UNIVERSIDADE DE LISBOAFACULDADE DE CIÊNCIAS

DEPARTAMENTO DE INFORMÁTICA

DETEÇÃO DE MALWARE DE NOVA GERAÇÃO ESUA MITIGAÇÃO

João Paulo Marques dos Santos

MESTRADO EM SEGURANÇA INFORMÁTICA

Dissertação orientada por:Prof. Doutora Maria Dulce Pedroso Domingose pelo Eng. José António dos Santos Alegria

2017

Agradecimentos

Começo por agradecer à Professora Doutora Dulce Domingos pela orientação dadaao longo das várias horas em reuniões que em muito contribuı́ram para a execução destetrabalho. Ao orientador na Portugal Telecom, o Engenheiro José Alegria, agradeço adisponibilidade e confiança prestadas de forma incondicional ao longo de todo o projeto,orientado-me na vida profissional e académica através da sua experiência e conhecimento.

Um agradecimento especial ao André Cardoso que, de forma incansável, me orien-tou na vertente técnica de todo o projeto. A sua contribuição ultrapassou, em diversasocasiões, o estritamente necessário para a elaboração do projeto, contribuindo de formasignificativa para o sucesso do mesmo e para o meu enriquecimento profissional e pessoal.

Devo também um agradecimento particular ao Pedro Gonçalves e Pedro Inácio que, deforma direta, contribuı́ram para o desenvolvimento do projeto e para a minha valorizaçãoprofissional. Nota de agradecimento para toda a equipa SOC (e DCY em geral) peloambiente familiar com que me acolheram desde o primeiro dia.

Não posso deixar de agradecer a todos os meus amigos que de forma direta ou indiretacontribuı́ram para o meu sucesso académico e pessoal. No entanto, correndo o risco deser injusto para alguns, não posso deixar passar a oportunidade de agradecer a todos osmeus colegas de casa, em particular o Nuno Prudêncio, António Flor e Marisa Roldão,pela amizade partilhada durante todos estes anos.

Como não existe sucesso sem uma base familiar forte, um eterno reconhecimentoa toda a minha famı́lia pela minha formação enquanto ser humano. O meu percursoacadémico deve-se em grande medida às condições que me proporcionaram ao longo daminha vida.

A nota final vai para os co-autores desta e qualquer obra da minha vida. Para aqueleque será sempre o meu ı́dolo, a minha referência e amigo de uma vida. Mano, um sentidoobrigado por olhares sempre por mim.

Termino o meu percurso académico com uma das minhas primeiras lições: “Não dei-xes para amanhã o que podes fazer hoje”. Pai, o “hoje” não é suficiente para te agradecereternamente.

i

À Né.

Resumo

Tendo em conta a diversidade de plataformas digitais de comunicação existentes atual-mente, as suas potenciais vulnerabilidades e o grau de sofisticação dos agentes malicio-sos, importa que cada organização ou empresa adote uma estratégia de segurança o maiseficaz possı́vel. Essa estratégia, resultante da potencial gravidade de ataques maliciososimpõe, hoje com maior acuidade, uma polı́tica integrada de defesa e de segurança.

É do conhecimento geral que nas redes de comunicação passam, juntamente comdados legı́timos, ameaças como vı́rus, spam, ataques de interrupção de serviço (Denialof Service – DoS), entre outros, com impacto na qualidade do serviço prestado. Nestesentido, a monitorização da rede assume particular importância no seu processo de defesa,permitindo a deteção destas ameaças de forma eficaz e em tempo útil.

Inserindo-se neste quadro de preocupações, o presente trabalho versa a proteção con-tra malware (malicious software ou software malicioso) de última geração, considerandoos danos que estes, por intrusão e acesso ilı́cito, poderão causar na imagem e continuidadede negócio de uma empresa. São apresentados os resultados obtidos da aplicação de umaplataforma recentemente adquirida pela Portugal Telecom para a mitigação de agentesmaliciosos detetados. Trata-se da “Cisco Advanced Malware Protection – Cisco AMP”.

Pretende-se configurar e integrar a plataforma da melhor maneira possı́vel no ecossis-tema de segurança da Portugal Telecom, nomeadamente, com as plataformas de suporteao Security Operations Center (SOC). A solução tem por objetivo a deteção de malware,reportando-o às equipas operacionais adequadas para que estas efetuem a sua mitigaçãode forma rápida, evitando, dessa forma, a proliferação de ameaças nos sistemas da Portu-gal Telecom.

Palavras-chave: deteção, mitigação, malware, monitorização, cibersegurança

v

Abstract

Given the present diversity of digital communication platforms, their potential vulnerabil-ity and increased sophistication of malicious agents, it is imperative for each organizationor company to implement a security strategy that is as effective as possible. This strategy,resulting from the potential consequences of malicious attacks, now imposes an integrateddefence and security policy.

Common sense tells us that along with legitimate data, threats such as viruses, spam,Denial of Service (DoS) attacks, among others, travel through communication networks,having an impact on the quality of the provided services. Therefore, network monitoringis of particular interest in its defensive process, allowing the detection of these threats inan effective and timely manner.

As part of this central concern, this work addresses advanced malware protection,taking into account the damages these intrusions and illicit accesses could cause to thepublic image and business continuity of a company. This dissertation focuses on theresults obtained from the implementation of a state-of-the-art appliance recently acquiredby Portugal Telecom.

The appliance, Cisco Advanced Malware Protection (AMP, for short) focus on thedetection of malware so that the incident response teams can use it to mitigate possibleinfections. It is intended to emphasize the platform’s potential, configuring and integrat-ing it in the best possible way within Portugal Telecom cybersecurity ecosystem. Thesolution aims to detect malware, reporting it to the appropriate operational teams so thatthey can be mitigated quickly, thus avoiding the proliferation of malicious agents intoPortugal Telecom systems.

Keywords: malware, detection, mitigation, monitoring, cybersecurity

vii

Conteúdo

Lista de Figuras xiv

Lista de Tabelas xvii

1 Introdução 11.1 Motivação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.3 Contribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.4 Estrutura do documento . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 Malware: A Nova Geração 52.1 Tipos de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2.1.1 Advanced Persistent Threats . . . . . . . . . . . . . . . . . . . . 82.1.2 Ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.2 Análise de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.2.1 Análise Estática de Malware . . . . . . . . . . . . . . . . . . . . 132.2.2 Análise Dinâmica de Malware . . . . . . . . . . . . . . . . . . . 152.2.3 Virustotal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2.3 Deteção e Mitigação de Malware . . . . . . . . . . . . . . . . . . . . . . 182.3.1 Sistemas de Deteção de Intrusões . . . . . . . . . . . . . . . . . 182.3.2 Firewalls e Sistemas de Prevenção de Intrusões . . . . . . . . . . 202.3.3 SECaaS - Security As A Service . . . . . . . . . . . . . . . . . . 242.3.4 SIEM: Gestão e Correlação de Eventos de Segurança . . . . . . . 26

2.4 Proteção contra Malware Avançado . . . . . . . . . . . . . . . . . . . . 282.4.1 Cisco Advanced Malware Protection . . . . . . . . . . . . . . . . 28

2.5 Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

3 Caso de Uso: Portugal Telecom 333.1 Configuração Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3.1.1 Licenças . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353.1.2 Polı́tica de Controlo de Acesso . . . . . . . . . . . . . . . . . . . 363.1.3 Utilizadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

ix

3.2 Tráfego Monitorizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393.2.1 Tráfego de Email . . . . . . . . . . . . . . . . . . . . . . . . . . 403.2.2 Tráfego do serviço de Proxy . . . . . . . . . . . . . . . . . . . . 413.2.3 Tráfego da Rede de Gestão . . . . . . . . . . . . . . . . . . . . . 42

3.3 Eventos de Ligação e de Intrusão . . . . . . . . . . . . . . . . . . . . . . 423.3.1 Eventos de Ligação . . . . . . . . . . . . . . . . . . . . . . . . . 433.3.2 Eventos de Intrusão . . . . . . . . . . . . . . . . . . . . . . . . . 44

3.4 Eventos de Ficheiro e de Malware . . . . . . . . . . . . . . . . . . . . . 463.4.1 Eventos de Ficheiro (File Events) . . . . . . . . . . . . . . . . . 463.4.2 Eventos de Malware . . . . . . . . . . . . . . . . . . . . . . . . 483.4.3 Eventos Retrospetivos . . . . . . . . . . . . . . . . . . . . . . . 49

3.5 Integrações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503.5.1 Integração com o SIEM . . . . . . . . . . . . . . . . . . . . . . 503.5.2 Integração com o Hidra . . . . . . . . . . . . . . . . . . . . . . . 513.5.3 Integração com o Endpoint Security . . . . . . . . . . . . . . . . 523.5.4 Integração com o Orion . . . . . . . . . . . . . . . . . . . . . . 53

3.6 Diminuição de Falsos Positivos . . . . . . . . . . . . . . . . . . . . . . . 543.6.1 Implementação de Regras . . . . . . . . . . . . . . . . . . . . . 553.6.2 Filtragem Aplicacional . . . . . . . . . . . . . . . . . . . . . . . 56

3.7 Implementação de Dashboards . . . . . . . . . . . . . . . . . . . . . . . 573.7.1 Appliance Summary . . . . . . . . . . . . . . . . . . . . . . . . 583.7.2 Connection Events . . . . . . . . . . . . . . . . . . . . . . . . . 593.7.3 Feeds Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . 623.7.4 File Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633.7.5 Intrusion Events . . . . . . . . . . . . . . . . . . . . . . . . . . 683.7.6 Malware Events . . . . . . . . . . . . . . . . . . . . . . . . . . . 713.7.7 MEO SOC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743.7.8 PT GEO Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

3.8 Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

4 Avaliação e Testes 814.1 Deteção de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

4.1.1 Tipos de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . 834.1.2 Evolução do Malware . . . . . . . . . . . . . . . . . . . . . . . 834.1.3 Exemplos de Malware . . . . . . . . . . . . . . . . . . . . . . . 84

4.2 Deteção de Intrusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854.2.1 Intrusões relacionadas com Malware . . . . . . . . . . . . . . . . 864.2.2 Tipos de intrusões . . . . . . . . . . . . . . . . . . . . . . . . . 874.2.3 Nı́vel de impacto das intrusões . . . . . . . . . . . . . . . . . . . 894.2.4 Evolução dos eventos de Intrusão . . . . . . . . . . . . . . . . . 90

x

4.2.5 Exemplos de Intrusões . . . . . . . . . . . . . . . . . . . . . . . 924.3 Testes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

