Detección de malware mediante análisis de tráfico

Estudio de caso

La mayoría de los programas maliciosos realizan algún tipo de conexión de red, ya sea para conectarse a un servidor de comando y control para recibir instrucciones adicionales o para extraer datos de una computadora. Si bien el malware puede usar diversas tácticas para evitar ser detectado por los escáneres antivirus, en muchos casos un analista con acceso a todo el tráfico de red del dispositivo puede detectar esas conexiones sospechosas y analizarlas en busca de signos de actividad maliciosa.

Use este método para configurar una solución de análisis de tráfico en línea, por ejemplo, utilizando un dispositivo de punto de acceso WiFi que funcione con una Raspberry Pi, como se discute en algunas de las herramientas mencionadas aquí. Otras opciones podrían incluir el uso de puertos TAP o SPAN para capturar el tráfico de todos los usuarios de una red local, como puede ser una oficina.

Nota para los estudiantes: Este módulo da por hecho que usted tiene acceso a una Raspberry Pi. Si este no es el caso, puede omitirlo y pasar al siguiente._

Objetivos

Después de completar este módulo, el profesional debe ser capaz de:

• Comentar con el cliente el enfoque sugerido de análisis de tráfico, incluyendo la explicación del proceso, los riesgos y las limitaciones de la acción.
• Seleccionar una herramienta apropiada de análisis de tráfico de red e implementarla utilizando la configuración de hardware o software relevante.
• Investigar y comprender qué conjunto de reglas o heurísticas se están utilizando para cada enfoque de análisis de tráfico de red y entender cuáles son sus fortalezas o debilidades.
• Leer los resultados de los flujos de red marcados y ser capaz de hacer un triaje de cuáles resultados requieren una investigación adicional o una acción de mitigación de riesgos.

Sección Principal

En lugar de analizar archivos y procesos en un dispositivo, el malware también puede ser identificado por las comunicaciones de red que se inician o a las que responde. Este enfoque tiene varias ventajas sobre el análisis basado en dispositivos, ya que es difícil para el malware evitar hacer comunicaciones de red en algún momento, y, en algunos casos, le permite a usted como asesor tecnológico investigar varios dispositivos a la vez.

Captura de tráfico utilizando una Raspberry Pi

En esta sección, veremos dos herramientas: PiRogue Tool Suite y SpyGuard. Ambas herramientas requieren hardware adicional (una computadora pequeña y económica llamada Raspberry Pi y una tarjeta SD).

‼️ Después de aprender las habilidades en cualquiera de las dos herramientas, usted debería poder:

• Instalar la herramienta seleccionada en la tarjeta SD de una Raspberry Pi y realizar la configuración inicial.
• Acceder al panel de control de la herramienta.
• Conectar dispositivos al punto de acceso WiFi.
• Identificar dispositivos conectados al punto de acceso (si se conectan varios dispositivos a la vez).
• Leer e interpretar hallazgos sospechosos y hacer triaje de cuáles requieren soluciones para remediar el riesgo y cuáles necesitan una investigación adicional. Avanzado: configurar el registro de eventos y las notificaciones en la herramienta seleccionada.
• Avanzado: realizar la captura de tráfico para una investigación más a fondo.

PiRogue Tool Suite

PiRogue Tool Suite es un conjunto de herramientas de software que convierte la Raspberry Pi en una estación de análisis de malware. Fue desarrollada por Defensive Lab Agency. Sirve como un rúter intermediario, que se sitúa entre un dispositivo que usted sospecha podría estar infectado y el internet. Dicho rúter captura y analiza todos los servidores y servicios con los que el dispositivo infectado intenta comunicarse. Esto se puede utilizar para detectar potenciales actividades de malware.

Si estás interesado en ejecutar esas herramientas, consulta la excelente documentación del autor. Recomendamos comenzar con la guía para principiantes, que explica cómo configurar un PiRogue y cómo realizar sus primeros análisis.

