Análise de Artefatos Maliciosos em um Ambiente Acadêmico utilizando o Framework UnBox

Transcrição

1 Análise de Artefatos Maliciosos em um Ambiente Acadêmico utilizando o Framework UnBox Alysson de S. Ribeiro 1, Walisson de Albuquerque 1, Laerte Peotta de Melo 1, Edna D. Canedo 2 1 Departamento de Engenharia Elétrica Universidade de Brasília (UnB) Campus Universitário Darcy Ribeiro Brasília DF Brasil 2 Faculdade UnB Gama Universidade de Brasília (UnB) Caixa Postal Gama DF Brasil alyssonribeiro@unb.br,{walisson.albuquerque,peotta}@gmail.com,ednacanedo@unb.br Abstract. The number and variety of malicious code have been growing quickly. These codes are increasingly sophisticated, incorporating various techniques to hinder the identification of their actions, making malware analysis an important tool in the fight against cybercrime. The analysis of an artifact aims to understand its characteristics, what actions will be taken and how it will be run on the operating system. This design presents the implementation of UnBox, an analysis tool that uses various techniques to facilitate identification of malware. Resumo. O número e a variedade de códigos maliciosos (malware) vêm crescendo de forma rápida. Esses códigos estão cada vez mais sofisticados, incorporando diversas técnicas para dificultar a identificação de suas ações, tornando a análise de malwares uma ferramenta importante no combate aos crimes virtuais. A análise de um artefato visa compreender suas características, quais ações serão realizadas e como será executado no sistema operacional. Este artigo apresenta a implementação do UnBox,uma ferramenta que utiliza diversas técnicas de análise para facilitar a identificação de um malware. 1. Introdução No contexto atual de Redes de Comunicações altamente interligadas, diversos objetivos são traçados de modo a utilizar tais recursos. Como é utilizada para dar mais comodidade ao usuários, as Redes de Computadores são alvos de inúmeros ataques, de modo a roubar dados, infectar máquinas para utilizá-las em fins obscuros, causar transtornos na rede, entre outros. Tais violações podem ser alcançadas através de códigos maliciosos [CERT 2014]. O número e a variedade de malwares vem crescendo nos últimos anos [AVTEST 2015]. Com isso, o tempo para encontrar as defesas para o problema não tem se mostrado condizente com o cenário atual dos ataques [de Melo et al. 2011]. O antivírus, principal produto de defesa, não consegue acompanhar a criação e a disseminacão de tantos malwares, pois novas variantes são criadas a todo momento com novas habilidades evasivas, tornando ineficiente as técnicas de análise [Borges de Andrade et al. 2013]. Com isso, é necessário haver meios de se identificar códigos maliciosos para que ações defensivas possam ser coordenadas, ao mesmo tempo em que sejam obtidos conhecimentos sobre o comportamento de um certo malware [Filho et al. 2011]. Em um contexto universitário, dados valiosos podem ser almejados por hackers, como resultados de pesquisas, dados de alunos, professores e funcionários, dados administrativos da Universidade, entre outros. Tais dados podem se tornar vulneráveis através

