hash
Digest / hash del fichero descargado
String
validSig
Fichero descargado firmado digitalmente
Boolean
company
Contenido del atributo Company de los metadatos del fichero descargado
String
imageType
Arquitectura interna del fichero descargado
EXEx32, EXEx64, DLLx32, DLLx64
exeType
Tipo de ejecutable del fichero descargado
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de Panda Security
HIGH, LOW, MEDIUM
prevLastDay
Prevalencia del día anterior en los sistemas de Panda Security
HIGH, LOW, MEDIUM
cat
Categoría del fichero descargado
mwName
Nombre del Malware si el fichero descargado
String, (Null si el elemento no es
está catalogado como una amenaza
Malware)
Puesto
que
esta
tabla
muestra
todas
las
descargas
Goodware, Malware, PUP, Unknown, Monitoring
de
los
usuarios
de
la
red
independientemente de que sean Malware o Goodware, aparte de localizar con un simple filtro la información de la descarga en el caso de Malware también será posible visualizar de forma gráfica los dominios que reciben más descargas.
73
Manual de Adaptive Defense
Dominios que reciben más descargas Para mostrar este tipo de información es necesario manipular el contenido del campo url para limpiar la parte del string que no nos interesa y quedarnos con la parte del dominio.
Crear una columna nueva con la operación Split sobre el campo url.
Agrupar por url diferente sin marcar agrupación temporal
Añadir una columna agregación de tipo contador
De esta forma se obtiene un listado por dominio agrupado y el número de ocurrencias de cada dominio dentro de cada grupo. Con esta información se puede obtener fácilmente una gráfica con los dominios más visitados para descarga.
74
Manual de Adaptive Defense
En este caso utilizados una gráfica de tipo tarta, más sencilla de interpretar para el tipo de información que estamos mostrando. Para ello vamos a filtrar previamente las agrupaciones de 10 o menos ocurrencias para poder fijarnos con más detalle en el resto de dominios.
En las gráficas de tipo tarta las diferentes secciones son activas y al pasar el ratón por encima nos muestran los porcentajes y el nombre de la serie representada.
Otra información útil De la misma manera se pueden conjugar otros campos para enriquecer o filtrar los listados y conseguir unas tablas más afinadas. De esta forma se puede utilizar:
Machine o machineIP: agrupando por estos campos se pueden ver los equipos de la red del cliente que más descargas inician.
Cat: filtrando por este campo se puede despejar la tabla y mostrar únicamente lo que está catalogado como Malware. De esta forma se pueden obtener dominios considerados como emisores de Malware para bloquearlos en un cortafuegos que permita análisis en la capa 7.
75
Manual de Adaptive Defense
8.2.4. Tabla hook Esta tabla contiene todas las operaciones de creación y manipulación de hooks en el sistema del usuario Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx
hooktype
Tipo de hook realizado por el proceso
hash
Digest del proceso que realiza el hook en el sistema
Keyboard_ll, mouse_ll, keyboard, mouse
String
driveType
Tipo de unidad donde reside el proceso que realiza el hook
Fixed, Remote, Removable
path
Path del proceso que realiza el hook
String
validSig
Proceso que realiza el hook firmado digitalmente
Boolean
company
Contenido del atributo Company de los metadatos del proceso que realiza el hook
String
imageType
Arquitectura del fichero que realiza el hook
EXEx32, EXEx64, DLLx32, DLLx64
exeType
Tipo de ejecutable del proceso que realiza el hook
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de Panda Security del proceso que realiza el hook
HIGH, LOW, MEDIUM
76
Manual de Adaptive Defense
prevLastDay
Prevalencia del ultimo día en los sistemas de Panda Security del proceso que realiza el hook
cat
Categoría del proceso que realiza el hook en el sistema
mwName
Nombre del Malware si el proceso que realiza el hook en el sistema está catalogado como una amenaza
HIGH, LOW, MEDIUM
Goodware, Malware, PUP, Unknown, Monitoring
String, (Null si el elemento no es Malware)
hookPEhash
Digest / hash del proceso hookeado
String
Fixed, Remote, Removable
Hook
Tipo de unidad donde reside el proceso hookeado
hookPEpath
path del proceso hookeado
String
hookPEvalidSig
Proceso hookeado firmado digitalmente
Boolean
hookPEcompany
hookPEimageType
Contenido del atributo Company de los metadatos del proceso hookeado Arquitectura interna del fichero del proceso hookeado
String
EXEx32, EXEx64, DLLx32, DLLx64
Delphi, DOTNET, VisualC, VB, hookPEexeType
Tipo de ejecutable del proceso hookeado
CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
hookPEprevalence
Prevalencia histórica en los sistemas de Panda Security del proceso hookeado
HIGH, LOW, MEDIUM
hookPEprevLastDay
Prevalencia del ultimo día en los sistemas de Panda Security del proceso hookeado
HIGH, LOW, MEDIUM
hookPEcat
Categoría del proceso hookeado
Goodware, Malware, PUP, Unknown, Monitoring
Nombre del Malware si el proceso hookPEmwName
hookeado está catalogado como una
String
amenaza
Esta tabla muestra las operaciones de todos los procesos que realizan hooks. Puesto que el Malware que realiza este tipo de operación se considera especialmente peligroso por
77
Manual de Adaptive Defense
interceptar comunicaciones lo idóneo en este caso es filtrar el campo Cat y descartar todo lo que este catalogado como “Goodware” y “Monitoring”.
