Manual de Adaptive Defense

Transcripción

1 1

2 Tabla de Contenidos Tabla de Contenidos Prólogo A quién está dirigida esta guía? Iconos Introducción Características principales de Adaptive Defense Perfil de Usuario de Adaptive Defense Arquitectura general del servicio Adaptive Defense Servidor Adaptive Defense Servidor Web de la consola de administración Equipos protegidos con Adaptive Defense Servidor Logtrust de conocimiento acumulado Servidores SIEM de clientes compatibles con Adaptive Defense Conceptos básicos de Adaptive Defense Características del servicio de protección en el endpoint El ratio de detección El ratio de clasificación La fiabilidad de la clasificación Modelo Adaptive Defense Clasificación de procesos en Adaptive Defense Procesos conocidos Procesos desconocidos Tipos de procesos conocidos Análisis de eventos Confidencialidad de los datos del cliente Directrices de los datos recogidos por el servicio Información recogida de las máquinas Privacidad de la información recogida Instalación y puesta en marcha servicio Adaptive Defense Checklist de pasos y requisitos necesarios Fase de aprendizaje Fase de bloqueo de Malware (hardening) Estado de la protección y visibilidad de los equipos Dashboard del estado del servicio Service status Malware detections Actividad Malware Informes del estado de la protección del parque informático Equipos protegidos Filtrado de equipos Borrado de equipos Detalle de equipos protegidos Equipos desprotegidos

3 5.2. Informes detallados de la actividad y configuración de los equipos Configuración del comportamiento de Adaptive Defense Programas clasificados Ejecutar programas clasificados como Malware Programas sin clasificar Configuración de comportamiento de Adaptive Defense frente a programas no clasificados Modo auditoría Modo de bloqueo de programas en proceso de clasificación (modo Extendido) Modo de ejecución de programas en proceso de clasificación (modo Deep Hardenig) Desactivación selectiva de la protección sobre ficheros o directorios Desactivación completa de la protección Remediación de problemas de seguridad Desinfección automática de Malware Modo Deep hardening e infección por Malware desconocido Localización de equipos infectados Desinfección de equipos Análisis forense y prevención de ataques Análisis forense mediante las tablas de acciones Sujeto y predicado en las acciones Análisis forense mediante grafos de ejecución Diagramas Nodos Líneas y flechas La línea temporal Zoom in y Zoom out Timeline (línea temporal) Filtros Movimiento de los nodos y zoom general del grafo Interpretación de las tablas de acciones y grafos de actividad Ejemplo 1: Visualización de las acciones ejecutadas por el Malware Trj/OCJ.A Ejemplo 2: Comunicación con equipos externos en BetterSurf Ejemplo 3: acceso al registro con PasswordStealer.BT Ejemplo 4: Acceso a datos confidenciales en Trj/Chgt.F Análisis de conocimiento y búsquedas avanzadas Acceso al entorno LogTrust Descripción de las tablas Adaptive Defense Tabla Alert Tabla Drivers Tabla Filesdwn Tabla hook Tabla Install Tabla Monitoredopen

4 Tabla Notblocked Tabla Ops Tabla Registry Tabla Socket Tabla Toast Anexo I: Integración con productos SIEM Anexo II: Acuerdos de Nivel de Servicio Servicio de Preventa y Migración Servicio de Soporte Técnico Nuestra Infraestructura en la Nube Servicio de clasificación de software no confiable

5 1. Prólogo A quién está dedicada esta guía? Iconos 5

6 1. Prólogo Esta guía contiene información y procedimientos de uso para obtener el máximo beneficio del producto Adaptive Defense A quién está dirigida esta guía? La presente documentación está dirigida a administradores de red que necesiten proteger los equipos Windows del parque informático de la empresa frente a las amenazas y ataques dirigidos avanzados (APTs). Aunque Adaptive Defense es un servicio gestionado que ofrece seguridad garantizada sin intervención del administrador de la red, también provee de información muy detallada y fácil de comprender sobre los procesos y programas ejecutados por los usuarios en los equipos de la empresa, ya sean amenazas conocidas o desconocidas como programas legítimos. Para que el administrador de la red pueda interpretar correctamente la información ofrecida y extraer conclusiones que alimenten nuevas iniciativas para fortalecer la seguridad de la empresa son necesarios conocimientos técnicos de entornos Windows a nivel de procesos, sistema de ficheros y registro, así como entender los protocolos de red más frecuentemente utilizados Iconos En esta guía aparecen los siguientes iconos: Información adicional, como, por ejemplo, un método alternativo para realizar una determinada tarea. Sugerencias y recomendaciones. Consejo importante de cara a un uso correcto de las opciones de Adaptive Defense. 6

7 2. Introducción Características principales Perfil de Usuario Arquitectura general 7

8 2. Introducción Adaptive Defense es un servicio de seguridad gestionado basado en la supervisión, control y clasificación de los procesos ejecutados en el parque informático en base su comportamiento y naturaleza. A diferencia de los antivirus tradicionales, Adaptive Defense utiliza un nuevo concepto de seguridad que le permite adaptarse de forma precisa al entorno particular de cada empresa, supervisando la ejecución de todas las aplicaciones y aprendiendo constantemente de las acciones desencadenadas por cada uno de los procesos. Tras un breve periodo de aprendizaje Adaptive Defense es capaz de ofrecer un nivel de protección muy superior al de un antivirus tradicional, así como ofrecer una información valiosa sobre el contexto en el que se sucedieron los problemas de seguridad para poder determinar su alcance e implantar las medidas necesarias para evitar que se vuelvan a repetir. Adaptive Defense es un servicio Cloud y por lo tanto no requiere de nueva infraestructura de control en la empresa, manteniendo de esta manera un TCO bajo Características principales de Adaptive Defense. Adaptive Defense es un servicio gestionado que ofrece seguridad garantizada frente a amenazas y ataques avanzados y dirigidos a las empresas, a través de cuatro pilares: Visibilidad en tiempo real de cada acción realizada por las aplicaciones en ejecución. Detección de amenazas mediante la clasificación automática de todos los ficheros y procesos de la red utilizando técnicas Machine Learning en entornos de explotación de información Big Data. Respuesta mediante desinfección con herramientas especializadas y análisis forense para investigar en profundidad el alcance de cada intento de intrusión. Prevención mediante información que ayudará al administrador de la red a evitar ataques dirigidos similares en el futuro. 8

9 2.2. Perfil de Usuario de Adaptive Defense Aunque Adaptive Defense es un servicio gestionado que ofrece seguridad sin intervención del administrador de la red, también provee información muy detallada y comprensible sobre la actividad de los procesos ejecutados por los usuarios en toda la infraestructura de IT de la empresa. Esta información puede ser utilizada por el administrador para delimitar claramente el impacto de posibles problemas y adaptar sus protocolos de seguridad y así evitar situaciones equivalentes en el futuro. Todos los usuarios con un Agente Adaptive Defense instalado en su equipo disfrutarán de un servicio de seguridad con garantías, impidiendo la ejecución de programas que supongan una amenaza para el desarrollo de la empresa Arquitectura general del servicio Adaptive Defense Adaptive Defense es un servicio avanzado de seguridad basado en el análisis del comportamiento de los procesos ejecutados en el parque de cada cliente. El análisis de los procesos se realiza aplicando técnicas de Machine Learning en infraestructuras Big Data alojadas en la nube de forma que el cliente no tiene que instalar hardware ni recursos adicionales en sus oficinas. A continuación se muestra el esquema general de Adaptive Defense: 9

10 Según la figura Adaptive Defense está formado por varios elementos: Servidor Adaptive Defense Servidor web de la consola de administración Equipos protegidos con Adaptive Defense Equipo del administrador de red que accede a la consola web Servidor Logtrust de explotación en tiempo real del conocimiento acumulado Servidores SIEM del cliente compatibles con Adaptive Defense A continuación se detallan los diferentes roles de la arquitectura mostrada Servidor Adaptive Defense El servidor Adaptive Defense recopila todas las acciones realizadas por los procesos de usuario y enviadas desde los Agentes instalados en los equipos del cliente. Mediante técnicas de aprendizaje, evalúa su comportamiento y dicta una clasificación por cada proceso en ejecución, que es devuelta al Agente para ejecutar una decisión. El servidor Adaptive Defense está formado por una granja de servidores alojada en la nube que configura un entorno de explotación Big Data donde se aplican reglas Machine Learning de forma continuada para clasificar cada proceso ejecutado. Las ventajas de este nuevo modelo de análisis de procesos en la nube frente al adoptado por los antivirus tradicionales basados en el envío de muestras al proveedor y análisis manual son varias: El porcentaje de error al clasificar un proceso ejecutado en multitud de endpoints a lo largo del tiempo es del % (menos de 1 error cada ficheros analizados) con lo que el número de falsos positivos y falsos negativos es cercano a cero. El retraso en la clasificación de los procesos vistos por primera vez es mínimo ya que el Agente Adaptive Defense envía las acciones que desencadena cada proceso y el servidor las analiza buscando patrones sospechosos. Adicionalmente para los ficheros ejecutables encontrados en el equipo del usuario y que sean desconocidos para la plataforma Adaptive Defense el agente enviará el fichero al servidor para su análisis. El impacto en el rendimiento de la red del cliente debido al envío de los ejecutables desconocidos está configurado para pasar completamente desapercibido. Un fichero desconocido se envía una sola vez para todos los clientes que usan Adaptive Defense. Además se han implementado mecanismos de gestión del ancho de banda y limites por Agente y hora, con el objetivo de minimizar el impacto en la red del cliente. El consumo de recursos de CPU en el equipo del usuario es mínimo y está estimado en un 2% frente al 5%-15% de las soluciones de seguridad tradicionales, ya que todo el proceso de análisis y clasificación se realiza en la nube. El Agente instalado simplemente recoge la clasificación enviada por el servidor Adaptive Defense y ejecuta una acción correctora. El análisis en la nube libera al cliente de instalar y mantener infraestructuras de hardware y software junto al pago de licencias y gestión de garantías, con lo que el TCO desciende significativamente. 10

11 Consulta el Anexo 2 para información sobre la disponibilidad de la plataforma Adaptive Defense y los tiempos de clasificación Servidor Web de la consola de administración Toda la gestión de Adaptive Defense se realiza a través de la consola web accesible para el administrador desde la URL La consola web es compatible con los navegadores más comunes y es accesible desde cualquier lugar y en cualquier momento utilizando cualquier dispositivo que tenga instalado un navegador compatible. Consulta el Capítulo 4: Instalación y puesta en marcha servicio Adaptive Defense para verificar si tu navegador es compatible con el servicio. La consola web es responsive de modo que es accesible desde móviles y tablets en cualquier momento y lugar Equipos protegidos con Adaptive Defense El Agente Adaptive Defense es un pequeño componente software que ocupa algo menos de 20MB y que tiene que estar instalado en todas las máquinas del parque informático susceptibles de sufrir problemas de seguridad. El modo de funcionamiento del Agente consiste en recoger información sobre todos los eventos que se producen en las máquinas, enviándolos al Servidor Adaptive Defense. Toda la información recogida corresponde a los eventos de software y los componentes que los producen. No se recoge información ni documentos del usuario. El Agente enviará en tiempo real toda la información al Servidor Adaptive Defense para su explotación y clasificación. El Agente Adaptive Defense es incompatible con Panda Endpoint Protection y Panda Endpoint Protection Plus. El Agente Adaptive Defense se instala sin problemas en máquinas con otras soluciones de seguridad de la competencia Servidor Logtrust de conocimiento acumulado Adaptive Defense se entrega opcionalmente con un servicio de almacenamiento para todo el conocimiento generado por los equipos del cliente, con un registro de cada acción realizada por los procesos que se ejecutan en el parque de IT, ya sean Goodware como Malware. De esta forma es posible relacionar y visualizar de forma flexible todos los datos recogidos para obtener información adicional sobre las amenazas y sobre el uso que los usuarios están dando a los equipos de la empresa. 11

12 El servicio Logtrust es accesible desde el Dashboard de la propia consola Web. Consulta el Capítulo 9 para configurar y sacar provecho del servicio de análisis de conocimiento y búsquedas avanzadas Servidores SIEM de clientes compatibles con Adaptive Defense Adaptive Defense se integra con soluciones SIEM de proveedores externos enviando los datos recogidos sobre la actividad de todas las aplicaciones ejecutadas en los puestos. Esta información se entrega al SIEM ampliada con todo el conocimiento de la plataforma Adaptive Defense y podrá ser explotada por los sistemas de que disponga el cliente. A continuación se listan los sistemas SIEM compatibles con Adaptive Defense: QRadar AlienVault ArcSight LookWise Bitacora Consulta el Anexo 1 Integración con productos SIEM para obtener más información sobre la integración de Adaptive Defense con SIEMs de terceros. 12

13 3. Conceptos básicos de Adaptive Defense Características del servicio de protección en el endpoint Modelo Adaptive Defense Clasificación de procesos Análisis de eventos Confidencialidad de los datos 13

14 3. Conceptos básicos de Adaptive Defense Adaptive Defense es un servicio de seguridad garantizada basado en un modelo de protección completamente diferente al utilizado en los antivirus tradicionales, ya sea On Premise, Cloud o mono puesto Características del servicio de protección en el endpoint Desde el punto de vista de la protección de los equipos de la red, son tres los parámetros fundamentales a la hora de ofrecer un producto de seguridad fiable: el ratio de detección, el ratio de clasificación y la precisión en la clasificación de los ficheros analizados. A estos tres parámetros se debe de añadir un cuarto adicional que los recoge: el factor temporal El ratio de detección El ratio de detección responde a la pregunta de Cuantos virus conoce la solución de seguridad? Se trata del porcentaje de muestras diferentes que el proveedor de seguridad reconoce, frente al número de muestras totales en circulación El ratio de clasificación El ratio de clasificación responde la pregunta de Cuantos ficheros conoces? Indica el porcentaje de ficheros que el proveedor ya ha reconocido para poder emitir una clasificación, frente al total de ficheros que circula por la red del cliente La fiabilidad de la clasificación La fiabilidad de la clasificación mide el nivel de certeza en el veredicto emitido a la hora de etiquetar un elemento como Goodware o Malware. O dicho de otro modo es la probabilidad de que un elemento conocido cambie su clasificación, bien porque inicialmente fue clasificado como Goodware y sea posteriormente reclasificado como Malware o viceversa Modelo Adaptive Defense En el modelo propuesto la actividad de clasificación y detección de Malware también se realiza en local con los conocidos métodos heurísticos del sistema tradicional pero la principal novedad es la recopilación automática de las acciones desencadenadas por cada proceso ejecutado en los equipos del cliente, y su posterior estudio utilizando técnicas de Machine Learning en los entornos Big Data desplegados dentro de la infraestructura del proveedor de seguridad. De esta forma cada Agente instalado en el equipo del cliente registra todas las acciones y cambios en el sistema que producen cada uno de los procesos que el usuario ejecuta. Estas acciones perfectamente detalladas son enviadas al proveedor, produciéndose un minado de 14