2 da ação de artefatos maliciosos que objetivam roubar os dados em si ou roubar os meios de acesso a essas informações. É importante, assim, poder observar o teor dos artefatos recebidos em toda a realidade acadêmica, de forma a poder observar a ação destes artefatos e, assim, compreender se sua ação se configura como maliciosa Neste artigo são apresentadas duas análises de artefatos potencialmente maliciosos em uma ferramenta automatizada, online e personalizada para o uso universitário, de forma a obter informações precisas a respeito de diversos arquivos ou URLs suspeitas, visando o aumento da proteção de microcomputadores e outros dispositivos de usuários comuns, isto é, aqueles que utilizam a Internet de forma geral e que, normalmente, não possuem toda a gama de conhecimentos em Segurança de Redes. Com isso, busca-se proporcionar uma alternativa de utilização segura da Rede Mundial de Computadores, mediante a observação de artefatos desconhecidos. O artigo está organizado em 4 seções. A seção 2 apresenta a ferramenta UnBox, framework utilizado na análise de artefatos maliciosos, seu funcionamento, componentes e formas de operação, além dos procedimentos práticos adotados no trabalho, isto é, quais as ações tomadas com o objetivo da obtenção dos resultados práticos. A seção 3 apresenta os resultados obtidos através do framework UnBox em dois estudos de caso. É mostrado os procedimentos realizados nas análises, quais as caracterísiticas de cada artefato analisado e é apresentada a melhor forma de classificá-los, com base na conceituação teórica apresentada. Na seção 4 é apresentada as conclusões, quais as impressões obtidas no decorrer da execução das atividades e quais os objetivos alcançados. 2. UnBox: Framework de Análise Para a análise de códigos maliciosos, foi utilizada a técnica de Sandbox, que consiste em executar um arquivo desconhecido ou não confiável, de forma a analisar o comportamento e definir o tipo de ação que o arquivo toma em execução. O Framework utilizado na análise de artefatos maliciosos em ambiente de produção foi o UnBox, que é uma ferramenta automatizada de análise de códigos maliciosos baseada no Cuckoo Sandbox, software livre e de código aberto e desenvolvido para análises de malware. O UnBox é uma customização do Cuckoo, sendo adequado para o uso em redes acadêmicas, mais especificamente na Universidade de Brasília, pois o UnBox foi customizado em Framework para Análise Dinâmica de Códigos Maliciosos [Abreu and Cidade 2013]. O framework trabalha da seguinte forma: é disponibilizada uma página web ao usuário onde é possível fazer o upload de um código suspeito, ou ainda passar como informação uma URL não confiável. A análise é realizada de forma automática, pois o UnBox conta com uma arquitetura de máquina virtual, onde é simulada, em ambiente controlado, a ação do arquivo suspeito ou URL insegura. Em seguida, é repassado ao usuário um relatório gerado pelo UnBox das principais ações do arquivo ou URL, sendo possível por parte do usuário analisar e concluir a respeito da periculosidade do artefato. É possível analisar diversos tipos de arquivos com o UnBox, tais como: Executáveis genéricos do Windows; Arguivos DLL; Arquivos PDF; Documentos Microsoft Office (Word, Excel, PowerPoint e outros);

3 URLs e arquivos HTML; Scripts PHP; Scrips Visual Basic (VB); Arquivos ZIP; Arquivos JAR Funcionamento do UnBox O UnBox possui uma arquitetura que proporciona análises de códigos maliciosos de forma segura e completa. A Figura 1 apresenta o modelo de funcionamento do UnBox, bem como os componentes necessários para a implementação da ferramenta. Figura 1. Arquitetura de funcionamento do UnBox [Cuckoo 2014] Pode-se observar os elementos que compõem a arquitetura de análise do UnBox. É ressaltado aqui suas principais características, bem como suas funções no cenário de análise. Host Cuckoo: É responsável por boa parte da análise do artefato malicioso. Aqui é configurada a aplicação UnBox, de forma a apresentar ao usuário uma interface web para o repasse do artefato ou URL suspeita. Estão presentes também os arquivos de configuração do UnBox, tais como, arquivo de configuração de Rede virtual (tratada mais adiante), arquivos de configuração de interface web, entre outros. É importante ressaltar que o host é o único elemento que possui interface de saída para a Internet, sendo captado o tráfego gerado pelo artefato durante a análise, sendo responsável, assim, por registrar tais atividades para a geração de relatórios.