SpyGuard

Una herramienta alternativa, llamada SpyGuard, también se ejecuta en Raspberry Pi u otros dispositivos Linux y funciona como enrutador intermediario. A diferencia de PiRogue Tool Suite, que se centra principalmente en análisis de red más avanzados, SpyGuard se enfoca en escanear el tráfico de red en busca de IoCs conocidos y comportamientos potencialmente sospechosos como contactar dominios registrados recientemente o utilizar puertos inusuales. SpyGuard se deriva de otro proyecto llamado TinyCheck, que fue diseñado originalmente para una asociación francesa de mujeres para detectar rastros de stalkerware (malware utilizado para espiar a personas sin su consentimiento. A menudo el SpyGuard lo instalan personas que abusan de sus parejas y lo hacen en sus dispositivos móviles. Sin embargo, sus capacidades se han ampliado y ahora se puede utilizar para realizar pruebas en muchos otros tipos de malware. Puedes leer más sobre SpyGuard en su página de github.

Otros Enfoques

Cortafuegos salientes

El uso de un cortafuegos de dispositivo “ruidoso” que solicita permiso para enviar tráfico de Internet, es una forma útil aunque complicada, de identificar procesos de conexión de red y potencialmente identificar comunicaciones sospechosas. Esto requiere un nivel de familiaridad con los procesos comunes en la plataforma elegida para poder identificar procesos no sospechosos, así como la capacidad de investigar bloques de IP y búsquedas de DNS. Dejar esto activo en la computadora de un cliente no siempre es la mejor opción, ya que es difícil investigar adecuadamente cada proceso. Sin embargo, como profesional de la seguridad digital, es útil poder realizar este trabajo en su dispositivo o en el dispositivo del cliente al que asiste. Algunos cortafuegos de punto final o endpoint en esta categoría incluyen:

• Mac OS
  • LuLu (Código Abierto, gratuito).
  • Little Snitch (de pago) o Little Snitch Mini (Patentado, gratis).
• Windows
  • PortMaster (Disponible en versión de Código Abierto, gratuita/de Pago, con función de historial/investigación de red).
  • GlassWire (Versión disponible patentada gratuita/de pago).
• Android
  • NetGuard (Disponible versión de Código Abierto gratuita / Versión Freemium con captura/historial de tráfico).
  • AFWall+ (Código Abierto, gratuito).
• Linux
  • OpenSnitch (Código Abierto, gratuito).

Los cortafuegos salientes pueden ser un poco difíciles de dominar al principio. La relación señal-ruido está lejos de ser óptima. Antes de utilizarlas en su propio análisis, le recomendamos trabajar primero con otros profesionales que tengan experiencia con tales herramientas.

Análisis de tráfico de terceros

El tráfico puede ser capturado, filtrado o analizado por terceros. Uno de esos servicios semiautomáticos es Emergency VPN, dirigido por el proyecto Civilsphere de Czech Technical University. Este servicio permite generar e instalar un perfil VPN en cualquier plataforma. Después de conectarse a la VPN y ejecutar el tráfico del dispositivo a través de ella durante 24 horas, el servicio Emergency VPN enviará automáticamente un análisis que alerta de marcará cualquier hallazgo inicial. Posteriormente, el tráfico del dispositivo será retenido y analizado manualmente por un analista y, en caso de hallazgos maliciosos, se enviará un informe manual. Esta es una forma de subcontratar habilidades de análisis cuando sea necesario. Asegúrese de que usted o su cliente comprendan las implicaciones para su privacidad y se sientan cómodos con los riesgos asociados a la captura de tráfico externa.

Si tiene un momento para hacerlo y está de acuerdo con los riesgos para la privacidad de compartir sus datos con el equipo de Emergency VPN, le recomendamos que lea un poco más sobre el servicio, lo ejecute durante unos días y luego analice los datos que reciba. Una vez que lo haya hecho, debería poder:

• Entender cómo funciona el servicio Emergency VPN.
• Solicitar un perfil de Emergency VPN e instalarlo en la plataforma que haya seleccionado.
• Leer y comprender el primer informe automatizado de Emergency VPN y analizar los resultados para así poder identificar cualquier hallazgo sospechoso que requiera investigaciones adicionales.