4.3.1 Email, Proxy e Rede de Gestão . . . . . . . . . . . . . . . . . . . 944.4 Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

5 Conclusão e Trabalhos Futuros 97

Abreviaturas 102

Bibliografia 107

Índice 108

xi

Lista de Figuras

2.1 Cinco fases de ataque de uma Advanced Persistent Threat . . . . . . . . . 102.2 Seis fases de ataque do ransomware . . . . . . . . . . . . . . . . . . . . 122.3 Calcular o hash (SHA256 e MD5) do ficheiro zombies.pdf . . . . . . . . 142.4 Arquitetura de um ambiente virtual . . . . . . . . . . . . . . . . . . . . . 162.5 Representação de funcionamento do Virustotal . . . . . . . . . . . . . . 172.6 Arquitetura NIDS e HIDS . . . . . . . . . . . . . . . . . . . . . . . . . 192.7 Modelo genérico de uma firewall . . . . . . . . . . . . . . . . . . . . . . 212.8 Arquitetura NIPS e HIPS . . . . . . . . . . . . . . . . . . . . . . . . . . 222.9 Arquitetura do sistema Snort . . . . . . . . . . . . . . . . . . . . . . . . 242.10 Exemplo de regra snort - logins FTP (File Transfer Protocol) efetuados

com privilégios de root . . . . . . . . . . . . . . . . . . . . . . . . . . . 242.11 Exemplo de integração de um SIEM . . . . . . . . . . . . . . . . . . . . 272.12 Deteção point-in-time vs segurança retrospetiva da Cisco . . . . . . . . . 30

3.1 Configuração Cisco AMP da DCY/PT . . . . . . . . . . . . . . . . . . . 343.2 Polı́tica de controlo de acessos implementada na DCY/PT . . . . . . . . . 383.3 Perfis de utilizadores definidos . . . . . . . . . . . . . . . . . . . . . . . 393.4 Exemplificação do tráfego monitorizado . . . . . . . . . . . . . . . . . . 403.5 Integração Cisco AMP - tráfego do email corporativo . . . . . . . . . . . 413.6 Integração Cisco AMP - tráfego do serviço de proxy . . . . . . . . . . . . 423.7 Integração Cisco AMP - tráfego da rede de gestão do datacenter . . . . . 433.8 Exemplo de um evento de ligação . . . . . . . . . . . . . . . . . . . . . 443.9 Exemplo de um evento de intrusão . . . . . . . . . . . . . . . . . . . . . 453.10 Exemplo de evento de ficheiro . . . . . . . . . . . . . . . . . . . . . . . 473.11 Exemplo de evento de malware . . . . . . . . . . . . . . . . . . . . . . . 483.12 Polı́tica de ficheiros do sistema Cisco AMP . . . . . . . . . . . . . . . . 493.13 Integração com o SIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . 513.14 Exemplo de eventos Cisco AMP no Hidra . . . . . . . . . . . . . . . . . 523.15 Primeira fase de desenvolvimento - Orion.py . . . . . . . . . . . . . . . . 543.16 Segunda fase de desenvolvimento - Orion.py . . . . . . . . . . . . . . . . 553.17 Aplicação dos filtros nas regras de Snort . . . . . . . . . . . . . . . . . . 563.18 Aplicação dos filtros aplicacionais . . . . . . . . . . . . . . . . . . . . . 57

xiii

3.19 Dashboard Appliance Summary . . . . . . . . . . . . . . . . . . . . . . 593.20 Dashboard Connection Events - Separador Connections . . . . . . . . . . 603.21 Dashboard Connection Events - Separador Traffic . . . . . . . . . . . . . 623.22 Dashboard Feeds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633.23 Dashboard File Events - Separador Files . . . . . . . . . . . . . . . . . . 643.24 Dashboard File Events - Separador Storage . . . . . . . . . . . . . . . . 653.25 Dashboard File Events - Separador Unknowns . . . . . . . . . . . . . . . 663.26 Dashboard File Events - Separador Status . . . . . . . . . . . . . . . . . 673.27 Dashboard Intrusion Events - Separador Events . . . . . . . . . . . . . . 683.28 Dashboard Intrusion Events - Separador Details . . . . . . . . . . . . . . 703.29 Dashboard Intrusion Events - Separador Impact Events . . . . . . . . . . 703.30 Dashboard Malware Events - Separador Events . . . . . . . . . . . . . . 723.31 Dashboard Malware Events - Separador Files . . . . . . . . . . . . . . . 733.32 Dashboard MEO SOC - Separador Intrusion Events . . . . . . . . . . . . 753.33 Dashboard MEO SOC - Separador Promiscuous Hosts . . . . . . . . . . 763.34 Dashboard MEO SOC - Separador File Events . . . . . . . . . . . . . . 773.35 Dashboard MEO SOC - Separador Monitored Traffic . . . . . . . . . . . 783.36 Dashboard PT GEO Risk - Separador SUL e NORTE . . . . . . . . . . . 79

4.1 Método de propagação do malware . . . . . . . . . . . . . . . . . . . . . 824.2 Tipos de malware detetados . . . . . . . . . . . . . . . . . . . . . . . . . 834.3 Evolução do malware detetado ao longo do tempo . . . . . . . . . . . . . 844.4 Exemplos de malware detetado ao longo do tempo . . . . . . . . . . . . 854.5 Método de propagação das intrusões . . . . . . . . . . . . . . . . . . . . 864.6 Método de propagação das intrusões relacionadas com malware . . . . . 874.7 Tipos das intrusões detetadas . . . . . . . . . . . . . . . . . . . . . . . . 884.8 Tipos das intrusões de malware detetadas . . . . . . . . . . . . . . . . . 884.9 Nı́vel de impacto das intrusões detetadas . . . . . . . . . . . . . . . . . . 894.10 Nı́vel de impacto das intrusões de malware detetadas . . . . . . . . . . . 904.11 Evolução das intrusões detetadas ao longo do tempo . . . . . . . . . . . . 914.12 Evolução das intrusões de malware detetadas ao longo do tempo . . . . . 924.13 Limpeza de máquinas infetadas pelo SearchProtect . . . . . . . . . . . . 934.14 Ticket do RTIR com deteção do ficheiro Zombies.pdf . . . . . . . . . . . 94

5.1 Plano de expansão do tráfego monitorizado . . . . . . . . . . . . . . . . 98

xiv

xvi

Lista de Tabelas

3.1 Licenças disponı́veis para o Defense Center . . . . . . . . . . . . . . . . 35

4.1 Tabela de nı́veis de impacto das intrusões . . . . . . . . . . . . . . . . . 89

xvii

Capı́tulo 1

Introdução

1.1 Motivação

A crescente vulgarização do acesso à Internet aumentou, não só o universo dos utiliza-dores, como também a sofisticação dos equipamentos utilizados nos diferentes meios decomunicação atuais. Como consequência, também a dispersão de malware (malicioussoftware ou software malicioso) acompanhou este crescimento, apresentando-se atual-mente como uma das mais sérias ameaças de segurança na Internet [6].

Inúmeros sistemas informáticos espalhados pelo mundo apresentam-se infetados comdiversas classes de malware. Apesar da existência de software antivı́rus, firewalls, siste-mas de deteção e prevenção de intrusões, etc., as ameaças resultantes de software malici-oso persistem e continuam a crescer, encontrando novas formas de contornar os mecanis-mos de defesa.

A própria natureza do malware utilizado pelos atacantes mudou recentemente, evo-luindo da, relativamente simples, interrupção de serviços para a procura ativa de informaçãorelevante ou de ganhos financeiros. Quer isto dizer que, atualmente, o malware procuraser mais inteligente e criterioso na recolha da informação, camuflando-se sob a formade software legı́timo de modo a evitar os mecanismos de defesa existentes nos sistemasatuais.

É neste contexto que surge o tema e contribuição deste trabalho - Deteção de Malwarede Nova Geração e sua Mitigação - tendo como foco a infraestrutura de rede da PortugalTelecom e como recurso uma plataforma especializada na deteção de malware, a CiscoAdvanced Malware Protection (AMP).

No quadro destas ameaças, cada vez mais sofisticadas e inteligentes, impõem-se novasformas de defesa numa espécie de luta do “gato e do rato”. Este combate e os interessesassociados ao mesmo, constituem motivação bastante para que se reforce o estudo nainovação e implementação de novos mecanismos de defesa.

1

Capı́tulo 1. Introdução 2

1.2 Objetivos

O presente trabalho pretende tirar partido da plataforma Cisco AMP, configurando-a eintegrando-a no ecossistema de cibersegurança da DCY/PT (Direção de Cibersegurançada Portugal Telecom) em articulação com outras plataformas que, em conjunto, dão su-porte ao Centro de Operações de Cibersegurança (SOC - Security Operations Center). Asolução deverá detetar, reportar e mitigar malware o mais rapidamente possı́vel, de modoa evitar a sua proliferação nos sistemas da Portugal Telecom.

O objetivo central deste trabalho será, para os pontos de entrada (Ingress) e saı́da(Egress) de tráfego relevantes no perı́metro da Portugal Telecom, implementar a soluçãoCisco AMP de forma a:

• Detetar, classificar e medir malware através da análise de tráfego de entrada (In-gress);

• Detetar e medir infeções já estabelecidas através da análise de tráfego de saı́da(Egress);

• Reportar malware que não tenha sido detetado por outras plataformas da PortugalTelecom designadas para o efeito, numa perspetiva de segurança em profundidade.

A integração de uma plataforma com as caracterı́sticas da Cisco AMP na arquiteturade segurança da DCY surge como uma opção estratégica do próprio departamento. Estaintegração vem acrescentar uma camada de segurança no contexto da deteção de malware,numa perspetiva de segurança em profundidade. A utilização de plataformas de diferentesfabricantes, mesmo que estas partilhem filosofias semelhantes, é a base desta perspetiva.

Esta solução apresenta uma visão diferenciadora em relação às plataformas já existen-tes na arquitetura de segurança da DCY, no que à análise de malware diz respeito. Entreoutras caracterı́sticas, destaca-se a capacidade de deteção e monitorização contı́nua, i.e., acapacidade de detetar eventos de malware mesmo após a entrada no sistema, fazendo uma“retrospetiva” até ao momento da sua infiltração inicial. A sua integração não pretendesubstituir nenhuma das componentes já existentes na arquitetura de cibersegurança massim complementá-las.