4 Rede Virtual: Este elemento é criado entre o Host Cuckoo e os ambientes virtualizados que realizarão a análise dos códigos submetidos. De acordo com a sugestão indicada pela documentação da ferramenta Cuckoo, o virtualizador utilizado foi o VirtualBox, de forma a criar um ambiente virtualizado Windows para os testes de arquivos e URLs submetidos ao UnBox. O VirtualBox cria uma rede virtual com base em um range de IPs privados. No caso deste trabalho, a rede utilizada foi /24, onde o Host Cuckoo recebeu o IP e o ambiente virtualizado recebeu o IP É importante ressaltar que a rede virtual trabalha de forma isolada, de forma que não há risco de o artefato maliciosos realizar atividades no Host Cuckoo ou no ambiente de trabalho do usuário, configurando segurança para a análise do artefato e também para o usuário do sistema. Guest de Análise: Neste elemento é realizada a análise do artefato ou URL submetida. Este ambiente, que é totalmente virtual, deve ser preparado para o tipo de análise específica ou o tipo de ambiente que se deseja simular. Este ambiente é configurado de forma a estar sempre preparado para receber do Host o artefato a ser analisado, e simula o funcionamento deste artefato, salvando imagens da ação do código, que são mostradas na interface web, ao final da análise. Ao final de cada análise, é restaurado um Snapshot da máquina inicial, de forma que a cada nova análise, não sejam encontrados vestígios da análise anteriormente executada Etapas de Análise do UnBox É importante entender o processo de funcionamento do UnBox, isto é, quais são as etapas que compõem a análise de um artefato malicioso ou URL suspeita. A Figura 2 apresenta em um esquema simplificado as principais estapas da análise realizada pelo UnBox: Figura 2. Processo de Análise UnBox [BLACKHAT 2013] Aguardar Pedido de Análise: Nesta etapa o processo do UnBox em execução no host aguarda o pedido de análise, que acontecerá via interface web. Preparar Análise: Após a requisiçao de análise realizada via interface web por parte do usuário, os arquivos de configuração do UnBox são acionados e o ambiente virtualizado é ativado, para que seja iniciada a análise. Preparar Ambiente Isolado: Nesta fase o artefato é repassado para o ambiente virtual, e o artefato é iniciado, de forma a observar seu comportamento e ações a serem tomadas pelo código.

5 Executar e Gerar Log: Nesta fase o código malicioso está em execução, e todas as atividades estão sendo avaliadas e registradas, de forma a gerar insumos para a confecção do relatório. Estas informações são enviadas ao Host, que é responsável por mostrar os resultados ao usuário. Processar e Gerar Relatório: Nesta etapa a execução foi finalizada e o relatório completo de análise é mostrado ao usuário. Diversas informações são expostas ao usuário, de forma a informar a ação tomada durante a análise do malware Cenário de Análise: UnB Para o desenvolvimento deste trabalho, o objetivo é implementar o framework UnBox em uma rede de produção e que a ferramenta possa ser utilizada em um contexto real de topologia de rede. Nesse cenário, a rede escolhida para a implementação foi a rede da Universidade de Brasília (UnB). Esta escolha se deve a alguns fatos: A vontade de deixar algo que seja utilizável pela Universidade e pela comunidade acadêmica (professores, servidores e alunos.) O fato de se observar o desempenho da ferramenta em um contexto real. A possibilidade de se tornar a ferramenta aberta a usuários sem o conhecimento técnico específico. O UnBox foi instalado no Centro de Informática da UnB (CPD/UnB). A ferramenta encontra-se disponível atualmente em e pode ser utilizada por quaisquer usuário que deseja realizar uma análise de artefato malicioso. 3. Resultados 3.1. Estudo de Caso 1 Foi baixado o artefato hospedado em no dia 05/12/2014, foi extraído o arquivo com o nome Receita Federal.cpl e analisado no UnBox. A análise durou 158 segundos e o artefato foi identificado como um executável do Windows. Temos ainda informações como o tamanho do arquivo, os hashs que identificam o arquivo de forma única (MD5, SHA1, SHA256, SHA512, CRC32). O ssdeep é uma função de fuzzy hash, com ela é possível identificar similiaridades entre artefatos. O UnBox disponibiliza as capturas de tela dos testes realizados durante a execução, porém nenhuma informação pode ser tirada, pois o artefato é executado totalmente em segundo plano Análise estática Na aba Análise estática, têm-se informações das strings extraídas do artefato, essas cadeias de caracteres podem indicar o comportamento do malware e são usadas pelo Yara para identificação de padrões encontrados em códigos maliciosos [Yara 2014]. Temos ainda informações sobre bibliotecas compartilhadas do sistema e importadas pelo executável, essas bibliotecas podem indicar algumas funcionalidades do artefato analisado, por exemplo: a biblioteca URLDownloadToFileA é utilizada para baixar dados da internet e salvá-lo em um arquivo local, o que pode indicar que o artefato realizou algum download.

