Manual de Adaptive Defense
1
Manual de Adaptive Defense
Tabla de Contenidos Tabla de Contenidos ........................................................................................... 2 1. Prólogo .............................................................................................................. 6 1.1. ¿A quién está dirigida esta guía? .................................................................... 6 1.2. Iconos ................................................................................................................... 6
2. Introducción ..................................................................................................... 8 2.1. Características principales de Adaptive Defense. ....................................... 8 2.2. Perfil de Usuario de Adaptive Defense ........................................................... 9 2.3. Arquitectura general del servicio Adaptive Defense ................................... 9 2.3.1. Servidor Adaptive Defense ..................................................................................... 10 2.3.2. Servidor Web de la consola de administración.................................................. 11 2.3.3. Equipos protegidos con Adaptive Defense ........................................................ 11 2.3.4. Servidor Logtrust de conocimiento acumulado ................................................. 11 2.3.5. Servidores SIEM de clientes compatibles con Adaptive Defense .................. 12
3. Conceptos básicos de Adaptive Defense ................................................ 14 3.1. Características del servicio de protección en el endpoint ....................... 14 3.1.1. El ratio de detección ................................................................................................ 14 3.1.2. El ratio de clasificación ............................................................................................ 14 3.1.3. La fiabilidad de la clasificación ............................................................................. 14
3.2. Modelo Adaptive Defense ............................................................................. 14 3.3. Clasificación de procesos en Adaptive Defense........................................ 15 3.3.1. Procesos conocidos ................................................................................................. 15 3.3.2. Procesos desconocidos ........................................................................................... 15 3.3.3. Tipos de procesos conocidos ................................................................................. 16
3.4. Análisis de eventos ........................................................................................... 16 3.5. Confidencialidad de los datos del cliente ................................................... 17 3.5.1. Directrices de los datos recogidos por el servicio .............................................. 17 3.5.2. Información recogida de las máquinas ............................................................... 18 3.5.3. Privacidad de la información recogida ............................................................... 19
4. Instalación y puesta en marcha servicio Adaptive Defense ................. 21 4.1. Checklist de pasos y requisitos necesarios. .................................................. 21 4.2. Fase de aprendizaje ........................................................................................ 28 4.3. Fase de bloqueo de Malware (hardening) ................................................. 29
5. Estado de la protección y visibilidad de los equipos .............................. 31 5.1. Dashboard del estado del servicio ............................................................... 31 5.1.1. Service status ............................................................................................................. 31 5.1.2. Malware detections ................................................................................................. 33 5.1.3. Actividad Malware ................................................................................................... 35 5.1.4. Informes del estado de la protección del parque informático ...................... 36 5.1.5. Equipos protegidos ................................................................................................... 36 5.1.6. Filtrado de equipos ................................................................................................... 37 5.1.7. Borrado de equipos .................................................................................................. 39 5.1.8. Detalle de equipos protegidos .............................................................................. 39 5.1.9. Equipos desprotegidos ............................................................................................ 40
2
Manual de Adaptive Defense
5.2. Informes detallados de la actividad y configuración de los equipos .... 40
6. Configuración del comportamiento de Adaptive Defense .................. 44 6.1. Programas clasificados ................................................................................... 44 6.1.1. Ejecutar programas clasificados como Malware .............................................. 44
6.2. Programas sin clasificar ................................................................................... 45 6.2.1. Configuración de comportamiento de Adaptive Defense frente a programas no clasificados ................................................................................................ 46 6.2.2. Modo auditoría ......................................................................................................... 48 6.2.3. Modo de bloqueo de programas en proceso de clasificación (modo Extendido) ............................................................................................................................. 48 6.2.4. Modo de ejecución de programas en proceso de clasificación (modo Deep Hardenig) ................................................................................................................... 48
6.3. Desactivación selectiva de la protección sobre ficheros o directorios .. 49 6.4. Desactivación completa de la protección ................................................. 50
7. Remediación de problemas de seguridad ............................................... 52 7.1. Desinfección automática de Malware ........................................................ 52 7.2. Modo Deep hardening e infección por Malware desconocido .............. 52 7.2.1. Localización de equipos infectados ..................................................................... 52 7.2.2. Desinfección de equipos ........................................................................................ 54
8. Análisis forense y prevención de ataques ................................................. 58 8.1. Análisis forense mediante las tablas de acciones ...................................... 58 8.1.1. Sujeto y predicado en las acciones ..................................................................... 61
8.2. Análisis forense mediante grafos de ejecución .......................................... 62 8.2.1. Diagramas .................................................................................................................. 63 8.2.2. Nodos .......................................................................................................................... 63 8.2.3. Líneas y flechas ......................................................................................................... 65 8.2.4. La línea temporal ...................................................................................................... 65 8.2.5. Zoom in y Zoom out .................................................................................................. 66 8.2.6. Timeline (línea temporal) ......................................................................................... 66 8.2.7. Filtros ............................................................................................................................ 67 8.2.8. Movimiento de los nodos y zoom general del grafo ......................................... 67
8.3. Interpretación de las tablas de acciones y grafos de actividad ............. 68 8.3.1. Ejemplo 1: Visualización de las acciones ejecutadas por el Malware Trj/OCJ.A ............................................................................................................................... 69 8.3.2. Ejemplo 2: Comunicación con equipos externos en BetterSurf ...................... 70 8.3.3. Ejemplo 3: acceso al registro con PasswordStealer.BT ...................................... 72 8.3.4. Ejemplo 4: Acceso a datos confidenciales en Trj/Chgt.F ................................. 73
9. Análisis de conocimiento y búsquedas avanzadas ................................ 76 9.1. Acceso al entorno LogTrust ............................................................................ 76 9.2. Descripción de las tablas Adaptive Defense .............................................. 77 9.2.1. Tabla Alert .................................................................................................................. 78 9.2.2. Tabla Drivers ............................................................................................................... 82 9.2.3. Tabla Filesdwn............................................................................................................ 83 9.2.4. Tabla hook .................................................................................................................. 87 9.2.5. Tabla Install ................................................................................................................. 89 9.2.6. Tabla Monitoredopen .............................................................................................. 90
3
Manual de Adaptive Defense
9.2.7. Tabla Notblocked ..................................................................................................... 91 9.2.8. Tabla Ops .................................................................................................................... 94 9.2.9. Tabla Registry ............................................................................................................. 96 9.2.10. Tabla Socket ............................................................................................................ 99 9.2.11. Tabla Toast ............................................................................................................. 103
10. Anexo I: Integración con productos SIEM ............................................. 107 11. Anexo II: Acuerdos de Nivel de Servicio ................................................ 109 11.1. Servicio de Preventa y Migración .............................................................. 109 11.2. Servicio de Soporte Técnico ....................................................................... 109 11.3. Nuestra Infraestructura en la Nube ........................................................... 110 11.4. Servicio de clasificación de software no confiable ................................ 112
4
Manual de Adaptive Defense
1. Prólogo ¿A quién está dedicada esta guía? Iconos
5
Manual de Adaptive Defense
1. Prólogo Esta guía contiene información y procedimientos de uso para obtener el máximo beneficio del producto Adaptive Defense.
1.1. ¿A quién está dirigida esta guía? La presente documentación está dirigida a administradores de red que necesiten proteger los equipos Windows del parque informático de la empresa frente a las amenazas y ataques dirigidos avanzados (APTs). Aunque Adaptive Defense es un servicio gestionado que ofrece seguridad garantizada sin intervención del administrador de la red, también provee de información muy detallada y fácil de comprender sobre los procesos y programas ejecutados por los usuarios en los equipos de la empresa, ya sean amenazas conocidas o desconocidas como programas legítimos. Para que el administrador de la red pueda interpretar correctamente la información ofrecida y extraer conclusiones que alimenten nuevas iniciativas para fortalecer la seguridad de la empresa son necesarios conocimientos técnicos de entornos Windows a nivel de procesos, sistema de ficheros y registro, así como entender los protocolos de red más frecuentemente utilizados.
1.2. Iconos En esta guía aparecen los siguientes iconos: Información adicional, como, por ejemplo, un método alternativo para realizar una determinada tarea. Sugerencias y recomendaciones. Consejo importante de cara a un uso correcto de las opciones de Adaptive Defense.
6
Manual de Adaptive Defense
2. Introducción Características principales Perfil de Usuario Arquitectura general
7
Manual de Adaptive Defense
2. Introducción Adaptive Defense es un servicio de seguridad gestionado basado en la supervisión, control y clasificación de los procesos ejecutados en el parque informático en base su comportamiento y naturaleza. A diferencia de los antivirus tradicionales, Adaptive Defense utiliza un nuevo concepto de seguridad que le permite adaptarse de forma precisa al entorno particular de cada empresa, supervisando la ejecución de todas las aplicaciones y aprendiendo constantemente de las acciones desencadenadas por cada uno de los procesos. Tras un breve periodo de aprendizaje Adaptive Defense es capaz de ofrecer un nivel de protección muy superior al de un antivirus tradicional, así como ofrecer una información valiosa sobre el contexto en el que se sucedieron los problemas de seguridad para poder determinar su alcance e implantar las medidas necesarias para evitar que se vuelvan a repetir. Adaptive Defense es un servicio Cloud y por lo tanto no requiere de nueva infraestructura de control en la empresa, manteniendo de esta manera un TCO bajo.
2.1. Características principales de Adaptive Defense. Adaptive Defense es un servicio gestionado que ofrece seguridad garantizada frente a amenazas y ataques avanzados y dirigidos a las empresas, a través de cuatro pilares:
Visibilidad en tiempo real de cada acción realizada por las aplicaciones en ejecución. Detección de amenazas mediante la clasificación automática de todos los ficheros y procesos de la red utilizando técnicas Machine Learning en entornos de explotación de información Big Data. Respuesta mediante desinfección con herramientas especializadas y análisis forense para investigar en profundidad el alcance de cada intento de intrusión. Prevención mediante información que ayudará al administrador de la red a evitar ataques dirigidos similares en el futuro.
8
Manual de Adaptive Defense
2.2. Perfil de Usuario de Adaptive Defense Aunque Adaptive Defense es un servicio gestionado que ofrece seguridad sin intervención del administrador de la red, también provee información muy detallada y comprensible sobre la actividad de los procesos ejecutados por los usuarios en toda la infraestructura de IT de la empresa. Esta información puede ser utilizada por el administrador para delimitar claramente el impacto de posibles problemas y adaptar sus protocolos de seguridad y así evitar situaciones equivalentes en el futuro. Todos los usuarios con un Agente Adaptive Defense instalado en su equipo disfrutarán de un servicio de seguridad con garantías, impidiendo la ejecución de programas que supongan una amenaza para el desarrollo de la empresa.
2.3. Arquitectura general del servicio Adaptive Defense Adaptive Defense es un servicio avanzado de seguridad basado en el análisis del comportamiento de los procesos ejecutados en el parque de cada cliente. El análisis de los procesos se realiza aplicando técnicas de Machine Learning en infraestructuras Big Data alojadas en la nube de forma que el cliente no tiene que instalar hardware ni recursos adicionales en sus oficinas. A continuación se muestra el esquema general de Adaptive Defense:
9
Manual de Adaptive Defense
Según la figura Adaptive Defense está formado por varios elementos:
Servidor Adaptive Defense Servidor web de la consola de administración Equipos protegidos con Adaptive Defense Equipo del administrador de red que accede a la consola web Servidor Logtrust de explotación en tiempo real del conocimiento acumulado Servidores SIEM del cliente compatibles con Adaptive Defense
A continuación se detallan los diferentes roles de la arquitectura mostrada.
2.3.1. Servidor Adaptive Defense El servidor Adaptive Defense recopila todas las acciones realizadas por los procesos de usuario y enviadas desde los Agentes instalados en los equipos del cliente. Mediante técnicas de aprendizaje, evalúa su comportamiento y dicta una clasificación por cada proceso en ejecución, que es devuelta al Agente para ejecutar una decisión. El servidor Adaptive Defense está formado por una granja de servidores alojada en la nube que configura un entorno de explotación Big Data donde se aplican reglas Machine Learning de forma continuada para clasificar cada proceso ejecutado. Las ventajas de este nuevo modelo de análisis de procesos en la nube frente al adoptado por los antivirus tradicionales basados en el envío de muestras al proveedor y análisis manual son varias:
El porcentaje de error al clasificar un proceso ejecutado en multitud de endpoints a lo largo del tiempo es del 99’9991% (menos de 1 error cada 100.000 ficheros analizados) con lo que el número de falsos positivos y falsos negativos es cercano a cero.
El retraso en la clasificación de los procesos vistos por primera vez es mínimo ya que el Agente Adaptive Defense envía las acciones que desencadena cada proceso y el servidor las analiza buscando patrones sospechosos. Adicionalmente para los ficheros ejecutables encontrados en el equipo del usuario y que sean desconocidos para la plataforma Adaptive Defense el agente enviará el fichero al servidor para su análisis. El impacto en el rendimiento de la red del cliente debido al envío de los ejecutables desconocidos está configurado para pasar completamente desapercibido. Un fichero desconocido se envía una sola vez para todos los clientes que usan Adaptive Defense. Además se han implementado mecanismos de gestión del ancho de banda y limites por Agente y hora, con el objetivo de minimizar el impacto en la red del cliente.
El consumo de recursos de CPU en el equipo del usuario es mínimo y está estimado en un 2% frente al 5%-15% de las soluciones de seguridad tradicionales, ya que todo el proceso de análisis y clasificación se realiza en la nube. El Agente instalado simplemente recoge la clasificación enviada por el servidor Adaptive Defense y ejecuta una acción correctora.
El análisis en la nube libera al cliente de instalar y mantener infraestructuras de hardware y software junto al pago de licencias y gestión de garantías, con lo que el TCO desciende significativamente.
10
Manual de Adaptive Defense
Consulta el Anexo 2 para información sobre la disponibilidad de la plataforma Adaptive Defense y los tiempos de clasificación.
2.3.2. Servidor Web de la consola de administración Toda la gestión de Adaptive Defense se realiza a través de la consola web accesible para el administrador desde la URL https://adaptivedefense.pandasecurity.com La consola web es compatible con los navegadores más comunes y es accesible desde cualquier lugar y en cualquier momento utilizando cualquier dispositivo que tenga instalado un navegador compatible.
Consulta el Capítulo 4: Instalación y puesta en marcha servicio Adaptive Defense para verificar si tu navegador es compatible con el servicio.
La consola web es responsive de modo que es accesible desde móviles y tablets en cualquier momento y lugar.
2.3.3. Equipos protegidos con Adaptive Defense El Agente Adaptive Defense es un pequeño componente software que ocupa algo menos de 20MB y que tiene que estar instalado en todas las máquinas del parque informático susceptibles de sufrir problemas de seguridad. El modo de funcionamiento del Agente consiste en recoger información sobre todos los eventos que se producen en las máquinas, enviándolos al Servidor Adaptive Defense. Toda la información recogida corresponde a los eventos de software y los componentes que los producen. No se recoge información ni documentos del usuario. El Agente enviará en tiempo real toda la información al Servidor Adaptive Defense para su explotación y clasificación.
El Agente Adaptive Defense es incompatible con Panda Endpoint Protection y Panda Endpoint Protection Plus. El Agente Adaptive Defense se instala sin problemas en máquinas con otras soluciones de seguridad de la competencia.
2.3.4. Servidor Logtrust de conocimiento acumulado Adaptive Defense se entrega opcionalmente con un servicio de almacenamiento para todo el conocimiento generado por los equipos del cliente, con un registro de cada acción realizada por los procesos que se ejecutan en el parque de IT, ya sean Goodware como Malware. De esta forma es posible relacionar y visualizar de forma flexible todos los datos recogidos para obtener información adicional sobre las amenazas y sobre el uso que los usuarios están dando a los equipos de la empresa.
11
Manual de Adaptive Defense
El servicio Logtrust es accesible desde el Dashboard de la propia consola Web. Consulta el Capítulo 9 para configurar y sacar provecho del servicio de análisis de conocimiento y búsquedas avanzadas.
2.3.5. Servidores SIEM de clientes compatibles con Adaptive Defense Adaptive Defense se integra con soluciones SIEM de proveedores externos enviando los datos recogidos sobre la actividad de todas las aplicaciones ejecutadas en los puestos. Esta información se entrega al SIEM ampliada con todo el conocimiento de la plataforma Adaptive Defense y podrá ser explotada por los sistemas de que disponga el cliente. A continuación se listan los sistemas SIEM compatibles con Adaptive Defense:
QRadar
AlienVault
ArcSight
LookWise
Bitacora Consulta el Anexo 1 Integración con productos SIEM para obtener más información sobre la integración de Adaptive Defense con SIEMs de terceros.