15 datos de comportamiento continuo y en tiempo real. Así es como Adaptive Defense conoce las características y comportamiento de todos y cada uno de los ficheros que circulan en las redes de sus clientes. Debido a que una misma solución de software ejecutada en muchos clientes puede generar grupos de acciones diferentes dependiendo de cómo sea utilizada, el proveedor tendrá acceso a multitud de ejecuciones de un mismo programa, disponiendo así de un volumen de evidencias adicionales muy valioso e imposible de replicar en el modelo tradicional que, una vez cruzadas y explotadas con tecnologías de análisis estadístico sobre plataformas Big Data, permitirán una clasificación casi instantánea y automática en la mayoría de los casos de todos y cada uno de los procesos que ejecuta cada cliente, con un grado de fiabilidad muy próximo al 100% Clasificación de procesos en Adaptive Defense El proceso de clasificación consiste en determinar la peligrosidad de cada programa ejecutado en la empresa del cliente En un primer nivel el sistema distingue entre dos estados. Procesos conocidos Procesos desconocidos Procesos conocidos Se trata de procesos ya registrados y analizados por Adaptive Defense o con ciertas características que los convierten en procesos conocidos sin necesidad de analizarlos. En este último grupo entrarían los programas que forman parte del sistema operativo o programas firmados digitalmente por una entidad certificadora conocida. Todos los procesos conocidos por Adaptive Defense llevan un hash asociado de forma que el Agente pueda preguntar al Servidor Adaptive Defense si es conocido o no, y si lo es poder recuperar su clasificación Procesos desconocidos Son los procesos nuevos para el sistema y por lo tanto sin hash de identificación ni clasificación asociada. En función de la configuración del servicio se permitirá o no su ejecución en el equipo del cliente. En el caso de que se permita su ejecución el Agente enviará al servidor los eventos generados por cada ejecución del proceso en cada uno de los equipos de usuario. En el momento en que el número de eventos sea lo suficientemente relevante en el Servidor Adaptive Defense se emitirá una clasificación y el proceso pasara a estado Conocido. 15

16 Tipos de procesos conocidos Dentro de los procesos conocidos existen dos tipos: Goodware y Malware/PUPS. Goodware: Goodware es un proceso conocido cuyo comportamiento desde el momento en que fue visto por primera vez en un equipo hasta el presente es seguro. Un proceso puede ser Goodware por varias razones: Por pertenecer a la distribución base del sistema operativo y venir firmado digitalmente por una entidad emisora de certificados de confianza Por haber sido monitorizada su ejecución una o más veces, y por lo tanto los eventos generados ya han sido estudiados por Adaptive Defense. Malware / PUP: Adaptive Defense analiza el comportamiento de los procesos en ejecución y evalúa la peligrosidad de sus acciones. Si un proceso ha realizado acciones peligrosas en el pasado para el equipo o la red donde se encontraba en ejecución Adaptive Defense lo catalogará como Malware o como un programa potencialmente no deseado para todos los clientes del servicio Análisis de eventos Adaptive Defense basa su funcionamiento en tres pilares fundamentales: un Agente instalado en el endpoint del cliente, un sistema de análisis automatizado en la nube y un equipo de expertos en Panda Labs que estudia las amenazas más complicadas que los sistemas automáticos no pueden resolver por sí solos. El Agente instalado en cada equipo del cliente monitoriza cada uno de los procesos en ejecución y envía todos los eventos a la nube, donde se explota este conocimiento para determinar de forma automática para la mayor parte de los casos la peligrosidad de los procesos ejecutados. El número de tipos de acciones registradas y enviadas al proveedor es muy exhaustivo, una lista de las más importantes se detalla a continuación: Descarga de ficheros Instalación de software URLs de descarga Modificación del fichero de Hosts Edad del fichero Creación / instalación de drivers Captura de ventanas Comunicaciones de procesos (IP, puertos, protocolos) 16

17 Creación y modificación de ficheros ejecutables Carga de DLLs Creación de servicios Mapeo de ficheros ejecutables Borrado y renombrado de ficheros Creación de carpetas Creación y apertura de archivos Creación y modificación de ramas del registro Creación de hilos en procesos remotos Destrucción de procesos Acceso a la SAM Acceso a datos (alrededor de 200 formatos de fichero) 3.5. Confidencialidad de los datos del cliente El nuevo modelo de protección de Adaptive Defense requiere obtener información de las acciones realizadas por las aplicaciones instaladas en los equipos del cliente Directrices de los datos recogidos por el servicio La recogida de datos en Adaptive Defense estrictamente unas directrices generales que se listan a continuación Se recoge únicamente información relativa a ficheros ejecutables de Windows, (fichero.exe,.dll, ) que se ejecutan / cargan en el equipo del usuario. No se recoge ninguna información sobre ficheros de datos. Los atributos de los ficheros se envían normalizados retirando la información referente al usuario logueado. Así por ejemplo las rutas de ficheros se normaliza como LOCALAPPDATA\nombre.exe en lugar de c:\users\nombre_de_usuario \AppData \Local\nombre.exe) Las URLS recogidas son únicamente las de descarga de ficheros ejecutables. No se recogen URLs de navegación de usuarios. No existe nunca la relación dato-usuario dentro de los datos recogidos. En ningún caso Adaptive Defense envía información personal a la nube. 17

18 Información recogida de las máquinas La información del entorno de ejecución (hardware y software del equipo) recogida por el servicio es la siguiente: Nombre del equipo. Sistema operativo. Service Pack. Grupo en el que el PC protegido está incluido. IP por defecto de la máquina. MAC. Direcciones IP asignadas al PC en los diferentes adaptadores de red. MAC para los diferentes adaptadores de red. Memoria Ram en MBytes. Como información imprescindible para soportar el nuevo modelo de protección, Adaptive Defense envía información sobre las acciones que realizan las aplicaciones ejecutadas en cada equipo del usuario. Atributo Dato Descripción Ejemplo Fichero Hash Hash del fichero al que hace referencia el evento N/A URL Url Dirección desde donde se ha descargado un ejecutable table.exe Path Path Ruta normalizada en la que se encuentra el fichero al que hace referencia el evento APPDATA\ Registro Clave/Valor Clave del registro de Windows y su contenido relacionado HKEY_LOCAL_MACHINE\SOFTWA RE\Panda Security\Panda Research\Minerva\Version = Operación Id Operación Identificador de operación realizada en el evento (creación/modificación/carga/.. de ejecutable, descarga de ejecutable, comunicación, ) El evento de tipo 0 indica la ejecución de un ejecutable Comunicación Protocolo /Puerto/ Dirección Recoge el evento de comunicación de un proceso (no su contenido) junto con el protocolo y dirección Malware.exe envía datos por UDP en el puerto

19 Software Software Instalado Recoge la lista de software instalado en el endpoint según el API de Windows Office 2007, Firefox 25, IBM Client Access 1.0 Adicionalmente puede ser necesario enviar ficheros ejecutables a nuestra plataforma de Inteligencia Colectiva. Para reducir el consumo de ancho de banda sólo se envían ficheros ejecutables a la plataforma de Inteligencia Colectiva en caso de no estar aún presentes. Al enviarse únicamente ficheros ejecutables nos aseguramos que en ningún caso contendrán información confidencial del usuario / cliente Privacidad de la información recogida Toda la información recogida se almacena únicamente en nuestra plataforma cloud de Windows Azure. La información no es compartida con terceros salvo en el caso de que los clientes: Quieran recibir en su sistema SIEM información sobre las alertas y datos de seguridad que son recogidos por Adaptive Defense. La información recogida se enviará a los SIEM de los clientes por un protocolo seguro establecido por el cliente. Usen la plataforma Logtrust, la plataforma de explotación en tiempo real del conocimiento acumulado con el que Adaptive Defense se integra por defecto. La información es enviada a Logtrust por HTTPS y se almacena en los CPDs de Logtrust. Toda la información que se envía a la nube es cifrada con algoritmos de encriptación fuertes como BlowFish. Finalmente, la información recogida en el equipo del usuario por el Agente es almacenada temporalmente en una carpeta de almacenamiento cifrada. 19

20 4. Instalación y puesta en marcha Checklist de pasos y requisitos necesarios Fase de aprendizaje Fase de bloqueo de Malware 20

21 4. Instalación y puesta en marcha servicio Adaptive Defense En este capítulo se detallan los pasos necesarios para finalizar correctamente una instalación del servicio y su posterior puesta en marcha Checklist de pasos y requisitos necesarios. 1º Comprobar la compatibilidad del Agente Adaptive Defense con los equipos a proteger. Los sistemas Windows compatibles con el Agente son los siguientes: Sistemas operativos (estaciones): Windows XP SP2 o superior (Vista, Windows 7, 8 y 8.1) en plataformas de 32 y 64 bits. Sistemas operativos (servidores): Windows Server 2003, Windows Server 2008, Windows Server 2012 en cualquiera de sus configuraciones y arquitecturas. 2º Comprobar que se cumplen los prerrequisitos en cada equipo a instalar El Agente es una aplicación que requiere de los siguientes componentes estándar, generalmente ya instalados en el equipo del usuario:.net Framework versión 2.0 SP2 o cualquiera de las versiones superiores que lo incluyan. Si no se encuentra se requerirá su instalación manual Visual C Redistributable Package. Si no se encuentra el instalador lo descargará e instalará por sí mismo. 3º Comprobar que se cumplen los prerrequisitos de conectividad El agente se comunica por defecto a través de los protocolos HTTP y HTTPS con el servidor de modo que requiere acceso por el puerto 80 y 443 a Internet con los destinos: En el caso de utilizarse un proxy para acceder a Intenet se deben de configurar las credenciales correspondientes en el portal web antes de la descarga del instalador (ver paso 4º). Adicionalmente, el Agente tiene la capacidad de conmutar de conexión por proxy a conexión directa y viceversa automáticamente, permitiendo así el envío de eventos para equipos en movilidad conectados a redes no corporativas (sin proxy). 21

22 4º Generación del paquete de instalación La generación del paquete de instalación introduce cierta información en el instalador que facilitará al administrador el posterior despliegue y configuración del Agente. Configuración del proxy de salida a Internet: Si el acceso a Internet de la red es a través de un proxy, primero se deberá de configurar la información para su utilización en la Consola web. De este modo se generará un instalador MSI preparado para poder ser usado en la red. Si se van a utilizar varios proxys diferentes se deberá generar un instalador personalizado para cada uno de ellos y gestionar el despliegue en cada red correspondiente. Para ello en el menú Install hay que rellenar los campos relativos al proxy y seleccionar la opción Endpoints Access the internet using the following proxy. Una vez introducidos los datos y salvados se puede proceder a la descarga del MSI en el equipo local para comentar su despliegue. El instalador es único y contiene tanto la versión del Agente compatible con sistemas de 32 bits como la de 64 bits. Instalación del Agente en equipos con otros antivirus instalados: Adaptive Defense es compatible con los antivirus de endpoint tradicionales y se puede instalar como complemento para proteger los equipos del cliente contra ataques dirigidos y avanzados. Adaptive Defense no es compatible con Panda Endpoint Protection ni con Panda Endpoint Protection Plus. 22

23 5º Descarga y distribución del instalador El fichero instalador MSI puede ser distribuido de varias formas en la red del cliente, dependiendo del número de equipos, su localización y otros factores. Instalación manual: El instalador MSI puede ser compartido en una carpeta de red de donde los usuarios lo recogerán e instalarán manualmente, o también puede ser enviado por . La instalación del Agente requiere permisos de administrador local del equipo. Según la configuración del equipo el UAC requerirá confirmar la instalación o introducir la contraseña de administrador. El programa de instalación no necesita ninguna información adicional. Si el paquete Visual C Redistributable Package no está instalado en el equipo el instalador lo descargará e instalara de forma automática. Una vez terminado el proceso de instalación el Agente Adaptive Defense se actualizará con el nuevo conocimiento y la última protección disponible. Una vez instalado aparecerá el icono de Adaptive Defense en la barra de tareas. El Agente Adaptive Defense está preparado para pasar inadvertido para el usuario y no admite ningún tipo de configuración desde el mismo equipo. Instalación centralizada mediante Políticas de grupo (GPO): Si el parque de equipos es muy grande puede usarse la infraestructura de Active Directory existente para desplegar el instalador 23

24 o cualquier otro software de instalación remota. De esta manera el administrador de red no tendrá que desplazarse a los equipos uno por uno y podrá realizar una instalación silent en los equipos de la red que considere oportuno. A continuación se muestran los pasos de una instalación mediante una GPO (Group Policy Object). Descarga del instalador Adaptive Defense y compartición: Colocar el instalador Adaptive Defense en una carpeta compartida que sea accesible por todos aquellos equipos que vayan a recibir el Agente. Abrir el applet Active Directory Users and Computers y crear una nueva OU (Organizational Unit) de nombre Adaptive Defense. Abrir el snap-in Group Policy Management y en Domains seleccionar la UO recién creada 24

25 para bloquear la herencia. Crear una nueva GOP en la UO Adaptive Defense Editar la GPO 25

26 Añadir un nuevo paquete de instalación que contendrá el Agente Adaptive Defense. Para ello se nos pedirá que añadamos el instalador a la GPO. Una vez añadido mostramos las propiedades y en la pestaña Deployment, Advanced seleccionamos el check box que evita la comprobación entre el sistema operativo de destino y el definido en el instalador. 26

