Plataforma de seguridad para detectar huéspedes infectados por WannaCry

Plataforma de seguridad para detectar huéspedes infectados por WannaCry

La empresa Gigamon ofrece tráfico de red a otras herramientas de seguridad para observar lo que sucede y remediar o poner en cuarentena los archivos afectados.

En días pasados, WannaCry, un ataque de tipo ransomware, afectó a muchas organizaciones alrededor del mundo, incluyendo grandes nombres como Telefónica en España, el National Health System de Reino Unido y la compañía de envíos FedEX en Estados Unidos.

Organizaciones, gobiernos y empresas de todo el mundo pueden utilizar una plataforma de visibilidad para detectar este malware en sus infraestructuras de red y dar pasos firmes para mitigar el daño.

El malware WannaCry típicamente funciona ingresando a la red de la empresa, usando una descarga soportada por Internet. Una vez que ha penetrado, el software malicioso emplea el protocolo Microsoft Server Message Block (SMB) para escanear los dispositivos en red y aquellos encargados del almacenaje, por lo que después encripta los archivos que contengan.

Con esta encriptación, WannaCry despliega en la pantalla del equipo de la víctima un mensjae en el que pide rescate. A cambio de un pago, los criminales prometen ofrecer una clave de desencriptación útil para ser usada y recuperar los archivos en el computador de la víctima. El malware ha exhibido dos maneras de comportamiento dentro de la red:

1. Cuando el computador de la víctima intenta acceder a sus archivos compartidos, utiliza el protocolo Microsoft SMB, el cual usa puertos TCP 139 y 445.

2. Algunas variantes de WannaCry incluyen un switch de apagado, el cual, al ejecutar el malware por primera vez en el host, intenta establecer una conexión con un dominio malicioso. Aunque las nuevas variantes han dejado de usar dicho dominio, es importante no dejar de lado este dominio mientras otros dominios bajo sospecha han sido empleados por el malware.

"Una plataforma de entrega de visibilidad de red está diseñada para proveer un alcance profundo a lo largo y ancho de la infraestructura de red, la nube, centros de datos físicos / remotos y en diferentes geografías; tiene un arsenal de funciones para ayudar a detectar este tipo de comportamientos inusuales dentro de las redes. Específicamente, aplicaciones de seguridad conectadas a la plataforma, para recibir un tráfico de alta fidelidad de datos relevantes y metadatos desde cualquier parte de la infraestructura de red. Filtros avanzados pueden ser utilizados por un administrador de seguridad para detectar rápidamente actividad maliciosa en la infraestructura", señaló Jorge Herrerías, Ingeniero de Ventas de Seguridad de Gigamon.

Información contextual mejora el análisis para detectar amenazas rápidamente

Las funciones específicas de una plataforma de seguridad que pueden ayudar para detectar y mitigar el ataque WannaCry. Como la mayoría de las organizaciones que están enfocando sus esfuerzos en el elemento interno y detección de amenazas, NetFlow (IPFIX) se vuelve una fuente rica e importante de información contextual sobre el tráfico, ayudando al análisis aumentado para determinar dónde es que se ha comprometido la seguridad de red.

Una plataforma de seguridad toma una fotografía completa de la red y sus tasas de transmisión, incluyendo todos los paquetes en los registros NetFlow sin pérdidas. Un registro típico NetFlow revela la fuente del tráfico y su destino, así como aplicación o protocolo, time stamps y número de paquetes.

Al generar NetFlow para toda la red y examinar el output en un sistema Security Information and Event Management (SIEM) como Splunk Enterprise o un analizador NetFlow como Cisco StealthWatch o Plixer Scrutinizer, uno puede detectar hosts conectándose a los puertos TCP 139 y 445. El número usual de accesos SMB legítimos de un host de red, debería ser bastante reducido.

Si el número crece mucho más de lo normal, uno puede sospechar que esos hosts han sido infectados por el ransomware WannaCry y que tendrán que ser retirados de la red o colocados en cuarentena. Además, si una de esas conexiones SMB han sido iniciadas desde internet hacia hosts internos, eso es doblemente sospechoso.

Profundizar en los metadatos de URL y DNS para descubrir hosts ofensivos

El malware WannaCry tiene un kill Switch muy sólido. Si el malware hace una petición a este nombre de dominio (como si se navegara un sitio web) y dicha petición regresa y muestra que el dominio está vivo, el kill Switch entra en acción y hace que el malware no se propague más.

Gigamon ha mejorado NetFlow en una máquina Metadata que se sumerge en la plataforma de visibilidad y provee información sobre DNS, URLs HTTP, códigos de respuesta HTTP y certificados SSL dentro de la red. El formato NetFlow (IPFIX) ha sido extendido para añadir extensiones privadas para capturar la información URL embebida en conexiones HTTP en conjunto con DNS e información de certificados.

Estos URL pueden ser extraídos desde la red y ser alimentados a un SIEM. Utilizando funciones como entropía provista por Splunk Enterprise, es posible ver si estos URL son generados por una máquina o sólo son anormales. Uno puede hacer simulaciones o ensayos en estos URL inusuales y descubrir el host ofensivo que se está conectando a ellos. Alternativamente, un administrador puede poner una alerta a cualquier host que intente accesar a este dominio.

Antes de crear una solicitud web al dominio, el host infectado intentará iniciar una requisición DNS para resolver la dirección IP para el dominio http[:]//www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Esta acción se espera que falle, pero al capturar la solicitud DNS, proveerá pistas al host ofendido. A diferencia de usar DNS server-based logs, este método provee identificación precisa del host infectado. Eso es, mientras el tráfico alcance a cada servidor DNS en la red es alimentado a la plataforma de seguridad.

Encontrar patrones y descubrir pistas con ruido en la red

Desafortunadamente, el tráfico relevante que puede contener pistas para actividad de malware, se pierde en el ruido de la red. utilizar un Flow Mapping Engine, uno puede extraer los flujos relevantes que concuerden puertos TCP 445 y 139 y enviar tráfico esencial SMB a la herramienta de seguridad. Con el subset de tráfico al SMB, el administrador de seguridad puede escribir guiones para detectar conexiones normales y anormales.

El filtro de sesión de aplicaciones (ASF) es otra función de la plataforma de seguridad que se puede utilizar para supervisar este ransomware. En pocas palabras, ASF actúa como una búsqueda de Google en el tráfico de red y extrae toda la secuencia TCP / UDP incluso si un solo paquete en ese flujo contiene una firma de interés. ASF proporciona un potente motor de filtrado que identifica aplicaciones basadas en patrones que pueden aparecer en cualquier parte de la carga útil del paquete. Estos patrones pueden ser tan simples como una cadena estática en un desplazamiento configurado por el usuario o tan complejo como una expresión regular avanzada (regex) en un desplazamiento variable.

Con ASF, uno puede simplemente buscar todo el tráfico de la red para múltiples patrones. Para el ransomware de WannaCry, un administrador puede programar el motor ASF para buscar transacciones que tengan el dominio malicioso.

"Si los escritores de malware han de seguir cambiando los dominios utilizados para los patrones de conmutación de matrices, uno puede comenzar inmediatamente a supervisar los nuevos patrones programándolos en el motor ASF", concluye Herrerías.