Capı́tulo 1. Introdução 3

1.3 Contribuições

A contribuição deste trabalho pode ser medida pelos efeitos práticos do mesmo num am-biente real como o apresentado no caso da Portugal Telecom. Analisando o trabalho comoum todo é possı́vel concluir quatro contribuições, de forma resumida, importantes para ocontexto empresarial e funcional de uma empresa com a dimensão da já referida.

Primeiramente, pode considerar-se que a implementação desta plataforma veio acres-centar uma nova camada de segurança no ecossistema da Portugal Telecom, tendo comofoco a deteção de malware. A plataforma cumpre com o objetivo de enriquecer os meca-nismos de defesa existentes no momento da sua integração, assentando numa polı́tica desegurança em profundidade.

O segundo ponto está ligado às capacidades da própria plataforma em aumentar avisibilidade sobre o tráfego (entrada e saı́da) da rede monitorizada. Consequentemente égarantida uma maior visibilidade sob possı́veis ameaças causadas por malware em toda arede monitorizada.

A terceira contribuição está relacionada com a capacidade de dotar o SOC de meca-nismos mais eficazes no combate ao malware. O desenvolvimento deste trabalho permitiuque a equipa de resposta a incidentes (SOC) tivesse acesso a informações mais detalhadasde todo o malware detetado, auxiliando assim o seu trabalho.

Por último, a integração da Cisco AMP com outras plataformas internas da DCYpermite o enriquecimento da informação (que pode não ser de segurança) recolhida acercados seus ativos de rede. Desta forma é possı́vel correlacionar informação obtida pelasdiferentes plataformas de modo a detetar novas ameaças.

1.4 Estrutura do documento

Este documento encontra-se organizado da seguinte forma:

• Capı́tulo 2: Malware “A Nova Geração” - Este capı́tulo introduz as bases ne-cessárias para a compreensão da análise e deteção de malware. São apresentadas asdiferentes famı́lias de malware e as tecnologias de combate às mesmas, incluindo aplataforma central deste projeto (Cisco AMP).

• Capı́tulo 3: Caso de Uso “Portugal Telecom” - O capı́tulo apresenta o ambientede estudo e de integração da plataforma central do projeto. É detalhado o pro-cesso de configuração da Cisco AMP e de integração da mesma no ecossistema desegurança da DCY. Ao longo do capı́tulo vão sendo explicadas as funcionalidadese potencialidades da plataforma, reforçando as vantagens da sua implementação nocontexto da Portugal Telecom.

Capı́tulo 1. Introdução 4

• Capı́tulo 4: Avaliação e Testes - Neste capı́tulo são apresentados os resultadosda integração da plataforma Cisco AMP no caso de estudo da Portugal Telecom.A informação apresentada ao longo do capı́tulo foca-se na deteção de malwareao longo de um determinado perı́odo de tempo. São também apresentados algunsresultados referentes às capacidades de monitorização do tráfego por parte da pla-taforma. Este último ponto é importante na medida em que um dos objetivos pro-postos refere a capacidade de se detetar infeções através da análise de tráfego deentrada e saı́da. Por último, apresentam-se os testes efetuados ao longo do processode implementação da Cisco AMP.

• Capı́tulo 5: Conclusão e Trabalhos Futuros - O capı́tulo resume o trabalho aser realizado após a conclusão deste projeto. Tendo em conta as caracterı́sticasda plataforma e do ambiente em que a mesma se insere, é essencial considerar-se como inevitável a constante atualização da Cisco AMP. Após a filtragem dosresultados obtidos nesta primeira fase do projeto, deve ser considerada a expansãodo tráfego monitorizado pela plataforma, abrangendo dessa forma outros pontosda rede tidos como relevantes para a empresa. São tiradas conclusões do trabalhorealizado no contexto empresarial da Portugal Telecom e do seu departamento decibersegurança.

Capı́tulo 2

Malware: A Nova Geração

“A cada 81 segundos é feito download de um malware já conhecido” - CheckPoint[4]“Mais de 430 Milhões novos ficheiros de malware em 2015” - Symantec[20]“20 Milhões de novas amostras de malware nos primeiros 3 meses de 2016” - PandaLabs[11]“42 Milhões de hashes maliciosos no último trimestre de 2015” - McAfee[9]

Estes são os resultados de estudos recentes que apontam o malware como sendo res-ponsável por parte significativa dos incidentes de cibersegurança atuais. Considera-semalware (malicious software ou software malicioso) todo o programa capaz de provocardanos a um utilizador, computador ou rede de computadores, podendo este assumir diver-sas formas. Este capı́tulo pretende dar a conhecer as variantes de malware mais comunse introduzir os diferentes métodos de análise das mesmas.

Em seguida são apresentadas as tecnologias mais utilizadas no combate ao malwaree tentativas de intrusão em geral, assumindo que estas podem ter como origem ficheirosmaliciosos. Por fim, conclui-se o capı́tulo com um exemplo de integração das diferentestecnologias apresentadas, incluindo as mais recentes no combate ao malware avançadoou de última geração.

2.1 Tipos de Malware

Ao iniciar-se um processo de análise de malware, deve-se ter em conta as diferentes vari-antes do mesmo. No entanto, importa referir que a definição dada aos diferentes tipos demalware nem sempre é absoluta, tendo em conta que algumas variantes exibem comporta-mentos multidisciplinares. Por exemplo, um keylogger, para além de recolher passwords,pode também comportar-se como um worm que se propaga e ao mesmo tempo enviaemails de spam.

5

Capı́tulo 2. Malware: A Nova Geração 6

Nesta secção serão apresentados diferentes tipos de malware, ressalvando que a evoluçãodo próprio pode levar a diferentes definições, conceitos e variantes. Assim sendo, serãoapresentadas as variantes que, nos dias de hoje, são tidas como mais relevantes para ocontexto empresarial deste trabalho. Pese embora a inexistência de um consenso nadefinição dos diferentes tipos, a listagem seguinte apresenta um conjunto de terminologiasde acordo com os autores William Stallings and Lawrie Brown [22] e Michael Sikorskiand Andrew Honig [17], nas suas respetivas obras:

• Vı́rus - Esta variante replica-se sempre que é executado procurando infetar outrasmáquinas ou programas executáveis. A sua propagação é feita de máquina emmáquina, deixando novas infeções à medida em que se propaga através de ficheirosexecutáveis infetados.

• Worm - Contrariamente ao que sucede com os vı́rus, os worms são capazes de ope-rar de forma independente, propagando-se para outros computadores ou redes decomputadores através da exploração de vulnerabilidades nesses sistemas. A pro-cura ativa de novas máquinas e sistemas que possam ser comprometidas é a carac-terı́stica que melhor define esta variante, servindo os sistemas já comprometidoscomo plataformas disseminadoras de novas infeções.

• Cavalo de Tróia ou Trojan - Um programa que atua de forma discreta, mascarando-se sob a forma de um programa legı́timo de modo a contornar os mecanismos desegurança da máquina alvo. Pode ser utilizado para obter informação potencial-mente relevante contida em ficheiros do sistema infetado.

• Flooders (clientes DoS - Denial of Service) - Utilizados para gerar volumes detráfego consideráveis, tendo como objetivo a interrupção do serviço (DoS) do sis-tema alvo.

• Macro Vı́rus - Um tipo de vı́rus que explora macros ou códigos de scripts. Tipica-mente embebidos em documentos (Word, Excel, etc.), de modo a serem executadosjuntamente com os mesmos.

• Exploits - Código especificamente desenvolvido para explorar um determinadoconjunto de vulnerabilidades.

• Drive by Download - Um ataque utilizado através de código inserido em páginasweb vulneráveis, tendo como objetivo atacar o cliente do sistema que aceda a essaspáginas.

Capı́tulo 2. Malware: A Nova Geração 7

• Bot/Botnet [2] - A Norton 1 descreve esta variante como um programa presentenuma máquina infetada que pode ser utilizado para executar ataques a outras máquinas.Normalmente estes bots fazem parte de uma rede, por vezes à escala global, de com-putadores infetados denominada de botnet. Os computadores infetados (zombies)são controlados por cibercriminosos ( bot herders ou botmasters). Depois de infeta-das, as máquinas são frequentemente utilizadas para disseminação de spam, ataquesde DoS distribuı́dos entre outros.

• Adware - É o tipo de malware menos evasivo, mas talvez o mais lucrativo. A suaprincipal função é a disseminação de publicidade, de vários tipos, através da suaintegração em programas. A publicidade é apresentada sob a forma de banners, ja-nelas de pop-up, páginas web, mensagens de email entre outros serviços disponı́veisna Internet.

• Spammers - Utilizados para enviar volumes abusivos de email indesejado. Podemser instalados em máquinas previamente comprometidas por forma a utilizá-las noenvio de email indesejado. À semelhança do Adware, é um tipo de malware quepode ser muito lucrativo tendo em conta que os atacantes são, em muitos casos,pagos por entidades interessadas em divulgar os seus produtos ou serviços.

• Spyware - É um software utilizado para a recolha de informação, proveniente dekeystrokes 2, dados do ecrã, tráfego de rede, webcams, entre outros. A informaçãorecolhida é posteriormente enviada para o agente malicioso. Este programa é nor-malmente instalado sem a perceção do utilizador da máquina infetada, permitindoque a informação seja recolhida de forma discreta.

• Keylogger - Regista todas as keystrokes de uma máquina infetada, podendo a informaçãorecolhida ser armazenada localmente ou enviada remotamente para o agente mali-cioso.

• Backdoor - Qualquer mecanismo que permita acesso não autorizado a funcionali-dades desse mesmo programa ou sistema, não estando sujeito a quaisquer proce-dimentos de segurança. Embora sejam vulgarmente utilizados por programadorespara testes, este recurso pode ser explorado de modo a que um agente maliciosogaranta acesso remoto, não autorizado, a uma máquina. Noutros casos, assume afunção de código malicioso instalado no computador de uma vı́tima, de modo a queo atacante aceda remotamente ao sistema comprometido.

1http://us.norton.com/botnet/2Teclas premidas num teclado durante um perı́odo de tempo

http://us.norton.com/botnet/

Capı́tulo 2. Malware: A Nova Geração 8

• Rootkit - Conjunto de ferramentas utilizadas pelo atacante após ter garantido acessoprivilegiado a um sistema. O acesso privilegiado garante ao atacante total con-trolo das funcionalidades do sistema, permitindo-o alterar ficheiros, monitorizarprocessos, tráfego de rede, etc. Estas ferramentas têm a capacidade de efetuaralterações no sistema infetado por forma a contornar os mecanismos de segurançadesse mesmo sistema. Podem conter outros tipos de malware como backdoors, porforma a garantirem acesso remoto ao atacante.