12
Manual de Adaptive Defense
3. Conceptos básicos de Adaptive Defense Características del servicio de protección en el endpoint Modelo Adaptive Defense Clasificación de procesos Análisis de eventos Confidencialidad de los datos
13
Manual de Adaptive Defense
3. Conceptos básicos de Adaptive Defense Adaptive Defense es un servicio de seguridad garantizada basado en un modelo de protección completamente diferente al utilizado en los antivirus tradicionales, ya sea On Premise, Cloud o mono puesto.
3.1. Características del servicio de protección en el endpoint Desde el punto de vista de la protección de los equipos de la red, son tres los parámetros fundamentales a la hora de ofrecer un producto de seguridad fiable: el ratio de detección, el ratio de clasificación y la precisión en la clasificación de los ficheros analizados. A estos tres parámetros se debe de añadir un cuarto adicional que los recoge: el factor temporal.
3.1.1. El ratio de detección El ratio de detección responde a la pregunta de “¿Cuantos virus conoce la solución de seguridad?” Se trata del porcentaje de muestras diferentes que el proveedor de seguridad reconoce, frente al número de muestras totales en circulación.
3.1.2. El ratio de clasificación El ratio de clasificación responde la pregunta de “¿Cuantos ficheros conoces?” Indica el porcentaje de ficheros que el proveedor ya ha reconocido para poder emitir una clasificación, frente al total de ficheros que circula por la red del cliente.
3.1.3. La fiabilidad de la clasificación La fiabilidad de la clasificación mide el nivel de certeza en el veredicto emitido a la hora de etiquetar un elemento como Goodware o Malware. O dicho de otro modo es la probabilidad de que un elemento conocido cambie su clasificación, bien porque inicialmente fue clasificado como Goodware y sea posteriormente reclasificado como Malware o viceversa.
3.2. Modelo Adaptive Defense En el modelo propuesto la actividad de clasificación y detección de Malware también se realiza en local con los conocidos métodos heurísticos del sistema tradicional pero la principal novedad es la recopilación automática de las acciones desencadenadas por cada proceso ejecutado en los equipos del cliente, y su posterior estudio utilizando técnicas de Machine Learning en los entornos Big Data desplegados dentro de la infraestructura del proveedor de seguridad. De esta forma cada Agente instalado en el equipo del cliente registra todas las acciones y cambios en el sistema que producen cada uno de los procesos que el usuario ejecuta. Estas acciones perfectamente detalladas son enviadas al proveedor, produciéndose un minado de
14
Manual de Adaptive Defense
datos de comportamiento continuo y en tiempo real. Así es como Adaptive Defense conoce las características y comportamiento de todos y cada uno de los ficheros que circulan en las redes de sus clientes. Debido a que una misma solución de software ejecutada en muchos clientes puede generar grupos de acciones diferentes dependiendo de cómo sea utilizada, el proveedor tendrá acceso a multitud de ejecuciones de un mismo programa, disponiendo así de un volumen de evidencias adicionales muy valioso e imposible de replicar en el modelo tradicional que, una vez cruzadas y explotadas con tecnologías de análisis estadístico sobre plataformas Big Data, permitirán una clasificación casi instantánea y automática en la mayoría de los casos de todos y cada uno de los procesos que ejecuta cada cliente, con un grado de fiabilidad muy próximo al 100%.
3.3. Clasificación de procesos en Adaptive Defense El proceso de clasificación consiste en determinar la peligrosidad de cada programa ejecutado en la empresa del cliente En un primer nivel el sistema distingue entre dos estados.
Procesos conocidos Procesos desconocidos
3.3.1. Procesos conocidos Se trata de procesos ya registrados y analizados por Adaptive Defense o con ciertas características que los convierten en procesos conocidos sin necesidad de analizarlos. En este último grupo entrarían los programas que forman parte del sistema operativo o programas firmados digitalmente por una entidad certificadora conocida. Todos los procesos conocidos por Adaptive Defense llevan un hash asociado de forma que el Agente pueda preguntar al Servidor Adaptive Defense si es conocido o no, y si lo es poder recuperar su clasificación.
3.3.2. Procesos desconocidos Son los procesos nuevos para el sistema y por lo tanto sin hash de identificación ni clasificación asociada. En función de la configuración del servicio se permitirá o no su ejecución en el equipo del cliente. En el caso de que se permita su ejecución el Agente enviará al servidor los eventos generados por cada ejecución del proceso en cada uno de los equipos de usuario. En el momento en que el número de eventos sea lo suficientemente relevante en el Servidor Adaptive Defense se emitirá una clasificación y el proceso pasara a estado Conocido.
15
Manual de Adaptive Defense
3.3.3. Tipos de procesos conocidos Dentro de los procesos conocidos existen dos tipos: Goodware y Malware/PUPS. Goodware: Goodware es un proceso conocido cuyo comportamiento desde el momento en que fue visto por primera vez en un equipo hasta el presente es seguro. Un proceso puede ser Goodware por varias razones:
Por pertenecer a la distribución base del sistema operativo y venir firmado digitalmente por una entidad emisora de certificados de confianza
Por haber sido monitorizada su ejecución una o más veces, y por lo tanto los eventos generados ya han sido estudiados por Adaptive Defense.
Malware / PUP: Adaptive Defense analiza el comportamiento de los procesos en ejecución y evalúa la peligrosidad de sus acciones. Si un proceso ha realizado acciones peligrosas en el pasado para el equipo o la red donde se encontraba en ejecución Adaptive Defense lo catalogará como Malware o como un programa potencialmente no deseado para todos los clientes del servicio.
3.4. Análisis de eventos Adaptive Defense basa su funcionamiento en tres pilares fundamentales: un Agente instalado en el endpoint del cliente, un sistema de análisis automatizado en la nube y un equipo de expertos en Panda Labs que estudia las amenazas más complicadas que los sistemas automáticos no pueden resolver por sí solos. El Agente instalado en cada equipo del cliente monitoriza cada uno de los procesos en ejecución y envía todos los eventos a la nube, donde se explota este conocimiento para determinar de forma automática para la mayor parte de los casos la peligrosidad de los procesos ejecutados. El número de tipos de acciones registradas y enviadas al proveedor es muy exhaustivo, una lista de las más importantes se detalla a continuación:
Descarga de ficheros
Instalación de software
URLs de descarga
Modificación del fichero de Hosts
Edad del fichero
Creación / instalación de drivers
Captura de ventanas
Comunicaciones de procesos (IP, puertos, protocolos)
16
Manual de Adaptive Defense
Creación y modificación de ficheros ejecutables
Carga de DLLs
Creación de servicios
Mapeo de ficheros ejecutables
Borrado y renombrado de ficheros
Creación de carpetas
Creación y apertura de archivos
Creación y modificación de ramas del registro
Creación de hilos en procesos remotos
Destrucción de procesos
Acceso a la SAM
Acceso a datos (alrededor de 200 formatos de fichero)
3.5. Confidencialidad de los datos del cliente El nuevo modelo de protección de Adaptive Defense requiere obtener información de las acciones realizadas por las aplicaciones instaladas en los equipos del cliente.
3.5.1. Directrices de los datos recogidos por el servicio La recogida de datos en Adaptive Defense estrictamente unas directrices generales que se listan a continuación
Se recoge únicamente información relativa a ficheros ejecutables de Windows, (fichero .exe, .dll,…) que se ejecutan / cargan en el equipo del usuario. No se recoge ninguna información sobre ficheros de datos.
Los atributos de los ficheros se envían normalizados retirando la información referente al usuario logueado. Así por ejemplo las rutas de ficheros se normaliza como LOCALAPPDATA\nombre.exe en lugar de c:\Users\NOMBRE_DE_USUARIO \AppData \Local\nombre.exe)
Las URLS recogidas son únicamente las de descarga de ficheros ejecutables. No se recogen URLs de navegación de usuarios.
No existe nunca la relación dato-usuario dentro de los datos recogidos.
En ningún caso Adaptive Defense envía información personal a la nube.
17
Manual de Adaptive Defense
3.5.2. Información recogida de las máquinas La información del entorno de ejecución (hardware y software del equipo) recogida por el servicio es la siguiente:
Nombre del equipo.
Sistema operativo.
Service Pack.
Grupo en el que el PC protegido está incluido.
IP por defecto de la máquina.
MAC.
Direcciones IP asignadas al PC en los diferentes adaptadores de red.
MAC para los diferentes adaptadores de red.
Memoria Ram en MBytes.
Como información imprescindible para soportar el nuevo modelo de protección, Adaptive Defense envía información sobre las acciones que realizan las aplicaciones ejecutadas en cada equipo del usuario. Atributo
Dato
Descripción
Ejemplo
Fichero
Hash
Hash del fichero al que hace referencia el evento
N/A
URL
Url
Dirección desde donde se ha descargado un ejecutable
http://www.Malware.com/ejecu table.exe
Path
Path
Ruta normalizada en la que se encuentra el fichero al que hace referencia el evento
APPDATA\
Clave/Valor
Clave del registro de Windows y su contenido relacionado
HKEY_LOCAL_MACHINE\SOFTWA RE\Panda Security\Panda Research\Minerva\Version = 3.2.21
Operación
Id Operación
Identificador de operación realizada en el evento (creación/modificación/carga/.. de ejecutable, descarga de ejecutable, comunicación,…)
El evento de tipo 0 indica la ejecución de un ejecutable
Comunicación
Protocolo /Puerto/ Dirección
Recoge el evento de comunicación de un proceso (no su contenido) junto con el protocolo y dirección
Malware.exe envía datos por UDP en el puerto 4865
Registro
18
Manual de Adaptive Defense
Software
Software Instalado
Recoge la lista de software instalado en el endpoint según el API de Windows
Office 2007, Firefox 25, IBM Client Access 1.0
Adicionalmente puede ser necesario enviar ficheros ejecutables a nuestra plataforma de Inteligencia Colectiva. Para reducir el consumo de ancho de banda sólo se envían ficheros ejecutables a la plataforma de Inteligencia Colectiva en caso de no estar aún presentes. Al enviarse únicamente ficheros ejecutables nos aseguramos que en ningún caso contendrán información confidencial del usuario / cliente.
3.5.3. Privacidad de la información recogida Toda la información recogida se almacena únicamente en nuestra plataforma cloud de Windows Azure. La información no es compartida con terceros salvo en el caso de que los clientes:
Quieran recibir en su sistema SIEM información sobre las alertas y datos de seguridad que son recogidos por Adaptive Defense. La información recogida se enviará a los SIEM de los clientes por un protocolo seguro establecido por el cliente.
Usen la plataforma Logtrust, la plataforma de explotación en tiempo real del conocimiento acumulado con el que Adaptive Defense se integra por defecto. La información es enviada a Logtrust por HTTPS y se almacena en los CPDs de Logtrust.
Toda la información que se envía a la nube es cifrada con algoritmos de encriptación fuertes como BlowFish. Finalmente, la información recogida en el equipo del usuario por el Agente es almacenada temporalmente en una carpeta de almacenamiento cifrada.
19
Manual de Adaptive Defense
4. Instalación y puesta en marcha Checklist de pasos y requisitos necesarios Fase de aprendizaje Fase de bloqueo de Malware
20
Manual de Adaptive Defense
4. Instalación y puesta en marcha servicio Adaptive Defense En este capítulo se detallan los pasos necesarios para finalizar correctamente una instalación del servicio y su posterior puesta en marcha.
4.1. Checklist de pasos y requisitos necesarios. 1º Comprobar la compatibilidad del Agente Adaptive Defense con los equipos a proteger. Los sistemas Windows compatibles con el Agente son los siguientes:
Sistemas operativos (estaciones): Windows XP SP2 o superior (Vista, Windows 7, 8 y 8.1) en plataformas de 32 y 64 bits.
Sistemas operativos (servidores): Windows Server 2003, Windows Server 2008, Windows Server 2012 en cualquiera de sus configuraciones y arquitecturas.
2º Comprobar que se cumplen los prerrequisitos en cada equipo a instalar El Agente es una aplicación que requiere de los siguientes componentes estándar, generalmente ya instalados en el equipo del usuario:
.NET Framework versión 2.0 SP2 o cualquiera de las versiones superiores que lo incluyan. Si no se encuentra se requerirá su instalación manual
Visual C++ 2010 Redistributable Package. Si no se encuentra el instalador lo descargará e instalará por sí mismo.
3º Comprobar que se cumplen los prerrequisitos de conectividad El agente se comunica por defecto a través de los protocolos HTTP y HTTPS con el servidor de modo que requiere acceso por el puerto 80 y 443 a Internet con los destinos: https://rpkws.pandasecurity.com/kdws/files https://rpuws.pandasecurity.com/frws https://paps1-agents.pandasecurity.com/AgentsSecure/Service.svc http://paps1-agents.pandasecurity.com/Agents/Service.svc http://acs.pandasoftware.com/member/installers/ http://enterprise.updates.pandasoftware.com/pcop/uacat http://enterprise.updates.pandasoftware.com/pcop/nano
En el caso de utilizarse un proxy para acceder a Intenet se deben de configurar las credenciales correspondientes en el portal web antes de la descarga del instalador (ver paso 4º). Adicionalmente, el Agente tiene la capacidad de conmutar de conexión por proxy a conexión directa y viceversa automáticamente, permitiendo así el envío de eventos para equipos en movilidad conectados a redes no corporativas (sin proxy).
21
Manual de Adaptive Defense
4º Generación del paquete de instalación La generación del paquete de instalación introduce cierta información en el instalador que facilitará al administrador el posterior despliegue y configuración del Agente. Configuración del proxy de salida a Internet: Si el acceso a Internet de la red es a través de un proxy, primero se deberá de configurar la información para su utilización en la Consola web. De este modo se generará un instalador MSI preparado para poder ser usado en la red. Si se van a utilizar varios proxys diferentes se deberá generar un instalador personalizado para cada uno de ellos y gestionar el despliegue en cada red correspondiente.
Para ello en el menú Install hay que rellenar los campos relativos al proxy y seleccionar la opción Endpoints Access the internet using the following proxy.
Una vez introducidos los datos y salvados se puede proceder a la descarga del MSI en el equipo local para comentar su despliegue.
El instalador es único y contiene tanto la versión del Agente compatible con sistemas de 32 bits como la de 64 bits.
Instalación del Agente en equipos con otros antivirus instalados: Adaptive Defense es compatible con los antivirus de endpoint tradicionales y se puede instalar como complemento para proteger los equipos del cliente contra ataques dirigidos y avanzados.
Adaptive Defense no es compatible con Panda Endpoint Protection ni con Panda Endpoint Protection Plus.
22
Manual de Adaptive Defense
5º Descarga y distribución del instalador El fichero instalador MSI puede ser distribuido de varias formas en la red del cliente, dependiendo del número de equipos, su localización y otros factores. Instalación manual: El instalador MSI puede ser compartido en una carpeta de red de donde los usuarios lo recogerán e instalarán manualmente, o también puede ser enviado por email.
La instalación del Agente requiere permisos de administrador local del equipo. Según la configuración del equipo el UAC requerirá confirmar la instalación o introducir la contraseña de administrador.
El programa de instalación no necesita ninguna información adicional. Si el paquete Visual C++ 2010 Redistributable Package no está instalado en el equipo el instalador lo descargará e instalara de forma automática.
Una vez terminado el proceso de instalación el Agente Adaptive Defense se actualizará con el nuevo conocimiento y la última protección disponible.
Una vez instalado aparecerá el icono de Adaptive Defense en la barra de tareas.
El Agente Adaptive Defense está preparado para pasar inadvertido para el usuario y no admite ningún tipo de configuración desde el mismo equipo. Instalación centralizada mediante Políticas de grupo (GPO): Si el parque de equipos es muy grande puede usarse la infraestructura de Active Directory existente para desplegar el instalador
23
Manual de Adaptive Defense
o cualquier otro software de instalación remota. De esta manera el administrador de red no tendrá que desplazarse a los equipos uno por uno y podrá realizar una instalación silent en los equipos de la red que considere oportuno. A continuación se muestran los pasos de una instalación mediante una GPO (Group Policy Object).
Descarga del instalador Adaptive Defense y compartición: Colocar el instalador Adaptive Defense en una carpeta compartida que sea accesible por todos aquellos equipos que vayan a recibir el Agente.
Abrir el applet “Active Directory Users and Computers” y crear una nueva OU (Organizational Unit) de nombre “Adaptive Defense”.
Abrir el snap-in Group Policy Management y en Domains seleccionar la UO recién creada
24
Manual de Adaptive Defense
para bloquear la herencia.
Crear una nueva GOP en la UO “Adaptive Defense”
Editar la GPO
25
Manual de Adaptive Defense
Añadir un nuevo paquete de instalación que contendrá el Agente Adaptive Defense. Para ello se nos pedirá que añadamos el instalador a la GPO.
