domingo, marzo 08, 2015

Procesado y Generación de CYBERINT con Sinfonier

Ayer terminó la edición RootedCON 2015 con las últimas presentaciones del día. Entre ellas tuve la suerte de poder estar presentando Can I Play With Madness? - que os subiré esta semana a mi canal de SlideShare -. La presentación se basa en explicar el funcionamiento de la plataforma Path 5 para el estudio búsqueda de apps maliciosas utilizando dos conceptos básicos: Anomalías y Singularidades que permitan descubrir nuevas campañas criminales lo más rápido posible y localizar todas las apps utilizadas en cada operación del cibercrimen, siendo - si fuera posible - capaces de generar ciberidentidades que puedan ayudar a localizar a los promotores de las mismas.

Figura 1: Procesado y Generación de CYBERINT con Sinfonier

Una vez que se localizan todas las apps que forman parte de una determinada operación de cibercrimen, desde Path 5 nosotros generamos un filtro que genera una lista de todas las apps que cumplen las singularidades utilizadas por estas apps. Un filtro de singularidades en Path 5 puede ser algo como todas las apps subidas desde GMT+3 que tengan una determinada combinación de permisos, que lleven un correo de desarrollador de unos determinados dominios y que vengan autofirmadas con un certificado digital que tenga alguna característica especial. Algo que hace que, si en algún momento alguna nueva app cumple estas singularidades, rápidamente la plataforma la detecta y la pone en manos de analistas de seguridad o, como veremos ahora, en manos de una plataforma de investigación en seguridad como Sinfonier. En este libro tienes cómo utilizar Sinfonier para generación de ciberinteligencia.


Figura 2: Presentación de Sinfonier en Rooted 2014


Para ilustrar el funcionamiento de Sinfonier, los compañeros Carlos y Fran crearon un par de Topologías que generan información a partir de las apps sospechosas marcadas por Path 5. En este caso, utilizando los filtros de singularidades que nosotros tenemos creados para todas las apps de Shuabang Botnet, para todas las apps de JSDialers y para todas las apps que son subidas a Google Play y "Quickly Removed". A partir de esos filtros - que no son más que unos ficheros RSS con la lista de las apps marcadas por Path 5, en Sinfonier se crea una topología.

Figura 3: RSS de apps sospechosas marcadas por singularidades en un filtro de Path 5

Como ya os expliqué en el otro post - y como podéis ver en la conferencia de Carlos y Fran - una topología no es más que un mapa que describe gráficamente cómo va a ser procesada la información que llega a Sinfonier de distintas fuentes, para acabar dando unos resultados. La topología utiliza tres elementos que son SPOUTS o fuentes de entrada de datos, BOLTS o unidades de procesamiento de datos y DRAINS elementos terminadores que depositan la información en un almacén, que puede ser una base de datos, un fichero de log, o un panel de vigilancia en la web como el que creamos para la RootedCON 2015 que puedes ver aquí.

Figura 4: Panel creado para las topologías de SingularPaths y SingularDomains en RootedCON 2015

Para este ejemplo, se creo primero la topología "SingularPaths" que busca localizar aquellos conjuntos de paths que aparecen en los links de las apps sospechosas. La idea es que cuando una app es marcada por Path 5 como sospechosas, Sinfonier va a buscar todas los enlaces "links" que aparecen esa app para generar una base de datos esos Paths. Por ejemplo, si el path "/register/imei" aparece en los enlaces de muchas apps marcadas como sospechosas, entonces nos podría servir como indicador de que una app que tenga ese Path probablemente merece ser analizada. 

Figura 5: Sección de la Topología SingularPaths en Sinfonier Project. Esta alimenta el dashboard

Además, ya que sacamos todas las apps que son sospechosas, con la topología de Sinfonier guardamos todos los correos electrónicos de todos los desarrolladores de esas apps. Esa base de datos de ciberidentidades de correos electrónicos de apps sospechosas nos servirá para cruzarla con otras bases de datos de fuentes OSINT, como por ejemplo los dominios registrados con esos dominios, la base de datos de spam para saber si ha aparecido en algún correo, los registros de comentarios y posts de foros e incluso las cuentas en servicios y redes sociales en Internet abiertas con ellos. Aquí tienes un vídeo que muestra cómo se lanza y como la topología va generando datos para los analistas en un dashboard en tiempo real.


Figura 6: Vídeo que muestra el lanzamiento de las topologías SingularPaths y SingularDomains para generar el dashboard

Pero solo eso, una vez creada esa topología de SingluarPaths, también se creó la topología SingularDomains, que ayuda a buscar los dominios en los que aparecen esos SingularPaths para sacar las ubicaciones de los registros Whois y de donde están las direcciones IP de esos SingularDomains que vienen con esos SingularPaths, que además podremos representar en un mapa. En el siguiente dashboard puedes ver el resultado de las topologías que se crearon en tiempo real.

Figura 7: Mapa con ubicación de ciberidentidades asociados a SingularDomains

Al final, todos esos datos se van correlando entre diferentes fuentes de información, algunas serán OSINT otras serán HUMINT, otras serán feeds compartidos entre empresas, etcétera. Con la suma de todos esos detalles se pueden obtener indicadores de ciberinteligencia que ayuden a detectar más rápido una operación del cibercrimen, a controlar el alcance lo más rápidamente posible para poder anularla, y lo que es más importante, a generar evidencias que indiquen quién está detrás de cada una de ellas.

Saludos Malignos!

2 comentarios:

  1. http://www.casimages.es/i/150307074952672419.jpg.html

    ResponderEliminar
  2. Ya tiene guasa el nombre... "Sinfonier" es "chiffonier" pronunciado en garrulo. O en cani, como se dice ahora :-)

    ResponderEliminar