8.2.5. Tabla Install Esta tabla contiene toda la información generada en la instalación de los Agentes de Adaptive Defense en las maquinas del cliente. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
machineIP1
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP2
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP3
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP4
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP5
IP de una tarjeta de red adicional si está instalada
Dirección IP
ver
versión del Agente Adaptive Defense
String
op
Operación realizada
Install, Uninstall, Upgrade
osVer
Versión del Sistema Operativo
String
osSP
Versión del Service Pack
String
osPlatform
Plataforma del S.O.
WIN32, WIN64
Desinstalación de agentes A parte de las gráficas mostradas en el Dashboard de Adaptive Defense sobre las versiones de agentes instalados o desinstalados puede ser muy útil localizar de forma rápida los equipos que han desinstalado su agente en un periodo de tiempo dado. Para ello hay que acotar la fecha y simplemente añadir un filtro sobre el campo op para seleccionar todas las filas que tengan el string “Uninstall”. Con esta operación podremos obtener un listado de máquinas desinstaladas y por lo tanto vulnerables a las amenazas.
78
Manual de Adaptive Defense
8.2.6. Tabla Monitoredopen Esta tabla contiene los ficheros de datos accedidos por las aplicaciones ejecutadas en el equipo del usuario junto con los procesos que accedieron a los datos Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero que accede a datos
String
parentPath
path del proceso que que accede a datos
String
parentValidSig
Proceso que accede a datos firmado digitalmente
Boolean
parentCompany
Contenido del atributo Company de los metadatos del fichero que accede a datos
String
parentBroken
El fichero que a datos está corrupto / defectuoso
Boolean
parentImageType
Tipo de arquitectura interna del fichero que accede a datos
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo de ejecutable que accede a datos
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
parentPrevalence
Prevalencia histórica del fichero que accede a datos en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentPrevLastDay
Prevalencia en el día anterior del fichero que accede a datos en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero que accede a datos
Goodware, Malware, PUP, Unknown, Monitoring
79
Manual de Adaptive Defense
parentMWName
parentPid
Nombre del Malware si el fichero que accede a
String, (Null si el elemento no es
datos está catalogado como una amenaza
Malware)
Numero identificador del proceso que accede a datos en el equipo del cliente
String
Nombre del fichero de datos accedido por el childPath
proceso. Por defecto solo se indica la extensión del fichero para preservar la privacidad de
String
datos del cliente loggedUser
Usuario logueado en el equipo en el momento del acceso del fichero
String
Acceso a documentos de usuario Como esta tabla muestra el acceso a ficheros de todos los procesos que se ejecutan en el equipo del usuario, es bastante sencillo localizar una fuga de información en caso de infección. Filtrando por el campo parentCat para discriminar el Goodware del resto de posibilidades podemos obtener un listado de accesos a ficheros de datos por parte de procesos sin clasificar o clasificados como Malware, con lo que es posible visualizar de un vistazo el impacto de la fuga de datos y tomar las medidas necesarias.