Una vez añadido mostramos las propiedades y en la pestaña Deployment, Advanced seleccionamos el check box que evita la comprobación entre el sistema operativo de destino y el definido en el instalador.
26
Manual de Adaptive Defense
Finalmente añadimos en la OU Adaptive Defense creada anteriormente en “Active Directory Users and Computers” a todos los equipos de la red que queramos enviar el Agente.
6º Comprobación de la instalación del Agente
La instalación del Agente crea los siguientes elementos en los equipos:
R UTA DE INSTALACIÓN : ficheros correspondientes a los servicios instalados. - 32 Bits: %programfiles%\Panda Security\WaAgent\ - 32 Bits: %programfiles%\Panda Security\WAC\ - 64 Bits: %programfiles(x86)%\Panda Security\WaAgent\ - 64 Bits: %programfiles(x86)%\Panda Security\WAC\
R UTA DE T RABAJO : Contiene la caché y diversos ficheros temporales de los eventos de actividad de la máquina recogidos - %ProgramData%\Panda Security\
SERVICIOS : la instalación registra 3 nuevos servicios cuyos ejecutables se encuentran firmados digitalmente por Panda Security, S.L. al igual que todos los ficheros de la solución: - Panda Endpoint Administration Agent (WAHost.exe): se encarga de la recogida y envío de los eventos observados en la máquina. - Panda Product Service (PSUAService.exe): se encarga de la gestión de la capa del producto, así como de las notificaciones. - PAPS Service (PSANHost.exe): se encarga de la gestión de detecciones y eventos registrados en la máquina.
R EGISTRO : se crea la siguiente rama de registro con diversas configuraciones entre las que se encuentra el identificador de cliente, url del frontal del servicio, datos de proxy, etc… - 32 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Panda Security\ - 32 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\ - 64 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Panda Security\ - 64 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Panda Software\
Cambio de los datos de conexión a través de Proxy: Una vez que el Agente está instalado y funcionando ya no es posible cambiar los datos de conexión a través de proxy desde la consola del servicio. En su lugar se utiliza el programa WAPIRes.exe situado en la carpeta %PROGRAM FILES%\Panda Security\WaAgent\WasAgent del equipo del usuario.
27
Manual de Adaptive Defense
7º Actualización del Agente El Agente dispone de un servicio denominado Panda Endpoint Administration Agent. Este servicio se encarga entre otras tareas, de la actualización del Agente, descargando desde el Servidor Adaptive Defense los datos de actualización publicados. La actualización es completamente transparente para el usuario final y puede ser monitorizada a través del Dashboard y de informes diarios accesibles en la Consola web.
Consulta el Capítulo 5: Estado de la protección y visibilidad de los equipos para más información acerca de los informes y el dashboard.
Una vez completada la instalación de los Agentes en el parque de equipos el servicio comenzará a auditar los procesos ejecutados en las máquinas para proceder a su clasificación.
4.2. Fase de aprendizaje La fase de aprendizaje es un periodo de tiempo que comienza en el momento en que la instalación del Agente se ha completado y dura entre 2 días y 1 semana dependiendo del número de aplicaciones que se ejecuten en ese equipo. Durante este tiempo el Agente comienza a monitorizar los eventos que ocurren en la máquina enviando al servidor Adaptive Defense aquellos que consideran relevantes. Los Agentes también enviarán a los frontales únicamente aquellas muestras no registradas en el conocimiento de Panda Security hasta el momento. Un fichero se enviará una sola vez desde una máquina. El uso de ancho de banda está limitado y es monitorizado por el propio Agente. Una vez recibida en el Servidor la información recogida por los Agentes, ésta pasa al backend del servicio donde se aplican diferentes tecnologías para resolver los elementos desconocidos y/o potencialmente maliciosos e identificar software potencialmente vulnerable. Durante la fase de aprendizaje el comportamiento de Adaptive Defense con respecto al Goodware, Malware y ficheros desconocidos es el siguiente:
Goodware: se permite su ejecución de forma normal
Malware: se bloquea su ejecución
Ficheros desconocidos: Inicialmente se permite su ejecución hasta que Adaptive Defense concluya que se trata de Goodware o Malware. Una vez clasificado el conocimiento se difunde a todos los equipos que utilizan el servicio de protección. Si un equipo ejecutó un programa sin clasificar en su momento y que posteriormente ha resultado ser Malware el sistema bloqueará cualquier intento de ejecución posterior y marcará el equipo como infectado en la sección Alertas. Consulta el capítulo 5: Estado de la protección y visibilidad de los equipos para más información acerca de las Alertas.Consulta el Capítulo 3: Conceptos básicos de Adaptive Defense para más información sobre Goodware, Malware y ficheros desconocidos.
28
Manual de Adaptive Defense
Al final de la fase de aprendizaje el 100% de las aplicaciones ejecutadas por los usuarios son clasificadas como Goodware o Malware.
4.3. Fase de bloqueo de Malware (hardening) Una vez terminada la fase de aprendizaje Adaptive Defense comenzará a proteger el equipo según sea la configuración elegida por el administrador de red.
Consulta el Capítulo 6: Configuración del comportamiento de Adaptive Defense para más información.
29
Manual de Adaptive Defense
5. Estado de la protección y visibilidad de los equipos Dashboard del estado del servicio Informes detallados de la actividad y configuración de los equipos
30
Manual de Adaptive Defense
5. Estado de la protección y visibilidad de los equipos En este capítulo se mostrarán las diferentes formas disponibles para visualizar el estado de la seguridad del parque informático con Adaptive Defense. Algunos métodos como los dashboards presentan información actualizada en tiempo real, mientras que otros como los reports consolidan la información recogida a lo largo de un periodo de tiempo para presentarla de forma resumida, facilitando de este modo su revisión posterior por el administrador de la red.
5.1. Dashboard del estado del servicio En el Menú Lateral Dashboard es accesible una vista gráfica del estado de la protección del parque informático.
El Dashboard se compone de tres pestañas situadas en lo alto de la página que permiten conocer el estado del servicio, las detecciones y la actividad del Malware de un solo vistazo. A continuación, se detallan los distintos tipos de gráficos mostrados.
5.1.1. Service status Seleccionando la pestaña Service status se podrá comprobar que el servicio está funcionando y que las máquinas del parque informático están reportando correctamente al servidor Adaptive Defense.
31
Manual de Adaptive Defense
Service status information
En este grafico de evolución se muestra el histórico de eventos enviados al servidor Adaptive Defense. Los eventos son enviados cuando un programa no conocido es ejecutado y comienza a desencadenar acciones que son monitorizadas por Adaptive Defense, por lo tanto, picos en la gráfica indican una mayor actividad de los Agentes instalados, motivada por varias causas:
Instalación de nuevos Agentes en equipos que tenían software no conocido hasta el momento.
Despliegue e instalación de programas nuevos en los equipos de los clientes.
Intentos de intrusión o propagación de virus desconocidos en la red.
La misma información pero agrupada para facilitar su interpretación se muestra en la cuadricula siguiente.
Cada una de las casillas representa un día del mes y el color indica el número de eventos generados según la guía de gradiente mostrada en la figura: los días con más eventos se marcan con colores rojos y los días con menos eventos con colores azules. De esta forma es posible localizar mediante las zonas rojas los días de mayor movimiento en el plano de la seguridad, sobre todo si vienen precedidos de zonas azules y las zonas rojas no coinciden con despliegues programados de nuevo software en los equipos de los usuarios.
Machines reporting y Machines without reporting
Las dos gráficas siguientes de tipo histograma horizontal muestran el número de máquinas que han tenido establecida comunicación con el servidor Adaptive Defense en las últimas 24, 48 y 96 horas y el número de máquinas que no han tenido comunicación en los mismos intervalos de tiempo.
32
Manual de Adaptive Defense
Visualizar los equipos de usuario sin comunicación con el servidor Adaptive Defense es una forma rápida de saber si hay equipos desprotegidos en la red debido a condiciones de error, fallos de red o cualquier otra causa.
Machines with service installed
Con el siguiente diagrama de líneas se representa el histórico de máquinas de la red que tienen el Agente instalado durante los últimos 30 días.
5.1.2. Malware detections Seleccionando la pestaña Malware detections se puede obtener información sobre las amenazas detectadas en el parque informático.
Infected Machines
En los gráficos de barras mostrados a continuación se desglosa el número de programas clasificados como Malware y ejecutados en cada máquina del parque informático. Cada uno de los colores representa una máquina del parque y su longitud el número de amenazas ejecutadas en la máquina.
33
Manual de Adaptive Defense
El gráfico de barras se presenta para las últimas 24, 48 y 96 horas mostrando de esta forma la evolución de los equipos infectados en el corto plazo. De la misma manera se puede observar las amenazas detectadas en las máquinas del parque informático
Machines with executed Malware 24/48/96hrs
Mediante las tablas mostradas a continuación se obtienen los top 10 de máquinas con Malware ejecutado. La primera tabla es la correspondiente a las últimas 24 horas, la segunda tabla 48 horas y la tercera tabla se corresponde con las últimas 96 horas.
Machines with identified / detected Malware 24/48/96hrs
Las tablas mostradas a continuación muestran los top 10 de máquinas con Malware identificado. La primera tabla es la correspondiente a las últimas 24 horas, la segunda tabla 48 horas y la tercera tabla se corresponde con las últimas 96 horas.
34
Manual de Adaptive Defense
Machines with Malware (last) 24/48/96 horas
Las tablas mostradas a continuación muestran los top 10 de máquinas con Malware identificado y / o ejecutado. La primera tabla es la correspondiente a las últimas 24 horas, la segunda tabla 48 horas y la tercera tabla se corresponde con las últimas 96 horas.
5.1.3. Actividad Malware Seleccionando la pestaña Malware detections se puede obtener información sobre las conexiones y descargas realizadas por los procesos clasificados como amenazas o de procesos de dudosa procedencia.
Malware Activity Information
En los gráficos mostrados en esta sección se pueden visualizar las zonas geográficas a las que el Malware se ha conectado y descargado software en las últimas 96 horas.
El código de colores utilizado para todos los gráficos de tipo mapa va desde el amarillo con un número de conexiones bajo al rojo con una cantidad de conexiones alta. Además se incluyen varias tablas de tipo listado indicando las URLs de acceso y el número de veces que se descargó cada fichero.
Activity by untrusted applications
Esta sección es equivalente a la anterior pero en vez de reflejar la actividad de las amenazas reconocidas por el sistema se incluye información de aplicaciones sin firma digital.
Activity by vulnerable applications
En esta sección se muestran las aplicaciones consideradas vulnerables por Adaptive Defense que han sido ejecutadas en los equipos protegidos.
35
Manual de Adaptive Defense
Cada uno de los colores se corresponde con una aplicación / versión catalogada como vulnerable. El tamaño de la sección de un mismo color es proporcional al número de veces ejecutada en el parque informático protegido sobre el total de ejecuciones de todas las aplicaciones vulnerables ejecutadas
5.1.4. Informes del estado de la protección del parque informático Mediante el Menú Lateral Computers podremos visualizar de forma rápida y clara aquellos equipos cuyo Agente Adaptive Defense no está actualizado, ha entrado en condición de error, o su seguridad ha sido temporalmente comprometida.
El primer criterio de filtrado se realiza con las pestañas situadas en lo alto de la página.
De esta forma podemos realizar una primera selección de equipos protegidos y desprotegidos.
5.1.5. Equipos protegidos Seleccionando Protected se presenta el listado de todos los equipos con un Agente Adaptive Defense instalado junto con la información del estado de la protección
36
Manual de Adaptive Defense
La tabla contiene los siguientes campos:
Computer: nombre NetBios del equipo de usuario
Update: estado de la actualización del Agente Adaptive Defense. Los posibles estados son: - Pending restart: el Agente ha descargado una actualización pero necesita reiniciarse para aplicarla - Updated: el Agente tiene instalada y en funcionamiento la última versión publicada. - Outdated: el Agente no está actualizado con la última versión publicada.
Protection: Estado de la protección. Los posibles estados son: - Correct. - Protection disabled. - With errors. El error puede suceder por varios motivos: - Existe una incongruencia entre la configuración y el estado del servicio. - Errores en el servicio de desinfección o en el de bloqueo.
Last Connection: última vez que el agente conectó con el Servidor Adaptive Defense. Para solucionar problemas con Agentes en estado de error contacte con el departamento de Soporte Técnico en http://www.pandasecurity.com/about/contact/default_int.htm
5.1.6. Filtrado de equipos Se pueden aplicar filtros para mostrar de forma más rápida los equipos con potenciales problemas o para localizar un equipo por su nombre. Para ello se dispone de la herramienta de filtrado mostrada en la siguiente figura
37
Manual de Adaptive Defense
Los criterios de filtrado son los siguientes
All
Computers with protection enabled
Computers with protection disabled
Computers with protection enabled
Computers with protection up-to-date
Computers with protection outdated
Computers with protection errors
Computers pending restart
Computers with up-to-date knowledge
Computers with outdated knowledge
Updated computers (no connection to the server in the last 72 hours)
Sobre el filtro aplicado se puede obtener información extendida con el botón “Export”. De esta manera se obtiene un fichero en formato Excel para su descarga con los un mayor nivel de detalle.
Computer: nombre NetBios del equipo de usuario
IP address: dirección IP del equipo
Domain: dominio de Microsoft al que pertenece el equipo
Operating system: versión del sistema operativo
Agent versión: versión del agente instalada
Protection versión: versión de la protección instalada
Installation date: fecha de instalación del agente
Knowledge update: fecha en la que la base de conocimiento del agente fue actualizada por última vez
Update: estado de la actualización - Updated - Pending restart - Outdated - Updated
Protection: Estado de la protección. Los posibles estados son:
38
Manual de Adaptive Defense
- With Errors - Correct - Protection disabled
Last connection: última vez que el agente conectó con el Servidor Adaptive Defense
Protection status - Enabled - Disabled
Action to take on unclassified files: Configuración del servicio de bloqueo. Consulta el Capítulo 6: Configuración del comportamiento de Adaptive Defense para obtener más información sobre cómo definir el comportamiento del servicio ante los ficheros sin clasificar.
5.1.7. Borrado de equipos Se puede eliminar uno o varios equipos seleccionándolos con el check box correspondiente y haciendo clic en el botón Delete. Es importante eliminar los equipos que no sea necesario proteger (equipos que ya no se usan) para que en esta sección se muestren únicamente aquéllos cuya protección hay que gestionar y hacer un uso óptimo de las licencias contratadas.
El check box situado en la cabecera de la columna izquierda selecciona todos los equipos que satisfagan el criterio de filtrado establecido, sin tener en cuenta la limitación de líneas impuesta por la paginación.
5.1.8. Detalle de equipos protegidos Al hacer clic en el nombre del equipo de la tabla se accede a una página en la que se muestra información detallada sobre los equipos
La cantidad de información mostrada en Computer Details se encuentra entre la tabla de equipos y el listado Excel, pero en esta ocasión referida exclusivamente al equipo seleccionado.
39
Manual de Adaptive Defense
En el campo Alerts triggered on this computer se indican el número de alertas disparadas por este equipo. Finalmente podemos desinfectar el equipo, ver los resultados de la desinfección o darlo de baja del servicio si no va a ser utilizado, para recuperar una licencia.
Consulta el Capítulo 7: Remediación de problemas de seguridad para obtener más información sobre la desinfección de equipos.
5.1.9. Equipos desprotegidos La pestaña de equipos desprotegidos contiene los equipos donde el Agente ya no está instalado, se instaló con errores o la protección se está iniciando pero todavía no está activa. La tabla contiene los siguientes campos:
Computer: nombre NetBios del equipo de usuario
Status: situación de la protección del Agente Adaptive Defense. Los posibles estados son: - Installing: instalación en curso - Unprotected: equipos desprotegidos - With errors: equipos con errores que afectan a la protección
Details: Breve descripción del estado de la protección
Last Connection: última vez que el Agente conectó con el Servidor Adaptive Defense
5.2. Informes detallados de la actividad y configuración de los equipos Haciendo click en el Menu lateral Reports obtenemos un listado de los equipos de la red con un Agente Adaptive Defense instalado y su actividad relativa a seguridad.
40
Manual de Adaptive Defense
La tabla tiene los campos indicados a continuación
Date: Fecha del informe de estado. Los informes de estado se comienzan a generar en el Servidor Adaptive Defense a las 0:00 de cada día
Service Installed: Número de equipos con Adaptive Defense instalado
Service Updated: Número de equipos que actualizaron el servicio en el día.
Installed: Número de equipos que instalaron el servicio en el día.
Unistalled: Número de equipos que desinstalaron el servicio en el día.
Infected with MW: Número de equipos infectados por Malware
Infected with a PUP: Número de equipos infectados por programas potencialmente no deseados
Downloads: permite descargar un informe detallado sobre la actividad del Malware en formato Excel. La información incluida se detalla a continuación.