6 Análise de rede Na análise de rede podemos ver os endereços acessados e detalhes dos protocolos de rede utilizados pelo artefato. A figura 3 apresenta os IPs e os domínios acessados. Os dois primeiros IPs ( e ) são servidores DNS da UnB, utilizados para traduzir os domínios acessados pelo artefato, os IPs e estão atrelados aos domínios papatudoalimentos.com.br e limueiro.ddns.net respectivamente. Figura 3. IPs e Domínios acessados Foi analisado o domínio papatudoalimentos.com.br e na opção antivírus do Un- Box podemos verificar que se trata de uma página maliciosa. Conforme apresentado na Figura 4, é possível verificar uma requisitação HTTP, o que indica que ocorreu um download de um arquivo como o nome reviera.nil hospedado no domínio já analisado anteriormente. Figura 4. Protocolo HTTP Arquivos Baixados A figura 5 apresenta detalhes de um dos arquivos baixados pelo artefato, um executável com o nome reviera[1].nil. Pode-se observar que o arquivo caiu na regra vmdetect do Yara o que indica que foram encontrados strings neste artefato que indicam o uso de técnicas anti-virtualização, utilizada por malwares para dificultar a análise por meio de sandboxes, como estamos tratando de um possível downloader é provável que esse arquivo execute as ações maliciosas. O UnBox permite que se faça o download dos arquivos analisados, dessa forma foi baixado o executável reviera[1].nil e submetido há

7 Figura 5. Arquivos baixados uma nova análise. Verificamos que o artefato acessa a chave de registro HKEY LOCAL MACHINE\Software\Policies\Microsoft\System\DNSclient, essa chave altera o servidor DNS que o sistema irá consultar. Um atacante pode utilizar um servidor DNS para direcionar um acesso de um domínio legitimo, como por exemplo, o endereço de um banco, para uma página maliciosa. O executável foi ainda classificado como malicioso por diversos antivírus no VirusTotal (serviço do google que realiza a verificação de um arquivo ou URL em 63 antivírus [VirusTotal 2015]). A figura 6 apresenta algumas chaves acessadas pelo artefato. Figura 6. Chaves de Registro acessadas pelo arquivo reviera[1].nil Resultado do estudo de caso 1 Pode-se concluir através da análise que o arquivo Receita Federal.cpl é um código malicioso, conforme indica a análise estática través do VírusTotal. Com a análise das bibliotecas acessadas e do detalhamento do protocolo HTTP, utilizada para o download de outro artefato pode-se classificar o código malicioso como um cavalo de troia do tipo downloader. Analisando-se o artefato baixado, verificamos, através de uma chave de registro alterada, que o malware pode alterar o servidor DNS que o sistema operacional atacado

8 utiliza, podendo assim redirecionar o tráfego de um domínio legítimo para uma página maliciosa com o objetivo de capturar informações do usuário, por exemplo. O artefato ainda apresenta padrões de strings que indicam que ele utiliza uma técnica para dificultar a análise através de analisadores sandbox. Através desse estudo de caso podemos verificar a eficiência dos recursos apresentados pelo UnBox na identificação de um código malicioso Estudo de Caso 2 Foi realizado o download do artefato HPPackage.exe coletado na rede da Universidade de Brasília e enviamos para análise no UnBox. Na figura 7 temos as informações que caracterizam o arquivo como tamanho, tipo (executável do windows), hashs e fuzzy hashs. Figura 7. Detalhes do arquivo Na análise das chaves de registros alteradas, observa-se que o artefato acessa as chaves: HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\ Parameters\Internet\ManualProxies ; HKEY LOCAL MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\ FEATURE FIX CHUNKED PROXY SCRIPT DOWNLOAD KB Essas chaves são utilizadas na configuração de servidores de proxy no Windows. Com isso o artefato pode configurar um servidor de proxy malicioso no sistema com a intenção de redirecionar o acesso a do usuário para páginas falsas Análise de rede Observa-se que o arquivo realiza consulta a dois domínios, como mostrado na Figura 8. O domínio ibf-cmi us-east-1.elb.amazonaws.com foi identificado como malicioso por 3 antivírus do VirusTotal, o que evidencia a ocorrência de atividade maliciosa durante a execução do artefato.