27 Finalmente añadimos en la OU Adaptive Defense creada anteriormente en Active Directory Users and Computers a todos los equipos de la red que queramos enviar el Agente. 6º Comprobación de la instalación del Agente La instalación del Agente crea los siguientes elementos en los equipos: RUTA DE INSTALACIÓN: ficheros correspondientes a los servicios instalados Bits: %programfiles%\panda Security\WaAgent\ - 32 Bits: %programfiles%\panda Security\WAC\ - 64 Bits: %programfiles(x86)%\panda Security\WaAgent\ - 64 Bits: %programfiles(x86)%\panda Security\WAC\ RUTA DE TRABAJO: Contiene la caché y diversos ficheros temporales de los eventos de actividad de la máquina recogidos - %ProgramData%\Panda Security\ SERVICIOS: la instalación registra 3 nuevos servicios cuyos ejecutables se encuentran firmados digitalmente por Panda Security, S.L. al igual que todos los ficheros de la solución: - Panda Endpoint Administration Agent (WAHost.exe): se encarga de la recogida y envío de los eventos observados en la máquina. - Panda Product Service (PSUAService.exe): se encarga de la gestión de la capa del producto, así como de las notificaciones. - PAPS Service (PSANHost.exe): se encarga de la gestión de detecciones y eventos registrados en la máquina. REGISTRO: se crea la siguiente rama de registro con diversas configuraciones entre las que se encuentra el identificador de cliente, url del frontal del servicio, datos de proxy, etc - 32 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Panda Security\ - 32 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\ - 64 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Panda Security\ - 64 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Panda Software\ Cambio de los datos de conexión a través de Proxy: Una vez que el Agente está instalado y funcionando ya no es posible cambiar los datos de conexión a través de proxy desde la consola del servicio. En su lugar se utiliza el programa WAPIRes.exe situado en la carpeta %PROGRAM FILES%\Panda Security\WaAgent\WasAgent del equipo del usuario. 27

28 7º Actualización del Agente El Agente dispone de un servicio denominado Panda Endpoint Administration Agent. Este servicio se encarga entre otras tareas, de la actualización del Agente, descargando desde el Servidor Adaptive Defense los datos de actualización publicados. La actualización es completamente transparente para el usuario final y puede ser monitorizada a través del Dashboard y de informes diarios accesibles en la Consola web. Consulta el Capítulo 5: Estado de la protección y visibilidad de los equipos para más información acerca de los informes y el dashboard. Una vez completada la instalación de los Agentes en el parque de equipos el servicio comenzará a auditar los procesos ejecutados en las máquinas para proceder a su clasificación Fase de aprendizaje La fase de aprendizaje es un periodo de tiempo que comienza en el momento en que la instalación del Agente se ha completado y dura entre 2 días y 1 semana dependiendo del número de aplicaciones que se ejecuten en ese equipo. Durante este tiempo el Agente comienza a monitorizar los eventos que ocurren en la máquina enviando al servidor Adaptive Defense aquellos que consideran relevantes. Los Agentes también enviarán a los frontales únicamente aquellas muestras no registradas en el conocimiento de Panda Security hasta el momento. Un fichero se enviará una sola vez desde una máquina. El uso de ancho de banda está limitado y es monitorizado por el propio Agente. Una vez recibida en el Servidor la información recogida por los Agentes, ésta pasa al backend del servicio donde se aplican diferentes tecnologías para resolver los elementos desconocidos y/o potencialmente maliciosos e identificar software potencialmente vulnerable. Durante la fase de aprendizaje el comportamiento de Adaptive Defense con respecto al Goodware, Malware y ficheros desconocidos es el siguiente: Goodware: se permite su ejecución de forma normal Malware: se bloquea su ejecución Ficheros desconocidos: Inicialmente se permite su ejecución hasta que Adaptive Defense concluya que se trata de Goodware o Malware. Una vez clasificado el conocimiento se difunde a todos los equipos que utilizan el servicio de protección. Si un equipo ejecutó un programa sin clasificar en su momento y que posteriormente ha resultado ser Malware el sistema bloqueará cualquier intento de ejecución posterior y marcará el equipo como infectado en la sección Alertas. Consulta el capítulo 5: Estado de la protección y visibilidad de los equipos para más información acerca de las Alertas.Consulta el Capítulo 3: Conceptos básicos de Adaptive Defense para más información sobre Goodware, Malware y ficheros desconocidos. 28

29 Al final de la fase de aprendizaje el 100% de las aplicaciones ejecutadas por los usuarios son clasificadas como Goodware o Malware Fase de bloqueo de Malware (hardening) Una vez terminada la fase de aprendizaje Adaptive Defense comenzará a proteger el equipo según sea la configuración elegida por el administrador de red. Consulta el Capítulo 6: Configuración del comportamiento de Adaptive Defense para más información. 29

30 5. Estado de la protección y visibilidad de los equipos Dashboard del estado del servicio Informes detallados de la actividad y configuración de los equipos 30

31 5. Estado de la protección y visibilidad de los equipos En este capítulo se mostrarán las diferentes formas disponibles para visualizar el estado de la seguridad del parque informático con Adaptive Defense. Algunos métodos como los dashboards presentan información actualizada en tiempo real, mientras que otros como los reports consolidan la información recogida a lo largo de un periodo de tiempo para presentarla de forma resumida, facilitando de este modo su revisión posterior por el administrador de la red Dashboard del estado del servicio En el Menú Lateral Dashboard es accesible una vista gráfica del estado de la protección del parque informático. El Dashboard se compone de tres pestañas situadas en lo alto de la página que permiten conocer el estado del servicio, las detecciones y la actividad del Malware de un solo vistazo. A continuación, se detallan los distintos tipos de gráficos mostrados Service status Seleccionando la pestaña Service status se podrá comprobar que el servicio está funcionando y que las máquinas del parque informático están reportando correctamente al servidor Adaptive Defense. 31

32 Service status information En este grafico de evolución se muestra el histórico de eventos enviados al servidor Adaptive Defense. Los eventos son enviados cuando un programa no conocido es ejecutado y comienza a desencadenar acciones que son monitorizadas por Adaptive Defense, por lo tanto, picos en la gráfica indican una mayor actividad de los Agentes instalados, motivada por varias causas: Instalación de nuevos Agentes en equipos que tenían software no conocido hasta el momento. Despliegue e instalación de programas nuevos en los equipos de los clientes. Intentos de intrusión o propagación de virus desconocidos en la red. La misma información pero agrupada para facilitar su interpretación se muestra en la cuadricula siguiente. Cada una de las casillas representa un día del mes y el color indica el número de eventos generados según la guía de gradiente mostrada en la figura: los días con más eventos se marcan con colores rojos y los días con menos eventos con colores azules. De esta forma es posible localizar mediante las zonas rojas los días de mayor movimiento en el plano de la seguridad, sobre todo si vienen precedidos de zonas azules y las zonas rojas no coinciden con despliegues programados de nuevo software en los equipos de los usuarios. Machines reporting y Machines without reporting Las dos gráficas siguientes de tipo histograma horizontal muestran el número de máquinas que han tenido establecida comunicación con el servidor Adaptive Defense en las últimas 24, 48 y 96 horas y el número de máquinas que no han tenido comunicación en los mismos intervalos de tiempo. 32

33 Visualizar los equipos de usuario sin comunicación con el servidor Adaptive Defense es una forma rápida de saber si hay equipos desprotegidos en la red debido a condiciones de error, fallos de red o cualquier otra causa. Machines with service installed Con el siguiente diagrama de líneas se representa el histórico de máquinas de la red que tienen el Agente instalado durante los últimos 30 días Malware detections Seleccionando la pestaña Malware detections se puede obtener información sobre las amenazas detectadas en el parque informático. Infected Machines En los gráficos de barras mostrados a continuación se desglosa el número de programas clasificados como Malware y ejecutados en cada máquina del parque informático. Cada uno de los colores representa una máquina del parque y su longitud el número de amenazas ejecutadas en la máquina. 33

34 El gráfico de barras se presenta para las últimas 24, 48 y 96 horas mostrando de esta forma la evolución de los equipos infectados en el corto plazo. De la misma manera se puede observar las amenazas detectadas en las máquinas del parque informático Machines with executed Malware 24/48/96hrs Mediante las tablas mostradas a continuación se obtienen los top 10 de máquinas con Malware ejecutado. La primera tabla es la correspondiente a las últimas 24 horas, la segunda tabla 48 horas y la tercera tabla se corresponde con las últimas 96 horas. Machines with identified / detected Malware 24/48/96hrs Las tablas mostradas a continuación muestran los top 10 de máquinas con Malware identificado. La primera tabla es la correspondiente a las últimas 24 horas, la segunda tabla 48 horas y la tercera tabla se corresponde con las últimas 96 horas. 34

35 Machines with Malware (last) 24/48/96 horas Las tablas mostradas a continuación muestran los top 10 de máquinas con Malware identificado y / o ejecutado. La primera tabla es la correspondiente a las últimas 24 horas, la segunda tabla 48 horas y la tercera tabla se corresponde con las últimas 96 horas Actividad Malware Seleccionando la pestaña Malware detections se puede obtener información sobre las conexiones y descargas realizadas por los procesos clasificados como amenazas o de procesos de dudosa procedencia. Malware Activity Information En los gráficos mostrados en esta sección se pueden visualizar las zonas geográficas a las que el Malware se ha conectado y descargado software en las últimas 96 horas. El código de colores utilizado para todos los gráficos de tipo mapa va desde el amarillo con un número de conexiones bajo al rojo con una cantidad de conexiones alta. Además se incluyen varias tablas de tipo listado indicando las URLs de acceso y el número de veces que se descargó cada fichero. Activity by untrusted applications Esta sección es equivalente a la anterior pero en vez de reflejar la actividad de las amenazas reconocidas por el sistema se incluye información de aplicaciones sin firma digital. Activity by vulnerable applications En esta sección se muestran las aplicaciones consideradas vulnerables por Adaptive Defense que han sido ejecutadas en los equipos protegidos. 35

36 Cada uno de los colores se corresponde con una aplicación / versión catalogada como vulnerable. El tamaño de la sección de un mismo color es proporcional al número de veces ejecutada en el parque informático protegido sobre el total de ejecuciones de todas las aplicaciones vulnerables ejecutadas Informes del estado de la protección del parque informático Mediante el Menú Lateral Computers podremos visualizar de forma rápida y clara aquellos equipos cuyo Agente Adaptive Defense no está actualizado, ha entrado en condición de error, o su seguridad ha sido temporalmente comprometida. El primer criterio de filtrado se realiza con las pestañas situadas en lo alto de la página. De esta forma podemos realizar una primera selección de equipos protegidos y desprotegidos Equipos protegidos Seleccionando Protected se presenta el listado de todos los equipos con un Agente Adaptive Defense instalado junto con la información del estado de la protección 36

37 La tabla contiene los siguientes campos: Computer: nombre NetBios del equipo de usuario Update: estado de la actualización del Agente Adaptive Defense. Los posibles estados son: - Pending restart: el Agente ha descargado una actualización pero necesita reiniciarse para aplicarla - Updated: el Agente tiene instalada y en funcionamiento la última versión publicada. - Outdated: el Agente no está actualizado con la última versión publicada. Protection: Estado de la protección. Los posibles estados son: - Correct. - Protection disabled. - With errors. El error puede suceder por varios motivos: - Existe una incongruencia entre la configuración y el estado del servicio. - Errores en el servicio de desinfección o en el de bloqueo. Last Connection: última vez que el agente conectó con el Servidor Adaptive Defense. Para solucionar problemas con Agentes en estado de error contacte con el departamento de Soporte Técnico en Filtrado de equipos Se pueden aplicar filtros para mostrar de forma más rápida los equipos con potenciales problemas o para localizar un equipo por su nombre. Para ello se dispone de la herramienta de filtrado mostrada en la siguiente figura 37

38 Los criterios de filtrado son los siguientes All Computers with protection enabled Computers with protection disabled Computers with protection enabled Computers with protection up-to-date Computers with protection outdated Computers with protection errors Computers pending restart Computers with up-to-date knowledge Computers with outdated knowledge Updated computers (no connection to the server in the last 72 hours) Sobre el filtro aplicado se puede obtener información extendida con el botón Export. De esta manera se obtiene un fichero en formato Excel para su descarga con los un mayor nivel de detalle. Computer: nombre NetBios del equipo de usuario IP address: dirección IP del equipo Domain: dominio de Microsoft al que pertenece el equipo Operating system: versión del sistema operativo Agent versión: versión del agente instalada Protection versión: versión de la protección instalada Installation date: fecha de instalación del agente Knowledge update: fecha en la que la base de conocimiento del agente fue actualizada por última vez Update: estado de la actualización - Updated - Pending restart - Outdated - Updated Protection: Estado de la protección. Los posibles estados son: 38

39 - With Errors - Correct - Protection disabled Last connection: última vez que el agente conectó con el Servidor Adaptive Defense Protection status - Enabled - Disabled Action to take on unclassified files: Configuración del servicio de bloqueo. Consulta el Capítulo 6: Configuración del comportamiento de Adaptive Defense para obtener más información sobre cómo definir el comportamiento del servicio ante los ficheros sin clasificar Borrado de equipos Se puede eliminar uno o varios equipos seleccionándolos con el check box correspondiente y haciendo clic en el botón Delete. Es importante eliminar los equipos que no sea necesario proteger (equipos que ya no se usan) para que en esta sección se muestren únicamente aquéllos cuya protección hay que gestionar y hacer un uso óptimo de las licencias contratadas. El check box situado en la cabecera de la columna izquierda selecciona todos los equipos que satisfagan el criterio de filtrado establecido, sin tener en cuenta la limitación de líneas impuesta por la paginación Detalle de equipos protegidos Al hacer clic en el nombre del equipo de la tabla se accede a una página en la que se muestra información detallada sobre los equipos La cantidad de información mostrada en Computer Details se encuentra entre la tabla de equipos y el listado Excel, pero en esta ocasión referida exclusivamente al equipo seleccionado. 39