2.1.1 Advanced Persistent Threats

As recentes mudanças no paradigma das Tecnologias de Informação, incluindo a mobili-dade, computação na nuvem e a virtualização, dissolveram os tradicionais perı́metros desegurança. Esta alteração proporcionou um ambiente mais variado e, consequentemente,mais propı́cio a possı́veis atacantes. Neste contexto surge um novo elemento significativo:as Ameaças Persistentes Avançadas (APT - Advanced Persistent Threat).

A Symantec [19] define as APTs como “um ataque orientado, com um alvo especı́fico,que recorre a uma variedade de técnicas, incluindo o download de ficheiros de forma nãointencional, injeção de SQL, malware, phishing, spam, entre outros. São englobadas,frequentemente, várias destas tecnologias num único ataque. Uma APT é sempre classi-ficada como um ataque orientado, mas o contrário nem sempre sucede, isto é, um ataqueorientado nem sempre é sinónimo de uma APT.”

Os autores Stallings e Brown [22] acrescentam à definição da Symantec como sendo“cibercrime aplicado de forma persistente e eficaz em alvos especı́ficos durante um vastoperı́odo de tempo, sendo muitas vezes atribuı́do a organizações financiadas e apoiadaspelo Estado”.

Estas ameaças focam-se na obtenção de informação relevante ao invés de simples-mente causar danos à infraestrutura de rede ou à própria empresa/organização. Os seusalvos preferenciais são empresas de setores cuja informação é valiosa, como a segurançanacional de um paı́s, indústria nuclear, tecnológica e financeira.

Os ataques de APTs são planeados e executados meticulosamente. A Symantec [19,18] divide-os em cinco fases distintas: Reconhecimento, Infiltração, Descoberta, Capturae Exfiltração. As diferentes fases de um ataque (ver figura 2.1), métodos utilizados e assuas motivações diferenciam as APTs de outros ataques direcionados:

Capı́tulo 2. Malware: A Nova Geração 9

• Fase 1: Reconhecimento - Estes ataques envolvem uma quantidade considerávelde investigadores que, durante vários meses, estudam os seus alvos, familiarizando-se com os seus sistemas, pessoas e processos, incluindo parceiros. No caso do Stux-net 3, a equipa responsável pelo ataque conhecia o funcionamento dos controladoreslógicos utilizados no enriquecimento de urânio que foram atingidos, mostrando onı́vel de sofisticação destes ataques;

• Fase 2: Infiltração - Os ataques direcionados, na sua generalidade, forçam a en-trada na rede de uma organização através de engenharia social, vulnerabilidadesnão divulgadas (zero-day) , injeção SQL, malware orientado, entre outros. No casodas APTs, as técnicas e ferramentas utilizadas são mais sofisticadas quando compa-radas com ataques direcionados mais comuns. Enquanto os ataques mais comunsrecorrem a técnicas mais agressivas, menos discretas e com pouca durabilidade, asAPTs procuram incursões que permitam estabelecer ligações duradouras entre oalvo e o atacante;

• Fase 3: Descoberta - Depois de garantida a infiltração no sistema da organizaçãoalvo, o atacante procura obter informação confidencial ou instruções operacionaisque sejam relevantes. A descoberta pode incluir redes desprotegidas, bem comovulnerabilidades de software ou hardware, credenciais e outras formas de acessoa recursos adicionais. Uma vez mais, estes ataques procuram ser minuciosos eoportunistas, no sentido em que não abdicam de meios complexos por forma aevitar a sua deteção;

• Fase 4: Captura - Na fase de captura, os dados armazenados em sistemas inse-guros são imediatamente acedidos pelos atacantes. Para além disso, podem serinstalados rootkits nos sistemas alvo e pontos de acesso da rede por forma a cap-turar informações ou instruções à medida que estas fluem no tráfego de rede daorganização;

• Fase 5: Exfiltração - Após garantirem o controlo do sistema alvo, os atacantesprocedem ao roubo da propriedade intelectual, informação ou outros dados confi-denciais adquiridos ao longo do processo de ataque. Após ordem do atacante (CnC--Command and Control), os dados obtidos podem ser enviados de volta à base deoperações. O envio desta informação pode ser feito com recurso a pacotes ou fi-cheiros cifrados.

3APT identificada em 2010 que tinha como alvo o programa nuclear do Irão - https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdfhttps://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdfhttps://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

Capı́tulo 2. Malware: A Nova Geração 10

Figura 2.1: Cinco fases de ataque de uma Advanced Persistent Threat

2.1.2 Ransomware

Talvez seja a variante de malware que mais popularidade tem ganho nos últimos anose também aquela que, pelas suas caracterı́sticas, maiores dificuldades tem causado àsequipas de cibersegurança. Esta variante cifra ficheiros de um computador, exigindo pos-teriormente um resgate por forma a ceder uma chave que decifre os ficheiros.

A TrendMicro [13] descreve o ransomware como sendo “um tipo de malware queimpede ou limita a capacidade dos utilizadores em aceder ao seu computador ou sistema,bloqueando o ecrã do mesmo ou o acesso aos seus ficheiros”. As famı́lias de ransomwaremais recentes, denominadas de crypto-ransomware, cifram certo tipo de ficheiros nossistemas afetados e forçam os utilizadores a pagar um resgate, através de um método depagamento online, por forma a obter a chave necessária para a decifra.

Os primeiros protótipos de ransomware foram desenvolvidos nos anos 90, atravésda ideia de utilização de chaves públicas criptográficas para ataques informáticos. Noseu artigo de 1996, Young and Yung [24] referem que o protótipo desenvolvido serve opropósito de demonstrar que a criptografia pode ser utilizada como forma de extorsão,causando a perda de acesso a dados.

A utilização de múltiplas chaves na cifra assimétrica permite que os dados sejam ci-frados com a chave pública sem que nunca seja exposta a chave privada. No caso doransomware esta é uma caracterı́stica essencial, garantindo que os dados e a informação

Capı́tulo 2. Malware: A Nova Geração 11

se mantêm do lado do atacante. Ainda assim, estes protótipos continuavam com um pro-blema de logı́stica por resolver: como garantir que o resgate é pago sem que a identidadedo atacante seja exposta?

O anonimato oferecido pelas cryptocurrencies 4, levou a que os resgates fossem co-brados através do pagamento em Bitcoins 5. No entanto, o pagamento do resgate nemsempre é garantia de que os dados serão decifrados posteriormente, ficando o utilizadordependente das intenções do atacante.

A invenção do Bitcoin veio reacender o interesse de agentes maliciosos no ransomware.Entre outras caracterı́sticas [10], a utilização desta moeda digital garante a potenciais ata-cantes que:

• Não existe um banco central ou uma autoridade para a moeda, eliminando a possi-bilidade do valor da moeda ser manipulado por essas entidades;

• Transações pseudo-anónimas, significando que, embora a transação da moeda sejaanunciada na rede, não existe uma maneira simples de corresponder contas Bit-coin a identidades no mundo real, garantido desta forma uma significativa dose deprivacidade;

• As transações básicas são irreversı́veis, uma vez feita a transferência não existeforma de terceiros forçarem o reembolso.

A disseminação de ransomware pode assumir várias formas, sendo que as variantesmais conhecidas propagam-se através de anexos em emails de spam, transferência deficheiros contidos em páginas maliciosas ou exploit kits que exploram vulnerabilidadesdos sistemas operativos. Olhando para o seu modelo de operação (ver figura 2.2), podemidentificar-se seis fases de ataque , conforme refere a McAfee [10]:

• A primeira fase é a distribuição: O ransomware utiliza métodos relativamentesimples e comuns para a sua propagação. Normalmente dissemina-se através decampanhas de phishing envolvendo anexos em emails ou a transferência para umcomputador que visita páginas web comprometidas;

• A segunda fase é a infeção: O binário chega ao computador do utilizador e iniciaos processos necessários para a sua ação maliciosa;

• A terceira fase é a comunicação: O ransomware pede aos seus servidores a chavepública necessária para cifrar os dados;

4Moeda digital utilizada como meio de troca que utiliza criptografia por formaa garantir transações seguras - http://www.forbes.com/forbes/2011/0509/technology-psilocybin-bitcoins-gavin-andresen-crypto-currency.html

5Moeda digital e sistema de pagamento criado por Satoshi Nakamoto [15] e distribuı́do sob licençaopen-source em 2009.

http://www.forbes.com/forbes/2011/0509/technology-psilocybin-bitcoins-gavin-andresen-crypto-currency.htmlhttp://www.forbes.com/forbes/2011/0509/technology-psilocybin-bitcoins-gavin-andresen-crypto-currency.html

Capı́tulo 2. Malware: A Nova Geração 12

• A quarta fase é a pesquisa dos ficheiros: O ransomware inicia o processo de pes-quisa de ficheiros no sistema. Procura por ficheiros que podem ser relevantes para outilizador e que não podem ser facilmente replicados, tais como: .jpg , .docx, .xlsx,.pptx e .pdfs;

• A quinta fase é a cifra: esta é tipicamente realizada através da movimentação ealteração do nome dos ficheiros alvo, cifrando-os e alterando o nome dos ficheirosapós a conclusão do processo de cifra;

• A sexta e última fase é o resgate: normalmente exigido através do ecrã do compu-tador afetado, referindo o valor a pagar em Bitcoins ou noutra cryptocurrency.

Uma das variantes de ransomware mais noticiadas em todo o mundo é a famı́lia Cryp-toLocker. Esta variante foi lançada em 2013 e combinava, na altura, novas potencialidadescomo o método de cifra assimétrica e a nova moeda digital, o Bitcoin, para o pagamentodos resgates. Foi esta a primeira famı́lia de ransomware a utilizar Bitcoins nos seus pa-gamentos, estimando-se que rendeu aos seus criadores cerca de 27 milhões de dólares emBitcoins [10].

Nos dias de hoje é possı́vel constatar-se, nos diferentes meios de comunicação 6 ede investigação da área da cibersegurança [8, 21, 7], que o ransomware continua em ex-pansão, surgindo cada vez mais casos de empresas e individuais afetados por esta ameaça.