Seleccionando la casilla downloads de la tabla se descarga un informe sobre la actividad del día elegido con toda la información relativa a amenazas detectadas en cada uno de los equipos del parque de la red. Los campos de la pestaña Summary del Excel son los siguientes:
Computer: nombre NetBios del equipo de usuario
IP: dirección IP del equipo
Installation Date: fecha de instalación del agente
Protection Version: versión de la protección instalada
Malware Files (Found): número de amenazas de tipo Malware encontradas
Malware Files (Executed): número de amenazas de tipo Malware ejecutadas
PUPs (Found): número de amenazas de tipo Programa potencialmente no deseado encontradas
PUPs (Executed): número de amenazas de tipo Programa potencialmente no deseado ejecutadas
Trusted Files (Found): Ficheros encontrados y firmados digitalmente
41
Manual de Adaptive Defense
Newly Installed: Ficheros instalados en el último ciclo. Cada ciclo se reinicia a las 0:00
Highly Vulnerable Applications: número de aplicaciones detectadas en el equipo con errores aprovechables por amenazas
En la pestaña Vulnerable Applications se indican las aplicaciones vulnerables encontradas junto con su versión. Estas aplicaciones pueden haber sido ejecutadas o simplemente han sido detectadas por el Agente.
Aunque Adaptive Defense ofrece una protección con garantías frente al Malware que aprovecha los fallos encontrados en software de terceros, se recomienda actualizar las aplicaciones con vulnerabilidades conocidas para minimizar la exposición del sistema ante nuevas amenazas.
42
Manual de Adaptive Defense
6. Configuración del comportamiento Programas clasificados Programas sin clasificar Desactivación selectiva de la protección sobre ficheros o directorios Desactivación completa de la protección
43
Manual de Adaptive Defense
6. Configuración del comportamiento de Adaptive Defense Adaptive Defense es un servicio gestionado que libera al administrador de la red de la mayor parte de la carga de trabajo asociada a productos basados en listas blancas / negras y excepciones. De esta manera Panda Security cataloga de forma automática la seguridad de los procesos ejecutados en cada equipo del cliente sin requerir ninguna intervención manual. El administrador de la red puede configurar de forma independiente el comportamiento de Adaptive Defense ante la ejecución de cualquier programa para cada equipo protegido, tanto si ha sido clasificado previamente como si es visto por primera vez (y por lo tanto desconocido para Adaptive Defense). Las acciones posibles en Adaptive Defense se dividen en dos grupos:
Para programas clasificados
Para programas sin clasificar
6.1. Programas clasificados Los programas conocidos por Adaptive Defense son clasificados como Goodware o Malware. Según sea la clasificación del programa que se intenta ejecutar la acción será:
Goodware: el servicio permite la ejecución del programa o proceso
Malware: el servicio impide por defecto la ejecución del programa o proceso.
6.1.1. Ejecutar programas clasificados como Malware En los casos en los que el usuario necesite utilizar programas que están catalogados como Malware o como Programas no deseados (herramientas de hacking, barras de navegadores etc) puede resultar conveniente permitir su ejecución controlada aunque Adaptive Defense los haya clasificado como potenciales amenazas. En el Menú lateral Alerts se encuentra el listado de procesos detectados como Malware:
44
Manual de Adaptive Defense
Desplegando la amenaza que nos interese podremos excluirla del bloqueo mediante el botón
Do no detect again
6.2. Programas sin clasificar Más del 99% de los programas encontrados en los equipos de los usuarios están clasificados en los sistemas de Adaptive Defense, no obstante, los que todavía queden sin clasificar pueden ser ejecutados o bloqueados temporalmente hasta su clasificación. En caso de bloqueo Adaptive Defense permite la notificación al usuario del motivo del bloqueo, permitir su ejecución condicional según la decisión que tome el propio usuario o ser bloqueado de forma silenciosa.
El proceso de clasificación es una tarea continua en los servidores de Adaptive Defense y tras un breve periodo de tiempo los programas bloqueados en un principio por carecer de clasificación podrán ejecutarse si Adaptive Defense ha determinado que son lícitos.
45
Manual de Adaptive Defense
6.2.1. Configuración de comportamiento de Adaptive Defense frente a programas no clasificados Para configurar el comportamiento de Adaptive Defense frente a la ejecución de programas no clasificados hay que hacer click en el Menú lateral Settings.
En la pestaña Behaviour marcar los equipos del parque informático que recibirán la nueva configuración. Para seleccionar todos los equipos hay que hacer click en el check box situado en el título de la tabla de equipos. Para localizar equipos de forma más eficiente se puede utilizar el botón Filter junto con el desplegable situado a su izquierda para establecer un criterio de filtrado:
Computers with Protection enabled: filtra los equipos con la protección activada
Computers with disabled protection: filtra los equipos con la protección desactivada
Computers configured to “Allow execution”: filtra los equipos que permiten la ejecución de programas sin clasificar
Computers configured to “Ask before allowing execution”: filtra los equipos que preguntan al usuario si bloquear o ejecutar los programas sin clasificar
Computers configured to “Block without reporting to the user”: filtra los equipos que bloquean los programas sin clasificar sin preguntar al usuario
Computers configured to “Block and report to the user”: filtra los equipos que bloquean y muestran la razón del bloqueo al usuario.
46
Manual de Adaptive Defense
Una vez seleccionados los equipos que vamos a cambiar su configuración del comportamiento de Adaptive Defense hay que click en el botón Protection Settings y seleccionar la nueva configuración en la ventana flotante Protection settings:
Protection status:
Do not change the status: el estado de la protección permanece invariable
Enabled: activa la protección
Audit Mode: activa el modo auditoria
Disabled: desactiva la protección
Behaviour with UNCLASSIFIED files
Do not change the behaviour: la configuración del comportamiento frente a programas sin clasificar permanece invariable
Allow execution: permite la ejecución de los programas sin clasificar
Ask before allowing execution: pregunta al usuario si ejecutar o no programas sin clasificar
Block without reporting to the user: bloquea la ejecución de programas sin clasificar y sin notificarlo al usuario
Block and report to the user: bloquea la ejecución de programas sin clasificar notificando la razón al usuario.
47
Manual de Adaptive Defense
6.2.2. Modo auditoría En el modo auditoria Adaptive Defense solo informa de las amenazas detectadas pero no bloquea ni desinfecta el Malware encontrado. Este modo es útil para probar la solución de seguridad o para comprobar que la instalación del producto no comprometa el buen funcionamiento del equipo.
6.2.3. Modo de bloqueo de programas en proceso de clasificación (modo Extendido) En entornos donde la seguridad sea prioridad, y con el objetivo de ofrecer una protección de máximas garantías Adaptive Defense deberá ser configurado en modo Block without reporting to the user, Block and report to the user o Ask before allowing execution. En este modo, conocido como Modo extendido, será bloqueada la ejecución del software en proceso de clasificación. De esta forma se podrá garantizar la ejecucion únicamente del software lícito. Al configurar este modo de funcionamiento en equipos o servidores donde el software cambie de forma habitual, la ejecución de estos programas no se permitirá hasta que estén clasificados. El proceso de clasificación es instantáneo en algunas ocasiones aunque en otras se realizará de forma automática en nuestra plataforma BigData en cuestión de minutos. Si el programa es especialmente complejo la labor de clasificación es realiza por nuestros expertos, normalmente en menos de 24 horas. Por esta razón, este modo es recomendado para equipos y servidores donde no se instale habitualmente nuevo software.
En el modo Ask before allowing execution se pregunta al usuario del equipo si desea permitir o no la ejecución de los programas en proceso de clasificación. Este modo tiene el riesgo de que el usuario final permita ejecutar Malware creyendo que es un software lícito; por esta razón se recomienda su configuración únicamente en equipos gestionados por usuarios avanzados.
6.2.4. Modo de ejecución de programas en proceso de clasificación (modo Deep Hardenig) En aquellos entornos donde se producen cambios constantes en el software instalado en los equipos de los usuarios o se ejecutan muchos programas desconocidos como por ejemplo programas de creación propia, puede no ser viable esperar a que Adaptive Defense aprenda de ellos para clasificarlos. En este caso se elegirá Allow Execution, que se corresponde con el Modo Deep Hardening de protección. En el Modo Deep Hardening se permite la ejecución de los programas desconocidos ya instalados en el equipo del usuario y sus acciones son enviadas al Servidor Adaptive Defense donde serán estudiados. Sin embargo para prevenir ataques de tipo Zero-day y similares los programas desconocidos descargados o instalados posteriormente a la activación de Adaptive Defense serán bloqueados hasta su clasificación. Una vez recogida la suficiente evidencia y explotada la información Adaptive Defense clasificará el programa de modo que en los
48
Manual de Adaptive Defense
entornos en Modo Deep Hardening comenzará a ser bloqueado si se trata de Malware, generando una alerta al administrador para su posterior análisis forense.
6.3. Desactivación selectiva de la protección sobre ficheros o directorios Panda Security desaconseja encarecidamente la desactivación selectiva de la protección sin antes intentado resolver los posibles problemas con el equipo de Soporte.
Frente a la posibilidad de desactivar completamente la protección y que amenazas conocidas o desconocidas infecten alguno de nuestros equipos, existe la opción de deshabilitar la protección para ficheros o carpetas que cumplan determinadas condiciones. Para ello en el Menú lateral Settings, en la pestaña Exclusions.
Las opciones de exclusión se muestran a continuación:
Extension to exclude: se indican las extensiones de los ficheros que no serán analizados.
Folders to exclude: se indican las carpetas de los equipos que no serán analizadas
Files to exclude: se indican los ficheros que no serán analizados
49
Manual de Adaptive Defense
6.4. Desactivación completa de la protección En el caso improbable de que Adaptive Defense entre en una condición no prevista y muestre un comportamiento errático generalizado es posible desactivar completamente el servicio. Para ello podemos modificar el estado del servicio haciendo click en la esquina superior derecha.
50
Manual de Adaptive Defense
7. Remediación de problemas de seguridad Desinfección automática de malware Modo Deep hardening e infección por Malware desconocido
51
Manual de Adaptive Defense
7. Remediación de problemas de seguridad Adaptive Defense es un servicio gestionado que se adapta al ecosistema de aplicaciones particular de cada empresa para ofrecer una protección que permita clasificar el 100% del software utilizado en cada cliente; sin embargo es posible que aparezcan incidencias relacionadas con la seguridad relacionadas con el modo de configuración elegido por el administrador de la red o debido a infecciones anteriores a la puesta en marcha del servicio.
7.1. Desinfección automática de Malware Adaptive Defense incluye el servicio de desinfección automática de todo tipo de amenazas y Malware avanzado. Si un programa es detectado como Malware, de forma automática el servicio intentará realizar una desinfección mostrando un mensaje al usuario con información sobre la acción realizada. Para los ficheros que no sea posible su desinfección Adaptive Defense los moverá directamente a la cuarentena local del equipo.
La cuarentena local es un repositorio de ficheros cifrados no accesible de forma directa. Para recuperar elementos de la cuarentena póngase en contacto con soporte en http://www.pandasecurity.com/about/contact/default_int.htm
7.2. Modo Deep hardening e infección por Malware desconocido En el modo Deep hardening es posible que algunos de los programas desconocidos por Adaptive Defense y que residan en el equipo del usuario puedan ser ejecutados, con lo que si el programa contenía Malware el equipo podría quedar comprometido. Adaptive Defense clasificará los programas desconocidos cuando tenga las evidencias suficientes, generalmente dentro de las primeras 24 horas desde la primera ejecución, generando una alerta al administrador y bloqueando a partir de ese momento el programa clasificado como amenaza. En este escenario son necesarias herramientas tanto para localizar los equipos infectados como para limpiarlos de forma rápida.
7.2.1. Localización de equipos infectados Haciendo click en el Menú lateral Alerts se accede a las alertas detectadas en la red del cliente.
52
Manual de Adaptive Defense
La tabla de equipos mostrada refleja el Malware detectado junto con información extendida:
El significado de los campos de la tabla se indica a continuación:
Date: fecha de la detección del Malware
Computer: equipo donde se realizó la detección
Name: nombre del Malware
Type: MW: Malware, PUP programa potencialmente no deseado
Status: estado del equipo - Executed: el Malware se llegó a ejecutar y el equipo puede estar infectado - Not Executed: Malware detectado por la protección contra vulnerabilidades - Blocked: Malware conocido por Adaptive Defense y bloqueada su ejecución - Allowed: Malware conocido por Adaptive Defense pero su ejecución se permite al estar incorporado en la pestaña Exceptions del menú lateral Settings.
Como en el resto de informes se incorpora una herramienta de filtrado que permite localizar los equipos de mayor interés. En este caso se divide en tres filtros.
53
Manual de Adaptive Defense
El filtro 1 restringe la búsqueda indicada en el textbox de escritura situado a su derecha al campo seleccionado:
All: el string de búsqueda se aplicará sobre los campos Computer, Name y Date
Computer: el string de búsqueda se aplicará sobre el nombre del equipo
Name: el string de búsqueda se aplicará sobre el nombre del Malware
Date: el string de búsqueda se aplicará sobre la fecha de la detección
El filtro 2 limita la búsqueda al tipo de Malware:
All: todos los tipos de Malware
MW: solo amenazas de tipo Malware
PUP: solo amenazas de tipo programa potencialmente no deseado
El filtro 3 limita todavía más la selección de incidencias
Executed: el Malware se llegó a ejecutar y equipo está infectado
Not Executed: Malware detectado por la protección contra vulnerabilidades
Blocked: Malware conocido por Adaptive Defense y bloqueada su ejecución
Allowed: Malware conocido por Adaptive Defense pero su ejecución se permite al estar incorporado en la pestaña Exceptions del menú lateral Settings.
Data file Access: el Malware realizó accesos a disco para recoger información del equipo o para crear ficheros y los recursos necesarios para su ejecución
Communications: el Malware abrió sockets de comunicación con cualquier máquina, incluido localhost
7.2.2. Desinfección de equipos Una vez localizados los equipos infectados el administrador de la red puede lanzar de forma remota y desde la misma consola de administración la herramienta de desinfección Cloud Cleaner. Cloud Cleaner es una herramienta especializada el desinfectar el Malware avanzado. Para acceder a esta herramienta hay que hacer click en cada equipo infectado de forma individual y elegir Disinfect Computer
54
Manual de Adaptive Defense
Acto seguido se muestra una ventana de configuración rápida de la desinfección
Las opciones del menú de desinfección son las siguientes:
Remove viruses: este check box siempre está habilitado y limpiar los virus encontrados en el equipo
Delete PUPs: Borra los programas potencialmente no deseados.
Clear Browser cache: limpia la cache del navegador instalado en el equipo (Internet Explorer, Firefox y Chrome)
Delete Browing history: limpia el histórico de páginas web del navegador
Delete browser cookies: borra las cookies del navegador
Restore the system policies typically modified by Malware: restaura el acceso al administrador de tareas, muestra archivos ocultos, muestra las extensiones de los archivos y en general restituye las políticas del sistema que el Malware pueda haber cambiado impidiendo su restablecimiento a la configuración original elegida por el cliente
Display the disinfection console: muestra la consola de Cloud Cleaner con los resultados de la desinfección
Una vez configurada se creará una tarea de desinfección.
55
Manual de Adaptive Defense
Ejecutada la tarea podremos ver los resultados haciendo click en el link: See disinfection results
Para más información sobre Cleaner Monitor consulta la ayuda web del producto o en el enlace http://pcopdocuments.azurewebsites.net/Help/pccm/es-ES/index.htm
56
Manual de Adaptive Defense
8. Análisis forense y prevención de ataques Análisis forense mediante las tablas de acciones Análisis forense mediante grafos de ejecución Interpretación de las tablas de acciones y grafos de actividad
57
Manual de Adaptive Defense
8. Análisis forense y prevención de ataques Cuando la red del cliente ha sido infectada es necesario determinar hasta qué punto ha resultado comprometida y cómo protegerla de futuros ataques. El Malware de nueva generación se caracteriza por pasar inadvertido durante largos periodos de tiempo, que aprovecha para acceder a datos sensibles o a la propiedad intelectual generada por la empresa. Su objetivo es obtener una contrapartida económica, bien realizando chantaje cifrando los documentos de la empresa, bien vendiendo la información obtenida la competencia, entre otras estrategias comunes a este tipo de ataques informáticos. Sea cual sea el caso, se hace imprescindible determinar las acciones que desencadenó el Malware en la red para poder tomar las medidas oportunas. Adaptive Defense es capaz de monitorizar de forma continuada todas las acciones desencadenadas por las amenazas y almacenarlas para mostrar el recorrido de las mismas, desde su primera aparición en la red hasta su neutralización. Adaptive Defense presenta de forma visual este tipo de información de dos maneras: a través de tablas de acciones y diagramas de grafos.