40 En el campo Alerts triggered on this computer se indican el número de alertas disparadas por este equipo. Finalmente podemos desinfectar el equipo, ver los resultados de la desinfección o darlo de baja del servicio si no va a ser utilizado, para recuperar una licencia. Consulta el Capítulo 7: Remediación de problemas de seguridad para obtener más información sobre la desinfección de equipos Equipos desprotegidos La pestaña de equipos desprotegidos contiene los equipos donde el Agente ya no está instalado, se instaló con errores o la protección se está iniciando pero todavía no está activa. La tabla contiene los siguientes campos: Computer: nombre NetBios del equipo de usuario Status: situación de la protección del Agente Adaptive Defense. Los posibles estados son: - Installing: instalación en curso - Unprotected: equipos desprotegidos - With errors: equipos con errores que afectan a la protección Details: Breve descripción del estado de la protección Last Connection: última vez que el Agente conectó con el Servidor Adaptive Defense 5.2. Informes detallados de la actividad y configuración de los equipos Haciendo click en el Menu lateral Reports obtenemos un listado de los equipos de la red con un Agente Adaptive Defense instalado y su actividad relativa a seguridad. 40

41 La tabla tiene los campos indicados a continuación Date: Fecha del informe de estado. Los informes de estado se comienzan a generar en el Servidor Adaptive Defense a las 0:00 de cada día Service Installed: Número de equipos con Adaptive Defense instalado Service Updated: Número de equipos que actualizaron el servicio en el día. Installed: Número de equipos que instalaron el servicio en el día. Unistalled: Número de equipos que desinstalaron el servicio en el día. Infected with MW: Número de equipos infectados por Malware Infected with a PUP: Número de equipos infectados por programas potencialmente no deseados Downloads: permite descargar un informe detallado sobre la actividad del Malware en formato Excel. La información incluida se detalla a continuación. Seleccionando la casilla downloads de la tabla se descarga un informe sobre la actividad del día elegido con toda la información relativa a amenazas detectadas en cada uno de los equipos del parque de la red. Los campos de la pestaña Summary del Excel son los siguientes: Computer: nombre NetBios del equipo de usuario IP: dirección IP del equipo Installation Date: fecha de instalación del agente Protection Version: versión de la protección instalada Malware Files (Found): número de amenazas de tipo Malware encontradas Malware Files (Executed): número de amenazas de tipo Malware ejecutadas PUPs (Found): número de amenazas de tipo Programa potencialmente no deseado encontradas PUPs (Executed): número de amenazas de tipo Programa potencialmente no deseado ejecutadas Trusted Files (Found): Ficheros encontrados y firmados digitalmente 41

42 Newly Installed: Ficheros instalados en el último ciclo. Cada ciclo se reinicia a las 0:00 Highly Vulnerable Applications: número de aplicaciones detectadas en el equipo con errores aprovechables por amenazas En la pestaña Vulnerable Applications se indican las aplicaciones vulnerables encontradas junto con su versión. Estas aplicaciones pueden haber sido ejecutadas o simplemente han sido detectadas por el Agente. Aunque Adaptive Defense ofrece una protección con garantías frente al Malware que aprovecha los fallos encontrados en software de terceros, se recomienda actualizar las aplicaciones con vulnerabilidades conocidas para minimizar la exposición del sistema ante nuevas amenazas. 42

43 6. Configuración del comportamiento Programas clasificados Programas sin clasificar Desactivación selectiva de la protección sobre ficheros o directorios Desactivación completa de la protección 43

44 6. Configuración del comportamiento de Adaptive Defense Adaptive Defense es un servicio gestionado que libera al administrador de la red de la mayor parte de la carga de trabajo asociada a productos basados en listas blancas / negras y excepciones. De esta manera Panda Security cataloga de forma automática la seguridad de los procesos ejecutados en cada equipo del cliente sin requerir ninguna intervención manual. El administrador de la red puede configurar de forma independiente el comportamiento de Adaptive Defense ante la ejecución de cualquier programa para cada equipo protegido, tanto si ha sido clasificado previamente como si es visto por primera vez (y por lo tanto desconocido para Adaptive Defense). Las acciones posibles en Adaptive Defense se dividen en dos grupos: Para programas clasificados Para programas sin clasificar 6.1. Programas clasificados Los programas conocidos por Adaptive Defense son clasificados como Goodware o Malware. Según sea la clasificación del programa que se intenta ejecutar la acción será: Goodware: el servicio permite la ejecución del programa o proceso Malware: el servicio impide por defecto la ejecución del programa o proceso Ejecutar programas clasificados como Malware En los casos en los que el usuario necesite utilizar programas que están catalogados como Malware o como Programas no deseados (herramientas de hacking, barras de navegadores etc) puede resultar conveniente permitir su ejecución controlada aunque Adaptive Defense los haya clasificado como potenciales amenazas. En el Menú lateral Alerts se encuentra el listado de procesos detectados como Malware: 44

45 Desplegando la amenaza que nos interese podremos excluirla del bloqueo mediante el botón Do no detect again 6.2. Programas sin clasificar Más del 99% de los programas encontrados en los equipos de los usuarios están clasificados en los sistemas de Adaptive Defense, no obstante, los que todavía queden sin clasificar pueden ser ejecutados o bloqueados temporalmente hasta su clasificación. En caso de bloqueo Adaptive Defense permite la notificación al usuario del motivo del bloqueo, permitir su ejecución condicional según la decisión que tome el propio usuario o ser bloqueado de forma silenciosa. El proceso de clasificación es una tarea continua en los servidores de Adaptive Defense y tras un breve periodo de tiempo los programas bloqueados en un principio por carecer de clasificación podrán ejecutarse si Adaptive Defense ha determinado que son lícitos. 45

46 Configuración de comportamiento de Adaptive Defense frente a programas no clasificados Para configurar el comportamiento de Adaptive Defense frente a la ejecución de programas no clasificados hay que hacer click en el Menú lateral Settings. En la pestaña Behaviour marcar los equipos del parque informático que recibirán la nueva configuración. Para seleccionar todos los equipos hay que hacer click en el check box situado en el título de la tabla de equipos. Para localizar equipos de forma más eficiente se puede utilizar el botón Filter junto con el desplegable situado a su izquierda para establecer un criterio de filtrado: Computers with Protection enabled: filtra los equipos con la protección activada Computers with disabled protection: filtra los equipos con la protección desactivada Computers configured to Allow execution : filtra los equipos que permiten la ejecución de programas sin clasificar Computers configured to Ask before allowing execution : filtra los equipos que preguntan al usuario si bloquear o ejecutar los programas sin clasificar Computers configured to Block without reporting to the user : filtra los equipos que bloquean los programas sin clasificar sin preguntar al usuario Computers configured to Block and report to the user : filtra los equipos que bloquean y muestran la razón del bloqueo al usuario. 46

47 Una vez seleccionados los equipos que vamos a cambiar su configuración del comportamiento de Adaptive Defense hay que click en el botón Protection Settings y seleccionar la nueva configuración en la ventana flotante Protection settings: Protection status: Do not change the status: el estado de la protección permanece invariable Enabled: activa la protección Audit Mode: activa el modo auditoria Disabled: desactiva la protección Behaviour with UNCLASSIFIED files Do not change the behaviour: la configuración del comportamiento frente a programas sin clasificar permanece invariable Allow execution: permite la ejecución de los programas sin clasificar Ask before allowing execution: pregunta al usuario si ejecutar o no programas sin clasificar Block without reporting to the user: bloquea la ejecución de programas sin clasificar y sin notificarlo al usuario Block and report to the user: bloquea la ejecución de programas sin clasificar notificando la razón al usuario. 47

48 Modo auditoría En el modo auditoria Adaptive Defense solo informa de las amenazas detectadas pero no bloquea ni desinfecta el Malware encontrado. Este modo es útil para probar la solución de seguridad o para comprobar que la instalación del producto no comprometa el buen funcionamiento del equipo Modo de bloqueo de programas en proceso de clasificación (modo Extendido) En entornos donde la seguridad sea prioridad, y con el objetivo de ofrecer una protección de máximas garantías Adaptive Defense deberá ser configurado en modo Block without reporting to the user, Block and report to the user o Ask before allowing execution. En este modo, conocido como Modo extendido, será bloqueada la ejecución del software en proceso de clasificación. De esta forma se podrá garantizar la ejecucion únicamente del software lícito. Al configurar este modo de funcionamiento en equipos o servidores donde el software cambie de forma habitual, la ejecución de estos programas no se permitirá hasta que estén clasificados. El proceso de clasificación es instantáneo en algunas ocasiones aunque en otras se realizará de forma automática en nuestra plataforma BigData en cuestión de minutos. Si el programa es especialmente complejo la labor de clasificación es realiza por nuestros expertos, normalmente en menos de 24 horas. Por esta razón, este modo es recomendado para equipos y servidores donde no se instale habitualmente nuevo software. En el modo Ask before allowing execution se pregunta al usuario del equipo si desea permitir o no la ejecución de los programas en proceso de clasificación. Este modo tiene el riesgo de que el usuario final permita ejecutar Malware creyendo que es un software lícito; por esta razón se recomienda su configuración únicamente en equipos gestionados por usuarios avanzados Modo de ejecución de programas en proceso de clasificación (modo Deep Hardenig) En aquellos entornos donde se producen cambios constantes en el software instalado en los equipos de los usuarios o se ejecutan muchos programas desconocidos como por ejemplo programas de creación propia, puede no ser viable esperar a que Adaptive Defense aprenda de ellos para clasificarlos. En este caso se elegirá Allow Execution, que se corresponde con el Modo Deep Hardening de protección. En el Modo Deep Hardening se permite la ejecución de los programas desconocidos ya instalados en el equipo del usuario y sus acciones son enviadas al Servidor Adaptive Defense donde serán estudiados. Sin embargo para prevenir ataques de tipo Zero-day y similares los programas desconocidos descargados o instalados posteriormente a la activación de Adaptive Defense serán bloqueados hasta su clasificación. Una vez recogida la suficiente evidencia y explotada la información Adaptive Defense clasificará el programa de modo que en los 48

49 entornos en Modo Deep Hardening comenzará a ser bloqueado si se trata de Malware, generando una alerta al administrador para su posterior análisis forense Desactivación selectiva de la protección sobre ficheros o directorios Panda Security desaconseja encarecidamente la desactivación selectiva de la protección sin antes intentado resolver los posibles problemas con el equipo de Soporte. Frente a la posibilidad de desactivar completamente la protección y que amenazas conocidas o desconocidas infecten alguno de nuestros equipos, existe la opción de deshabilitar la protección para ficheros o carpetas que cumplan determinadas condiciones. Para ello en el Menú lateral Settings, en la pestaña Exclusions. Las opciones de exclusión se muestran a continuación: Extension to exclude: se indican las extensiones de los ficheros que no serán analizados. Folders to exclude: se indican las carpetas de los equipos que no serán analizadas Files to exclude: se indican los ficheros que no serán analizados 49

50 6.4. Desactivación completa de la protección En el caso improbable de que Adaptive Defense entre en una condición no prevista y muestre un comportamiento errático generalizado es posible desactivar completamente el servicio. Para ello podemos modificar el estado del servicio haciendo click en la esquina superior derecha. 50

51 7. Remediación de problemas de seguridad Desinfección automática de malware Modo Deep hardening e infección por Malware desconocido 51

52 7. Remediación de problemas de seguridad Adaptive Defense es un servicio gestionado que se adapta al ecosistema de aplicaciones particular de cada empresa para ofrecer una protección que permita clasificar el 100% del software utilizado en cada cliente; sin embargo es posible que aparezcan incidencias relacionadas con la seguridad relacionadas con el modo de configuración elegido por el administrador de la red o debido a infecciones anteriores a la puesta en marcha del servicio Desinfección automática de Malware Adaptive Defense incluye el servicio de desinfección automática de todo tipo de amenazas y Malware avanzado. Si un programa es detectado como Malware, de forma automática el servicio intentará realizar una desinfección mostrando un mensaje al usuario con información sobre la acción realizada. Para los ficheros que no sea posible su desinfección Adaptive Defense los moverá directamente a la cuarentena local del equipo. La cuarentena local es un repositorio de ficheros cifrados no accesible de forma directa. Para recuperar elementos de la cuarentena póngase en contacto con soporte en Modo Deep hardening e infección por Malware desconocido En el modo Deep hardening es posible que algunos de los programas desconocidos por Adaptive Defense y que residan en el equipo del usuario puedan ser ejecutados, con lo que si el programa contenía Malware el equipo podría quedar comprometido. Adaptive Defense clasificará los programas desconocidos cuando tenga las evidencias suficientes, generalmente dentro de las primeras 24 horas desde la primera ejecución, generando una alerta al administrador y bloqueando a partir de ese momento el programa clasificado como amenaza. En este escenario son necesarias herramientas tanto para localizar los equipos infectados como para limpiarlos de forma rápida Localización de equipos infectados Haciendo click en el Menú lateral Alerts se accede a las alertas detectadas en la red del cliente. 52

53 La tabla de equipos mostrada refleja el Malware detectado junto con información extendida: El significado de los campos de la tabla se indica a continuación: Date: fecha de la detección del Malware Computer: equipo donde se realizó la detección Name: nombre del Malware Type: MW: Malware, PUP programa potencialmente no deseado Status: estado del equipo - Executed: el Malware se llegó a ejecutar y el equipo puede estar infectado - Not Executed: Malware detectado por la protección contra vulnerabilidades - Blocked: Malware conocido por Adaptive Defense y bloqueada su ejecución - Allowed: Malware conocido por Adaptive Defense pero su ejecución se permite al estar incorporado en la pestaña Exceptions del menú lateral Settings. Como en el resto de informes se incorpora una herramienta de filtrado que permite localizar los equipos de mayor interés. En este caso se divide en tres filtros. 53