8.2.7. Tabla Notblocked Esta tabla incluye un registro por cada elemento que Adaptive Defense ha dejado pasar sin analizar debido a situaciones excepcionales como tiempo de arranque del servicio en el endpoint, cambios de configuración etc. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
80
Manual de Adaptive Defense
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero padre
String
parentValidSig
Proceso padre firmado digitalmente
Boolean
parentCompany
Contenido del atributo Company de los metadatos del proceso padre
String
parentBroken
El fichero padre está corrupto o no
Boolean
parentImageType
Arquitectura interna del proceso padre
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo de ejecutable del proceso padre
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
parentPrevalence
Prevalencia histórica en los sistemas de Panda Security del proceso padre
HIGH, LOW, MEDIUM
parentPrevLastDay
Prevalencia en el día anterior en los sistemas de Panda Security del proceso padre
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero padre
ParentmwName
Nombre del Malware si el fichero padre está catalogado como una amenaza
Goodware, Malware, PUP, Unknown, Monitoring
string, (Null si el elemento no es Malware)
childHash
Digest / hash del fichero hijo
String
childValidSig
Proceso hijo firmado digitalmente
Boolean
childCompany
Contenido del atributo Company de los metadatos del proceso hijo
String
childBroken
El fichero hijo está corrupto o no
Boolean
childImageType
Arquitectura interna del proceso hijo
EXEx32, EXEx64, DLLx32, DLLx64
Tipo de ejecutable del proceso hijo
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
childExeType
81
Manual de Adaptive Defense
childPrevalence
Prevalencia histórica en los sistemas de Panda Security del fichero hijo
HIGH, LOW, MEDIUM
childPrevLastDay
Prevalencia del dia anterior en los sistemas de Panda Security del fichero hijo
HIGH, LOW, MEDIUM
childCat
Categoría del proceso hijo
Nombre del Malware si el fichero hijo childmwName
está catalogado como una amenaza
cfgSvcLevel
Goodware, Malware, PUP, Unknown, Monitoring
String, (Null si el elemento no es Malware)
Learning: el agente permite la ejecución de los procesos no conocidos
Hardening: el agente impide la ejecución de los procesos clasificados como amenazas
Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos
Learning: el agente permite la ejecución de los procesos no conocidos
Hardening: el agente impide la ejecución de los procesos clasificados como amenazas
Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos
Configuración de servicio del agente
Modo de operación del agente. El Agente puede tener temporalmente una configuración establecida realSvcLevel
diferente a la configuración en uso debido a diversas razones del entorno de ejecución. A la larga cfgSvcLevel y realSvcLevel deberán de coincidir.
Unknown = 0 Goodware = 1 Malware = 2 responseCat
Categoría del fichero devuelta por
Suspect = 3
la nube
Compromised =4 GoodwareNotConfirmed = 5 PUP = 6 GoodwareUnwanted = 7
numCacheClassifiedElements
Nº de elementos clasificados en caché
Numeric
82
Manual de Adaptive Defense
8.2.8. Tabla Ops Esta tabla contiene un registro de todas las operaciones realizadas por los procesos vistos en la red del cliente. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String CreateDir, Exec, KillProcess, CreatePE, DeletePE,
op
muid
Operación realizada
Identificador interno del equipo del cliente
LoadLib, OpenCmp, RenamePE, CreateCmp
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero padre
String
parentPath
path del proceso padre
String
parentValidSig
Proceso padre firmado digitalmente
Boolean
parentCompany
Contenido del atributo Company de los metadatos del fichero padre
String
parentImageType
Tipo de arquitectura interna del fichero padre
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo del ejecutable padre
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
parentPrevalence
Prevalencia histórica del fichero padre en los sistemas de Panda
HIGH, LOW, MEDIUM
83
Manual de Adaptive Defense
Security
parentPrevLastDay
Prevalencia en el día anterior del fichero padre en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero padre