En otros casos, si está trabajando con un analista externo, es posible que le soliciten que realice un proceso similar basado en VPN o que ejecute una herramienta para capturar el tráfico de red. Por lo general, esto debe hacerse en un archivo PCAP (Packet CAPture) para compartirlo y revisarlo externamente.

Análisis de Tráfico Manual y Seguimiento Organizacional

Si usted está listo para trabajar a un nivel más alto, necesitará desarrollar sus habilidades en la captura, filtrado y análisis de tráfico utilizando herramientas como Suricata, Zeek y Wireshark. A continuación, revise algunos recursos que le recomendamos:

• Malware-traffic-analysis.net - Contiene archivos de varios años con artículos de blogs y tutoriales para practicar habilidades de detección y análisis.
• Curso: Monitoreo de Seguridad de Red con Suricata (Pluralsight, gratis).
• Curso: Curso de Capacitación en Caza de Amenazas (Contramedidas Activas, utiliza AC-Hunter CE, ofrecido en vivo mensualmente).

Considere también aprender sobre los despliegues organizativos de tales herramientas en diversas categorías, por ejemplo, utilizando Security Onion, pfsense/Opensense, AC-Hunter CE, RITA, y Wazuh

Entender: Limitaciones y Privacidad

Como ocurre con todos los enfoques en esta ruta de aprendizaje, existen fortalezas y debilidades en cada método de detección de malware y estos solo serán efectivos en la medida que se usen conjuntamente con las habilidades y experiencia adecuadas. veces, estos métodos requieren acceder a las fuentes de amenazas o conjuntos de reglas adecuados. En e análisis de redes las cosas no son diferentes.

Los enfoques de análisis de tráfico combinan reglas estrictas como “esta IP se considera maliciosa” junto con reglas heurísticas como “cantidad inusual de tráfico saliente a una nueva IP” o “uso inesperado de puerto/protocolo”. Dado que el primer enfoque se basa en IoC, sólo puede detectar malware conocido y bien documentado. Si bien estos últimos enfoques heurísticos pueden detectar malware novedoso, a menudo requieren habilidades de análisis adicionales para capturar y revisar manualmente el tráfico en una herramienta como Wireshark mientras se utilizan reglas e IoC adicionales para buscar amenazas específicas. Más adelante enumeramos varios recursos para aprender habilidades de análisis adicionales .

Algunos programas maliciosos sofisticados podrían exfiltrar datos o contactar servidores de maneras muy sutiles o confusas, lo que complica aún más el análisis.

Es importante comprende también que interceptar el tráfico en el dispositivo del cliente puede exponer actividades en línea u otra información privada almacenada allí. La mayor parte del tráfico del dispositivo estará cifrado con TLS; esto significa que un analista no podrá capturar mensajes privados ni contraseñas. Aun así, sigue habiendo una cantidad sustancial de información privada que podría capturarse, incluidos los servicios que alguien usa, los dominios que visita y las páginas potencialmente confidenciales por las que navega o los servicios que utiliza. Algunas herramientas mostrarán flujos de tráfico en vivo en un panel de control, lo que potencialmente podría revelar información privada en un entorno grupal. Asegúrese de que su cliente entienda el proceso y maneje cualquier información recopilada con la máxima confidencialidad y OPSEC.

Verificación de habilidades

Configure PiRogue en una Raspberry Pi y verifique el tráfico desde un dispositivo. Idealmente, este sería un dispositivo de prueba en el que haya instalado muchas aplicaciones aleatorias. Intente comprender la información que sale y las alertas genere PiRogue. Anote al menos tres tipos diferentes de salidas de datos, explique lo que cree que significan y discútalas con un mentor/a o compañero/a.

Recursos de Aprenizaje