9 Figura 8. Análise de Rede Resultado do estudo de caso 2 Após a análise podemos concluir que o artefato tem a funcionalidade de alterar chaves de registros do Windows responsáveis pela configuração de servidores de proxy. Caso um proxy malicioso seja configurado o tráfego do usuário pode ser redirecoinado para páginas falsas. Essas páginas podem capturar informações como acessos de webmail, credenciais bancárias ou até acesso a sites de fidelidade para o roubo dos pontos disponíveis nessas páginas. 4. Conclusão O UnBox se mostrou uma ferramenta eficiente na identificação de códigos maliciosos, por combinar várias técnicas de análise conhecidas, o que se torna necessário devido a grande quantidade e diversidade de malwares existentes atualmente e as varias técnicas utilizadas por invasores para dificultar o reconhecimento de um código malicioso. O UnBox foi inserido na rede da UnB com sucesso e sua integração, embora possa ser aprimorada para o contexto da Universidade, apresenta uma boa estabilidade e capacidade de usabilidade imediata, isto é, a ferramenta encontra-se operacional e acessível à toda a comundade acadêmica e comunidade externa. Com isso, a Universidade de Brasília (UnB) pode contar com uma ferramenta automatizada de análise de artefatos suspeitos. É importante ressaltar que é possível realizar maiores customizações para o ambiente acadêmico, como criação de regras no Yara, criação de um banco de análises, de forma a manter análises realizadas documentadas e maior integração com os serviços oferecidos na Universidade. Considerando a análise realizada via UnBox, o Framework foi capaz de analisar de forma significativa os artefatos, identificando as principais características, simulando suas ações em ambiente virtualizado e reportando na forma de relatório os resultados obtidos. É possível concluir também que a ferramenta se comporta positivamente em um ambiente real, isto é, tem o comportamento significativo e análises consideravelmente precisas dos artefatos URLs submetidos a ele. É importante ressaltar que, neste trabalho, o UnBox foi utilizado de forma extremamente genérica, ou seja, sem grandes customizações para o ambiente utilizado. a técnica Sandbox mostrou-se extremamente eficiente e capaz de reportar resultados realistas, de forma a apresentar-se como uma excelente alternativa para a segurança de redes de computadores. Observa-se, no entanto, que esta técnica pode não ser eficiente em casos onde o artefato não apresente sua ação de

10 imediato, o que configura-se como anti-sandboxing. O UnBox mostrou-se extremamente eficiente no tocante as técnicas de análise estática, como: análise de strings, bibliotecas e funções importadas pelo artefato e análise por antivírus via VirusTotal. Por fim a combinação das técnicas de análise estática e da análise dinâmica aumenta consideravelmente a eficiência na identificação de códigos maliciosos. Referências Abreu, R. N. and Cidade, T. V. (2013). Framework para análise dinâmica de códigos maliciosos. Universidade de Brasília. AVTEST (2015). Avtest statics. BLACKHAT (2013). Cuckoo presentation. Bremer-Mo-Malware-Mo-Problems-Cuckoo-Sandbox-Slides.pdf. Borges de Andrade, C. A., Gomes de Mello, C., and Duarte, J. C. (2013). Malware automatic analysis. In Computational Intelligence and 11th Brazilian Congress on Computational Intelligence (BRICS-CCI & CBIC), 2013 BRICS Congress on, pages IEEE. CERT (2014). Malware - cartilha de segurança para internet. Cuckoo (2014). Cuckoo documentation. de Melo, L. P., Amaral, D. M., Sakakibara, F., de Almeida, A. R., de Sousa Jr, R. T., and Nascimento, A. (2011). Análise de malware: Investigação de códigos ma-liciosos através de uma abordagem prática. SBSeg, 11:9 52. Filho, D. S. F., Afonso, V. M., Martins, V. F., Grégio, A. R. A., de Geus, P. L., Jino, M., and dos Santos, R. D. C. (2011). Técnicas para análise dinâmica de malware. SBSeg, 11: VirusTotal (2015). Yara (2014). Yara manual.