Interpretación de las tablas de acciones y grafos
Las tablas de acciones y grafos de actividad muestran 15 días de telemetría asociada a cada detección realizada por la protección avanzada, donde se indican las acciones de los programas envueltos en el ataque. Por esta razón se requieren ciertos conocimientos técnicos para poder extraer pautas e información clave en cada situación.
A continuación, se ofrecen unas directrices básicas para interpretar las tablas de acciones mediante varios ejemplos de amenazas reales.
El nombre de las amenazas aquí indicadas puede variar entre diferentes proveedores de seguridad. Para identificar un malware concreto se recomienda utilizar su hash.
Ejemplo 1: actividad del malware Trj/OCJ.A
En la pestaña Detalles se muestra la información fundamental del malware encontrado. En este caso los datos relevantes son los siguientes:
-
Amenaza: Trj/OCJ.A
-
Equipo: XP-BARCELONA1
-
Ruta de detección: TEMP|\Rar$EXa0.946\appnee.com.patch.exe
Actividad
La pestaña Actividad contiene acciones ya que el modo de Advanced EDR configurado era Hardening y el malware ya residía en el equipo en el momento en que Advanced EDR se instaló, siendo desconocido en el momento de su ejecución.
Hash
Con la cadena de hash se podrá obtener más información de recursos web como Virus total para tener una idea general de la amenaza y funcionamiento.
Ruta de detección
La ruta donde se detectó el malware por primera vez en el equipo pertenece a un directorio temporal y contiene la cadena RAR: la amenaza procede de un fichero empaquetado que el programa WinRar descomprimió temporalmente en el directorio, y dió como resultado el ejecutable appnee.com.patch.exe.
Pestaña Actividad
| Paso | Fecha | Acción | Ruta |
|---|---|---|---|
|
1 |
3:17:00 |
Es creado por |
PROGRAM_FILES|\WinRAR\WinRAR.exe |
|
2 |
3:17:01 |
>Es ejecutado por |
PROGRAM_FILES|\WinRAR\WinRAR.exe |
|
3 |
3:17:13 |
Crea |
TEMP|\bassmod.dll |
|
4 |
3:17:34 |
Crea |
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\AMTLIB.DLL.BAK |
|
5 |
3:17:40 |
Modifica |
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\amtlib.dll |
|
6 |
3:17:40 |
Borra |
PROGRAM_FILES|\ADOBE\ACROBAT 11.0\ACROBAT\AMTLIB.DLL.BAK |
|
7 |
3:17:41 |
Crea |
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\ACROBAT.DLL.BAK |
|
8 |
3:17:42 |
Modifica |
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\Acrobat.dll |
|
9 |
3:17:59 |
Ejecuta |
PROGRAM_FILES|\Google\ Chrome\Application\chrome.exe |
Los pasos 1 y 2 indican que el malware fue descomprimido por el WinRar.Exe y ejecutado desde el mismo programa: el usuario abrió el fichero comprimido e hizo clic en el binario que contiene.
Una vez en ejecución, en el paso 3 el malware crea una dll (bassmod.dll) en una carpeta temporal y otra (paso 4) en el directorio de instalación del programa Adobe Acrobat 11. En el paso 5 también modifica una dll de Adobe, quizá para aprovechar algún tipo de exploit del programa.
Después de modificar otras dlls lanza una instancia de Chrome y en ese momento termina la Timeline; Advanced EDR catalogó el programa como amenaza después de esa cadena de acciones sospechosas y detuvo su ejecución.
En la Timeline no aparecen acciones sobre el registro, de modo que es muy probable que el malware no sea persistente o no haya podido ejecutarse hasta el punto de sobrevivir a un reinicio del equipo.
El programa Adobe Acrobat 11 ha resultado comprometido, de modo que se recomienda su reinstalación. Gracias a que Advanced EDR monitoriza ejecutables tanto si son goodware como malware, la ejecución de un programa comprometido será detectada en el momento en que desencadene acciones peligrosas, terminando en su bloqueo.