8.1. Análisis forense mediante las tablas de acciones En el Menú lateral Alerts accedemos al listado de amenazas detectadas y desplegando cualquiera de ellas obtenemos una tabla con información detallada de su actividad.
58
Manual de Adaptive Defense
Los campos incluidos para describir de forma general la amenaza son:
Malware hash: Adaptive Defense muestra el hash del Malware para su posterior consulta en VirusTotal o Google
Malware Path: Path del ejecutable que contiene el Malware.
Dwell time: tiempo que la amenaza ha permanecido en el sistema.
Life cycle of the Malware in the computer: es una tabla con el detalle de cada una de las acciones desencadenadas por la amenaza.
En la tabla de acciones de la amenaza solo se incluyen aquellos eventos relevantes ya que la cantidad de acciones desencadenadas por un proceso es tan alta que impediría extraer información útil para realizar un análisis forense. El contenido de la tabla se presenta inicialmente ordenado por fecha, de esta forma es más fácil seguir el curso de la amenaza. A continuación se detallan los campos incluidos en la tabla de acciones:
Date: fecha de la acción
Times: número de veces que se ejecutó la acción. Una misma acción ejecutada varias veces de forma consecutiva solo aparece una vez en el listado de acciones con el campo times actualizado.
Action: acción realizada. A continuación se indica una lista de las acciones que pueden aparecer en este campo: - File Download - Socket Used - Accesses Data - Executed By - Execute - Created By - Create - Modified By - Modify - Loaded By - Load - Installed By - Install - Mapped By - Map - Deleted By - Delete - Renamed By - Rename
59
Manual de Adaptive Defense
- Killed By - KillsP rocess - Remote Thread Created By - Creates Remote Thread - Kills Process: - Remote Thread Created By - Creates Remote Thread - Opened Comp By - Open Comp - Created Comp By - Create Comp - Creates Reg Key To Exe - Modifies Reg key To Exe
Path/URL/Registry key/IP:port: es la entidad de la acción. Según sea el tipo de acción podrá contener: - Registry key: para todas las acciones que impliquen modificación del registro de Windows - IP:port: para todas las acciones que impliquen una comunicación con un equipo local o remoto - Path: para todas las acciones que impliquen acceso al disco duro del equipo - URL: para todas las acciones que impliquen el acceso a una URL
File Hash/Registry Value/Protocol-Direction/Description: es un campo que complementa a la entidad. Según sea el tipo de acción podrá contener: - File Hash: para todas las acciones que impliquen acceso a un fichero - Registry Value: para todas las acciones que impliquen un acceso al registro - Protocol-Direction: para todas las acciones que impliquen una comunicación con un equipo local o remoto. Los valores posibles son - TCP - UDP - Bidirectional - UnKnown - Description - Trusted: El fichero está firmado digitalmente
Para localizar las acciones que más nos interesen del listado disponemos de una serie de filtros en la cabecera de la tabla.
60
Manual de Adaptive Defense
Algunos de los campos son de tipo texto y otros son desplegables con todas las ocurrencias distintas dadas en la columna seleccionada. Las búsquedas textuales son flexibles y no requieren del uso de comodines para buscar dentro de cadena de texto.
8.1.1. Sujeto y predicado en las acciones Para entender correctamente el formato utilizado para presentar la información en listado de acciones es necesario establecer un paralelismo con el lenguaje natural:
Todas las acciones tienen como sujeto el fichero clasificado como Malware. Este sujeto no se indica en cada línea de la tabla de acciones porque es común para toda la tabla.
Todas las acciones tienen un verbo que relaciona el sujeto (la amenaza clasificada) con un complemento, llamado entidad. La entidad se corresponde con el campo Path/URL/Registry key/IP:port de la table.
La entidad se complementa con un segundo campo que añade información a la acción, que se corresponde con el campo Hash/Registry Value/Protocol-Direction/Description.
De esta forma se presentan dos acciones de ejemplo de un mismo Malware hipotético:
Date
Times
3/30/2015 4:38:40 PM
1
Action Connects with
Path/URL/Registry
Hash/Registry Value/Protocol-
key/IP:port …
Direction/Description
54.69.32.99:80
TCP-Bidrectional
Trusted
NO
PROGRAM_FILES|\M 3/30/2015 4:38:45 PM
1
Loads
OVIES
9994BF035813FE8EB6BC98EC
TOOLBAR\SAFETYNUT
CBD5B0E1
NO
\SAFETYCRT.DLL
La primera acción indica que el Malware (sujeto) se conecta (Action) con la dirección IP 54.69.32.99:80 (entidad) mediante el protocolo TCP-Bidireccional. La segunda acción indica que el Malware (sujeto) carga (Action) la librería PROGRAM_FILES|\MOVIES TOOLBAR\SAFETYNUT\SAFETYCRT.DLL con hash 9994BF035813FE8EB6BC98ECCBD5B0E1 Al igual que en el lenguaje natural se implementan dos tipos de oraciones:
Activa: Son acciones predicativas (con un sujeto y un predicado) relacionados por un verbo en forma activa. En estas acciones el verbo de la acción relaciona el sujeto, que siempre es el proceso clasificado como amenaza y un complemento directo, la entidad, que puede ser de múltiples tipos según el tipo de acción.
Pasiva: Son acciones donde el sujeto (el proceso clasificado como Malware) pasa a ser sujeto paciente (que recibe la acción, no que la ejecuta) y el verbo viene en forma pasiva (ser + participio). En este caso el verbo pasivo relaciona el sujeto pasivo que recibe la acción con la entidad, que es la que realiza la acción.
61
Manual de Adaptive Defense
Ejemplos de acciones activas son los siguientes:
Connects with
Loads
Creates
Ejemplos de acciones pasivas son los siguientes:
Is created by
Downloaded from
Un ejemplo de acción pasiva es el siguiente
Date
Times
Action
Path/URL/Registry
Hash/Registry Value/Protocol-
key/IP:port …
Direction/Description
Trusted
3/30/ 2015 4:51:4
1
Is executed by
WINDOWS|\explorer.exe
7522F548A84ABAD8FA516DE5 AB3931EF
NO
6 PM
En esta acción el Malware (sujeto pasivo) es ejecutado (acción pasiva) por el programa WINDOWS|\explorer.exe (entidad) de hash 7522F548A84ABAD8FA516DE5AB3931EF
Las acciones de tipo Activo nos permiten inspeccionar en detalle los pasos que ha ejecutado el Malware. Por el contrario las acciones de tipo pasivo suelen reflejar el vector de infección utilizado por el Malware (qué proceso lo ejecutó, qué proceso lo copió al equipo del usuario etc).
8.2. Análisis forense mediante grafos de ejecución Los grafos de ejecución representan de forma visual la información mostrada en las tablas de acciones poniendo énfasis en el enfoque temporal. Los grafos se utilizan inicialmente para tener, de un solo vistazo, una idea general de las acciones desencadenadas por la amenaza.
62
Manual de Adaptive Defense
8.2.1. Diagramas La cadena de acciones en la vista de grafos de ejecución queda representada por dos elementos:
Nodos: representan acciones en su mayoría o elementos informativos
Líneas y flechas: unen los nodos de acción e informativos para establecer un orden temporal y asignar a cada nodo el rol de “sujeto” o “predicado”.
8.2.2. Nodos Los nodos muestran la información mediante su icono asociado, color y un panel descriptivo que se muestra a la derecha de la pantalla cuando se seleccionan con el ratón. El código de colores utilizado es el siguiente: -
Rojo: elemento no confiable, Malware, amenaza. Naranja: elemento desconocido, no catalogado. Verde: elemento confiable, Goodware.
A continuación se listan los nodos de tipo acción junto con una breve descripción: Símbolo
Tipo Nodo
Descripción
Acción
-
Fichero descargado Fichero comprimido creado
Acción
-
Socket / comunicación usada
63
Manual de Adaptive Defense
Acción
-
Comenzada la monitorización
Acción
-
Proceso creado
Acción
-
Fichero ejecutable creado Librería creada Clave en el registro creada
Acción
-
Fichero ejecutable modificado Clave de registro modificada
Acción
-
Fichero ejecutable mapeado para escritura
Acción
-
Fichero ejecutable borrado
Acción
-
Librería cargada
Acción
-
Servicio instalado
-
Fichero ejecutable renombrado
-
Proceso detenido o cerrado
-
Hilo creado remotamente
-
Fichero comprimido abierto
Acción
Acción
Acción
Acción
A continuación se listan los nodos de tipo descriptivo junto con una breve descripción
64
Manual de Adaptive Defense
Símbolo
Tipo Nodo
Descripción
Nodo Final
o o o
Nombre de fichero y extensión Verde: Goodware Naranja: No catalogado Rojo: Malware/PUP
o o o
Equipo interno (está en la red corporativa) Verde: Confiable Naranja: desconocido Rojo: No confiable
o o o
Equipos externo Verde: Confiable Naranja: desconocido Rojo: No confiable
-
País asociado a la IP de un equipo externo
Nodo Final
-
Fichero y extensión
Nodo Final
-
Clave del registro
Nodo Final
Nodo Final
Nodo Final
8.2.3. Líneas y flechas Las líneas del diagrama de grafos relacionan los diferentes nodos y ayudan a establecer el orden de ejecución de acciones de la amenaza de forma visual. Los dos atributos de una línea son:
Grosor de la línea: el grosor de una línea que une dos nodos indica el número de ocurrencias que esta relación ha tenido en el diagrama. A mayor número de ocurrencias mayor tamaño de la línea
Flecha: marca la dirección de la relación entre los dos nodos.
8.2.4. La línea temporal La línea temporal o Timeline permite controlar la visualización de la cadena de acciones realizada por la amenaza a lo largo del tiempo. Mediante los botones situados en la parte inferior de la pantalla podemos colocarnos en el momento preciso donde la amenaza realizo cierta acción y recuperar información extendida que nos puede ayudar en los proceso de análisis forense. La línea temporal de los grafos de ejecución tiene este aspecto:
65
Manual de Adaptive Defense
Inicialmente podemos seleccionar un intervalo concreto de la línea temporal arrastrando los selectores de intervalo hacia la izquierda o derecha para abarcar la franja temporal que más nos interese.
Una vez seleccionada la franja temporal el grafo mostrará únicamente las acciones y nodos que caigan dentro de ese intervalo. El resto de acciones y nodos quedará difuminado en el diagrama. Las acciones de la amenaza quedan representadas en la línea temporal como barras verticales acompañadas del time stamp, que marca la hora y minuto donde ocurrieron.
8.2.5. Zoom in y Zoom out Con los botones + y – de la barra temporal podemos hacer zoom in o zoom out para ganar mayor resolución en el caso de que haya muchas acciones en un intervalo de tiempo corto.
8.2.6. Timeline (línea temporal) Para poder ver la ejecución completa de la amenaza y la cadena de acciones que ejecutó se utilizan los siguientes controles:
Start: comienza la ejecución de la Timeline a velocidad constante de x1. Los grafos y las líneas de acciones irán apareciendo según se vaya recorriendo la línea temporal.
1x: establece la velocidad de recorrido de la línea temporal
Stop: detiene la ejecución de la línea temporal
+ y -: zoom in y zoom out de la línea temporal
66
Manual de Adaptive Defense
< y >: mueve la selección del nodo al inmediatamente anterior o posterior
Initial zoom: recupera el nivel de zoom inicial si se modificó con los botones + y –
Select all nodes: mueve los selectores temporales para abarcar toda la línea temporal
First node: Establece el intervalo temporal en el inicio, paso necesario para iniciar la visualización de la TimeLine complete Para poder visualizar el recorrido completo de la Timeline primero seleccionar “First node” y después “Start”. Para ajustar la velocidad de recorrido seleccionar el botón 1x.
8.2.7. Filtros En la parte superior del diagrama de grafos se encuentran los controles para filtrar la información mostrada.
Los criterios de filtrado disponibles son:
Action: desplegable que permite seleccionar un tipo de acción de entre todas las ejecutadas por la amenaza. De esta manera el diagrama solo muestra los nodos que coincidan con el tipo de acción seleccionada y aquellos nodos adyacentes relacionados con esta acción.
Entity: desplegable que permite Path/URL/Registry key/IP:port)
elegir
una
entidad
(contenido
del
campo
8.2.8. Movimiento de los nodos y zoom general del grafo Para mover el grafo en las cuatro direcciones y hacer zoom in o zoom out se pueden utilizar los controles situados en la parte superior derecha del grafo.
Para hacer zoom in y zoom out más fácilmente se puede utilizar la rueda central del ratón.
El símbolo X permite salir de la vista de grafos.
67
Manual de Adaptive Defense
Si se prefiere ocultar la zona de botones Timeline para utilizar un mayor espacio de la pantalla para el grafo se puede seleccionar el símbolo
situado en la parte inferior derecha del
grafo. Finalmente, el comportamiento del grafo al ser representando en pantalla o arrastrado por alguno de sus nodos se puede configurar mediante el panel mostrado a continuación, accesible al seleccionar el botón situado a la izquierda arriba del grafo
8.3. Interpretación de las tablas de acciones y grafos de actividad Para interpretar correctamente las tablas de acciones y grafos de actividad se requieren ciertos conocimientos técnicos ya que ambos recursos son representaciones de los volcados de evidencias recogidas, que deberán ser interpretadas por el propio administrador de red de la empresa. En este capítulo se ofrecen unas directrices básicas de interpretación a través de varios ejemplos de Malware real.
68
Manual de Adaptive Defense
El nombre de las amenazas aquí indicadas puede variar entre diferentes proveedores de seguridad. Para identificar un Malware concreto se recomienda utilizar el hash de identificación.
8.3.1. Ejemplo 1: Visualización de las acciones ejecutadas por el Malware Trj/OCJ.A En la cabecera de la tabla alertas se muestra la información fundamental del Malware encontrado. En este caso los datos relevantes son los siguientes:
Fecha: 06/04/2015 3:21:36
Equipo: XP-BARCELONA1
Nombre: Trj/OCJ.A
Tipo: MW
Estado: Executed
Hash del Malware: EEEEEEEEDDDD
Ruta del Malware: TEMP|\Rar$EXa0.946\appnee.com.patch.exe
Estado del equipo El estado del Malware es Executed debido a que el modo de Adaptive Defense configurado era Deep hardening: el Malware ya residía en el equipo en el momento en que Adaptive Defense se instaló y era desconocido en el momento de su ejecución. Hash Con la cadena de hash se podrá obtener más información en sitios como Virus total para tener una idea general de la amenaza y su forma de funcionamiento. Ruta del Malware La ruta donde se detectó el Malware por primera vez en el equipo pertenece a un directorio temporal y contiene la cadena RAR de modo que procede de un fichero empaquetado que se programa RAR descomprimió temporalmente en el directorio y dio como resultado el ejecutable appnee.com.patch.exe Tabla de acciones Paso
Fecha
Acción
Path
1
3:17:00
Created by
PROGRAM_FILES|\WinRAR\WinRAR.exe
2
3:17:01
Executed by
PROGRAM_FILES|\WinRAR\WinRAR.exe
3
3:17:13
Create
TEMP|\bassmod.dll
4
3:17:34
Create
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\AMTLIB.DLL.BAK
5
3:17:40
Modify
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\amtlib.dll
69
Manual de Adaptive Defense
6
3:17:40
Delete
PROGRAM_FILES|\ADOBE\ACROBAT 11.0\ACROBAT\AMTLIB.DLL.BAK
7
3:17:41
Create
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\ACROBAT.DLL.BAK
8
3:17:42
Modify
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\Acrobat.dll
9
3:17:59
Execute
PROGRAM_FILES|\Google\Chrome\Application\chrome.exe
Los pasos 1 y 2 indican que el Malware fue descomprimido por el WinRar.Exe y ejecutado desde el mismo programa: el usuario abrió el fichero comprimido e hizo clic en el binario que contiene. Una vez en ejecución en el paso 3 el Malware crea una dll (bassmod.dll) en una carpeta temporal y otra (paso 4) en el directorio de instalación del programa Adobe Acrobat 11. En el paso 5 también modifica una dll de Adobe, quizá para aprovechar algún tipo de exploit del programa. Después de modificar otras dlls lanza una instancia de Chrome y en ese momento termina la Timeline; Adaptive Defense catalogó el programa como amenaza después de esa cadena de acciones sospechosas y ha detenido su ejecución. En la Timeline no aparecen acciones sobre el registro de modo que es muy probable que el Malware no sea persistente o no haya podido ejecutarse hasta ese punto de lograr sobrevivir a un reinicio del equipo. El programa Adobe Acrobat 11 ha resultado comprometido de modo que se recomienda su reinstalación aunque gracias a que Adaptive Defense monitoriza ejecutables tanto si son Goodware como Malware, la ejecución de un programa comprometido será detectada en el momento en que desencadene acciones peligrosas, terminando en su bloqueo.