Goodware, Malware, PUP, Unknown, Monitoring
parentMWName
Nombre del Malware encontrado en el fichero padre
String, (Null si el elemento no es Malware)
childHash
Digest / hash del fichero hijo
String
childPath
path del proceso hijo
String
childValidSig
Proceso hijo firmado digitalmente
Boolean
childCompany
Contenido del atributo Company de los metadatos del fichero hijo
String
childImageType
Tipo de arquitectura interna del fichero hijo
EXEx32, EXEx64, DLLx32, DLLx64
childExeType
Tipo de ejecutable hijo
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
childPrevalence
Prevalencia histórica del fichero hijo en los sistemas de Panda Security
HIGH, LOW, MEDIUM
childPrevLastDay
Prevalencia en el día anterior del fichero hijo en los sistemas de Panda Security
HIGH, LOW, MEDIUM
childCat
Categoría del fichero hijo
Goodware, Malware, PUP, Unknown, Monitoring
childMWName
Nombre del Malware encontrado en el fichero hijo
String, (Null si el elemento no es Malware)
ocsExec
Se ejecutó o no software considerado como vulnerable
Boolean
ocsName
Nombre del software considerado vulnerable
String
ocsVer
Version del software considerado vulnerable
String
Origen de creación del proceso peCreationSource
ejecutable. Equivalente al
String
campo DriveType
84
Manual de Adaptive Defense
params
toastResult
clientCat
action
Parámetros de ejecución del proceso ejecutable
Resultado de la tostada mostrada
Categoría en la caché del agente del elemento Acción realizada
Modo del agente
String
Ok
Timeout
Angry
Block
Allow
Goodware, Malware, PUP, Unknown, Monitoring
Allow, Block, BlockTimeout
Learning: el agente permite la ejecución de los procesos no conocidos
Hardening: el agente impide la ejecución de los procesos clasificados como amenazas
Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos
Unknown
Cache
Cloud
Contect
Serializer
User
Legacyuser
Netnative
certifUA
serviceLevel
winningTech
Tecnología que ha provocado la acción
8.2.9. Tabla Registry Esta tabla contiene un registro de todas las operaciones realizadas por los procesos vistos en la red del cliente sobre el registro de cada sistema. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el
Date
85
Manual de Adaptive Defense
servidor de Adaptive Defense machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso que
String
modifico el registro op
Operación realizada sobre el registro
ModifyExeKey, CreateExeKey
del equipo hash
Digest / hash del proceso que realiza
String
la modificación en registro muid
Identificador interno del equipo del
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
cliente targetPath
Path del ejecutable apuntado en el registro
Tipo de unidad donde reside el proceso que realiza el hook
regKey
Clave de registro
String
driveType
Tipo de unidad donde reside el proceso que accede al registro
String
path
Path del proceso que modifica el
String
registro validSig
Clave de registro
Boolean
company
Clave de registro
String
imageType
Arquitectura del fichero que accede
String
al registro exeType
Tipo de ejecutable
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
Prevalence
Prevalencia histórica en los sistemas
HIGH, LOW, MEDIUM
de Panda Security del proceso prevLastDay
Prevalencia del ultimo día en los
HIGH, LOW, MEDIUM
sistemas de Panda Security del
86
Manual de Adaptive Defense
proceso Cat
Categoría del proceso
Goodware, Malware, PUP, Unknown, Monitoring
mwName
Nombre del Malware si el proceso está
String, (Null si el elemento no es Malware)
catalogado como una amenaza
Persistencia de las amenazas instaladas Como esta tabla muestra el acceso al registro de todos los procesos que se ejecutan en el equipo del usuario, es bastante sencillo visualizar el Malware que consiguió ejecutarse hasta el punto de lograr persistencia en el sistema. Las ramas del registro que invocan a un programa en el arranque son múltiples pero las más utilizadas por troyanos y otros tipos de amenazas son:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
Viendo las claves casi todas comparten la rama “Run” de modo que filtrando por el campo regKey y buscando la subcadena “Run” podemos visualizar toda la información relativa al
proceso que añadió o retiró la rama del registro.