Figura 2.2: Seis fases de ataque do ransomware

6https://newsroom.cisco.com/press-release-content?type=webcontent&articleId=1780586 http://www.bbc.com/news/technology-38731011 http://www.independent.co.uk/topic/ransomware

https://newsroom.cisco.com/press-release-content?type=webcontent&articleId=1780586https://newsroom.cisco.com/press-release-content?type=webcontent&articleId=1780586http://www.bbc.com/news/technology-38731011http://www.independent.co.uk/topic/ransomwarehttp://www.independent.co.uk/topic/ransomware

Capı́tulo 2. Malware: A Nova Geração 13

2.2 Análise de Malware

A investigação na área da análise de malware procura encontrar soluções que visema deteção e mitigação de ameaças através do desenvolvimento de novas tecnologias,técnicas e procedimentos. Esta secção pretende dar a conhecer as duas técnicas de análisede malware que Michael Sikorski e Andrew Honig [17] consideram como sendo a baseda abordagem seguida pelas diferentes equipas que estudam o malware - Análise Estáticae Análise Dinâmica de malware. O entendimento destas duas técnicas permite que, pe-rante uma possı́vel ameaça, seja tomada a decisão mais correta na análise desse evento,recorrendo às tecnologias e soluções mais adequadas para cada caso.

2.2.1 Análise Estática de Malware

A análise estática descreve o processo de estudo da estrutura ou código de um programapor forma a determinar a sua função sem que o mesmo seja executado. Por outras pala-vras, significa que um determinado ficheiro, possivelmente malicioso, é analisado sem asua execução.

Este processo de análise pode confirmar se um ficheiro é realmente malicioso ao for-necer informação das ações que este executa, servindo a informação obtida para a criaçãode, por exemplo, assinaturas de rede para um Sistema de Deteção de Intrusões (IDS -Intrusion Detection System).

O método de engenharia reversa (reverse engineering) é muitas vezes sinónimo destetipo de análise, explorando as instruções que compõem um determinado ficheiro porforma a descobrir a sua função através de um disassembler 7. Existem várias formasde extrair informação útil destes ficheiros executáveis possivelmente maliciosos, tal men-cionado por Sikorski e Honig [17]:

• Utilização de antivı́rus para análise de ficheiros possivelmente maliciosos;

• Utilização de hashes 8 para identificar malware;

• Recolha de informação através de palavras (strings) relevantes.

Utilização de Antivı́rus: O Primeiro Passo

Quando se inicia o processo de análise de um ficheiro potencialmente malicioso, a execuçãodo mesmo em vários antivı́rus é um primeiro passo recomendável. Alguns antivı́rus po-dem já ter o ficheiro identificado como malware, pelo que, a comparação de resultadosentre diferentes fabricantes pode fornecer uma informação mais completa sobre o ficheiro.

7conversor de linguagem máquina para linguagem assembly8utilizado como identificador unı́voco de ficheiros, geralmente através das funções MD5, SHA -1 ou

SHA-256

Capı́tulo 2. Malware: A Nova Geração 14

No entanto os antivı́rus estão longe de serem perfeitos, dependendo em boa parte depequenos fragmentos de código (assinaturas ou file signatures), padrões (heurı́stica) ecomportamentos conhecidos e identificados, a priori, como sendo maliciosos.

Os ficheiros de malware podem ser facilmente alterados por forma a mudar a suaassinatura e assim contornar os sistemas antivı́rus, aumentando a dificuldade destes emdetetar novas variantes. Assim sendo, malware que seja raro ou demasiado recente pode,por vezes, ludibriar os diferentes antivı́rus existentes no mercado. Existem alguns serviçosdisponı́veis na Internet (p.e.Virustotal) que permitem a análise de um ficheiro suspeito emvários sistemas antivı́rus.

Utilização de Hashes: Identificação de Malware

O hashing, neste contexto, é um método comumente utilizado na identificação de ficheiros(podendo estes conter malware) de forma única. Este hash é gerado a partir do ficheirode malware, recorrendo a um programa que permite gerar um identificador único.

As funções de hash Message-Digest Algorithm 5 (MD5) e Secure Hash Algorithm(SHA-1 e SHA-2) são as mais comuns no contexto da análise de malware. As ferramentasSHASUM e MD5 permitem calcular o hash do ficheiro em SHA256 e MD5, produzindoo output apresentado na figura 2.3. Tendo gerado um hash único para cada ficheiro demalware pretendido, é possı́vel:

• Identificar malware de forma única;

• Partilhar o hash com outros analistas por forma a identificar malware;

• Pesquisar pelo hash na Internet, procurando saber se o mesmo já foi identificadopor outros analistas.

Figura 2.3: Calcular o hash (SHA256 e MD5) do ficheiro zombies.pdf

Pesquisa por termos (strings)

Normalmente, estes termos encontram-se em programas ou scripts que imprimam umamensagem no ecrã, comuniquem com um determinado URL ou copiem ficheiros parauma localização especı́fica. A funcionalidade destes programas ou ficheiros é desco-berta através da análise destes termos, como por exemplo, um programa que acede a umdeterminado website e contém o URL no seu código sob o formato de string (p.e, url-link=http://website.malicioso.pt).

Capı́tulo 2. Malware: A Nova Geração 15

2.2.2 Análise Dinâmica de Malware

A análise dinâmica, contrariamente à análise estática, estuda o comportamento de umdeterminado ficheiro de malware através da sua execução. Os autores Sikorski e Honigdefinem-na como sendo qualquer análise realizada através da execução de malware.

O objetivo desta técnica é o de observar o comportamento do sistema enquanto oficheiro de malware está a ser executado. Através desta observação podem ser desen-volvidos métodos de remoção da infeção causada pelo agente malicioso, assinaturas derede ou ambos. Esta técnica é normalmente utilizada após a realização de uma análiseestática do ficheiro, assumindo que a anterior apresentou resultados inconclusivos. Tendoem conta as caracterı́sticas deste tipo de análise, torna-se necessária a utilização de umambiente que permita a execução de ficheiros de malware sem que estes comprometam osistema ou rede em produção.

Esta necessidade advém do facto dos ficheiros de malware poderem contaminar todauma rede tendo como ponto de entrada a máquina utilizada para os testes. Como tal,a análise de ficheiros de malware deve ser feita de modo a não expôr máquinas, redesou sistemas em produção, a riscos desnecessários. A análise dinâmica de ficheiros demalware pode ser feita com recurso a dois tipos de ambientes distintos: fı́sicos ou virtuais.

Ambientes Fı́sicos

A primeira abordagem consiste na utilização de máquinas fı́sicas sem ligação à Internet,podendo estas fazer parte de uma rede também ela sem ligação à Internet por forma a evi-tar a disseminação do malware. Algumas variantes de malware comportam-se de maneiradiferente quando detetam que estão a ser executados num ambiente virtual, dificultandodessa forma o processo de análise. É principalmente neste último aspeto que a análise emambientes fı́sicos apresenta vantagens em relação aos ambientes virtuais.

No entanto, esta abordagem apresenta algumas desvantagens tendo em conta que, emalguns casos, os ficheiros de malware necessitam de ligação à Internet para executar de-terminadas funções (updates, command and control, ransomware, etc.). Para além disso,acrescenta-se a dificuldade em remover certos tipos de malware após a disseminação naprópria máquina ou rede, mesmo que esta esteja isolada. Nesses casos, seria necessáriomontar uma outra rede de testes para novos testes.

A recriação de um ambiente de testes fı́sico pode tornar o processo de análise maislento, tendo em conta o tempo necessário para a criação de um novo cenário livre demalware. Assim sendo, a utilização de ambientes fı́sicos pode não ser aconselhável emcasos onde a falta de recursos e de tempo são condicionantes.

Capı́tulo 2. Malware: A Nova Geração 16

Sandboxing: Ambientes Virtuais

Os autores Sikorski e Honig descrevem os ambientes virtuais ou sandboxes como um me-canismo de segurança utilizado para executar programas, potencialmente não-confiáveis,num ambiente seguro com recurso a máquinas virtuais.

A principal vantagem deste tipo de análise é a facilidade em restaurar as máquinas vir-tuais mesmo que estas tenham sido comprometidas aquando da realização de uma análisea um ficheiro malicioso, bastando para isso restaurar a imagem virtual da máquina para oseu estado inicial. Esta abordagem permite a utilização de máquinas virtuais com ligaçãoà Internet, oferecendo a possibilidade de se analisar o comportamento de um determinadoficheiro que necessita de acesso à Internet para executar operações maliciosas.

Como já foi referido, existe a desvantagem de alguns tipos de malware serem capazesde detetar a sua execução em máquinas virtuais, comportando-se de maneira diferentepor forma a mascarar a sua real funcionalidade. Tendo em conta os riscos e desvantagensdos ambientes fı́sicos, a escolha acaba por recair, na maioria dos casos, nestes ambientesvirtuais. A figura 2.4 representa o funcionamento de um ambiente virtual ou sandboxcomo é comumente referido.

Figura 2.4: Arquitetura de um ambiente virtual

Capı́tulo 2. Malware: A Nova Geração 17

2.2.3 Virustotal

O VirusTotal 9 é um serviço online gratuito que permite a análise de ficheiros e URLs.Tem como objetivo a identificação de conteúdo malicioso através da utilização de váriosantivı́rus e scanners de websites.

O serviço permite o envio de ficheiros para que estes possam ser analisados pelosdiferentes fornecedores de antivı́rus e restantes ferramentas (ver figura 2.5). Depois daanálise é gerado um relatório com a listagem completa dos resultados obtidos por cadaum dos antivı́rus, contendo a classificação dada ao ficheiro (malicious ou clean), o nomedo ficheiro de malware (quando disponı́vel) e informação adicional.

A informação colecionada tem como origem os resultados obtidos através de diferen-tes plataformas de antivı́rus, scanners de websites/domı́nios, ferramentas de análise deficheiros e URLs, bem como a informação partilhada pela comunidade. As assinaturas demalware e blacklists mantêm-se atualizadas através da sincronização com os fornecedo-res de antivı́rus. Esta atualização é feita periodicamente, com um intervalo de 15 minutos,por forma a garantir a sincronização do serviço com as plataformas antivı́rus e que o seuconjunto de assinaturas se mantém na versão mais recente.