8.3.2. Ejemplo 2: Comunicación con equipos externos en BetterSurf BetterSurf es un programa potencialmente no deseado que modifica el navegador instalado en el equipo del usuario e inyecta anuncios en las páginas web que visite. En la cabecera de la tabla alertas se muestra la información fundamental del Malware encontrado. En este caso se cuenta con los siguientes datos:
Fecha: 30/03/2015
Equipo: MARTA-CAL
Nombre: PUP/BetterSurf
Tipo: MW
Ruta del Malware: PROGRAM_FILES|\VER0BLOCKANDSURF\N4CD190.EXE
Tiempo de exposición: 11 días 22 horas 9 minutos 46 segundos
70
Manual de Adaptive Defense
Tiempo de exposición En este caso el tiempo de exposición ha sido muy largo: durante casi 12 días el Malware estuvo en estado latente en la red del cliente. Este comportamiento es cada vez más usual y puede deberse a varios motivos: puede ser que el Malware no ha realizado ninguna acción sospechosa hasta muy tarde o que simplemente el usuario descargó el fichero pero no lo ejecutó en el momento. Tabla de acciones Paso 1 2 3 4 5 6 7 8 9
Fecha 08/03/2015 11:16 18/03/2015 11:16 18/03/2015 11:16 18/03/2015 11:16 18/03/2015 11:16 18/03/2015 11:16 18/03/2015 11:17 18/03/2015 11:17 18/03/2015 11:17
Acción
Path / IP
Hash / Protocolo
Created by
TEMP|\08c3b650-e9e14f.exe
EB0C9D2E28E1EE
Executed by
SYSTEM|\services.exe
953DF73048B8E8
Load
PROGRAM_FILES|\VER0BLOF\N4Cd190.d ll
CE44F5559FE618
Load
SYSTEM|\BDL.dll
D7D59CABE1270
Socket used
127.0.0.1:13879
0-UnKnown
Socket used
37.58.101.205:80
0-Bidrectional
Socket used
5.153.39.133:80
0-Bidrectional
Socket used
50.97.62.154:80
0-Bidrectional
Socket used
50.19.102.217:80
0-Bidrectional
En este caso se puede apreciar como el Malware establece comunicación con varias IPs diferentes. La primera de ellas (paso 5) es el propio equipo y el resto son IPs del exterior a las que se conecta por el puerto 80 de las cuales probablemente se descargue los contenidos de publicidad. La principal medida de prevención en este caso será bloquear las IPs en el cortafuegos corporativo.
Antes de añadir reglas para el bloqueo de IPs en el cortafuegos corporativo se recomienda consultar las IPs a bloquear en el RIR asociado (RIPE, ARIN, APNIC etc) para ver la red del proveedor al que pertenecen. En muchos casos la infraestructura remota utilizada por el Malware es compartida con servicios legítimos alojados en proveedores como Amazon y similares de modo que bloquear IPs equivaldría a bloquear también el acceso a páginas web normales.
71
Manual de Adaptive Defense
8.3.3. Ejemplo 3: acceso al registro con PasswordStealer.BT PasswordStealer.BT es un troyano que registra la actividad del usuario en el equipo y envía la información obtenida al exterior. Entre otras cosas es capaz de capturar la pantalla del usuario, registras las teclas pulsadas y enviar ficheros a un servidor C&C (Command & Control). En la cabecera de la tabla alertas se muestra la información fundamental del Malware encontrado. En este caso se cuenta con los siguientes datos:
Ruta del Malware: APPDATA|\microsoftupdates\micupdate.exe
Por el nombre y la localización del ejecutable el Malware se hace pasar por una actualización de Microsoft. Este Malware en concreto no tiene capacidad para contagiar equipos por sí mismo, requiere que el usuario ejecute de forma manual el virus. Estado del equipo El estado del Malware es Executed debido a que el modo de Adaptive Defense configurado era Deep hardening: el Malware ya residía en el equipo en el momento en que Adaptive Defense se instaló y era desconocido en el momento de su ejecución. Tabla de acciones Paso
Fecha
Acción
Path
Path / Hash
1
31/03/201 5 23:29
Executed by
PROGRAM_FILESX86|\internet explorer\iexplore.exe
7477021D17D781B24
2
31/03/201 5 23:29
Created by
INTERNET_CACHE|\Content.IE5\QGV8PV8 0\ index[1].php
C9D4C32DF27B3CDEF
3
31/03/201 5 23:30
Creates Reg Key To Exe
\REGISTRY\USER\S-1-5[...]95659\Software\Microsoft\Windows\ CurrentVersion \Run?MicUpdate
C:\Users\vig03\AppData \ Roaming\ MicrosoftUpdates\ MicUpdate.exe
4
31/03/201 5 23:30
Execute
SYSTEMX86|\notepad.exe
D378BFFB70864AA61C
5
31/03/201 5 23:30
Remote Thread Created by
SYSTEMX86|\notepad.exe
D378BFFB70864AA61C
En este caso el Malware es creado en el paso 2 por una página web y ejecutado por el navegador Internet Explorer.
El orden de las acciones tiene una granularidad de 1 microsegundo. Por esta razón varias acciones ejecutadas dentro del mismo microsegundo pueden aparecer desordenadas en la Timeline, como sucede en el paso 1 y paso 2.
72
Manual de Adaptive Defense
Una vez ejecutado el Malware se hace persistente en el paso 3 añadiendo una rama en la rama del registro que pertenece al usuario y que lanzará el programa en el inicio del sistema. Después comienza a ejecutar acciones propias del Malware como arrancar un notepad e inyectar código en uno de sus hilos. Como acción de remediación en este caso y en ausencia de un método de desinfección conocido se puede minimizar el impacto de este Malware borrando la entrada del registro. Es muy posible que en una maquina infectada el Malware impida modificar dicha entrada; dependiendo del caso sería necesario arrancar el equipo en modo seguro o con un CD de arranque para borrar dicha entrada.
8.3.4. Ejemplo 4: Acceso a datos confidenciales en Trj/Chgt.F Trj/Chgt.F fue publicado por wikileaks a finales de 2014 como herramienta utilizada por las agencias gubernamentales de algunos países para realizar espionaje selectivo. En este ejemplo pasaremos directamente a la tabla de acciones para observar el comportamiento de esta amenaza avanzada. Tabla de acciones Paso
Fecha
Acción
Path
Info
1
4/21/2015 2:17:47 PM
Is executed by
SYSTEMDRIVE|\Python2 7\pythonw.exe
9F20D976AFFFB2D0B9BE38 B476CB2053
2
4/21/2015 2:18:01 PM
Accesses Data
#.XLS
Office Excel document access
3
4/21/2015 2:18:01 PM
Accesses Data
#.DOC
Office Word document access
4
4/21/2015 2:18:03 PM
Creates
TEMP|\doc.scr
4DBD8393522CD5DA7364 ACEA35E80719
5
4/21/2015 2:18:06 PM
Executes
TEMP|\doc.scr
4DBD8393522CD5DA7364 ACEA35E80719
6
4/21/2015 2:18:37 PM
Executes
PROGRAM_FILES|\Micro soft Office\Office12\WINW ORD.EXE
CEAA5817A65E914AA178B 28F12359A46
7
4/21/2015 8:58:02 PM
Connects with
192.168.0.1:2042
TCP-Bidrectional
Inicialmente el Malware es ejecutado por el intérprete de Python (paso 1) para luego acceder a un documento de tipo Excel y otro de tipo Word (paso 2 y 3). En el paso 4 se ejecuta un fichero
73
Manual de Adaptive Defense
de extensión scr, probablemente un salvapantallas con algún tipo de fallo o error que provoque una situación anómala en el equipo y que pueda ser aprovechada por el Malware. En el paso 7 se produce una conexión de tipo TCP. La dirección IP es privada de modo que se estaría conectando a la red del propio cliente. En este caso se deberá de comprobar el contenido de los ficheros accedidos para evaluar la pérdida de información aunque viendo la Timeline la información accedida en principio no ha sido extraída de la red del cliente. Adaptive Defense desinfectará por sí mismo la amenaza y bloqueará de forma automática posteriores ejecuciones del Malware en ese cliente y en otros clientes.
74
Manual de Adaptive Defense
9. Análisis de conocimiento y búsquedas avanzadas Acceso al entorno LogTrust Descripción de las tablas de Adaptive Defense
75
Manual de Adaptive Defense
9. Análisis de conocimiento y búsquedas avanzadas El entorno LogTrust es un módulo opcional de Adaptive Defense. Si no tiene acceso a este entorno contacte con su comercial.
Logtrust es un servicio explotación en tiempo real del conocimiento acumulado complementario que importa y analiza de forma automática y en tiempo real toda la información generada por Adaptive Defense. Logtrust facilita las búsquedas de información relativa a la seguridad del parque informático del cliente y ayuda al generar vistosas gráficas para interpretar los datos registrados por los Agentes de Adaptive Defense. En este capítulo se mostrará en detalle el esquema de organización diseñado para el almacenamiento de la información generada por Adaptive Defense así como los procedimientos necesarios para explotar esta información. El objetivo de la plataforma LogTrust es el de complementar la información ofrecida por Adaptive Defense a la hora de establecer nuevos protocolos de remediación y profundizar en las técnicas de análisis forense mostradas en el capítulo 8. El entorno LogTrust cuenta con una ayuda online accesible desde el panel superior Ayuda.
9.1. Acceso al entorno LogTrust Para acceder al entorno de LogTrust hay que seleccionar el link Advaced Search desde el Dashboard de Adaptive Defense.
Una vez accedido se presentará el entorno pre configurado con el Dashboard mostrado en la consola de Adaptive Defense.
76
Manual de Adaptive Defense
9.2. Descripción de las tablas Adaptive Defense Adaptive Defense envía toda la información recogida de los Agentes instalados en los equipos del cliente al servicio LogTrust, el cual se encarga de organizarlo en tablas de fácil lectura. Cada línea de una tabla se corresponde a un evento supervisado por Adaptive Defense. Las tablas contienen una serie de campos específicos además de campos comunes que aparecen en todas y que ofrecen información como el momento en que ocurrió el evento, la maquina donde se registró, su dirección IP etc. Muchos campos utilizan prefijos que ayudan a referir la información mostrada. Los dos prefijos más usados son:
Parent: los campos que comienzan con la etiqueta Parent (parentPath, parentHash, parentCompany…) reflejan el contenido de una característica o atributo del proceso padre.
Child: los campos que comienzan con la etiqueta Child (childPath, childHash, childCompany…) reflejan el contenido de una característica o atributo de un proceso hijo creado por el proceso padre.
Además de estos prefijos en muchos campos y valores se utilizan abreviaturas; conocer su significado ayuda a interpretar el campo en cuestión:
Sig: Signature (firma digital)
Exe: executable (ejecutable)
Prev: prevalencia
Mw: Malware
Sec: seconds (segundos)
Op: operación
Cat: categoría
PUP: Potential Unwanted Program (programa potencialmente no deseado)
Ver: versión
SP: Service Pack
Cfg: configuración
Svc: servicio
Op: operación
PE: programa ejecutable
Cmp y comp: comprimido
Dst: destino
77
Manual de Adaptive Defense
A continuación, se listan las tablas disponibles indicando el tipo de información que contienen y sus campos específicos.
9.2.1. Tabla Alert Esta tabla es una correspondencia de las alertas mostradas en la consola de Adaptive Defense, en el Menú lateral Alerts. Contiene una línea por cada amenaza detectada en la red del cliente con información sobre el equipo involucrado, tipo de alerta, Timestamp y resultado de la alerta. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
machineIP
IP de la máquina del cliente que desencadenó la alerta
Dirección IP
date
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
alertType
Categoría de la amenaza que disparó la alerta
Malware, PUP
machineName
Nombre de la máquina del cliente
String
version
versión del Agente Adaptive Defense instalada en la máquina
x.x.x
executionStatus
La amenaza se llegó a ejecutar o no
Executed o Not Executed
dwellTimeSecs
Tiempo transcurrido en segundos desde la primera vez que la amenaza fue vista en la red del cliente
Segundos
itemHash
Hash de la amenaza encontrada
String
itemName
Nombre de la amenaza detectada
String
itemPath
Path completo del fichero que contiene la amenaza
String
Puesto que la tabla Alerts es una transposición del Menú lateral Alerts de la consola de Adaptive Defense es sencillo obtener estadísticas de los equipos más infectados: 10 equipos más atacados e infectados Se puede obtener un listado simple de los 10 equipos más atacados haciendo clic en la cabecera de la columna machineName o manicheIP.
78
Manual de Adaptive Defense
Este listado abarca desde el primer momento en que Adaptive Defense comenzó a funcionar en el cliente, si se quiere reducir el rango simplemente se puede acotar el intervalo con los controles Search limits.
Estos listados incluyen tanto bloqueos como ejecuciones de Malware, si se quieren mostrar únicamente los equipos infectados será necesario añadir un filtro haciendo clic en el icono de la barra de herramientas
Y configurando un filtro de datos utilizando el campo executionStatus e igualando a Executed, tal y como se muestra en la imagen.
79
Manual de Adaptive Defense
10 amenazas más vistas De forma equivalente haciendo clic en las columnas itemHash o ítemName se pueden visualizar estadísticas rápidas sobre las 10 amenazas más vistas en la red del cliente. Otra forma de obtener información de forma mucho más visual es generar una gráfica del Malware más visto. Para ello en el eje de las coordenadas se muestra el nombre del Malware y en el eje de abscisas el número de ocurrencias. Para ello hay que seguir los siguientes pasos:
Añadir una agrupación sobre el campo itemName sin límite temporal (No temporal aggrupation).
Añadir una función contador para determinar cuántas ocurrencias hay en cada grupo itemName.
80
Manual de Adaptive Defense
Añadir un filtro para discriminar las agrupaciones de 2 o menos ocurrencias. De esta forma limpiamos la gráfica de aquellas amenazas que solo hayan sido vistas 2 veces
Añadir un gráfico de tipo Chart Aggregation y utilizar la columna Count como parámetro.
En este punto ya se dispone de un listado alertas agrupadas por amenaza y con el número de ocurrencias por cada amenaza. Con estos datos se puede construir una gráfica simple:
81
Manual de Adaptive Defense
Otra información útil Hay varios campos interesantes en la tabla Alerts que pueden ser utilizados para extraer información valiosa acerca de los ataques recibidos en la red del cliente:
Eventdate: agrupando por este campo podemos visualizar el número de ataques diarios y así determinar si hay una epidemia en curso.
dwellTimeSecs: Es un campo que nos permite obtener la ventana de detección de las amenazas recibidas, es decir, el tiempo desde que la amenaza fue vista por primera vez en la red del cliente hasta su clasificación.
itemHash: dado que el nombre de la amenaza varía entre proveedores de seguridad se puede utilizar el campo hash para agrupar amenazas en vez del itemName. Esto permite discriminar además el Malware que se etiqueta con el mismo nombre.
9.2.2. Tabla Drivers Esta tabla incluye todas las operaciones que se realizan sobre drivers detectadas en los procesos ejecutados en los equipos del usuario. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIp
IP de la máquina del cliente
Dirección IP
ver
Versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso que realizo la operación sobre el driver registrada
String
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx
Operación realizada por el proceso sobre el
Open
driver
Creation
hash
Hash / digest del fichero
String
driveType
Tipo de unidad donde reside el proceso que desencadenó la operación sobre el driver registrada
Fixed, Remote, Removable
path
Path del proceso que desencadenó la operación registrada sobre el driver
String
validSig
Proceso firmado digitalmente
Boolean
company
Contenido del atributo Company de los metadatos del proceso
String
imageType
Arquitectura interna del ejecutable
EXEx32, EXEx64, DLLx32, DLLx64
muid op
82
Manual de Adaptive Defense
exeType
Tipo de ejecutable
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de Panda Security
HIGH, LOW, MEDIUM
prevLastDay
Prevalencia para día anterior en los sistemas de Panda Security
HIGH, LOW, MEDIUM
cat
Categoría del fichero que realizo la operación sobre el driver
Goodware, Malware, PUP,
mwName
Nombre del Malware si el fichero está
String, (Null si el elemento no es
catalogado como una amenaza
Malware)
serviceDriveType
Tipo de unidad donde reside el driver que recibe la operación registrada
Fixed, Remote, Removable
servicePath
Path del driver recibió la operación registrada
String
Unknown, Monitoring
Esta tabla indica las operaciones de todos los procesos sobre los drivers instalados. Puesto que el Malware que crea o o modifica drivers se considera especialmente peligroso por atacar elementos básicos del sistema lo idóneo en este caso es filtrar el campo Cat y descartar todo lo que este catalogado como “Goodware” o “Monitoring”.