87
Manual de Adaptive Defense
Una vez filtrados los procesos que manipulan el sistema de arranque se pueden aplicar filtros posteriores que refinen la búsqueda inicial, utilizando el campo Cat para eliminar todos los programas catalogados como Goodware de la lista, de forma equivalente a la mostrada en ejemplos anteriores
8.2.10. Tabla Socket Esta tabla contiene un registro de todas las operaciones de red realizadas por los procesos vistos en la red del cliente. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
hash
Digest / hash del proceso que realiza la conexión
muid
Identificador interno del equipo del cliente
driveType
Tipo de unidad donde reside el proceso que realiza la conexión
path
path del proceso que realiza la conexión
protocol
port
Protocolo de comunicaciones utilizado por el proceso Puerto de comunicaciones utilizado por el proceso
String
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx Fixed, Remote, Removable
String
TCP, UDP, ICMP, ICMPv6,IGMP, RF
0-65535
direction
Sentido de la comunicación
Upload, Download, Bidirectional, Unknown
dstIp
IP destino
Dirección IP
dstPort
Puerto destino
0-65535
dstIp6
IP v6 de destino
Dirección IP
88
Manual de Adaptive Defense
validSig
Fichero que realiza la conexión firmado digitalmente
Boolean
company
Contenido del atributo Company de los metadatos del fichero que realiza la conexión
String
imageType
Arquitectura interna del proceso que realiza la conexión
EXEx32, EXEx64, DLLx32, DLLx64
exeType
Tipo de ejecutable del proceso que realiza la conexión
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de Panda Security
HIGH, LOW, MEDIUM
prevLastDay
Prevalencia del dia anterior en los sistemas de Panda Security
HIGH, LOW, MEDIUM
cat
Categoría del proceso que realiza la conexión
Goodware, Malware, PUP, Unknown,
mwName
Monitoring
Nombre del Malware si el proceso que realiza la conexión está catalogado como
String, (Null si el elemento no es Malware)
una amenaza
Programas que más se conectan al exterior Análogamente a la gráfica de la consola que geolocaliza los destinos de las conexiones efectuadas por el Malware instalado en la red del cliente se pueden obtener los destinos más conectados por el software licito que se ejecuta en los equipos. Para ello hay que seguir los siguientes pasos:
Añadir un filtro que elimine todos los programas que no sean considerados lícitos. Para ello hay que igualar el campo Cat a la cadena “Goodware”
Añadir un filtro que elimine todas las conexiones de destino a direcciones IP privadas. Para ello hay que crear una columna con la función Is Public IPv4 sobre el campo dstIp, tal y como se muestra en la figura
89
Manual de Adaptive Defense
Añadir sendas columnas latitude y longitude que extraigan del campo dstIP la longitud y la latitud con las funciones Geolocated Latitude / Longitude.
En este punto del procedimiento tenemos un listado de conexiones desde software legítimo hacia direcciones IP públicas y la latitud y longitud de cada IP. Las coordenadas obtenidas se representaran en la gráfica de tipo mapa como puntos. Puesto que se quiere representar el número de conexiones a una misma dirección IP será necesario realizar una agrupación y añadir un contador para obtener el número de direcciones IP repetidas en una agrupación.
Añadir una agrupación por el campo de la tabla dstIP y los campos de nueva creación latitude y longitude, sin límite temporal.
90
Manual de Adaptive Defense
Agregar una función de tipo contador.
Añadir una gráfica de tipo Flat world map by coordinates o Google heat map utilizando como datos las columnas count, latitude y longitude.
Al arrastrar las columnas a las casillas indicadas se mostrará el mapa elegido con los datos representados por puntos de diversos colores y tamaños
91
Manual de Adaptive Defense
8.2.11. Tabla Toast La tabla Toast registra una entrada por cada aparición de mensaje del agente al cliente Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
92
Manual de Adaptive Defense
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero padre
String
parentPath
path del proceso padre
String
parentValidSig
Proceso padre firmado digitalmente
Boolean
parentCompany
Contenido del atributo Company de los metadatos del fichero padre
String
parentImageType
Tipo de arquitectura interna del fichero padre
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo del ejecutable padre
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
parentPrevalence
Prevalencia histórica del fichero padre en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentPrevLastDay
Prevalencia en el día anterior del fichero padre en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero padre
Goodware, Malware, PUP, Unknown, Monitoring