Encontra-se também integrado com um fórum que permite a troca de informação en-tre utilizadores relativamente a ficheiros ou URLs suspeitos. Os utilizadores podem fa-zer comentários elaborados sobre cada um desses ficheiros ou URLs, para além de lhesatribuı́rem uma classificação. Desta forma é possı́vel estabelecer um grau de certezamaior, permitindo que os utilizadores identifiquem falsos positivos e falsos negativos quepossam não ter sido corretamente identificados pelas plataformas que incorporam o Vi-rusTotal.

Figura 2.5: Representação de funcionamento do Virustotal

9https://www.virustotal.com/

https://www.virustotal.com/

Capı́tulo 2. Malware: A Nova Geração 18

2.3 Deteção e Mitigação de Malware

Esta secção pretende resumir as diferentes tecnologias de segurança mais utilizadas pelasempresas e organizações, nos dias de hoje. Tendo em conta o vasto leque de soluçõesde segurança existentes no mercado, foram selecionadas apenas as tecnologias que seenquadravam com a temática deste trabalho e com o contexto do mesmo. As plataformasutilizadas ao longo deste trabalho, tendo como foco a deteção de malware, encaixamem termos gerais, nas diferentes tecnologias aqui apresentadas: Sistemas de Deteção ePrevenção de Intrusões, Firewalls, Proxies (SECaaS - Security as a Service) e Gestores eCorrelacionadores de Eventos de Segurança (SIEM).

2.3.1 Sistemas de Deteção de Intrusões

No seu livro [22], William Stallings descreve os Sistemas de Deteção de Intrusões (IDS)como serviços de segurança utilizados para monitorizar e analisar eventos de um determi-nado sistema, com o objetivo de alertar, em tempo real, para tentativas de acesso não au-torizado a recursos. Estes mecanismos (IDS) são divididos em três componentes lógicasde funcionamento:

• Sensores: responsáveis pela recolha de dados. A informação recolhida pode conterevidências de um evento de intrusão, podendo esta assumir a forma de pacotes derede, ficheiros de log, entre outros. Os sensores reencaminham os dados para oanalyzer;

• Analyzers: recebe os dados transmitidos por um ou vários sensores ou por outrosanalyzers, sendo estes armazenados numa base de dados para posterior análise. Asua principal responsabilidade é a de determinar se ocorreu ou não uma intrusão;

• Interface: permite que visualização dos resultados obtidos pelos analyzers e ainformação recolhida pelos sensores. Permite a configuração geral do próprio sis-tema de deteção de intrusões.

Os IDSs recorrem a pelo menos um sensor e um analyzer. No entanto, podem serutilizados múltiplos sensores que monitorizam um determinado número de máquinas ousegmentos de rede, enviando posteriormente a informação obtida para um analyzer cen-tralizado. Existem essencialmente dois tipos de IDSs distintos (ver figura 2.6):

• IDS baseado no anfitrião ou Host-based IDS (HIDS): monitorizam as carac-terı́sticas e eventos de uma única máquina, como os identificadores de processose chamadas de sistema realizadas, tendo por objetivo a deteção de possı́veis ativi-dades suspeitas;

Capı́tulo 2. Malware: A Nova Geração 19

• IDS baseado na rede ou Network-based IDS (NIDS): monitorizam o tráfego deuma rede ou de determinado segmento de rede, analisando o protocolo de rede,transporte e aplicacional de modo a identificar possı́veis atividades suspeitas.

Os IDSs seguem uma (ou ambas) de duas abordagens de análise da informação obtidapelo sensor, de modo a identificar tentativas de intrusão:

• Deteção de Anomalias: primeiramente, necessita de uma recolha de informaçãorelativamente ao comportamento de uma utilização ou utilizadores legı́timos du-rante um determinado perı́odo de tempo, por forma a definir aquilo que é o padrãode uma utilização legı́tima. Em seguida é analisado o tráfego em tempo real, iden-tificando possı́veis intrusões sempre que se verificarem desvios significativos aopadrão legı́timo;

• Deteção Heurı́stica ou por Assinatura: utiliza uma série de assinaturas ou re-gras (heurı́sticas) já conhecidas que, quando comparadas com o tráfego a ser mo-nitorizado, permite identificar possı́veis intrusões. Este tipo de abordagem apenaspermite detetar ataques cujas assinaturas ou regras já são conhecidas.

Figura 2.6: Arquitetura NIDS e HIDS

Capı́tulo 2. Malware: A Nova Geração 20

2.3.2 Firewalls e Sistemas de Prevenção de Intrusões

Atualmente é quase impensável pensar-se numa rede corporativa completamente isolada,ou seja, sem ligação à Internet. Quer isto dizer que toda e qualquer rede que tenha acessoà Internet pode estar suscetı́vel a sofrer ataques de vários tipos pelo que, impõe-se queestas redes estejam protegidas de ameaças externas. Neste contexto surge a importânciada utilização de mecanismos de segurança como as Firewalls e Sistemas de Prevenção deIntrusões em geral.

Firewalls

A caracterı́stica básica apresentada por Stallings [22], relativamente à definição de fi-rewall, consiste na capacidade de bloquear tráfego indesejado, permitindo ao mesmotempo que os utilizadores de uma rede interna acedam à Internet (ver figura 2.7). Aindaassim é importante conhecer os objetivos que norteiam a utilização de uma firewall, talcomo definidos por Bellovin e Cheswick [1]:

1. Todo o tráfego proveniente da rede interna para o exterior (e vice-versa) deve passarpela firewall;

2. Apenas o tráfego autorizado e definido pela polı́tica de segurança local será permi-tido pela firewall;

3. A própria firewall deverá ser imune a intrusões. Quer isto dizer que o sistema ondeestá configurada a firewall, deverá ser alvo de reforço a nı́vel de segurança por formaa não comprometer todo o objetivo da mesma.

O autor William Stallings refere que um dos aspetos centrais na implementação deuma firewall é a definição de uma boa polı́tica de acessos. Esta polı́tica define qual otráfego permitido ou, por outras palavras, representa o tráfego que a empresa ou organizaçãodefiniu como aceitável. A polı́tica de acesso deve, primeiramente, ser definida através daaplicação de filtros para perfis de tráfego mais gerais para que, em seguida, se definamfiltros para perfis de tráfego mais particulares. Existe um conjunto de caracterı́sticas quepodem ser utilizadas pela polı́tica de acesso de uma firewall de modo a filtrar o tráfego,tal como apresentado por Karen Scarfone e Paul Hoffman [5]:

• Endereço IP e Portas Lógicas: o controlo é feito tendo como base o IP de origem,IP de destino, portas lógicas, sentido do tráfego de entrada e de saı́da. Normalmenteutilizados para limitar o acesso de serviços especı́ficos;

• Protocolo Aplicacional: baseia-se nos dados autorizados pelo protocolo aplicaci-onal, como por exemplo, verificar se um email (SMPT) contém spam ou se umdeterminado pedido HTTP (Hypertext Transfer Protocol) corresponde ao de umwebsite autorizado;

Capı́tulo 2. Malware: A Nova Geração 21

• Identidade do Utilizador: controlo de acesso baseado na identidade do utilizadorque, por sua vez, recorre a um qualquer mecanismo de acesso seguro (IPSec);

• Atividade de Rede: controla o acesso tendo em conta algumas considerações comoo tempo/hora ou tipo de pedido, como por exemplo, quantidade de pedidos duranteum curto espaço de tempo ou permissão de um determinado tipo de tráfego apenasem horário laboral.

A escolha de uma polı́tica de acessos deve ser feita antes de se proceder à escolha deum tipo particular de firewall a utilizar no sistema em questão. Existem normalmente doistipos mais comuns quando se fala de implementação de polı́ticas:

• Polı́tica Aberta - Implica que todo o tráfego é permitido à exceção dos casos queforam explicitamente definidos como proibidos. São definidas regras explı́citas so-bre os casos particulares onde o tráfego deve ser bloqueado enquanto a regra finalaceita todo o tráfego restante;

• Polı́tica Fechada - Todo o tráfego é bloqueado à exceção daquele que foi expli-citamente definido como aceitável. Neste último caso é necessário definir regraspara o tráfego que deve ser permitido pela firewall uma vez que a regra final estáconfigurada para bloquear o restante tráfego.

Figura 2.7: Modelo genérico de uma firewall

Capı́tulo 2. Malware: A Nova Geração 22

Figura 2.8: Arquitetura NIPS e HIPS

Sistemas de Prevenção de Intrusões

Na sequência dos mecanismos de segurança apresentados até aqui, surgem os mecanismosde Deteção e Prevenção de Intrusões ou IPS como serão referidos daqui em diante. UmIPS é uma extensão de um IDS [22], na medida em que inclui, para além da deteção, acapacidade de bloquear tráfego considerado malicioso.

Sempre que detetada atividade maliciosa, este mecanismo tem a capacidade de modi-ficar ou bloquear pacotes dentro de um determinado perı́metro ou anfitrião. A sua formade atuar pode ser comparada à de uma firewall, tendo em conta a sua capacidade de blo-quear tráfego malicioso. No entanto, um IPS recorre ao mesmo tipo de mecanismos eregras de um IDS por forma a determinar qual o tráfego legı́timo ou malicioso.

Alguns autores, tal como Stallings [22], referem que é uma questão de terminologia,considerar-se um IPS como um mecanismo diferente ou apenas um outro tipo de firewall.De forma semelhante ao referido no caso dos IDSs, um IPS pode ser baseado nas seguintescategorias (ver figura 2.8):

• IPS baseado no anfitrião ou Host-based IPS (HIPS): Pode recorrer a um conjuntode assinaturas ou técnicas de deteção de anomalias por forma a identificar possı́veisataques. No primeiro caso, foca-se no conteúdo do tráfego de rede gerado por umaaplicação, procurando padrões/assinaturas que tenham sido identificados anterior-

Capı́tulo 2. Malware: A Nova Geração 23

mente como maliciosos. No segundo caso, de deteção de anomalias, o IPS procurapadrões comportamentais que indiquem ações maliciosas;

• IPS baseado na rede ou Network-based IPS (NIPS): Numa definição mais prática,um NIPS é nada mais nada menos que um NIDS com a capacidade de bloqueartráfego em tempo real, ou seja, um NIDS inline. Recorre a técnicas de deteção porassinatura ou anomalia comportamental.

Snort

O Snort é um sistema de prevenção de intrusões de código-aberto criado em 1998 porMartin Roesch. Desenvolvido pela Sourcefire, da qual Martin Roesch é fundador, quefoi comprada pela Cisco 10. Os autores Baker, Caswell e Beale [3] referem que estaferramenta tem a capacidade de analisar tráfego de rede em tempo real e armazenar logsde pacotes IP.