Ejemplo 2: comunicación con equipos externos en BetterSurf
BetterSurf es un programa potencialmente no deseado que modifica el navegador instalado en el equipo del usuario e inyecta anuncios en las páginas Web que visite.
En la pestaña Detalles se muestra la información fundamental del malware encontrado. En este caso se cuenta con los siguientes datos:
-
Nombre: PUP/BetterSurf
-
Equipo: MARTA-CAL
-
Ruta de detección: PROGRAM_FILES|\VER0BLOCKANDSURF\N4CD190.EXE
-
Tiempo de permanencia: 11 días 22 horas 9 minutos 46 segundos
Tiempo de exposición
En este caso el tiempo de exposición ha sido muy largo: durante casi 12 días el malware ha estado latente en la red del cliente. Este comportamiento es cada vez más usual, y puede deberse a varios motivos: que el malware no haya realizado ninguna acción sospechosa hasta muy tarde, o que simplemente el usuario descargó el fichero, pero tardó en ejecutarlo. En ambos casos la amenaza no era conocida anteriormente, con lo cual no se disponía de una firma con la que el sistema antivirus pueda compararla.
Pestaña Actividad
| Paso | Fecha | Acción | Ruta |
|---|---|---|---|
|
1 |
08/03/2015 11:16 |
Es creado por |
TEMP|\08c3b650-e9e14f.exe |
|
2 |
18/03/2015 11:16 |
Es creado por |
SYSTEM|\services.exe |
|
3 |
18/03/2015 11:16 |
Carga |
PROGRAM_FILES|\VER0BLOF\N4Cd190.dll |
|
4 |
18/03/2015 11:16 |
Carga |
SYSTEM|\BDL.dll |
|
5 |
18/03/2015 11:16 |
Comunica con |
127.0.0.1:13879 |
|
6 |
18/03/2015 11:16 |
Comunica con |
37.58.101.205:80 |
|
7 |
18/03/2015 11:17 |
Comunica con |
5.153.39.133:80 |
|
8 |
18/03/2015 11:17 |
Comunica con |
50.97.62.154:80 |
|
9 |
18/03/2015 11:17 |
Comunica con |
50.19.102.217:80 |
Se puede apreciar como el malware establece comunicación con varias IPs. La primera de ellas (paso 5) es el propio equipo y el resto son IPs del exterior a las que se conecta por el puerto 80, de las cuales probablemente se descarguen los contenidos de publicidad.
La principal medida de prevención en este caso será bloquear las IPs en el cortafuegos corporativo.
Antes de añadir reglas para el bloqueo de IPs en el cortafuegos corporativo se recomienda consultar las IPs a bloquear en el RIR asociado (RIPE, ARIN, APNIC etc.) para comprobar la red del proveedor al que pertenecen. En muchos casos la infraestructura remota utilizada por el malware es compartida con servicios legítimos alojados en proveedores, tales como Amazon y otros, de modo que bloquear IPs equivaldría a bloquear también el acceso a páginas Web legítimas.
Ejemplo 3: acceso al registro con PasswordStealer.BT
PasswordStealer.BT es un troyano que registra la actividad del usuario en el equipo y envía la información obtenida al exterior. Entre otras cosas, es capaz de capturar la pantalla del usuario, registrar las teclas pulsadas y enviar ficheros a un servidor C&C (Command & Control).
En la pestaña Detalles se muestra la información fundamental de la amenaza encontrada. En este caso se cuenta con los siguientes datos relevantes:
Ruta de la detección: APPDATA|\microsoftupdates\micupdate.exe
Por el nombre y la localización del ejecutable, el malware se hace pasar por una actualización de Microsoft. Este malware en concreto no tiene capacidad para contagiar equipos por sí mismo, requiere que el usuario ejecute de forma manual la amenaza.
Pestaña Actividad
El modo de Advanced EDR configurado era Hardening: el malware ya residía en el equipo en el momento en que Advanced EDR se instaló y era desconocido en el momento de su ejecución.