54 El filtro 1 restringe la búsqueda indicada en el textbox de escritura situado a su derecha al campo seleccionado: All: el string de búsqueda se aplicará sobre los campos Computer, Name y Date Computer: el string de búsqueda se aplicará sobre el nombre del equipo Name: el string de búsqueda se aplicará sobre el nombre del Malware Date: el string de búsqueda se aplicará sobre la fecha de la detección El filtro 2 limita la búsqueda al tipo de Malware: All: todos los tipos de Malware MW: solo amenazas de tipo Malware PUP: solo amenazas de tipo programa potencialmente no deseado El filtro 3 limita todavía más la selección de incidencias Executed: el Malware se llegó a ejecutar y equipo está infectado Not Executed: Malware detectado por la protección contra vulnerabilidades Blocked: Malware conocido por Adaptive Defense y bloqueada su ejecución Allowed: Malware conocido por Adaptive Defense pero su ejecución se permite al estar incorporado en la pestaña Exceptions del menú lateral Settings. Data file Access: el Malware realizó accesos a disco para recoger información del equipo o para crear ficheros y los recursos necesarios para su ejecución Communications: el Malware abrió sockets de comunicación con cualquier máquina, incluido localhost Desinfección de equipos Una vez localizados los equipos infectados el administrador de la red puede lanzar de forma remota y desde la misma consola de administración la herramienta de desinfección Cloud Cleaner. Cloud Cleaner es una herramienta especializada el desinfectar el Malware avanzado. Para acceder a esta herramienta hay que hacer click en cada equipo infectado de forma individual y elegir Disinfect Computer 54

55 Acto seguido se muestra una ventana de configuración rápida de la desinfección Las opciones del menú de desinfección son las siguientes: Remove viruses: este check box siempre está habilitado y limpiar los virus encontrados en el equipo Delete PUPs: Borra los programas potencialmente no deseados. Clear Browser cache: limpia la cache del navegador instalado en el equipo (Internet Explorer, Firefox y Chrome) Delete Browing history: limpia el histórico de páginas web del navegador Delete browser cookies: borra las cookies del navegador Restore the system policies typically modified by Malware: restaura el acceso al administrador de tareas, muestra archivos ocultos, muestra las extensiones de los archivos y en general restituye las políticas del sistema que el Malware pueda haber cambiado impidiendo su restablecimiento a la configuración original elegida por el cliente Display the disinfection console: muestra la consola de Cloud Cleaner con los resultados de la desinfección Una vez configurada se creará una tarea de desinfección. 55

56 Ejecutada la tarea podremos ver los resultados haciendo click en el link: See disinfection results Para más información sobre Cleaner Monitor consulta la ayuda web del producto o en el enlace 56

57 8. Análisis forense y prevención de ataques Análisis forense mediante las tablas de acciones Análisis forense mediante grafos de ejecución Interpretación de las tablas de acciones y grafos de actividad 57

58 8. Análisis forense y prevención de ataques Cuando la red del cliente ha sido infectada es necesario determinar hasta qué punto ha resultado comprometida y cómo protegerla de futuros ataques. El Malware de nueva generación se caracteriza por pasar inadvertido durante largos periodos de tiempo, que aprovecha para acceder a datos sensibles o a la propiedad intelectual generada por la empresa. Su objetivo es obtener una contrapartida económica, bien realizando chantaje cifrando los documentos de la empresa, bien vendiendo la información obtenida la competencia, entre otras estrategias comunes a este tipo de ataques informáticos. Sea cual sea el caso, se hace imprescindible determinar las acciones que desencadenó el Malware en la red para poder tomar las medidas oportunas. Adaptive Defense es capaz de monitorizar de forma continuada todas las acciones desencadenadas por las amenazas y almacenarlas para mostrar el recorrido de las mismas, desde su primera aparición en la red hasta su neutralización. Adaptive Defense presenta de forma visual este tipo de información de dos maneras: a través de tablas de acciones y diagramas de grafos Análisis forense mediante las tablas de acciones En el Menú lateral Alerts accedemos al listado de amenazas detectadas y desplegando cualquiera de ellas obtenemos una tabla con información detallada de su actividad. 58

59 Los campos incluidos para describir de forma general la amenaza son: Malware hash: Adaptive Defense muestra el hash del Malware para su posterior consulta en VirusTotal o Google Malware Path: Path del ejecutable que contiene el Malware. Dwell time: tiempo que la amenaza ha permanecido en el sistema. Life cycle of the Malware in the computer: es una tabla con el detalle de cada una de las acciones desencadenadas por la amenaza. En la tabla de acciones de la amenaza solo se incluyen aquellos eventos relevantes ya que la cantidad de acciones desencadenadas por un proceso es tan alta que impediría extraer información útil para realizar un análisis forense. El contenido de la tabla se presenta inicialmente ordenado por fecha, de esta forma es más fácil seguir el curso de la amenaza. A continuación se detallan los campos incluidos en la tabla de acciones: Date: fecha de la acción Times: número de veces que se ejecutó la acción. Una misma acción ejecutada varias veces de forma consecutiva solo aparece una vez en el listado de acciones con el campo times actualizado. Action: acción realizada. A continuación se indica una lista de las acciones que pueden aparecer en este campo: - File Download - Socket Used - Accesses Data - Executed By - Execute - Created By - Create - Modified By - Modify - Loaded By - Load - Installed By - Install - Mapped By - Map - Deleted By - Delete - Renamed By - Rename 59

60 - Killed By - KillsP rocess - Remote Thread Created By - Creates Remote Thread - Kills Process: - Remote Thread Created By - Creates Remote Thread - Opened Comp By - Open Comp - Created Comp By - Create Comp - Creates Reg Key To Exe - Modifies Reg key To Exe Path/URL/Registry key/ip:port: es la entidad de la acción. Según sea el tipo de acción podrá contener: - Registry key: para todas las acciones que impliquen modificación del registro de Windows - IP:port: para todas las acciones que impliquen una comunicación con un equipo local o remoto - Path: para todas las acciones que impliquen acceso al disco duro del equipo - URL: para todas las acciones que impliquen el acceso a una URL File Hash/Registry Value/Protocol-Direction/Description: es un campo que complementa a la entidad. Según sea el tipo de acción podrá contener: - File Hash: para todas las acciones que impliquen acceso a un fichero - Registry Value: para todas las acciones que impliquen un acceso al registro - Protocol-Direction: para todas las acciones que impliquen una comunicación con un equipo local o remoto. Los valores posibles son - TCP - UDP - Bidirectional - UnKnown - Description - Trusted: El fichero está firmado digitalmente Para localizar las acciones que más nos interesen del listado disponemos de una serie de filtros en la cabecera de la tabla. 60

61 Algunos de los campos son de tipo texto y otros son desplegables con todas las ocurrencias distintas dadas en la columna seleccionada. Las búsquedas textuales son flexibles y no requieren del uso de comodines para buscar dentro de cadena de texto Sujeto y predicado en las acciones Para entender correctamente el formato utilizado para presentar la información en listado de acciones es necesario establecer un paralelismo con el lenguaje natural: Todas las acciones tienen como sujeto el fichero clasificado como Malware. Este sujeto no se indica en cada línea de la tabla de acciones porque es común para toda la tabla. Todas las acciones tienen un verbo que relaciona el sujeto (la amenaza clasificada) con un complemento, llamado entidad. La entidad se corresponde con el campo Path/URL/Registry key/ip:port de la table. La entidad se complementa con un segundo campo que añade información a la acción, que se corresponde con el campo Hash/Registry Value/Protocol-Direction/Description. De esta forma se presentan dos acciones de ejemplo de un mismo Malware hipotético: Date Times Action Path/URL/Registry key/ip:port Hash/Registry Value/Protocol- Direction/Description Trusted 3/30/2015 4:38:40 PM 1 Connects with :80 TCP-Bidrectional NO PROGRAM_FILES \M 3/30/2015 4:38:45 PM 1 Loads OVIES TOOLBAR\SAFETYNUT \SAFETYCRT.DLL 9994BF035813FE8EB6BC98EC CBD5B0E1 NO La primera acción indica que el Malware (sujeto) se conecta (Action) con la dirección IP :80 (entidad) mediante el protocolo TCP-Bidireccional. La segunda acción indica que el Malware (sujeto) carga (Action) la librería PROGRAM_FILES \MOVIES TOOLBAR\SAFETYNUT\SAFETYCRT.DLL con hash 9994BF035813FE8EB6BC98ECCBD5B0E1 Al igual que en el lenguaje natural se implementan dos tipos de oraciones: Activa: Son acciones predicativas (con un sujeto y un predicado) relacionados por un verbo en forma activa. En estas acciones el verbo de la acción relaciona el sujeto, que siempre es el proceso clasificado como amenaza y un complemento directo, la entidad, que puede ser de múltiples tipos según el tipo de acción. Pasiva: Son acciones donde el sujeto (el proceso clasificado como Malware) pasa a ser sujeto paciente (que recibe la acción, no que la ejecuta) y el verbo viene en forma pasiva (ser + participio). En este caso el verbo pasivo relaciona el sujeto pasivo que recibe la acción con la entidad, que es la que realiza la acción. 61

62 Ejemplos de acciones activas son los siguientes: Connects with Loads Creates Ejemplos de acciones pasivas son los siguientes: Is created by Downloaded from Un ejemplo de acción pasiva es el siguiente Date Times Action Path/URL/Registry key/ip:port Hash/Registry Value/Protocol- Direction/Description Trusted 3/30/ :51:4 1 Is executed by WINDOWS \explorer.exe 7522F548A84ABAD8FA516DE5 AB3931EF NO 6 PM En esta acción el Malware (sujeto pasivo) es ejecutado (acción pasiva) por el programa WINDOWS \explorer.exe (entidad) de hash 7522F548A84ABAD8FA516DE5AB3931EF Las acciones de tipo Activo nos permiten inspeccionar en detalle los pasos que ha ejecutado el Malware. Por el contrario las acciones de tipo pasivo suelen reflejar el vector de infección utilizado por el Malware (qué proceso lo ejecutó, qué proceso lo copió al equipo del usuario etc) Análisis forense mediante grafos de ejecución Los grafos de ejecución representan de forma visual la información mostrada en las tablas de acciones poniendo énfasis en el enfoque temporal. Los grafos se utilizan inicialmente para tener, de un solo vistazo, una idea general de las acciones desencadenadas por la amenaza. 62

63 Diagramas La cadena de acciones en la vista de grafos de ejecución queda representada por dos elementos: Nodos: representan acciones en su mayoría o elementos informativos Líneas y flechas: unen los nodos de acción e informativos para establecer un orden temporal y asignar a cada nodo el rol de sujeto o predicado Nodos Los nodos muestran la información mediante su icono asociado, color y un panel descriptivo que se muestra a la derecha de la pantalla cuando se seleccionan con el ratón. El código de colores utilizado es el siguiente: - Rojo: elemento no confiable, Malware, amenaza. - Naranja: elemento desconocido, no catalogado. - Verde: elemento confiable, Goodware. A continuación se listan los nodos de tipo acción junto con una breve descripción: Símbolo Tipo Nodo Descripción Acción - Fichero descargado - Fichero comprimido creado Acción - Socket / comunicación usada 63

64 Acción - Comenzada la monitorización Acción - Proceso creado Acción - Fichero ejecutable creado - Librería creada - Clave en el registro creada Acción - Fichero ejecutable modificado - Clave de registro modificada Acción - Fichero ejecutable mapeado para escritura Acción - Fichero ejecutable borrado Acción - Librería cargada Acción - Servicio instalado Acción - Fichero ejecutable renombrado Acción - Proceso detenido o cerrado Acción - Hilo creado remotamente Acción - Fichero comprimido abierto A continuación se listan los nodos de tipo descriptivo junto con una breve descripción 64

65 Símbolo Tipo Nodo Nodo Final Nodo Final Nodo Final Descripción - Nombre de fichero y extensión o Verde: Goodware o Naranja: No catalogado o Rojo: Malware/PUP - Equipo interno (está en la red corporativa) o Verde: Confiable o Naranja: desconocido o Rojo: No confiable - Equipos externo o Verde: Confiable o Naranja: desconocido o Rojo: No confiable Nodo Final - País asociado a la IP de un equipo externo Nodo Final - Fichero y extensión Nodo Final - Clave del registro Líneas y flechas Las líneas del diagrama de grafos relacionan los diferentes nodos y ayudan a establecer el orden de ejecución de acciones de la amenaza de forma visual. Los dos atributos de una línea son: Grosor de la línea: el grosor de una línea que une dos nodos indica el número de ocurrencias que esta relación ha tenido en el diagrama. A mayor número de ocurrencias mayor tamaño de la línea Flecha: marca la dirección de la relación entre los dos nodos La línea temporal La línea temporal o Timeline permite controlar la visualización de la cadena de acciones realizada por la amenaza a lo largo del tiempo. Mediante los botones situados en la parte inferior de la pantalla podemos colocarnos en el momento preciso donde la amenaza realizo cierta acción y recuperar información extendida que nos puede ayudar en los proceso de análisis forense. La línea temporal de los grafos de ejecución tiene este aspecto: 65

66 Inicialmente podemos seleccionar un intervalo concreto de la línea temporal arrastrando los selectores de intervalo hacia la izquierda o derecha para abarcar la franja temporal que más nos interese. Una vez seleccionada la franja temporal el grafo mostrará únicamente las acciones y nodos que caigan dentro de ese intervalo. El resto de acciones y nodos quedará difuminado en el diagrama. Las acciones de la amenaza quedan representadas en la línea temporal como barras verticales acompañadas del time stamp, que marca la hora y minuto donde ocurrieron Zoom in y Zoom out Con los botones + y de la barra temporal podemos hacer zoom in o zoom out para ganar mayor resolución en el caso de que haya muchas acciones en un intervalo de tiempo corto Timeline (línea temporal) Para poder ver la ejecución completa de la amenaza y la cadena de acciones que ejecutó se utilizan los siguientes controles: Start: comienza la ejecución de la Timeline a velocidad constante de x1. Los grafos y las líneas de acciones irán apareciendo según se vaya recorriendo la línea temporal. 1x: establece la velocidad de recorrido de la línea temporal Stop: detiene la ejecución de la línea temporal + y -: zoom in y zoom out de la línea temporal 66