Permite a análise protocolar, pesquisa de conteúdos e a deteção de ataques como,buffer overflows, port scans, entre outros. Em resumo, o Snort pode ser considerado umsniffer de pacotes, logger de pacotes ou IPS/IDS de rede. O Snort tem três modos deutilização: sniffer de pacotes, logger de pacotes (útil para monitorizar tráfego de rede) esistema de prevenção de intrusões.

A base do Snort está assente no desenvolvimento de regras (ver figura 2.10) que per-mitem detetar e bloquear intrusões. A maioria destas regras são desenvolvidas pela comu-nidade e são distribuı́das sob a licença GPLv2 (GNU General Public License) pelo que,qualquer utilizador pode utilizar as regras de forma gratuita. No entanto, algumas regras,desenvolvidas por utilizadores para ambientes muito especı́ficos, não são partilhadas pelacomunidade. A arquitetura do Snort consiste, segundo Baker, Caswell e Beale [3], emquatro componentes básicas (ver figura 2.9):

• Sniffer: tem como principal funcionalidade a captura de tráfego. Os autores compa-ram o sniffer com um aparelho utilizado para fazer escutas em telefones, sendo nestecaso usado para tráfego de rede. Tal como qualquer ferramenta de monitorização deredes, um sniffer de rede pode ser utilizado com fins maliciosos como por exemplo,obter passwords através da monitorização de tráfego que não está cifrado;

• Preprocessor: recebe os pacotes obtidos pelo sniffer e compara-os com determi-nados plugins por forma a identificar comportamentos maliciosos. O Snort utilizauma vasta quantidade de preprocessors e plugins, cobrindo os protocolos mais co-muns. Depois de associado um pacote a um determinado tipo de comportamento,este último é reencaminhado para o Detection Engine;

10http://www.cisco.com/c/en/us/about/corporate-strategy-office/acquisitions/sourcefire.html

http://www.cisco.com/c/en/us/about/corporate-strategy-office/acquisitions/sourcefire.htmlhttp://www.cisco.com/c/en/us/about/corporate-strategy-office/acquisitions/sourcefire.html

Capı́tulo 2. Malware: A Nova Geração 24

Figura 2.9: Arquitetura do sistema Snort

• Detection Engine: Depois de recebidos os pacotes de todos os Preprocessors, otráfego é comparado com o conjunto de regras que tem ativadas. Caso algumdos pacotes recebidos faça correspondência com uma das regras, é enviada umanotificação para o sistema de alarmı́stica, notificando o administrador do sistema;

• Output: Este é o último passo do sistema Snort. Quando algum dos eventos anali-sados corresponde a uma das regras pré-definidas, o sistema deve emitir um alertasendo essa a função desta última componente. Esta componente permite que osalertas sejam despoletados de diversas formas, como por exemplo, sistemas de log(syslog), ligações de rede, Perl, PHP ou mesmo via email.

Figura 2.10: Exemplo de regra snort - logins FTP (File Transfer Protocol) efetuados comprivilégios de root

2.3.3 SECaaS - Security As A Service

É referido pela CSA (Cloud Security Alliance)11 como um modelo recente baseado nacomputação em nuvem, fornecendo serviços e aplicações de segurança através da Internet.O SECaaS é baseado no SaaS (Software as a Service) sendo, no entanto, especializado nocontexto dos serviços de segurança da informação.

11https://cloudsecurityalliance.org/wp-content/uploads/2011/09/SecaaS_V1_0.pdf

https://cloudsecurityalliance.org/wp-content/uploads/2011/09/SecaaS_V1_0.pdfhttps://cloudsecurityalliance.org/wp-content/uploads/2011/09/SecaaS_V1_0.pdf

Capı́tulo 2. Malware: A Nova Geração 25

O conceito de SaaS é necessário por forma a perceber-se melhor o objetivo do SE-CaaS. Assim sendo, o SaaS é referido pelo NIST (National Institute of Standards andTechnology) [12], como sendo um serviço composto por diversas aplicações disponı́veisna nuvem ou Internet. Estas aplicações estão disponı́veis através de vários clientes, comoos browsers. O utilizador comum (ou consumidor do serviço) não tem qualquer controlosobre a infraestrutura que compõe o serviço (rede, servidores, sistemas operativos, arma-zenamento, etc.), estando limitado a configurações especı́ficas de algumas aplicações.

Se a este conceito for aplicado o foco nos mecanismos de segurança existentes, temosentão o já referido SECaaS. O foco deste serviço é a implementação de vários mecanismosde segurança (como IDSs, IPSs, Proxy, entre outros) nos pontos relevantes. Alguns dosserviços relacionados com a segurança da informação são categorizados pela CSA talcomo apresentado na seguinte listagem:

• Identity and Access Management (IAM) - serviços utilizados para aceder aosrecursos de uma determinada empresa, incluindo pessoas, processos e sistemas.Utilizados para o controlo de acessos a esses mesmos recursos;

• Segurança Web (Proxies) - serviços que lidam com a proteção em tempo realatravés da aplicação de polı́ticas, evitando a entrada de malware, proveniente daInternet, no sistema;

• Segurança de E-Mail - serviços de controlo do tráfego de entrada e saı́da de email.Protegem o sistema de ações de phishing, anexos maliciosos, spam, entre outros;

• Gestão de Intrusões - serviços que utilizam padrões de reconhecimento por formaa detetar e reagir a eventos de intrusão. São implementados sistemas de deteção eprevenção de intrusões (IPSs e IDSs) nos pontos de entrada e saı́da relevantes;

• Continuidade de Negócio e Recuperação de Desastres - serviços responsáveispela resiliência do sistema quando um ataque provoca a interrupção do serviço pres-tado;

• Network Security (NS) - Serviços implementados por forma a monitorizar e pro-teger os recursos da rede.

O SECaaS pode ser visto como um modelo de negócio em que o fornecedor dosserviços de segurança disponibiliza os mesmos sob a forma de subscrição. Este mo-delo é muitas vezes visto também como uma forma de redução de custos, uma vez quenão requer mais investimento ao nı́vel do hardware. Para além disso, a manutenção eimplementação do serviço ficam a cargo do fornecedor numa perspetiva semelhante aooutsourcing de serviços de segurança.

Capı́tulo 2. Malware: A Nova Geração 26

2.3.4 SIEM: Gestão e Correlação de Eventos de Segurança

O acrónimo de SIEM (Security Information and Event Management) advém de outrosdois acrónimos: SIM (Security Information Management) e SEM (Security Event Mana-gement) [16]. Traduzido para o português, o termo torna mais esclarecedora a sua função:Gestor e Correlacionador de Eventos de Segurança.

Um SIM (em português, GIS - Gestor de Informação de Segurança) é responsávelpela agregação e armazenamento da informação. O SEM (em português, GES - Gestorde Eventos de Segurança) junta a informação armazenada e aplica algoritmos de análisepor forma a identificar ameaças. Anteriormente estes produtos eram aplicados e desen-volvidos em separado, no entanto, os dois conceitos acabaram por se juntar à medida queforam sendo adicionadas funções de SEM em vários SIMs.

A Gartner [23] descreve um SIEM como uma “tecnologia que permite a deteçãode ameaças e incidentes de cibersegurança através da recolha, correlação e análise, emtempo-real, de eventos gerados por várias fontes. Permite também a investigação de in-cidentes e criação de relatórios de conformidade através da análise histórica dos eventosgerados pelas diversas fontes”.

Os autores Nicolett e Kavanagh acrescentam que um SIEM é um “agregador de even-tos gerados por dispositivos de segurança, de rede, sistemas e aplicações, garantindo umavisão mais centralizada da segurança de uma determinada infraestrutura”.

Esta solução permite que os administradores de segurança de uma rede possam aglo-merar, num ponto central, a informação recolhida por uma variedade de serviços e dis-positivos, tendo como objetivo reportar e identificar possı́veis ameaças (ver figura 2.11).As equipas de resposta a incidentes recorrem aos SIEMs como ferramenta essencial noprocesso de monitorização. Esta plataforma permite-lhes ter uma visão muito mais am-pla do ponto de vista de segurança, fornecendo um ponto único de controlo sobre toda ainformação recolhida.

Embora o termo SIEM seja o mais comumente utilizado pela indústria, em boa ver-dade são várias as tecnologias que o complementam. Algumas das diferentes carac-terı́sticas, comuns à maior parte dos produtos de SIEM existentes no mercado atualmente,são apresentadas por Schultz e David Miller [14]:

• Agregação e armazenamento da informação - Sistema responsável por recolhere armazenar as informações obtidas de múltiplos sistemas. Acesso centralizado àinformação recolhida, ao invés de se aceder a cada um dos sistemas individual-mente;

• Correlação da informação - Correlação de eventos gerados por várias plataformasde segurança, tendo como objetivo a identificação ataques e outros eventos relevan-tes. É necessária a correlação da informação recolhida pelos diversos mecanismospor forma a dar-lhe contexto. Uma mensagem enviada por um dos mecanismos por

Capı́tulo 2. Malware: A Nova Geração 27

si só poderá não ter grande significado, no entanto, a mesma mensagem quandocorrelacionada com eventos de outros mecanismos diferentes pode ganhar uma re-levância diferente. O correlacionamento de informação entre IDS, IPS, firewalls,proxies, bases de dados e dispositivos de rede, permite detetar comportamentosanómalos que de forma isolada não seriam relevantes;

• Análise forense - Análise arbitrária entre os vários logs das diferentes plataformasutilizadas para a recolha de informação. Permite a pesquisa de dados em diferentesperı́odos de tempo e em diferentes plataformas;

• Visibilidade - Capacidade de disponibilizar os dados recolhidos, sob um formatoo mais legı́vel e intuitivo possı́vel para a equipa responsável pela monitorizaçãodesses eventos. Uma das formas mais intuitivas de apresentação dos dados é atravésda utilização de gráficos estatı́sticos e dashboards;

• Alarmı́stica - Automatização do processo de alarmı́stica sempre que um novoevento malicioso é detetado. Este alerta pode ser gerado de diversas formas, sejaatravés de syslog, email, conectores próprios do fabricante ou ainda dashboards,como referido anteriormente;

• Conformidade - Permite gerar relatórios de conformidade para uma determinadaempresa relativamente a algumas certificações ISO (27001/27002), nomeadamenteao que diz respeito à monitorização contı́nua rede.