parentMWName
Nombre del Malware encontrado en el fichero padre
String, (Null si el elemento no es Malware)
childHash
Digest / hash del fichero hijo
String
childPath
path del proceso hijo
String
childValidSig
Proceso hijo firmado digitalmente
Boolean
childCompany
Contenido del atributo Company de los metadatos del fichero hijo
String
childImageType
Tipo de arquitectura interna del fichero hijo
EXEx32, EXEx64, DLLx32, DLLx64
childExeType
Tipo de ejecutable hijo
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32,
93
Manual de Adaptive Defense
Setupfactory, Unknown
childPrevalence
Prevalencia histórica del fichero hijo en los sistemas de Panda Security
HIGH, LOW, MEDIUM
childPrevLastDay
Prevalencia en el día anterior del fichero hijo en los sistemas de Panda Security
HIGH, LOW, MEDIUM
childCat
Categoría del fichero hijo
Goodware, Malware, PUP, Unknown, Monitoring
clientCat
Categoría en la caché del agente del elemento
Goodware, Malware, PUP, Unknown, Monitoring
childMWName
Nombre del Malware encontrado en el fichero hijo
String, (Null si el elemento no es Malware) Learning: el agente permite la ejecución de los procesos no conocidos
serviceLevel
Modo del agente
Hardening: el agente impide la ejecución de los procesos clasificados como amenazas Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos
winningTech
Tecnología que ha provocado la acción
Unknown Cache Cloud Contect Serializer User Legacyuser Netnative certifUA
cloudAccessOk
Acceso a la nube cuando se
Boolean
SonFirstSeen
Primera vez que el sistema vio al proceso que provoco la tostada
Date
SonLastQuery
Ultima vez que el proceso que provoco la tostada lanzo una query a la nube
Date
PrevoiusClientCat
Categoría previa del elemento que provocó la tostada
Numeric
Ok: el cliente acepta el mensaje Timeout: la tostada desaparece por la no acción del usuario ToastResult
Resultado de la tostada
Angry: el usuario rechaza el bloqueo Block Allow
94
Manual de Adaptive Defense
9. Anexo I: Integración con productos SIEM
95
Manual de Adaptive Defense
9. Anexo I: Integración con productos SIEM Adaptive Defense se integra con soluciones SIEM agregando información detallada sobre la actividad de las aplicaciones ejecutadas en los puestos protegidos. La información enviada al sistema SIEM del cliente tiene como origen el servidor Adaptive Defense; por esta razón se trata de información ya elaborada (categoría, prevalencia etc) y no simplemente de datos en crudo recogidos de los Agentes instalados en las máquinas de los usuarios. A continuación, se listan los sistemas SIEM compatibles con Adaptive Defense:
QRadar
AlienVault
ArcSight
LookWise
Bitacora
QRadar Actualmente Adaptive Defense se integra con QRadar (formato Live) AlienVault y ArcSight La integración con AlienVault y ArcSight agrega información al SIEM bajo el formato CEF (Common Event Format) LookWise y el antiguo bitácora LookWise y el antiguo bitácora puden recibir eventos de alertas e información de prevalencia de Adaptive Defense, esto es: información de cuándo y en que máquinas del parque se ha visto el Malware detectado. Integración abierta a otros fabricantes (Splunk, etc) La integración con nuevas plataformas SIEM es un proceso que se acomete bajo demanda por lo que queda abierta la posibilidad de integración con fabricantes como Splunk y otros.
96
Manual de Adaptive Defense
10. Anexo II: Acuerdos de Nivel de Servicio Servicio de Preventa y Migración Servicio de Soporte Técnico Nuestra Infraestructura en la Nube Servicio de clasificación de software no confiable
97
Manual de Adaptive Defense
10. Anexo II: Acuerdos de Nivel de Servicio En Panda Security consideramos crítico dejar claro los servicios que vienen incluidos con su adquisición. A continuación se describen los niveles de servicio que se ofrecen con la adquisición de nuestras soluciones.
10.1. Servicio de Preventa y Migración El servicio de preventa y migración incluye demostración del servicio, información y respuesta al cliente a todas sus dudas y consultas, coordinación con los departamentos internos de Panda Security, soporte activo en la migración y desinstaladores para la solución reemplazada con Panda Adaptive Defense.
Servicio de información al cliente dando respuestas por email o telefónicamente a todas las dudas y preguntas del cliente.
Coordinación interna y comunicación abierta con todos los departamentos internos de Panda Security con el objetivo de dar respuesta a todas las dudas y consultas del cliente, además de transmitir las necesidades del cliente para su incorporación al servicio en futuras revisiones.
Soporte activo en la migración. Soporte activo en la migración tomado datos, elaboración de propuestas y colaboración en los despliegues.