9.2.3. Tabla Filesdwn Esta tabla contiene información sobre las operaciones de descarga de datos por HTTP realizadas por los procesos vistos en la red del cliente (URL, datos de los ficheros descargados, equipos que las realizaron etc). Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor
Date
83
Manual de Adaptive Defense
de Adaptive Defense machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx
type
Tipo del fichero descargado
Zip, Exe, Cab, Rar
url
url de descarga
Recurso URI
hash
Digest / hash del fichero descargado
String
validSig
Fichero descargado firmado digitalmente
Boolean
company
Contenido del atributo Company de los metadatos del fichero descargado
String
imageType
Arquitectura interna del fichero descargado
EXEx32, EXEx64, DLLx32, DLLx64
exeType
Tipo de ejecutable del fichero descargado
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de Panda Security
HIGH, LOW, MEDIUM
prevLastDay
Prevalencia del día anterior en los sistemas de Panda Security
HIGH, LOW, MEDIUM
cat
Categoría del fichero descargado
mwName
Nombre del Malware si el fichero descargado
String, (Null si el elemento no es
está catalogado como una amenaza
Malware)
Puesto
que
esta
tabla
muestra
todas
las
descargas
Goodware, Malware, PUP, Unknown, Monitoring
de
los
usuarios
de
la
red
independientemente de que sean Malware o Goodware, aparte de localizar con un simple filtro la información de la descarga en el caso de Malware también será posible visualizar de forma gráfica los dominios que reciben más descargas.
84
Manual de Adaptive Defense
Dominios que reciben más descargas Para mostrar este tipo de información es necesario manipular el contenido del campo url para limpiar la parte del string que no nos interesa y quedarnos con la parte del dominio.
Crear una columna nueva con la operación Split sobre el campo url.
Agrupar por url diferente sin marcar agrupación temporal
Añadir una columna agregación de tipo contador
De esta forma se obtiene un listado por dominio agrupado y el número de ocurrencias de cada dominio dentro de cada grupo. Con esta información se puede obtener fácilmente una gráfica con los dominios más visitados para descarga.
85
Manual de Adaptive Defense
En este caso utilizados una gráfica de tipo tarta, más sencilla de interpretar para el tipo de información que estamos mostrando. Para ello vamos a filtrar previamente las agrupaciones de 10 o menos ocurrencias para poder fijarnos con más detalle en el resto de dominios.
En las gráficas de tipo tarta las diferentes secciones son activas y al pasar el ratón por encima nos muestran los porcentajes y el nombre de la serie representada.
Otra información útil De la misma manera se pueden conjugar otros campos para enriquecer o filtrar los listados y conseguir unas tablas más afinadas. De esta forma se puede utilizar:
Machine o machineIP: agrupando por estos campos se pueden ver los equipos de la red del cliente que más descargas inician.
Cat: filtrando por este campo se puede despejar la tabla y mostrar únicamente lo que está catalogado como Malware. De esta forma se pueden obtener dominios considerados como emisores de Malware para bloquearlos en un cortafuegos que permita análisis en la capa 7.
86
Manual de Adaptive Defense
9.2.4. Tabla hook Esta tabla contiene todas las operaciones de creación y manipulación de hooks en el sistema del usuario Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx
hooktype
Tipo de hook realizado por el proceso
hash
Digest del proceso que realiza el hook en el sistema
Keyboard_ll, mouse_ll, keyboard, mouse
String
driveType
Tipo de unidad donde reside el proceso que realiza el hook
Fixed, Remote, Removable
path
Path del proceso que realiza el hook
String
validSig
Proceso que realiza el hook firmado digitalmente
Boolean
company
Contenido del atributo Company de los metadatos del proceso que realiza el hook
String
imageType
Arquitectura del fichero que realiza el hook
EXEx32, EXEx64, DLLx32, DLLx64
exeType
Tipo de ejecutable del proceso que realiza el hook
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de Panda Security del proceso que realiza el hook
HIGH, LOW, MEDIUM
87
Manual de Adaptive Defense
prevLastDay
Prevalencia del ultimo día en los sistemas de Panda Security del proceso que realiza el hook
cat
Categoría del proceso que realiza el hook en el sistema
mwName
Nombre del Malware si el proceso que realiza el hook en el sistema está catalogado como una amenaza
HIGH, LOW, MEDIUM
Goodware, Malware, PUP, Unknown, Monitoring
String, (Null si el elemento no es Malware)
hookPEhash
Digest / hash del proceso hookeado
String
Fixed, Remote, Removable
Hook
Tipo de unidad donde reside el proceso hookeado
hookPEpath
path del proceso hookeado
String
hookPEvalidSig
Proceso hookeado firmado digitalmente
Boolean
hookPEcompany
hookPEimageType
Contenido del atributo Company de los metadatos del proceso hookeado Arquitectura interna del fichero del proceso hookeado
String
EXEx32, EXEx64, DLLx32, DLLx64
Delphi, DOTNET, VisualC, VB, hookPEexeType
Tipo de ejecutable del proceso hookeado
CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
hookPEprevalence
Prevalencia histórica en los sistemas de Panda Security del proceso hookeado
HIGH, LOW, MEDIUM
hookPEprevLastDay
Prevalencia del ultimo día en los sistemas de Panda Security del proceso hookeado
HIGH, LOW, MEDIUM
hookPEcat
Categoría del proceso hookeado
Goodware, Malware, PUP, Unknown, Monitoring
Nombre del Malware si el proceso hookPEmwName
hookeado está catalogado como una
String
amenaza
Esta tabla muestra las operaciones de todos los procesos que realizan hooks. Puesto que el Malware que realiza este tipo de operación se considera especialmente peligroso por
88
Manual de Adaptive Defense
interceptar comunicaciones lo idóneo en este caso es filtrar el campo Cat y descartar todo lo que este catalogado como “Goodware” y “Monitoring”.
9.2.5. Tabla Install Esta tabla contiene toda la información generada en la instalación de los Agentes de Adaptive Defense en las maquinas del cliente. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
machineIP1
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP2
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP3
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP4
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP5
IP de una tarjeta de red adicional si está instalada
Dirección IP
ver
versión del Agente Adaptive Defense
String
op
Operación realizada
Install, Uninstall, Upgrade
osVer
Versión del Sistema Operativo
String
osSP
Versión del Service Pack
String
osPlatform
Plataforma del S.O.
WIN32, WIN64
Desinstalación de agentes A parte de las gráficas mostradas en el Dashboard de Adaptive Defense sobre las versiones de agentes instalados o desinstalados puede ser muy útil localizar de forma rápida los equipos que han desinstalado su agente en un periodo de tiempo dado. Para ello hay que acotar la fecha y simplemente añadir un filtro sobre el campo op para seleccionar todas las filas que tengan el string “Uninstall”. Con esta operación podremos obtener un listado de máquinas desinstaladas y por lo tanto vulnerables a las amenazas.
89
Manual de Adaptive Defense
9.2.6. Tabla Monitoredopen Esta tabla contiene los ficheros de datos accedidos por las aplicaciones ejecutadas en el equipo del usuario junto con los procesos que accedieron a los datos Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero que accede a datos
String
parentPath
path del proceso que que accede a datos
String
parentValidSig
Proceso que accede a datos firmado digitalmente
Boolean
parentCompany
Contenido del atributo Company de los metadatos del fichero que accede a datos
String
parentBroken
El fichero que a datos está corrupto / defectuoso
Boolean
parentImageType
Tipo de arquitectura interna del fichero que accede a datos
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo de ejecutable que accede a datos
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
parentPrevalence
Prevalencia histórica del fichero que accede a datos en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentPrevLastDay
Prevalencia en el día anterior del fichero que accede a datos en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero que accede a datos
Goodware, Malware, PUP, Unknown, Monitoring
90
Manual de Adaptive Defense
parentMWName
parentPid
Nombre del Malware si el fichero que accede a
String, (Null si el elemento no es
datos está catalogado como una amenaza
Malware)
Numero identificador del proceso que accede a datos en el equipo del cliente
String
Nombre del fichero de datos accedido por el childPath
proceso. Por defecto solo se indica la extensión del fichero para preservar la privacidad de
String
datos del cliente loggedUser
Usuario logueado en el equipo en el momento del acceso del fichero
String
Acceso a documentos de usuario Como esta tabla muestra el acceso a ficheros de todos los procesos que se ejecutan en el equipo del usuario, es bastante sencillo localizar una fuga de información en caso de infección. Filtrando por el campo parentCat para discriminar el Goodware del resto de posibilidades podemos obtener un listado de accesos a ficheros de datos por parte de procesos sin clasificar o clasificados como Malware, con lo que es posible visualizar de un vistazo el impacto de la fuga de datos y tomar las medidas necesarias.
9.2.7. Tabla Notblocked Esta tabla incluye un registro por cada elemento que Adaptive Defense ha dejado pasar sin analizar debido a situaciones excepcionales como tiempo de arranque del servicio en el endpoint, cambios de configuración etc. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
91
Manual de Adaptive Defense
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero padre
String
parentValidSig
Proceso padre firmado digitalmente
Boolean
parentCompany
Contenido del atributo Company de los metadatos del proceso padre
String
parentBroken
El fichero padre está corrupto o no
Boolean
parentImageType
Arquitectura interna del proceso padre
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo de ejecutable del proceso padre
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
parentPrevalence
Prevalencia histórica en los sistemas de Panda Security del proceso padre
HIGH, LOW, MEDIUM
parentPrevLastDay
Prevalencia en el día anterior en los sistemas de Panda Security del proceso padre
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero padre
ParentmwName
Nombre del Malware si el fichero padre está catalogado como una amenaza
Goodware, Malware, PUP, Unknown, Monitoring
string, (Null si el elemento no es Malware)
childHash
Digest / hash del fichero hijo
String
childValidSig
Proceso hijo firmado digitalmente
Boolean
childCompany
Contenido del atributo Company de los metadatos del proceso hijo
String
childBroken
El fichero hijo está corrupto o no
Boolean
childImageType
Arquitectura interna del proceso hijo
EXEx32, EXEx64, DLLx32, DLLx64
Tipo de ejecutable del proceso hijo
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
childExeType
92
Manual de Adaptive Defense
childPrevalence
Prevalencia histórica en los sistemas de Panda Security del fichero hijo
HIGH, LOW, MEDIUM
childPrevLastDay
Prevalencia del dia anterior en los sistemas de Panda Security del fichero hijo
HIGH, LOW, MEDIUM
childCat
Categoría del proceso hijo
Nombre del Malware si el fichero hijo childmwName
está catalogado como una amenaza
cfgSvcLevel
Goodware, Malware, PUP, Unknown, Monitoring
String, (Null si el elemento no es Malware)
Learning: el agente permite la ejecución de los procesos no conocidos
Hardening: el agente impide la ejecución de los procesos clasificados como amenazas
Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos
Learning: el agente permite la ejecución de los procesos no conocidos
Hardening: el agente impide la ejecución de los procesos clasificados como amenazas
Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos
Configuración de servicio del agente
Modo de operación del agente. El Agente puede tener temporalmente una configuración establecida realSvcLevel
diferente a la configuración en uso debido a diversas razones del entorno de ejecución. A la larga cfgSvcLevel y realSvcLevel deberán de coincidir.
Unknown = 0 Goodware = 1 Malware = 2 responseCat
Categoría del fichero devuelta por
Suspect = 3
la nube
Compromised =4 GoodwareNotConfirmed = 5 PUP = 6 GoodwareUnwanted = 7
numCacheClassifiedElements
Nº de elementos clasificados en caché
Numeric
93
Manual de Adaptive Defense
9.2.8. Tabla Ops Esta tabla contiene un registro de todas las operaciones realizadas por los procesos vistos en la red del cliente. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String CreateDir, Exec, KillProcess, CreatePE, DeletePE,
op
muid
Operación realizada
Identificador interno del equipo del cliente
LoadLib, OpenCmp, RenamePE, CreateCmp
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero padre
String
parentPath
path del proceso padre
String
parentValidSig
Proceso padre firmado digitalmente
Boolean
parentCompany
Contenido del atributo Company de los metadatos del fichero padre
String
parentImageType
Tipo de arquitectura interna del fichero padre
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo del ejecutable padre
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
parentPrevalence
Prevalencia histórica del fichero padre en los sistemas de Panda
HIGH, LOW, MEDIUM
94
Manual de Adaptive Defense
Security
parentPrevLastDay
Prevalencia en el día anterior del fichero padre en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero padre
Goodware, Malware, PUP, Unknown, Monitoring
parentMWName
Nombre del Malware encontrado en el fichero padre
String, (Null si el elemento no es Malware)
childHash
Digest / hash del fichero hijo
String
childPath
path del proceso hijo
String
childValidSig
Proceso hijo firmado digitalmente
Boolean
childCompany
Contenido del atributo Company de los metadatos del fichero hijo
String
childImageType
Tipo de arquitectura interna del fichero hijo
EXEx32, EXEx64, DLLx32, DLLx64
childExeType
Tipo de ejecutable hijo
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
childPrevalence
Prevalencia histórica del fichero hijo en los sistemas de Panda Security
HIGH, LOW, MEDIUM
childPrevLastDay
Prevalencia en el día anterior del fichero hijo en los sistemas de Panda Security
HIGH, LOW, MEDIUM
childCat
Categoría del fichero hijo
Goodware, Malware, PUP, Unknown, Monitoring
childMWName
Nombre del Malware encontrado en el fichero hijo
String, (Null si el elemento no es Malware)
ocsExec
Se ejecutó o no software considerado como vulnerable
Boolean
ocsName
Nombre del software considerado vulnerable
String
ocsVer
Version del software considerado vulnerable
String
Origen de creación del proceso peCreationSource
ejecutable. Equivalente al
String
campo DriveType
95
Manual de Adaptive Defense
params
toastResult
clientCat
action
Parámetros de ejecución del proceso ejecutable
Resultado de la tostada mostrada
Categoría en la caché del agente del elemento Acción realizada
Modo del agente
String
Ok
Timeout
Angry
Block
Allow
Goodware, Malware, PUP, Unknown, Monitoring
Allow, Block, BlockTimeout
Learning: el agente permite la ejecución de los procesos no conocidos
Hardening: el agente impide la ejecución de los procesos clasificados como amenazas
Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos
Unknown
Cache
Cloud
Contect
Serializer
User
Legacyuser
Netnative
certifUA
serviceLevel
winningTech
Tecnología que ha provocado la acción
9.2.9. Tabla Registry Esta tabla contiene un registro de todas las operaciones realizadas por los procesos vistos en la red del cliente sobre el registro de cada sistema. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el
Date
96
Manual de Adaptive Defense
servidor de Adaptive Defense machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso que
String
modifico el registro op
Operación realizada sobre el registro
ModifyExeKey, CreateExeKey
del equipo hash
Digest / hash del proceso que realiza
String
la modificación en registro muid
Identificador interno del equipo del
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
cliente targetPath
Path del ejecutable apuntado en el registro
Tipo de unidad donde reside el proceso que realiza el hook
regKey
Clave de registro
String
driveType
Tipo de unidad donde reside el proceso que accede al registro
String
path
Path del proceso que modifica el
String
registro validSig
Clave de registro
Boolean
company
Clave de registro
String
imageType
Arquitectura del fichero que accede
String
al registro exeType
Tipo de ejecutable
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
Prevalence
Prevalencia histórica en los sistemas
HIGH, LOW, MEDIUM
de Panda Security del proceso prevLastDay
Prevalencia del ultimo día en los
HIGH, LOW, MEDIUM
sistemas de Panda Security del
97
Manual de Adaptive Defense
proceso Cat
Categoría del proceso
Goodware, Malware, PUP, Unknown, Monitoring
mwName
Nombre del Malware si el proceso está
String, (Null si el elemento no es Malware)
catalogado como una amenaza
Persistencia de las amenazas instaladas Como esta tabla muestra el acceso al registro de todos los procesos que se ejecutan en el equipo del usuario, es bastante sencillo visualizar el Malware que consiguió ejecutarse hasta el punto de lograr persistencia en el sistema. Las ramas del registro que invocan a un programa en el arranque son múltiples pero las más utilizadas por troyanos y otros tipos de amenazas son:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
Viendo las claves casi todas comparten la rama “Run” de modo que filtrando por el campo regKey y buscando la subcadena “Run” podemos visualizar toda la información relativa al
proceso que añadió o retiró la rama del registro.