67 < y >: mueve la selección del nodo al inmediatamente anterior o posterior Initial zoom: recupera el nivel de zoom inicial si se modificó con los botones + y Select all nodes: mueve los selectores temporales para abarcar toda la línea temporal First node: Establece el intervalo temporal en el inicio, paso necesario para iniciar la visualización de la TimeLine complete Para poder visualizar el recorrido completo de la Timeline primero seleccionar First node y después Start. Para ajustar la velocidad de recorrido seleccionar el botón 1x Filtros En la parte superior del diagrama de grafos se encuentran los controles para filtrar la información mostrada. Los criterios de filtrado disponibles son: Action: desplegable que permite seleccionar un tipo de acción de entre todas las ejecutadas por la amenaza. De esta manera el diagrama solo muestra los nodos que coincidan con el tipo de acción seleccionada y aquellos nodos adyacentes relacionados con esta acción. Entity: desplegable que permite elegir una entidad (contenido del campo Path/URL/Registry key/ip:port) Movimiento de los nodos y zoom general del grafo Para mover el grafo en las cuatro direcciones y hacer zoom in o zoom out se pueden utilizar los controles situados en la parte superior derecha del grafo. Para hacer zoom in y zoom out más fácilmente se puede utilizar la rueda central del ratón. El símbolo X permite salir de la vista de grafos. 67

68 Si se prefiere ocultar la zona de botones Timeline para utilizar un mayor espacio de la pantalla para el grafo se puede seleccionar el símbolo grafo. situado en la parte inferior derecha del Finalmente, el comportamiento del grafo al ser representando en pantalla o arrastrado por alguno de sus nodos se puede configurar mediante el panel mostrado a continuación, accesible al seleccionar el botón situado a la izquierda arriba del grafo 8.3. Interpretación de las tablas de acciones y grafos de actividad Para interpretar correctamente las tablas de acciones y grafos de actividad se requieren ciertos conocimientos técnicos ya que ambos recursos son representaciones de los volcados de evidencias recogidas, que deberán ser interpretadas por el propio administrador de red de la empresa. En este capítulo se ofrecen unas directrices básicas de interpretación a través de varios ejemplos de Malware real. 68

69 El nombre de las amenazas aquí indicadas puede variar entre diferentes proveedores de seguridad. Para identificar un Malware concreto se recomienda utilizar el hash de identificación Ejemplo 1: Visualización de las acciones ejecutadas por el Malware Trj/OCJ.A En la cabecera de la tabla alertas se muestra la información fundamental del Malware encontrado. En este caso los datos relevantes son los siguientes: Fecha: 06/04/2015 3:21:36 Equipo: XP-BARCELONA1 Nombre: Trj/OCJ.A Tipo: MW Estado: Executed Hash del Malware: EEEEEEEEDDDD Ruta del Malware: TEMP \Rar$EXa0.946\appnee.com.patch.exe Estado del equipo El estado del Malware es Executed debido a que el modo de Adaptive Defense configurado era Deep hardening: el Malware ya residía en el equipo en el momento en que Adaptive Defense se instaló y era desconocido en el momento de su ejecución. Hash Con la cadena de hash se podrá obtener más información en sitios como Virus total para tener una idea general de la amenaza y su forma de funcionamiento. Ruta del Malware La ruta donde se detectó el Malware por primera vez en el equipo pertenece a un directorio temporal y contiene la cadena RAR de modo que procede de un fichero empaquetado que se programa RAR descomprimió temporalmente en el directorio y dio como resultado el ejecutable appnee.com.patch.exe Tabla de acciones Paso Fecha Acción Path 1 3:17:00 Created by PROGRAM_FILES \WinRAR\WinRAR.exe 2 3:17:01 Executed by PROGRAM_FILES \WinRAR\WinRAR.exe 3 3:17:13 Create TEMP \bassmod.dll 4 3:17:34 Create PROGRAM_FILES \Adobe\ACROBAT 11.0\Acrobat\AMTLIB.DLL.BAK 5 3:17:40 Modify PROGRAM_FILES \Adobe\ACROBAT 11.0\Acrobat\amtlib.dll 69

70 6 3:17:40 Delete PROGRAM_FILES \ADOBE\ACROBAT 11.0\ACROBAT\AMTLIB.DLL.BAK 7 3:17:41 Create PROGRAM_FILES \Adobe\ACROBAT 11.0\Acrobat\ACROBAT.DLL.BAK 8 3:17:42 Modify PROGRAM_FILES \Adobe\ACROBAT 11.0\Acrobat\Acrobat.dll 9 3:17:59 Execute PROGRAM_FILES \Google\Chrome\Application\chrome.exe Los pasos 1 y 2 indican que el Malware fue descomprimido por el WinRar.Exe y ejecutado desde el mismo programa: el usuario abrió el fichero comprimido e hizo clic en el binario que contiene. Una vez en ejecución en el paso 3 el Malware crea una dll (bassmod.dll) en una carpeta temporal y otra (paso 4) en el directorio de instalación del programa Adobe Acrobat 11. En el paso 5 también modifica una dll de Adobe, quizá para aprovechar algún tipo de exploit del programa. Después de modificar otras dlls lanza una instancia de Chrome y en ese momento termina la Timeline; Adaptive Defense catalogó el programa como amenaza después de esa cadena de acciones sospechosas y ha detenido su ejecución. En la Timeline no aparecen acciones sobre el registro de modo que es muy probable que el Malware no sea persistente o no haya podido ejecutarse hasta ese punto de lograr sobrevivir a un reinicio del equipo. El programa Adobe Acrobat 11 ha resultado comprometido de modo que se recomienda su reinstalación aunque gracias a que Adaptive Defense monitoriza ejecutables tanto si son Goodware como Malware, la ejecución de un programa comprometido será detectada en el momento en que desencadene acciones peligrosas, terminando en su bloqueo Ejemplo 2: Comunicación con equipos externos en BetterSurf BetterSurf es un programa potencialmente no deseado que modifica el navegador instalado en el equipo del usuario e inyecta anuncios en las páginas web que visite. En la cabecera de la tabla alertas se muestra la información fundamental del Malware encontrado. En este caso se cuenta con los siguientes datos: Fecha: 30/03/2015 Equipo: MARTA-CAL Nombre: PUP/BetterSurf Tipo: MW Ruta del Malware: PROGRAM_FILES \VER0BLOCKANDSURF\N4CD190.EXE Tiempo de exposición: 11 días 22 horas 9 minutos 46 segundos 70

71 Tiempo de exposición En este caso el tiempo de exposición ha sido muy largo: durante casi 12 días el Malware estuvo en estado latente en la red del cliente. Este comportamiento es cada vez más usual y puede deberse a varios motivos: puede ser que el Malware no ha realizado ninguna acción sospechosa hasta muy tarde o que simplemente el usuario descargó el fichero pero no lo ejecutó en el momento. Tabla de acciones Paso Fecha Acción Path / IP Hash / Protocolo /03/ :16 18/03/ :16 18/03/ :16 18/03/ :16 18/03/ :16 18/03/ :16 18/03/ :17 18/03/ :17 18/03/ :17 Created by TEMP \08c3b650-e9e14f.exe EB0C9D2E28E1EE Executed by SYSTEM \services.exe 953DF73048B8E8 Load PROGRAM_FILES \VER0BLOF\N4Cd190.d ll CE44F5559FE618 Load SYSTEM \BDL.dll D7D59CABE1270 Socket used : UnKnown Socket used :80 0-Bidrectional Socket used :80 0-Bidrectional Socket used :80 0-Bidrectional Socket used :80 0-Bidrectional En este caso se puede apreciar como el Malware establece comunicación con varias IPs diferentes. La primera de ellas (paso 5) es el propio equipo y el resto son IPs del exterior a las que se conecta por el puerto 80 de las cuales probablemente se descargue los contenidos de publicidad. La principal medida de prevención en este caso será bloquear las IPs en el cortafuegos corporativo. Antes de añadir reglas para el bloqueo de IPs en el cortafuegos corporativo se recomienda consultar las IPs a bloquear en el RIR asociado (RIPE, ARIN, APNIC etc) para ver la red del proveedor al que pertenecen. En muchos casos la infraestructura remota utilizada por el Malware es compartida con servicios legítimos alojados en proveedores como Amazon y similares de modo que bloquear IPs equivaldría a bloquear también el acceso a páginas web normales. 71

72 Ejemplo 3: acceso al registro con PasswordStealer.BT PasswordStealer.BT es un troyano que registra la actividad del usuario en el equipo y envía la información obtenida al exterior. Entre otras cosas es capaz de capturar la pantalla del usuario, registras las teclas pulsadas y enviar ficheros a un servidor C&C (Command & Control). En la cabecera de la tabla alertas se muestra la información fundamental del Malware encontrado. En este caso se cuenta con los siguientes datos: Ruta del Malware: APPDATA \microsoftupdates\micupdate.exe Por el nombre y la localización del ejecutable el Malware se hace pasar por una actualización de Microsoft. Este Malware en concreto no tiene capacidad para contagiar equipos por sí mismo, requiere que el usuario ejecute de forma manual el virus. Estado del equipo El estado del Malware es Executed debido a que el modo de Adaptive Defense configurado era Deep hardening: el Malware ya residía en el equipo en el momento en que Adaptive Defense se instaló y era desconocido en el momento de su ejecución. Tabla de acciones Paso Fecha Acción Path Path / Hash 1 31/03/ :29 Executed by PROGRAM_FILESX86 \internet explorer\iexplore.exe D17D781B /03/ :29 Created by INTERNET_CACHE \Content.IE5\QGV8PV8 0\ index[1].php C9D4C32DF27B3CDEF 3 31/03/ :30 Creates Reg Key To Exe \REGISTRY\USER\S-1-5[...]9-5659\Software\Microsoft\Windows\ CurrentVersion \Run?MicUpdate C:\Users\vig03\AppData \ Roaming\ MicrosoftUpdates\ MicUpdate.exe 4 31/03/ :30 Execute SYSTEMX86 \notepad.exe D378BFFB70864AA61C 5 31/03/ :30 Remote Thread Created by SYSTEMX86 \notepad.exe D378BFFB70864AA61C En este caso el Malware es creado en el paso 2 por una página web y ejecutado por el navegador Internet Explorer. El orden de las acciones tiene una granularidad de 1 microsegundo. Por esta razón varias acciones ejecutadas dentro del mismo microsegundo pueden aparecer desordenadas en la Timeline, como sucede en el paso 1 y paso 2. 72

73 Una vez ejecutado el Malware se hace persistente en el paso 3 añadiendo una rama en la rama del registro que pertenece al usuario y que lanzará el programa en el inicio del sistema. Después comienza a ejecutar acciones propias del Malware como arrancar un notepad e inyectar código en uno de sus hilos. Como acción de remediación en este caso y en ausencia de un método de desinfección conocido se puede minimizar el impacto de este Malware borrando la entrada del registro. Es muy posible que en una maquina infectada el Malware impida modificar dicha entrada; dependiendo del caso sería necesario arrancar el equipo en modo seguro o con un CD de arranque para borrar dicha entrada Ejemplo 4: Acceso a datos confidenciales en Trj/Chgt.F Trj/Chgt.F fue publicado por wikileaks a finales de 2014 como herramienta utilizada por las agencias gubernamentales de algunos países para realizar espionaje selectivo. En este ejemplo pasaremos directamente a la tabla de acciones para observar el comportamiento de esta amenaza avanzada. Tabla de acciones Paso Fecha Acción Path Info 1 4/21/2015 2:17:47 PM Is executed by SYSTEMDRIVE \Python2 7\pythonw.exe 9F20D976AFFFB2D0B9BE38 B476CB /21/2015 2:18:01 PM Accesses Data #.XLS Office Excel document access 3 4/21/2015 2:18:01 PM Accesses Data #.DOC Office Word document access 4 4/21/2015 2:18:03 PM Creates TEMP \doc.scr 4DBD CD5DA7364 ACEA35E /21/2015 2:18:06 PM Executes TEMP \doc.scr 4DBD CD5DA7364 ACEA35E /21/2015 2:18:37 PM Executes PROGRAM_FILES \Micro soft Office\Office12\WINW ORD.EXE CEAA5817A65E914AA178B 28F12359A46 7 4/21/2015 8:58:02 PM Connects with :2042 TCP-Bidrectional Inicialmente el Malware es ejecutado por el intérprete de Python (paso 1) para luego acceder a un documento de tipo Excel y otro de tipo Word (paso 2 y 3). En el paso 4 se ejecuta un fichero 73

74 de extensión scr, probablemente un salvapantallas con algún tipo de fallo o error que provoque una situación anómala en el equipo y que pueda ser aprovechada por el Malware. En el paso 7 se produce una conexión de tipo TCP. La dirección IP es privada de modo que se estaría conectando a la red del propio cliente. En este caso se deberá de comprobar el contenido de los ficheros accedidos para evaluar la pérdida de información aunque viendo la Timeline la información accedida en principio no ha sido extraída de la red del cliente. Adaptive Defense desinfectará por sí mismo la amenaza y bloqueará de forma automática posteriores ejecuciones del Malware en ese cliente y en otros clientes. 74

75 9. Análisis de conocimiento y búsquedas avanzadas Acceso al entorno LogTrust Descripción de las tablas de Adaptive Defense 75

76 9. Análisis de conocimiento y búsquedas avanzadas El entorno LogTrust es un módulo opcional de Adaptive Defense. Si no tiene acceso a este entorno contacte con su comercial. Logtrust es un servicio explotación en tiempo real del conocimiento acumulado complementario que importa y analiza de forma automática y en tiempo real toda la información generada por Adaptive Defense. Logtrust facilita las búsquedas de información relativa a la seguridad del parque informático del cliente y ayuda al generar vistosas gráficas para interpretar los datos registrados por los Agentes de Adaptive Defense. En este capítulo se mostrará en detalle el esquema de organización diseñado para el almacenamiento de la información generada por Adaptive Defense así como los procedimientos necesarios para explotar esta información. El objetivo de la plataforma LogTrust es el de complementar la información ofrecida por Adaptive Defense a la hora de establecer nuevos protocolos de remediación y profundizar en las técnicas de análisis forense mostradas en el capítulo 8. El entorno LogTrust cuenta con una ayuda online accesible desde el panel superior Ayuda Acceso al entorno LogTrust Para acceder al entorno de LogTrust hay que seleccionar el link Advaced Search desde el Dashboard de Adaptive Defense. Una vez accedido se presentará el entorno pre configurado con el Dashboard mostrado en la consola de Adaptive Defense. 76

