marzo 28, 2024

Sandbox multiplataforma para análisis automatizado de malware para IoT

0
Voiced by Amazon Polly
Comparte en redes sociales

Durante las últimas dos décadas, la comunidad de seguridad ha estado luchando contra programas maliciosos basados en sistemas Windows. Sin embargo, el reciente aumento en la adopción de Linux embebidos en dispositivos y la revolución de IoT están cambiando rápidamente el paisaje malware. Los dispositivos integrados son profundamente diferentes a las tradicionales computadoras personales. De hecho, mientras las computadoras personales funcionan predominantemente en arquitecturas x86, sistemas embebidos funcionan en una variedad de arquitecturas diferentes. A su vez, este aspecto hace que una gran cantidad de estos sistemas ejecuten algunas variantes del sistema operativo Linux, empujando a los desarrolladores de malware, a dar nacimiento al «malware de Linux».

Los débiles estándares de seguridad de los dispositivos IoT liberaron malware de Linux en los últimos años. Telnet expuesto y servicios ssh con contraseñas predeterminadas, firmware obsoleto o vulnerabilidades del sistema, todo eso son formas de permitir que los atacantes construyan botnets de miles de dispositivos integrados comprometidos. Por eso hay que enfatizar la importancia del campo del análisis de malware, en la comunidad de código abierto. Una buena forma es con la implementación de LiSa, un sandbox multiplataforma para análisis automatizado de malware en plataforma Linux. El proyecto LiSa (Linux Sandbox) es un sistema modular que genera datos json que pueden ser analizados más a fondo manualmente o con coincidencia de patrones (por ejemplo, con YARA) y sirve como herramienta para detectar y clasificar malware de Linux. LiSa fue probado en muestras recientes de malware IoT proporcionadas por Avast Software y resolvió varios problemas de implementaciones existentes.

Las principales funcionalidades de este proyecto son:

En primer lugar, amplio análisis de red, detección de anomalías e implementación de la biblioteca C++ con enlace de Python que supera los paquetes de uso común Scapy y dpkt.

En segundo lugar, es la preparación de la supervisión de entorno SystemTap y su cadena de herramientas de compilación cruzada. El uso del análisis a nivel de kernel podría ampliarse al máximo solución de monitoreo del sistema.

Características de LiSa:

  • Emulación QEMU.
  • Actualmente compatible con x86_64, i386, arm, mips, aarch64.
  • Pequeñas imágenes construidas con buildroot .
  • Análisis estático basado en Radare2.
  • Análisis dinámico (de comportamiento) utilizando los módulos del kernel SystemTap: llamadas al sistema capturadas, archivos abiertos, árboles de procesos.
  • Estadísticas de red y análisis de comunicaciones DNS, HTTP, Telnet e IRC.
  • Análisis de puntos finales y configuración de listas negras.
  • Escalado con apio y RabbitMQ.
  • API REST Interfaz.
  • Extensible a través de módulos de subanálisis e imágenes personalizadas.

Esta solución tendría funcionalidades similares a las del Sistema de detección de intrusiones o antivirus pero con una sobrecarga mínima y, por lo tanto, adecuado para sistemas embebidos. El sandbox LiSa puede ayudar a los investigadores a analizar malware de Linux, escribir reglas de YARA y detectar malware recién descubierto.

Más información y descarga de LiSa:

https://github.com/danieluhricek/LiSa

Deja un comentario