98
Manual de Adaptive Defense
Una vez filtrados los procesos que manipulan el sistema de arranque se pueden aplicar filtros posteriores que refinen la búsqueda inicial, utilizando el campo Cat para eliminar todos los programas catalogados como Goodware de la lista, de forma equivalente a la mostrada en ejemplos anteriores
9.2.10. Tabla Socket Esta tabla contiene un registro de todas las operaciones de red realizadas por los procesos vistos en la red del cliente. Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
hash
Digest / hash del proceso que realiza la conexión
muid
Identificador interno del equipo del cliente
driveType
Tipo de unidad donde reside el proceso que realiza la conexión
path
path del proceso que realiza la conexión
protocol
port
Protocolo de comunicaciones utilizado por el proceso Puerto de comunicaciones utilizado por el proceso
String
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx Fixed, Remote, Removable
String
TCP, UDP, ICMP, ICMPv6,IGMP, RF
0-65535
direction
Sentido de la comunicación
Upload, Download, Bidirectional, Unknown
dstIp
IP destino
Dirección IP
dstPort
Puerto destino
0-65535
dstIp6
IP v6 de destino
Dirección IP
99
Manual de Adaptive Defense
validSig
Fichero que realiza la conexión firmado digitalmente
Boolean
company
Contenido del atributo Company de los metadatos del fichero que realiza la conexión
String
imageType
Arquitectura interna del proceso que realiza la conexión
EXEx32, EXEx64, DLLx32, DLLx64
exeType
Tipo de ejecutable del proceso que realiza la conexión
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de Panda Security
HIGH, LOW, MEDIUM
prevLastDay
Prevalencia del dia anterior en los sistemas de Panda Security
HIGH, LOW, MEDIUM
cat
Categoría del proceso que realiza la conexión
Goodware, Malware, PUP, Unknown,
mwName
Monitoring
Nombre del Malware si el proceso que realiza la conexión está catalogado como
String, (Null si el elemento no es Malware)
una amenaza
Programas que más se conectan al exterior Análogamente a la gráfica de la consola que geolocaliza los destinos de las conexiones efectuadas por el Malware instalado en la red del cliente se pueden obtener los destinos más conectados por el software licito que se ejecuta en los equipos. Para ello hay que seguir los siguientes pasos:
Añadir un filtro que elimine todos los programas que no sean considerados lícitos. Para ello hay que igualar el campo Cat a la cadena “Goodware”
Añadir un filtro que elimine todas las conexiones de destino a direcciones IP privadas. Para ello hay que crear una columna con la función Is Public IPv4 sobre el campo dstIp, tal y como se muestra en la figura
100
Manual de Adaptive Defense
Añadir sendas columnas latitude y longitude que extraigan del campo dstIP la longitud y la latitud con las funciones Geolocated Latitude / Longitude.
En este punto del procedimiento tenemos un listado de conexiones desde software legítimo hacia direcciones IP públicas y la latitud y longitud de cada IP. Las coordenadas obtenidas se representaran en la gráfica de tipo mapa como puntos. Puesto que se quiere representar el número de conexiones a una misma dirección IP será necesario realizar una agrupación y añadir un contador para obtener el número de direcciones IP repetidas en una agrupación.
Añadir una agrupación por el campo de la tabla dstIP y los campos de nueva creación latitude y longitude, sin límite temporal.
101
Manual de Adaptive Defense
Agregar una función de tipo contador.
Añadir una gráfica de tipo Flat world map by coordinates o Google heat map utilizando como datos las columnas count, latitude y longitude.
Al arrastrar las columnas a las casillas indicadas se mostrará el mapa elegido con los datos representados por puntos de diversos colores y tamaños
102
Manual de Adaptive Defense
9.2.11. Tabla Toast La tabla Toast registra una entrada por cada aparición de mensaje del agente al cliente Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
103
Manual de Adaptive Defense
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero padre
String
parentPath
path del proceso padre
String
parentValidSig
Proceso padre firmado digitalmente
Boolean
parentCompany
Contenido del atributo Company de los metadatos del fichero padre
String
parentImageType
Tipo de arquitectura interna del fichero padre
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo del ejecutable padre
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown
parentPrevalence
Prevalencia histórica del fichero padre en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentPrevLastDay
Prevalencia en el día anterior del fichero padre en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero padre
Goodware, Malware, PUP, Unknown, Monitoring
parentMWName
Nombre del Malware encontrado en el fichero padre
String, (Null si el elemento no es Malware)
childHash
Digest / hash del fichero hijo
String
childPath
path del proceso hijo
String
childValidSig
Proceso hijo firmado digitalmente
Boolean
childCompany
Contenido del atributo Company de los metadatos del fichero hijo
String
childImageType
Tipo de arquitectura interna del fichero hijo
EXEx32, EXEx64, DLLx32, DLLx64
childExeType
Tipo de ejecutable hijo
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32,
104
Manual de Adaptive Defense
Setupfactory, Unknown
childPrevalence
Prevalencia histórica del fichero hijo en los sistemas de Panda Security
HIGH, LOW, MEDIUM
childPrevLastDay
Prevalencia en el día anterior del fichero hijo en los sistemas de Panda Security
HIGH, LOW, MEDIUM
childCat
Categoría del fichero hijo
Goodware, Malware, PUP, Unknown, Monitoring
clientCat
Categoría en la caché del agente del elemento
Goodware, Malware, PUP, Unknown, Monitoring
childMWName
Nombre del Malware encontrado en el fichero hijo
String, (Null si el elemento no es Malware) Learning: el agente permite la ejecución de los procesos no conocidos
serviceLevel
Modo del agente
Hardening: el agente impide la ejecución de los procesos clasificados como amenazas Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos
winningTech
Tecnología que ha provocado la acción
Unknown Cache Cloud Contect Serializer User Legacyuser Netnative certifUA
cloudAccessOk
Acceso a la nube cuando se
Boolean
SonFirstSeen
Primera vez que el sistema vio al proceso que provoco la tostada
Date
SonLastQuery
Ultima vez que el proceso que provoco la tostada lanzo una query a la nube
Date
PrevoiusClientCat
Categoría previa del elemento que provocó la tostada
Numeric
Ok: el cliente acepta el mensaje Timeout: la tostada desaparece por la no acción del usuario ToastResult
Resultado de la tostada
Angry: el usuario rechaza el bloqueo Block Allow
105
Manual de Adaptive Defense
10. Anexo I: Integración con productos SIEM
106
Manual de Adaptive Defense
10. Anexo I: Integración con productos SIEM Adaptive Defense se integra con soluciones SIEM agregando información detallada sobre la actividad de las aplicaciones ejecutadas en los puestos protegidos. La información enviada al sistema SIEM del cliente tiene como origen el servidor Adaptive Defense; por esta razón se trata de información ya elaborada (categoría, prevalencia etc) y no simplemente de datos en crudo recogidos de los Agentes instalados en las máquinas de los usuarios. A continuación, se listan los sistemas SIEM compatibles con Adaptive Defense:
QRadar
AlienVault
ArcSight
LookWise
Bitacora
QRadar Actualmente Adaptive Defense se integra con QRadar (formato Live) AlienVault y ArcSight La integración con AlienVault y ArcSight agrega información al SIEM bajo el formato CEF (Common Event Format) LookWise y el antiguo bitácora LookWise y el antiguo bitácora puden recibir eventos de alertas e información de prevalencia de Adaptive Defense, esto es: información de cuándo y en que máquinas del parque se ha visto el Malware detectado. Integración abierta a otros fabricantes (Splunk, etc) La integración con nuevas plataformas SIEM es un proceso que se acomete bajo demanda por lo que queda abierta la posibilidad de integración con fabricantes como Splunk y otros.
107
Manual de Adaptive Defense
11. Anexo II: Acuerdos de Nivel de Servicio Servicio de Preventa y Migración Servicio de Soporte Técnico Nuestra Infraestructura en la Nube Servicio de clasificación de software no confiable
108
Manual de Adaptive Defense
11. Anexo II: Acuerdos de Nivel de Servicio En Panda Security consideramos crítico dejar claro los servicios que vienen incluidos con su adquisición. A continuación se describen los niveles de servicio que se ofrecen con la adquisición de nuestras soluciones.
11.1. Servicio de Preventa y Migración El servicio de preventa y migración incluye demostración del servicio, información y respuesta al cliente a todas sus dudas y consultas, coordinación con los departamentos internos de Panda Security, soporte activo en la migración y desinstaladores para la solución reemplazada con Panda Adaptive Defense.
Servicio de información al cliente dando respuestas por email o telefónicamente a todas las dudas y preguntas del cliente.
Coordinación interna y comunicación abierta con todos los departamentos internos de Panda Security con el objetivo de dar respuesta a todas las dudas y consultas del cliente, además de transmitir las necesidades del cliente para su incorporación al servicio en futuras revisiones.
Soporte activo en la migración. Soporte activo en la migración tomado datos, elaboración de propuestas y colaboración en los despliegues.
Desinstaladores de la solución reemplazada. En caso de que la empresa que adquiera Panda Adaptive Defense quiera reemplazar su solución de antivirus tradicional, Panda ofrece desinstaladores de los productos / soluciones antivirus. Estos desinstaladores se lanzarán de forma automática en los puestos y servidores donde se instale la protección de Panda Adaptive Defense siempre y cuando así esté establecido en la configuración del servicio. En el caso de no disponer del desinstalador, Panda se compromete a crear el desinstalador en un plazo máximo de 2 semanas desde la recepción de la información necesaria. La creación del desinstalador será posible en todos los casos salvo que el producto a desinstalar incluya métodos de auto-protección que impidan su desinstalación.
11.2. Servicio de Soporte Técnico El servicio de Soporte de productos Panda, tiene por objeto establecer el mantenimiento y la asistencia técnica que permita asegurar el correcto funcionamiento de todos los programas Panda en todos los puestos y servidores del cliente.
Service Packs y hotfixes: Acceso a las mejoras técnicas de producto durante el tiempo de activación del servicio.
Web de soporte: Acceso a foros, blogs, web de soporte, información sobre últimas amenazas, mapa de virus, Panda ThreatWatch, enciclopedia de virus etc.
Soporte técnico: Atención telefónica y vía email de técnicos certificados en las soluciones de PANDA SECURITY.
Acceso a programas beta: para acceder a las últimas versiones de productos de seguridad de PANDA y compartir las experiencias y feedback con nosotros.
Acceso ilimitado al HelpDesk: Sin límite de incidencias reportadas.
109
Manual de Adaptive Defense
Las condiciones que definen el servicio son:
Servicio de soporte técnico personal. Servicio de atención al cliente, atendido por expertos del producto a través de teléfono. Resolución personal de cualquier consulta o incidencia relacionada con la detección de virus o con la configuración del producto.
11.3. Nuestra Infraestructura en la Nube Disponibilidad del Servicio Panda Security garantiza que el servicio estará disponible un 99,5% del tiempo, y cubre las infraestructuras utilizadas por la solución Panda Adaptive Defense, en concreto aplica a los siguientes sistemas:
Consola de administración.
Las descargas de los paquetes para instalar tanto el agente como la protección en portátiles, estaciones y servidores Windows.
La disponibilidad se calculará anualmente según la siguiente ecuación: 𝑡𝑜𝑡𝑎𝑙 − 𝑛𝑜𝑛𝑒𝑥𝑐𝑙𝑢𝑑𝑒𝑑 − 𝑒𝑥𝑐𝑙𝑢𝑑𝑒𝑑 {( ) | ∗ 100} ≥ 99,5% 𝑡𝑜𝑡𝑎𝑙 − 𝑒𝑥𝑐𝑙𝑢𝑑𝑒𝑑
Dónde: - total significa el número total de minutos por año - No excluido significa el tiempo de indisponibilidad (downtime) que no está excluido, es decir, el tiempo durante el cual ha habido una indisponibilidad del servicio en la que la consola de administración y/o las descargas de los paquetes para instalar el agente y la protección no han estado disponibles. - Se define como tiempo excluido el que se incluye en los siguientes casos: - Paradas planificadas por mantenimiento, instalación de nuevas versiones (Major y Minor), y para la instalación de hotfixes. Este tiempo nunca excederá de 48 horas por trimestre - Cualquier parada por mantenimiento donde Panda Security avisa con una antelación entre 48h y 96h vía email al partner. En dicha notificación se indicará el tiempo de inicio y finalización aproximado de dicho mantenimiento. - Cualquier parada planificada para la instalación de Major Releases, limitadas a un máximo de 3 anuales. - Cualquier parada planificada para la instalación de Minor Releases, limitadas a un máximo de 3 anuales. - Cualquier parada planificada para la instalación de hotfixes. - Cualquier indisponibilidad del servicio originada por Fuerza Mayor, y en general cualesquiera circunstancias que escapen al control de Panda Security, incluyendo pero no limitándose a cualquier suceso externo que no hubiera
110
Manual de Adaptive Defense
podido preverse o que previsto fuera inevitable, que impida el cumplimiento de las obligaciones de alguna de las partes, como por ejemplo, tormentas, inundaciones, incendios, guerras o sabotajes. Los cálculos de disponibilidad se realizarán para el año completo, incluso en los casos en los que el cliente haya contratado el servicio por menos tiempo o durante el mismo año. Durante el año 2013 la disponibilidad de nuestra plataforma en la nube tuvo un 99,9% de disponibilidad. ¿Qué seguridad tiene la plataforma donde se alojan los datos? Windows Azure, la plataforma donde está alojado Panda Adaptive Defense provee la máxima confidencialidad y seguridad de los datos almacenados. Las políticas de seguridad y control establecidas en Azure están descritas en el Whitepaper de “Windows Azure Security Overview”. Ver http://download.microsoft.com/download/6/0/2/6028B1AE-4AEE-46CE-9187641DA97FC1EE/Windows%20Azure%20Security%20Overview%20v1.01.pdf ¿Qué certificaciones de seguridad tiene la plataforma donde se alojan los datos? Tal y como se indica en el .pdf del apartado anterior Windows Azure corre sobre Microsoft Global Foundation Services (GFS): “Windows Azure operates in the Microsoft Global Foundation Services (GFS) infrastructure” El siguiente documento muestra información sobre la gestión de la seguridad que se hace en Global Foundation Services (GFS), la infraestructura Cloud de Microsoft en la cual corre Windows Azure:http://cdn.globalfoundationservices.com/documents/InformationSecurityMangSysforMSCl oudInfrastructure.pdf En el .pdf se indican las certificaciones de Windows Azure:
ISO/IEC 27001:2005
Statement on Auditing Standards No. 70 (SAS 70) Type I and II
Sarbanes-Oxley (SOX)
Payment Card Industry Data Security Standard (PCI DSS)
Federal Information Security Management Act (FISMA)
Adicionalmente tenemos información más detallada sobre la certificación 27001 en: http://blogs.msdn.com/b/windowsazure/archive/2011/12/19/windows-azure-achieves-is0-27001certification-from-the-british-standards-institute.aspx Por último, indicar que en http://www.microsoft.com/download/en/details.aspx?id=26647 hay un White Paper que describe como Windows Azure cumple con los requisitos de seguridad definidos por Cloud Security Alliance, Cloud Control Matrix. Se adjunta párrafo del Whitepaper: “Our security framework based on ISO 27001 enables customers to evaluate how Microsoft meets or exceeds the security standards and implementation guidelines. ISO 27001 defines how to
111
Manual de Adaptive Defense
implement, monitor, maintain, and continually improve the Information Security Management System (ISMS). In addition, the GFS infrastructure undergoes an annual American Institute of Certified Public Accountants (AICPA) Statement of Auditing Standards (SAS) No. 70 audits, which will be replaced with an AICPA Statement on Standards for Attestation Engagements (SSAE) No. 16 audit and an International Standards for Assurance Engagements (ISAE) No. 3402 audit. Planning for an SSAE 16 audit of Windows Azure is underway.”
11.4. Servicio de clasificación de software no confiable Panda Adaptive Defense se basa en innovadoras tecnologías que se alimentan de información recogida de la monitorización continua de las aplicaciones que corren en los puestos y servidores, de información de reputación, de información de la propia comunidad del Panda, así como de información obtenida en la ejecución controlada de estas aplicaciones en máquinas físicas ubicadas en la infraestructura de Panda. Todas estas entradas alimentan a un motor de análisis de Big Data en nuestra infraestructura en la nube donde se agrega, correlaciona y procesan las entradas. El resultado final es un diagnostico que determina si la aplicación es o no confiable para Panda. Este diagnóstico se determina con un grado de precisión cercano al 100%, calculado en función de todas las clasificaciones de Goodware y Malware realizadas por Panda hasta la fecha. En cualquier caso, el nivel de confiabilidad de las aplicaciones se recalcula continuamente a medida que llegan nuevos eventos en el sistema. Nuestros expertos de PandaLabs, con toda la información recogida de la monitorización continua de las aplicaciones que corren en los Endpoints y con los resultados del análisis BigData realizado en nuestra infraestructura en la nube, se encargarán de clasificar manualmente aquellas aplicaciones que no son clasificadas de forma automática por el sistema.
112
Manual de Adaptive Defense
113