77 9.2. Descripción de las tablas Adaptive Defense Adaptive Defense envía toda la información recogida de los Agentes instalados en los equipos del cliente al servicio LogTrust, el cual se encarga de organizarlo en tablas de fácil lectura. Cada línea de una tabla se corresponde a un evento supervisado por Adaptive Defense. Las tablas contienen una serie de campos específicos además de campos comunes que aparecen en todas y que ofrecen información como el momento en que ocurrió el evento, la maquina donde se registró, su dirección IP etc. Muchos campos utilizan prefijos que ayudan a referir la información mostrada. Los dos prefijos más usados son: Parent: los campos que comienzan con la etiqueta Parent (parentpath, parenthash, parentcompany ) reflejan el contenido de una característica o atributo del proceso padre. Child: los campos que comienzan con la etiqueta Child (childpath, childhash, childcompany ) reflejan el contenido de una característica o atributo de un proceso hijo creado por el proceso padre. Además de estos prefijos en muchos campos y valores se utilizan abreviaturas; conocer su significado ayuda a interpretar el campo en cuestión: Sig: Signature (firma digital) Exe: executable (ejecutable) Prev: prevalencia Mw: Malware Sec: seconds (segundos) Op: operación Cat: categoría PUP: Potential Unwanted Program (programa potencialmente no deseado) Ver: versión SP: Service Pack Cfg: configuración Svc: servicio Op: operación PE: programa ejecutable Cmp y comp: comprimido Dst: destino 77

78 A continuación, se listan las tablas disponibles indicando el tipo de información que contienen y sus campos específicos Tabla Alert Esta tabla es una correspondencia de las alertas mostradas en la consola de Adaptive Defense, en el Menú lateral Alerts. Contiene una línea por cada amenaza detectada en la red del cliente con información sobre el equipo involucrado, tipo de alerta, Timestamp y resultado de la alerta. Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date machineip IP de la máquina del cliente que desencadenó la alerta Dirección IP date Fecha de recepción del evento en el servidor de Adaptive Defense Date alerttype Categoría de la amenaza que disparó la alerta Malware, PUP machinename Nombre de la máquina del cliente String version versión del Agente Adaptive Defense instalada en la máquina x.x.x executionstatus La amenaza se llegó a ejecutar o no Executed o Not Executed dwelltimesecs Tiempo transcurrido en segundos desde la primera vez que la amenaza fue vista en la red del cliente Segundos itemhash Hash de la amenaza encontrada String itemname Nombre de la amenaza detectada String itempath Path completo del fichero que contiene la amenaza String Puesto que la tabla Alerts es una transposición del Menú lateral Alerts de la consola de Adaptive Defense es sencillo obtener estadísticas de los equipos más infectados: 10 equipos más atacados e infectados Se puede obtener un listado simple de los 10 equipos más atacados haciendo clic en la cabecera de la columna machinename o manicheip. 78

79 Este listado abarca desde el primer momento en que Adaptive Defense comenzó a funcionar en el cliente, si se quiere reducir el rango simplemente se puede acotar el intervalo con los controles Search limits. Estos listados incluyen tanto bloqueos como ejecuciones de Malware, si se quieren mostrar únicamente los equipos infectados será necesario añadir un filtro haciendo clic en el icono de la barra de herramientas Y configurando un filtro de datos utilizando el campo executionstatus e igualando a Executed, tal y como se muestra en la imagen. 79

80 10 amenazas más vistas De forma equivalente haciendo clic en las columnas itemhash o ítemname se pueden visualizar estadísticas rápidas sobre las 10 amenazas más vistas en la red del cliente. Otra forma de obtener información de forma mucho más visual es generar una gráfica del Malware más visto. Para ello en el eje de las coordenadas se muestra el nombre del Malware y en el eje de abscisas el número de ocurrencias. Para ello hay que seguir los siguientes pasos: Añadir una agrupación sobre el campo itemname sin límite temporal (No temporal aggrupation). Añadir una función contador para determinar cuántas ocurrencias hay en cada grupo itemname. 80

81 Añadir un filtro para discriminar las agrupaciones de 2 o menos ocurrencias. De esta forma limpiamos la gráfica de aquellas amenazas que solo hayan sido vistas 2 veces Añadir un gráfico de tipo Chart Aggregation y utilizar la columna Count como parámetro. En este punto ya se dispone de un listado alertas agrupadas por amenaza y con el número de ocurrencias por cada amenaza. Con estos datos se puede construir una gráfica simple: 81

82 Otra información útil Hay varios campos interesantes en la tabla Alerts que pueden ser utilizados para extraer información valiosa acerca de los ataques recibidos en la red del cliente: Eventdate: agrupando por este campo podemos visualizar el número de ataques diarios y así determinar si hay una epidemia en curso. dwelltimesecs: Es un campo que nos permite obtener la ventana de detección de las amenazas recibidas, es decir, el tiempo desde que la amenaza fue vista por primera vez en la red del cliente hasta su clasificación. itemhash: dado que el nombre de la amenaza varía entre proveedores de seguridad se puede utilizar el campo hash para agrupar amenazas en vez del itemname. Esto permite discriminar además el Malware que se etiqueta con el mismo nombre Tabla Drivers Esta tabla incluye todas las operaciones que se realizan sobre drivers detectadas en los procesos ejecutados en los equipos del usuario. Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date serverdate Fecha de recepción del evento en el servidor de Adaptive Defense Date machine Nombre de la máquina del cliente String machineip IP de la máquina del cliente Dirección IP ver Versión del Agente Adaptive Defense String user muid op Nombre de usuario del proceso que realizo la operación sobre el driver registrada Identificador interno del equipo del cliente Operación realizada por el proceso sobre el driver String xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx Open Creation hash Hash / digest del fichero String drivetype Tipo de unidad donde reside el proceso que desencadenó la operación sobre el driver registrada Fixed, Remote, Removable path Path del proceso que desencadenó la operación registrada sobre el driver String validsig Proceso firmado digitalmente Boolean company Contenido del atributo Company de los metadatos del proceso String imagetype Arquitectura interna del ejecutable EXEx32, EXEx64, DLLx32, DLLx64 82

83 exetype prevalence prevlastday cat mwname servicedrivetype Tipo de ejecutable Prevalencia histórica en los sistemas de Panda Security Prevalencia para día anterior en los sistemas de Panda Security Categoría del fichero que realizo la operación sobre el driver Nombre del Malware si el fichero está catalogado como una amenaza Tipo de unidad donde reside el driver que recibe la operación registrada Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown HIGH, LOW, MEDIUM HIGH, LOW, MEDIUM Goodware, Malware, PUP, Unknown, Monitoring String, (Null si el elemento no es Malware) Fixed, Remote, Removable servicepath Path del driver recibió la operación registrada String Esta tabla indica las operaciones de todos los procesos sobre los drivers instalados. Puesto que el Malware que crea o o modifica drivers se considera especialmente peligroso por atacar elementos básicos del sistema lo idóneo en este caso es filtrar el campo Cat y descartar todo lo que este catalogado como Goodware o Monitoring Tabla Filesdwn Esta tabla contiene información sobre las operaciones de descarga de datos por HTTP realizadas por los procesos vistos en la red del cliente (URL, datos de los ficheros descargados, equipos que las realizaron etc). Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date serverdate Fecha de recepción del evento en el servidor Date 83

84 de Adaptive Defense machine Nombre de la máquina del cliente String machineip IP de la máquina del cliente Dirección IP ver versión del Agente Adaptive Defense String muid Identificador interno del equipo del cliente xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx type Tipo del fichero descargado Zip, Exe, Cab, Rar url url de descarga Recurso URI hash Digest / hash del fichero descargado String validsig Fichero descargado firmado digitalmente Boolean company Contenido del atributo Company de los metadatos del fichero descargado String imagetype Arquitectura interna del fichero descargado EXEx32, EXEx64, DLLx32, DLLx64 exetype Tipo de ejecutable del fichero descargado Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown prevalence Prevalencia histórica en los sistemas de Panda Security HIGH, LOW, MEDIUM prevlastday Prevalencia del día anterior en los sistemas de Panda Security HIGH, LOW, MEDIUM cat Categoría del fichero descargado Goodware, Malware, PUP, Unknown, Monitoring mwname Nombre del Malware si el fichero descargado está catalogado como una amenaza String, (Null si el elemento no es Malware) Puesto que esta tabla muestra todas las descargas de los usuarios de la red independientemente de que sean Malware o Goodware, aparte de localizar con un simple filtro la información de la descarga en el caso de Malware también será posible visualizar de forma gráfica los dominios que reciben más descargas. 84

85 Dominios que reciben más descargas Para mostrar este tipo de información es necesario manipular el contenido del campo url para limpiar la parte del string que no nos interesa y quedarnos con la parte del dominio. Crear una columna nueva con la operación Split sobre el campo url. Agrupar por url diferente sin marcar agrupación temporal Añadir una columna agregación de tipo contador De esta forma se obtiene un listado por dominio agrupado y el número de ocurrencias de cada dominio dentro de cada grupo. Con esta información se puede obtener fácilmente una gráfica con los dominios más visitados para descarga. 85

86 En este caso utilizados una gráfica de tipo tarta, más sencilla de interpretar para el tipo de información que estamos mostrando. Para ello vamos a filtrar previamente las agrupaciones de 10 o menos ocurrencias para poder fijarnos con más detalle en el resto de dominios. En las gráficas de tipo tarta las diferentes secciones son activas y al pasar el ratón por encima nos muestran los porcentajes y el nombre de la serie representada. Otra información útil De la misma manera se pueden conjugar otros campos para enriquecer o filtrar los listados y conseguir unas tablas más afinadas. De esta forma se puede utilizar: Machine o machineip: agrupando por estos campos se pueden ver los equipos de la red del cliente que más descargas inician. Cat: filtrando por este campo se puede despejar la tabla y mostrar únicamente lo que está catalogado como Malware. De esta forma se pueden obtener dominios considerados como emisores de Malware para bloquearlos en un cortafuegos que permita análisis en la capa 7. 86

87 Tabla hook Esta tabla contiene todas las operaciones de creación y manipulación de hooks en el sistema del usuario Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date serverdate Fecha de recepción del evento en el servidor de Adaptive Defense Date machine Nombre de la máquina del cliente String machineip IP de la máquina del cliente Dirección IP ver versión del Agente Adaptive Defense String user Nombre de usuario del proceso String muid Identificador interno del equipo del cliente xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx hooktype Tipo de hook realizado por el proceso Keyboard_ll, mouse_ll, keyboard, mouse hash Digest del proceso que realiza el hook en el sistema String drivetype Tipo de unidad donde reside el proceso que realiza el hook Fixed, Remote, Removable path Path del proceso que realiza el hook String validsig Proceso que realiza el hook firmado digitalmente Boolean company Contenido del atributo Company de los metadatos del proceso que realiza el hook String imagetype Arquitectura del fichero que realiza el hook EXEx32, EXEx64, DLLx32, DLLx64 exetype Tipo de ejecutable del proceso que realiza el hook Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown prevalence Prevalencia histórica en los sistemas de Panda Security del proceso que realiza el hook HIGH, LOW, MEDIUM 87

88 prevlastday Prevalencia del ultimo día en los sistemas de Panda Security del proceso que realiza el hook HIGH, LOW, MEDIUM cat Categoría del proceso que realiza el hook en el sistema Goodware, Malware, PUP, Unknown, Monitoring mwname Nombre del Malware si el proceso que realiza el hook en el sistema está catalogado como una amenaza String, (Null si el elemento no es Malware) hookpehash Digest / hash del proceso hookeado String Hook Tipo de unidad donde reside el proceso hookeado Fixed, Remote, Removable hookpepath path del proceso hookeado String hookpevalidsig Proceso hookeado firmado digitalmente Boolean hookpecompany Contenido del atributo Company de los metadatos del proceso hookeado String hookpeimagetype Arquitectura interna del fichero del proceso hookeado EXEx32, EXEx64, DLLx32, DLLx64 hookpeexetype Tipo de ejecutable del proceso hookeado Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown hookpeprevalence Prevalencia histórica en los sistemas de Panda Security del proceso hookeado HIGH, LOW, MEDIUM hookpeprevlastday Prevalencia del ultimo día en los sistemas de Panda Security del proceso hookeado HIGH, LOW, MEDIUM hookpecat Categoría del proceso hookeado Goodware, Malware, PUP, Unknown, Monitoring hookpemwname Nombre del Malware si el proceso hookeado está catalogado como una amenaza String Esta tabla muestra las operaciones de todos los procesos que realizan hooks. Puesto que el Malware que realiza este tipo de operación se considera especialmente peligroso por 88

89 interceptar comunicaciones lo idóneo en este caso es filtrar el campo Cat y descartar todo lo que este catalogado como Goodware y Monitoring Tabla Install Esta tabla contiene toda la información generada en la instalación de los Agentes de Adaptive Defense en las maquinas del cliente. Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date serverdate Fecha de recepción del evento en el servidor de Adaptive Defense Date machine Nombre de la máquina del cliente String machineip IP de la máquina del cliente Dirección IP machineip1 IP de una tarjeta de red adicional si está instalada Dirección IP machineip2 IP de una tarjeta de red adicional si está instalada Dirección IP machineip3 IP de una tarjeta de red adicional si está instalada Dirección IP machineip4 IP de una tarjeta de red adicional si está instalada Dirección IP machineip5 IP de una tarjeta de red adicional si está instalada Dirección IP ver versión del Agente Adaptive Defense String op Operación realizada Install, Uninstall, Upgrade osver Versión del Sistema Operativo String ossp Versión del Service Pack String osplatform Plataforma del S.O. WIN32, WIN64 Desinstalación de agentes A parte de las gráficas mostradas en el Dashboard de Adaptive Defense sobre las versiones de agentes instalados o desinstalados puede ser muy útil localizar de forma rápida los equipos que han desinstalado su agente en un periodo de tiempo dado. Para ello hay que acotar la fecha y simplemente añadir un filtro sobre el campo op para seleccionar todas las filas que tengan el string Uninstall. Con esta operación podremos obtener un listado de máquinas desinstaladas y por lo tanto vulnerables a las amenazas. 89