Desinstaladores de la solución reemplazada. En caso de que la empresa que adquiera Panda Adaptive Defense quiera reemplazar su solución de antivirus tradicional, Panda ofrece desinstaladores de los productos / soluciones antivirus. Estos desinstaladores se lanzarán de forma automática en los puestos y servidores donde se instale la protección de Panda Adaptive Defense siempre y cuando así esté establecido en la configuración del servicio. En el caso de no disponer del desinstalador, Panda se compromete a crear el desinstalador en un plazo máximo de 2 semanas desde la recepción de la información necesaria. La creación del desinstalador será posible en todos los casos salvo que el producto a desinstalar incluya métodos de auto-protección que impidan su desinstalación.
10.2. Servicio de Soporte Técnico El servicio de Soporte de productos Panda, tiene por objeto establecer el mantenimiento y la asistencia técnica que permita asegurar el correcto funcionamiento de todos los programas Panda en todos los puestos y servidores del cliente.
Service Packs y hotfixes: Acceso a las mejoras técnicas de producto durante el tiempo de activación del servicio.
Web de soporte: Acceso a foros, blogs, web de soporte, información sobre últimas amenazas, mapa de virus, Panda ThreatWatch, enciclopedia de virus etc.
Soporte técnico: Atención telefónica y vía email de técnicos certificados en las soluciones de PANDA SECURITY.
Acceso a programas beta: para acceder a las últimas versiones de productos de seguridad de PANDA y compartir las experiencias y feedback con nosotros.
Acceso ilimitado al HelpDesk: Sin límite de incidencias reportadas.
98
Manual de Adaptive Defense
Las condiciones que definen el servicio son:
Servicio de soporte técnico personal. Servicio de atención al cliente, atendido por expertos del producto a través de teléfono. Resolución personal de cualquier consulta o incidencia relacionada con la detección de virus o con la configuración del producto.
10.3. Nuestra Infraestructura en la Nube Disponibilidad del Servicio Panda Security garantiza que el servicio estará disponible un 99,5% del tiempo, y cubre las infraestructuras utilizadas por la solución Panda Adaptive Defense, en concreto aplica a los siguientes sistemas:
Consola de administración.
Las descargas de los paquetes para instalar tanto el agente como la protección en portátiles, estaciones y servidores Windows.
La disponibilidad se calculará anualmente según la siguiente ecuación: 𝑡𝑜𝑡𝑎𝑙 − 𝑛𝑜𝑛𝑒𝑥𝑐𝑙𝑢𝑑𝑒𝑑 − 𝑒𝑥𝑐𝑙𝑢𝑑𝑒𝑑 {( ) | ∗ 100} ≥ 99,5% 𝑡𝑜𝑡𝑎𝑙 − 𝑒𝑥𝑐𝑙𝑢𝑑𝑒𝑑
Dónde: - total significa el número total de minutos por año - No excluido significa el tiempo de indisponibilidad (downtime) que no está excluido, es decir, el tiempo durante el cual ha habido una indisponibilidad del servicio en la que la consola de administración y/o las descargas de los paquetes para instalar el agente y la protección no han estado disponibles. - Se define como tiempo excluido el que se incluye en los siguientes casos: - Paradas planificadas por mantenimiento, instalación de nuevas versiones (Major y Minor), y para la instalación de hotfixes. Este tiempo nunca excederá de 48 horas por trimestre - Cualquier parada por mantenimiento donde Panda Security avisa con una antelación entre 48h y 96h vía email al partner. En dicha notificación se indicará el tiempo de inicio y finalización aproximado de dicho mantenimiento. - Cualquier parada planificada para la instalación de Major Releases, limitadas a un máximo de 3 anuales. - Cualquier parada planificada para la instalación de Minor Releases, limitadas a un máximo de 3 anuales. - Cualquier parada planificada para la instalación de hotfixes. - Cualquier indisponibilidad del servicio originada por Fuerza Mayor, y en general cualesquiera circunstancias que escapen al control de Panda Security, incluyendo pero no limitándose a cualquier suceso externo que no hubiera
99
Manual de Adaptive Defense