Figura 2.11: Exemplo de integração de um SIEM

Capı́tulo 2. Malware: A Nova Geração 28

2.4 Proteção contra Malware Avançado

A introdução de ameaças cada vez mais avançadas e complexas, como as já referidasAPTs e o ransomware, obrigou ao desenvolvimento de novos mecanismos de deteçãoe mitigação de malware. O caso do Stuxnet e os mais recentes casos de ransomwarecomprovam que nem as infraestruturas mais protegidas estão a salvo deste tipo de ameaçascada vez mais capazes de ludibriar os mecanismos de defesa implementados.

De facto, infraestruturas como estas podem apresentar-se como alvos preferenciais deagentes maliciosos, tendo em conta a sua complexidade e a probabilidade de existiremmais entradas vulneráveis. Estas ameaças têm a capacidade de comprometer toda umainfraestrutura através da sua proliferação nos pontos mais vulneráveis desses sistemas.Os casos de ransomware vieram comprovar que a infeção de uma máquina é o suficientepara causar danos consideráveis num sistema.

O comprometimento de um servidor ou de um computador pessoal de um diretor podecorresponder à perda de informação relevante de uma empresa, tendo como única soluçãoo pagamento do resgate pretendido pelos atacantes. Neste sentido, o envolvimento dasgrandes empresas de segurança informática, e não só, tornou-se obrigatória. O desenvol-vimento de novos mecanismos de defesa capazes de lidar com ameaças cada vez maisinteligentes, tornou-se um objetivo prioritário.

Tendo em conta o caso de estudo deste projeto, a Portugal Telecom, o foco destasecção incidirá numa plataforma desenvolvida para o combate a estas ameaças - a plata-forma Cisco Advanced Malware Protection (AMP). Existem também outras plataformas,de fabricantes diferentes, com objetivos e funcionalidades semelhantes às da Cisco AMPtal como: Palo Alto 12, FireEye 13, etc. Tendo em conta o caso de estudo, será dado ênfaseàs caracterı́sticas da Cisco AMP.

2.4.1 Cisco Advanced Malware Protection

Originalmente, a plataforma foi comercializada sob o nome de Sourcefire FirePower,baseando-se no sistema de deteção de intrusões open-source, Snort. Ambas as tecno-logias foram desenvolvidas pela SourceFire 14, sendo mesmo responsáveis, em grandeparte, pelo crescimento e reconhecimento da empresa no ramo da cibersegurança.

Atenta ao mercado e às potencialidades de uma plataforma com as caracterı́sticas doSourcefire AMP, estava a Cisco que, em Outubro de 2013, se antecipou a potenciais con-correntes e adquiriu a companhia SourceFire. A multinacional americana juntava assimao seu já vasto leque de soluções de rede uma poderosa “arma” no combate ao malware,comercializando-a sob o nome de Cisco AMP.

12palo alto13fireeye14SourceFire, Inc - empresa de desenvolvimento de soluções de segurança de redes e sistemas, fundada

por Martin Roesch em 2001

Capı́tulo 2. Malware: A Nova Geração 29

A Cisco AMP é uma solução de segurança que analisa todo o ciclo de vida de umaameaça de malware avançado. Não só previne contra possı́veis intrusões como tambémgarante a visibilidade necessária à sua deteção e mitigação. Segundo a própria descriçãoda Cisco 15, garante proteção em todo o espetro de infeção: antes, durante e depois deuma infeção por malware:

• Antes de um ataque, a AMP utiliza a plataforma de inteligência da equipa CiscoTalos Security Intelligence and Research Group e da Threat Grid, fortalecendo asdefesas do sistema contra ameaças já conhecidas ou emergentes;

• Durante um ataque, a Cisco AMP recorre a assinaturas de ficheiros já conhecidose à tecnologia de análise dinâmica de malware da Cisco Threat Grid. Identificae bloqueia ficheiros que violem as polı́ticas previamente definidas, tentativas deexploração de vulnerabilidades (exploits) e ficheiros maliciosos que tentem infiltrar-se na rede;

• Após um ataque, ou após a análise inicial de um ficheiro, a solução Cisco AMPvai para além da deteção em tempo real (point-in-time) ao monitorizar e anali-sar continuamente todo o tráfego e atividade de ficheiros. A solução procura as-sim por possı́veis indicadores de comportamento malicioso, independentemente daclassificação inicialmente dada aos ficheiros. A solução Cisco AMP alerta a equipade resposta a incidentes (SOC) sempre que detetar que um ficheiro, inicialmenteclassificado como limpo ou desconhecido, começar a exibir um comportamentosuspeito ou malicioso.

A Cisco defende que a maior parte das soluções anti-malware existentes nas infra-estruturas de rede e sistemas apenas inspecionam os ficheiros no seu ponto de entrada(ver figura 2.12 16). No entanto, é referido que a sofisticação do malware permite queestes contornem os mecanismos de defesa. Técnicas como o polimorfismo, a cifra ou autilização de protocolos desconhecidos, são tidos como formas adotadas pelo malware demodo a passarem despercebidos aquando da sua entrada numa rede.

Nesse sentido, a Cisco AMP garante a monitorização contı́nua dos ficheiros e tráfegoda rede, mesmo após a inspeção inicial. É monitorizada toda a atividade referente a fichei-ros, comunicações com dispositivos terminais e móveis presentes numa rede, procurandoa deteção de ligações que exibam um comportamento suspeito ou malicioso. Esta plata-forma procura dotar a equipa de resposta a incidentes das respostas às seguintes questões:

15http://www.cisco.com/c/en/us/products/security/advanced-malware-protection/index.html

16http://www.cisco.com/c/en/us/products/collateral/security/amp-appliances/datasheet-c78-733182.html

http://www.cisco.com/c/en/us/products/security/advanced-malware-protection/index.htmlhttp://www.cisco.com/c/en/us/products/security/advanced-malware-protection/index.htmlhttp://www.cisco.com/c/en/us/products/collateral/security/amp-appliances/datasheet-c78-733182.htmlhttp://www.cisco.com/c/en/us/products/collateral/security/amp-appliances/datasheet-c78-733182.html

Capı́tulo 2. Malware: A Nova Geração 30

• Qual a origem do malware?

• Qual o método e ponto de entrada do malware?

• Onde esteve e que sistemas foram afetados?

• O que fez a ameaça e qual o seu comportamento atual?

• Como se interrompe o ataque e elimina a sua causa?

É interessante verificar que também os restantes fornecedores de plataformas seme-lhantes à Cisco AMP as vêm como um mecanismo complementar a outras tecnologias desegurança, como a proteção de email, proxies ou firewalls. A adoção de uma filosofia desegurança em profundidade parece ser um ponto comum entre os diferentes fornecedo-res de soluções contra malware avançado. Pode concluir-se que uma plataforma como aCisco AMP não deve ser considerada um substituto de todas as outras tecnologias já exis-tentes, mas sim um complemento de segurança para a ameaça do malware em especı́fico.

Figura 2.12: Deteção point-in-time vs segurança retrospetiva da Cisco

Capı́tulo 2. Malware: A Nova Geração 31

2.5 Conclusões

O capı́tulo apresenta uma sequência lógica ao estudo do malware, começando por umaintrodução aos diferentes tipos existentes atualmente. Este enquadramento é importantena medida em que, ajuda a perceber quais as metodologias a seguir quando se pre-tende analisar um determinado tipo de ficheiro potencialmente malicioso. Perceber asdiferenças entre os dois tipos de análise apresentados - análise estática e dinâmica - éfundamental para uma resposta eficaz a possı́veis eventos de malware. Através da análiseé possı́vel implementar novas tecnologias em pontos estratégicos da rede para que, no fu-turo, os mesmos eventos de malware não afetem o sistema. Sabendo da impossibilidadede prevenir todos estes eventos, torna-se imperativo que o sistema seja capaz de detetarintrusões para que os estragos sejam minimizados.

Capı́tulo 3

Caso de Uso: Portugal Telecom

O capı́tulo dá ênfase à integração da plataforma central deste projeto, a Cisco AMP, naarquitetura de cibersegurança da Portugal Telecom. São apresentadas as caracterı́sticas efuncionalidades da plataforma, justificando as opções tomadas no processo de configuraçãoe implementação da mesma. Inicia-se o capı́tulo com uma introdução às configuraçõesbase da plataforma, antes de ser introduzido o tráfego a ser monitorizado ao longo dopresente trabalho. O restante capı́tulo introduz as funcionalidades da Cisco AMP, des-crevendo simultaneamente o processo de integração da plataforma no ecossistema decibersegurança da DCY. Tendo em conta a complexidade da plataforma, as configuraçõesapresentadas neste capı́tulo procuram ser as mais sucintas possı́veis por forma a manter ofoco na temática central do trabalho: a deteção e mitigação de malware.

3.1 Configuração Base

A plataforma Cisco AMP é constituı́da por duas componentes fı́sicas (ver figura 3.1): oFirepower Management Center (ou Defense Center como será referido daqui em diante) eo sensor. Embora a plataforma pudesse ser constituı́da por múltiplos sensores, neste casoem particular, é utilizado apenas um. A sua constituição pode ser comparada à de umNIDS/NIPS (baseado em assinaturas), sendo composta por um sensor e um analyzer. ODefense Center trata de agregar e correlacionar a informação recebida do sensor, gerandoum novo evento consoante a sua classificação. A função do sensor é a de recolher tráfegode determinados pontos da rede, enviando-a para o Defense Center. O sensor pode serconfigurado num de dois modos:

• Modo passivo (offline): Esta configuração permite que o sensor tenha visibilidadesobre o tráfego da rede, sem que interfira com o mesmo. Quer isto dizer que umaimplementação passiva não permite certas ações como o bloqueio de tráfego;

• Modo ativo (inline): Quando em modo ativo, o sensor pode afetar diretamente ofluxo do tráfego, permitindo o bloqueio de pacotes.

33

Capı́tulo 3. Caso de Uso: Portugal Telecom 34

Figura 3.1: Configuração Cisco AMP da DCY/PT

A segurança da comunicação entre o Defense Center e o sensor é garantida por umcanal cifrado (SSL) em ambos os sentidos. Este canal é utilizado pelo Defense Centerpara enviar informação ao sensor de como pretende que este analise o tráfego da redemonitorizada. Algumas das funções do Defense Center, em relação ao(s) sensor(es), in-cluem:

• Implementação de polı́ti