90 Tabla Monitoredopen Esta tabla contiene los ficheros de datos accedidos por las aplicaciones ejecutadas en el equipo del usuario junto con los procesos que accedieron a los datos Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date serverdate Fecha de recepción del evento en el servidor de Adaptive Defense Date machine Nombre de la máquina del cliente String machineip IP de la máquina del cliente Dirección IP ver versión del Agente Adaptive Defense String user Nombre de usuario del proceso String muid Identificador interno del equipo del cliente xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx parenthash Digest / hash del fichero que accede a datos String parentpath path del proceso que que accede a datos String parentvalidsig Proceso que accede a datos firmado digitalmente Boolean parentcompany Contenido del atributo Company de los metadatos del fichero que accede a datos String parentbroken El fichero que a datos está corrupto / defectuoso Boolean parentimagetype Tipo de arquitectura interna del fichero que accede a datos EXEx32, EXEx64, DLLx32, DLLx64 parentexetype Tipo de ejecutable que accede a datos Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown parentprevalence Prevalencia histórica del fichero que accede a datos en los sistemas de Panda Security HIGH, LOW, MEDIUM parentprevlastday Prevalencia en el día anterior del fichero que accede a datos en los sistemas de Panda Security HIGH, LOW, MEDIUM parentcat Categoría del fichero que accede a datos Goodware, Malware, PUP, Unknown, Monitoring 90

91 parentmwname Nombre del Malware si el fichero que accede a datos está catalogado como una amenaza String, (Null si el elemento no es Malware) parentpid Numero identificador del proceso que accede a datos en el equipo del cliente String childpath Nombre del fichero de datos accedido por el proceso. Por defecto solo se indica la extensión del fichero para preservar la privacidad de datos del cliente String loggeduser Usuario logueado en el equipo en el momento del acceso del fichero String Acceso a documentos de usuario Como esta tabla muestra el acceso a ficheros de todos los procesos que se ejecutan en el equipo del usuario, es bastante sencillo localizar una fuga de información en caso de infección. Filtrando por el campo parentcat para discriminar el Goodware del resto de posibilidades podemos obtener un listado de accesos a ficheros de datos por parte de procesos sin clasificar o clasificados como Malware, con lo que es posible visualizar de un vistazo el impacto de la fuga de datos y tomar las medidas necesarias Tabla Notblocked Esta tabla incluye un registro por cada elemento que Adaptive Defense ha dejado pasar sin analizar debido a situaciones excepcionales como tiempo de arranque del servicio en el endpoint, cambios de configuración etc. Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date serverdate Fecha de recepción del evento en el servidor de Adaptive Defense Date machine Nombre de la máquina del cliente String machineip IP de la máquina del cliente Dirección IP ver versión del Agente Adaptive Defense String user Nombre de usuario del proceso String 91

92 muid Identificador interno del equipo del cliente xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx parenthash Digest / hash del fichero padre String parentvalidsig Proceso padre firmado digitalmente Boolean parentcompany Contenido del atributo Company de los metadatos del proceso padre String parentbroken El fichero padre está corrupto o no Boolean parentimagetype Arquitectura interna del proceso padre EXEx32, EXEx64, DLLx32, DLLx64 parentexetype Tipo de ejecutable del proceso padre Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown parentprevalence Prevalencia histórica en los sistemas de Panda Security del proceso padre HIGH, LOW, MEDIUM parentprevlastday Prevalencia en el día anterior en los sistemas de Panda Security del proceso padre HIGH, LOW, MEDIUM parentcat Categoría del fichero padre Goodware, Malware, PUP, Unknown, Monitoring ParentmwName Nombre del Malware si el fichero padre está catalogado como una amenaza string, (Null si el elemento no es Malware) childhash Digest / hash del fichero hijo String childvalidsig Proceso hijo firmado digitalmente Boolean childcompany Contenido del atributo Company de los metadatos del proceso hijo String childbroken El fichero hijo está corrupto o no Boolean childimagetype Arquitectura interna del proceso hijo EXEx32, EXEx64, DLLx32, DLLx64 childexetype Tipo de ejecutable del proceso hijo Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown 92

93 childprevalence Prevalencia histórica en los sistemas de Panda Security del fichero hijo HIGH, LOW, MEDIUM childprevlastday Prevalencia del dia anterior en los sistemas de Panda Security del fichero hijo HIGH, LOW, MEDIUM childcat Categoría del proceso hijo Goodware, Malware, PUP, Unknown, Monitoring childmwname Nombre del Malware si el fichero hijo está catalogado como una amenaza String, (Null si el elemento no es Malware) Learning: el agente permite la ejecución de los procesos no conocidos cfgsvclevel Configuración de servicio del agente Hardening: el agente impide la ejecución de los procesos clasificados como amenazas Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos Modo de operación del agente. El Agente puede tener temporalmente Learning: el agente permite la ejecución de los procesos no conocidos realsvclevel una configuración establecida diferente a la configuración en uso debido a diversas razones del entorno de ejecución. A la larga cfgsvclevel y realsvclevel deberán de coincidir. Hardening: el agente impide la ejecución de los procesos clasificados como amenazas Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos Unknown = 0 Goodware = 1 Malware = 2 responsecat Categoría del fichero devuelta por la nube Suspect = 3 Compromised =4 GoodwareNotConfirmed = 5 PUP = 6 GoodwareUnwanted = 7 numcacheclassifiedelements Nº de elementos clasificados en caché Numeric 93

94 Tabla Ops Esta tabla contiene un registro de todas las operaciones realizadas por los procesos vistos en la red del cliente. Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date serverdate Fecha de recepción del evento en el servidor de Adaptive Defense Date machine Nombre de la máquina del cliente String machineip IP de la máquina del cliente Dirección IP ver versión del Agente Adaptive Defense String user Nombre de usuario del proceso String op Operación realizada CreateDir, Exec, KillProcess, CreatePE, DeletePE, LoadLib, OpenCmp, RenamePE, CreateCmp muid Identificador interno del equipo del cliente xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx parenthash Digest / hash del fichero padre String parentpath path del proceso padre String parentvalidsig Proceso padre firmado digitalmente Boolean parentcompany Contenido del atributo Company de los metadatos del fichero padre String parentimagetype Tipo de arquitectura interna del fichero padre EXEx32, EXEx64, DLLx32, DLLx64 parentexetype Tipo del ejecutable padre Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown parentprevalence Prevalencia histórica del fichero padre en los sistemas de Panda HIGH, LOW, MEDIUM 94

95 Security parentprevlastday Prevalencia en el día anterior del fichero padre en los sistemas de Panda Security HIGH, LOW, MEDIUM parentcat Categoría del fichero padre Goodware, Malware, PUP, Unknown, Monitoring parentmwname Nombre del Malware encontrado en el fichero padre String, (Null si el elemento no es Malware) childhash Digest / hash del fichero hijo String childpath path del proceso hijo String childvalidsig Proceso hijo firmado digitalmente Boolean childcompany Contenido del atributo Company de los metadatos del fichero hijo String childimagetype Tipo de arquitectura interna del fichero hijo EXEx32, EXEx64, DLLx32, DLLx64 childexetype Tipo de ejecutable hijo Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown childprevalence Prevalencia histórica del fichero hijo en los sistemas de Panda Security HIGH, LOW, MEDIUM childprevlastday Prevalencia en el día anterior del fichero hijo en los sistemas de Panda Security HIGH, LOW, MEDIUM childcat Categoría del fichero hijo Goodware, Malware, PUP, Unknown, Monitoring childmwname Nombre del Malware encontrado en el fichero hijo String, (Null si el elemento no es Malware) ocsexec Se ejecutó o no software considerado como vulnerable Boolean ocsname Nombre del software considerado vulnerable String ocsver Version del software considerado vulnerable String pecreationsource Origen de creación del proceso ejecutable. Equivalente al campo DriveType String 95

96 params Parámetros de ejecución del proceso ejecutable String Ok toastresult Resultado de la tostada mostrada Timeout Angry Block Allow clientcat Categoría en la caché del agente del elemento Goodware, Malware, PUP, Unknown, Monitoring action Acción realizada Allow, Block, BlockTimeout Learning: el agente permite la ejecución de los procesos no conocidos servicelevel Modo del agente Hardening: el agente impide la ejecución de los procesos clasificados como amenazas Block: el agente impide la ejecución de los procesos clasificados como amenazas y de los procesos desconocidos Unknown Cache Cloud winningtech Tecnología que ha provocado la acción Contect Serializer User Legacyuser Netnative certifua Tabla Registry Esta tabla contiene un registro de todas las operaciones realizadas por los procesos vistos en la red del cliente sobre el registro de cada sistema. Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date serverdate Fecha de recepción del evento en el Date 96

97 servidor de Adaptive Defense machine Nombre de la máquina del cliente String machineip IP de la máquina del cliente Dirección IP ver versión del Agente Adaptive Defense String user Nombre de usuario del proceso que modifico el registro String op Operación realizada sobre el registro del equipo ModifyExeKey, CreateExeKey hash Digest / hash del proceso que realiza la modificación en registro String muid Identificador interno del equipo del cliente xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx targetpath Path del ejecutable apuntado en el registro Tipo de unidad donde reside el proceso que realiza el hook regkey Clave de registro String drivetype Tipo de unidad donde reside el proceso que accede al registro String path Path del proceso que modifica el registro String validsig Clave de registro Boolean company Clave de registro String imagetype Arquitectura del fichero que accede al registro String exetype Tipo de ejecutable Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown Prevalence Prevalencia histórica en los sistemas de Panda Security del proceso HIGH, LOW, MEDIUM prevlastday Prevalencia del ultimo día en los sistemas de Panda Security del HIGH, LOW, MEDIUM 97

98 proceso Cat Categoría del proceso Goodware, Malware, PUP, Unknown, Monitoring mwname Nombre del Malware si el proceso está catalogado como una amenaza String, (Null si el elemento no es Malware) Persistencia de las amenazas instaladas Como esta tabla muestra el acceso al registro de todos los procesos que se ejecutan en el equipo del usuario, es bastante sencillo visualizar el Malware que consiguió ejecutarse hasta el punto de lograr persistencia en el sistema. Las ramas del registro que invocan a un programa en el arranque son múltiples pero las más utilizadas por troyanos y otros tipos de amenazas son: HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx Viendo las claves casi todas comparten la rama Run de modo que filtrando por el campo regkey y buscando la subcadena Run podemos visualizar toda la información relativa al proceso que añadió o retiró la rama del registro. 98

99 Una vez filtrados los procesos que manipulan el sistema de arranque se pueden aplicar filtros posteriores que refinen la búsqueda inicial, utilizando el campo Cat para eliminar todos los programas catalogados como Goodware de la lista, de forma equivalente a la mostrada en ejemplos anteriores Tabla Socket Esta tabla contiene un registro de todas las operaciones de red realizadas por los procesos vistos en la red del cliente. Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date serverdate Fecha de recepción del evento en el servidor de Adaptive Defense Date machine Nombre de la máquina del cliente String machineip IP de la máquina del cliente Dirección IP ver versión del Agente Adaptive Defense String user Nombre de usuario del proceso String hash Digest / hash del proceso que realiza la conexión String muid Identificador interno del equipo del cliente xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx drivetype Tipo de unidad donde reside el proceso que realiza la conexión Fixed, Remote, Removable path path del proceso que realiza la conexión String protocol Protocolo de comunicaciones utilizado por el proceso TCP, UDP, ICMP, ICMPv6,IGMP, RF port Puerto de comunicaciones utilizado por el proceso direction Sentido de la comunicación Upload, Download, Bidirectional, Unknown dstip IP destino Dirección IP dstport Puerto destino dstip6 IP v6 de destino Dirección IP 99

100 validsig Fichero que realiza la conexión firmado digitalmente Boolean company Contenido del atributo Company de los metadatos del fichero que realiza la conexión String imagetype Arquitectura interna del proceso que realiza la conexión EXEx32, EXEx64, DLLx32, DLLx64 exetype Tipo de ejecutable del proceso que realiza la conexión Delphi, DOTNET, VisualC, VB, CBuilder, Mingw, Mssetup, Setupfactory, Lcc32, Setupfactory, Unknown prevalence Prevalencia histórica en los sistemas de Panda Security HIGH, LOW, MEDIUM prevlastday Prevalencia del dia anterior en los sistemas de Panda Security HIGH, LOW, MEDIUM cat Categoría del proceso que realiza la conexión Goodware, Malware, PUP, Unknown, Monitoring mwname Nombre del Malware si el proceso que realiza la conexión está catalogado como una amenaza String, (Null si el elemento no es Malware) Programas que más se conectan al exterior Análogamente a la gráfica de la consola que geolocaliza los destinos de las conexiones efectuadas por el Malware instalado en la red del cliente se pueden obtener los destinos más conectados por el software licito que se ejecuta en los equipos. Para ello hay que seguir los siguientes pasos: Añadir un filtro que elimine todos los programas que no sean considerados lícitos. Para ello hay que igualar el campo Cat a la cadena Goodware Añadir un filtro que elimine todas las conexiones de destino a direcciones IP privadas. Para ello hay que crear una columna con la función Is Public IPv4 sobre el campo dstip, tal y como se muestra en la figura 100

101 Añadir sendas columnas latitude y longitude que extraigan del campo dstip la longitud y la latitud con las funciones Geolocated Latitude / Longitude. En este punto del procedimiento tenemos un listado de conexiones desde software legítimo hacia direcciones IP públicas y la latitud y longitud de cada IP. Las coordenadas obtenidas se representaran en la gráfica de tipo mapa como puntos. Puesto que se quiere representar el número de conexiones a una misma dirección IP será necesario realizar una agrupación y añadir un contador para obtener el número de direcciones IP repetidas en una agrupación. Añadir una agrupación por el campo de la tabla dstip y los campos de nueva creación latitude y longitude, sin límite temporal. 101

102 Agregar una función de tipo contador. Añadir una gráfica de tipo Flat world map by coordinates o Google heat map utilizando como datos las columnas count, latitude y longitude. Al arrastrar las columnas a las casillas indicadas se mostrará el mapa elegido con los datos representados por puntos de diversos colores y tamaños 102

103 Tabla Toast La tabla Toast registra una entrada por cada aparición de mensaje del agente al cliente Nombre Explicación Valores eventdate Fecha del evento en la máquina del cliente Date serverdate Fecha de recepción del evento en el servidor de Adaptive Defense Date machine Nombre de la máquina del cliente String 103