podido preverse o que previsto fuera inevitable, que impida el cumplimiento de las obligaciones de alguna de las partes, como por ejemplo, tormentas, inundaciones, incendios, guerras o sabotajes. Los cálculos de disponibilidad se realizarán para el año completo, incluso en los casos en los que el cliente haya contratado el servicio por menos tiempo o durante el mismo año. Durante el año 2013 la disponibilidad de nuestra plataforma en la nube tuvo un 99,9% de disponibilidad. ¿Qué seguridad tiene la plataforma donde se alojan los datos? Windows Azure, la plataforma donde está alojado Panda Adaptive Defense provee la máxima confidencialidad y seguridad de los datos almacenados. Las políticas de seguridad y control establecidas en Azure están descritas en el Whitepaper de “Windows Azure Security Overview”. Ver http://download.microsoft.com/download/6/0/2/6028B1AE-4AEE-46CE-9187641DA97FC1EE/Windows%20Azure%20Security%20Overview%20v1.01.pdf ¿Qué certificaciones de seguridad tiene la plataforma donde se alojan los datos? Tal y como se indica en el .pdf del apartado anterior Windows Azure corre sobre Microsoft Global Foundation Services (GFS): “Windows Azure operates in the Microsoft Global Foundation Services (GFS) infrastructure” El siguiente documento muestra información sobre la gestión de la seguridad que se hace en Global Foundation Services (GFS), la infraestructura Cloud de Microsoft en la cual corre Windows Azure:http://cdn.globalfoundationservices.com/documents/InformationSecurityMangSysforMSCl oudInfrastructure.pdf En el .pdf se indican las certificaciones de Windows Azure:
ISO/IEC 27001:2005
Statement on Auditing Standards No. 70 (SAS 70) Type I and II
Sarbanes-Oxley (SOX)
Payment Card Industry Data Security Standard (PCI DSS)
Federal Information Security Management Act (FISMA)
Adicionalmente tenemos información más detallada sobre la certificación 27001 en: http://blogs.msdn.com/b/windowsazure/archive/2011/12/19/windows-azure-achieves-is0-27001certification-from-the-british-standards-institute.aspx Por último, indicar que en http://www.microsoft.com/download/en/details.aspx?id=26647 hay un White Paper que describe como Windows Azure cumple con los requisitos de seguridad definidos por Cloud Security Alliance, Cloud Control Matrix. Se adjunta párrafo del Whitepaper: “Our security framework based on ISO 27001 enables customers to evaluate how Microsoft meets or exceeds the security standards and implementation guidelines. ISO 27001 defines how to
100
Manual de Adaptive Defense
implement, monitor, maintain, and continually improve the Information Security Management System (ISMS). In addition, the GFS infrastructure undergoes an annual American Institute of Certified Public Accountants (AICPA) Statement of Auditing Standards (SAS) No. 70 audits, which will be replaced with an AICPA Statement on Standards for Attestation Engagements (SSAE) No. 16 audit and an International Standards for Assurance Engagements (ISAE) No. 3402 audit. Planning for an SSAE 16 audit of Windows Azure is underway.”
10.4. Servicio de clasificación de software no confiable Panda Adaptive Defense se basa en innovadoras tecnologías que se alimentan de información recogida de la monitorización continua de las aplicaciones que corren en los puestos y servidores, de información de reputación, de información de la propia comunidad del Panda, así como de información obtenida en la ejecución controlada de estas aplicaciones en máquinas físicas ubicadas en la infraestructura de Panda. Todas estas entradas alimentan a un motor de análisis de Big Data en nuestra infraestructura en la nube donde se agrega, correlaciona y procesan las entradas. El resultado final es un diagnostico que determina si la aplicación es o no confiable para Panda. Este diagnóstico se determina con un grado de precisión cercano al 100%, calculado en función de todas las clasificaciones de Goodware y Malware realizadas por Panda hasta la fecha. En cualquier caso, el nivel de confiabilidad de las aplicaciones se recalcula continuamente a medida que llegan nuevos eventos en el sistema. Nuestros expertos de PandaLabs, con toda la información recogida de la monitorización continua de las aplicaciones que corren en los Endpoints y con los resultados del análisis BigData realizado en nuestra infraestructura en la nube, se encargarán de clasificar manualmente aquellas aplicaciones que no son clasificadas de forma automática por el sistema.
101
Manual de Adaptive Defense
102