Tabla de acciones
| Paso | Fecha | Acción | Ruta |
|---|---|---|---|
|
1 |
31/03/2015 23:29 |
Es ejecutado por |
PROGRAM_FILESX86|\internet explorer\iexplore.exe |
|
2 |
31/03/2015 23:29 |
Es creado por |
INTERNET_CACHE|\Content.IE5\ QGV8PV80\ index[1].php |
|
3 |
31/03/2015 23:30 |
Crea clave apuntando a Exe |
\REGISTRY\USER\S-1-5[...]9-5659\Software\Microsoft\Windows\ CurrentVersion\Run?MicUpdate |
|
4 |
31/03/2015 23:30 |
Ejecuta |
SYSTEMX86|\notepad.exe |
|
5 |
31/03/2015 23:30 |
Hilo inyectado por |
SYSTEMX86|\notepad.exe |
En este caso, el malware fue generado en el paso 2 por una página web y ejecutado por Internet Explorer.
El orden de las acciones tiene una granularidad de 1 microsegundo. Por esta razón, las acciones ejecutadas dentro del mismo microsegundo pueden aparecer desordenadas en la Timeline, como sucede en el paso 1 y paso 2.
Una vez ejecutado, el malware se hace persistente en el equipo del usuario en el paso 3, añadiendo una rama en el registro que lanzará el programa en el inicio del sistema. Después comienza a ejecutar acciones propias del malware, tales como arrancar un notepad e inyectar código en uno de sus hilos.
Como acción de resolución en este caso, y en ausencia de un método de desinfección conocido, se puede minimizar el impacto de este malware borrando la entrada del registro. Es muy posible que en un equipo infectado el malware impida modificar dicha entrada; dependiendo del caso sería necesario arrancar el equipo en modo seguro o con un CD de arranque para borrar dicha entrada.
Ejemplo 4: acceso a datos confidenciales en Trj/Chgt.F
Trj/Chgt.F fue publicado por wikileaks a finales de 2014 como herramienta utilizada por las agencias gubernamentales de algunos países para realizar espionaje selectivo.
En este ejemplo se muestra directamente a la pestaña Actividad para observar el comportamiento de esta amenaza avanzada.
Tabla de acciones
| Paso | Fecha | Acción | Ruta |
|---|---|---|---|
|
1 |
4/21/2015 2:17:47 |
Es ejecutado por |
SYSTEMDRIVE|\Python27\pythonw.exe |
|
2 |
4/21/2015 2:18:01 |
Accede a datos |
#.XLS |
|
3 |
4/21/2015 2:18:01 |
Accede a datos |
#.DOC |
|
4 |
4/21/2015 2:18:03 |
Crea |
TEMP|\doc.scr |
|
5 |
4/21/2015 2:18:06 |
Ejecuta |
TEMP|\doc.scr |
|
6 |
4/21/2015 2:18:37 |
Ejecuta |
PROGRAM_FILES|\Microsoft Office\Office12\WINWORD.EXE |
|
7 |
4/21/2015 8:58:02 |
Comunica con |
192.168.0.1:2042 |
Inicialmente el malware es ejecutado por el intérprete de Python (paso 1) para luego acceder a un documento de tipo Excel y otro de tipo Word (paso 2 y 3). En el paso 4 se ejecuta un fichero de extensión scr, probablemente un salvapantallas con algún tipo de fallo o error que provoque una situación anómala en el equipo aprovechada por el malware.
En el paso 7 se produce una conexión de tipo TCP. La dirección IP es privada de modo que se estaría conectando a la red del propio cliente.
En este caso se deberá comprobar el contenido de los ficheros accedidos para evaluar la pérdida de información, aunque viendo la Timeline la información accedida no parece haber sido extraída de la red del cliente.
Advanced EDR desinfectará por sí mismo la amenaza y bloqueará de forma automática posteriores ejecuciones del malware en este y en otros clientes.