Manual de Adaptive Defense
Manual de Adaptive Defense
1
Manual de Adaptive Defense
Tabla de Contenidos
Tabla de Contenidos ........................................................................................... 2
1. Prólogo .............................................................................................................. 6
1.1. ¿A quién está dirigida esta guía? .................................................................... 6
1.2. Iconos ................................................................................................................... 6
2. Introducción ..................................................................................................... 8
2.1. Características principales de Adaptive Defense. ....................................... 8
2.2. Perfil de Usuario de Adaptive Defense ........................................................... 9
2.3. Arquitectura general del servicio Adaptive Defense ................................... 9
2.3.1. Servidor Adaptive Defense ..................................................................................... 10
2.3.2. Servidor Web de la consola de administración.................................................. 11
2.3.3. Equipos protegidos con Adaptive Defense ........................................................ 11
2.3.4. Servidor Logtrust de conocimiento acumulado ................................................. 11
2.3.5. Servidores SIEM de clientes compatibles con Adaptive Defense .................. 12
3. Conceptos básicos de Adaptive Defense ................................................ 14
3.1. Características del servicio de protección en el endpoint ....................... 14
3.1.1. El ratio de detección ................................................................................................ 14
3.1.2. El ratio de clasificación ............................................................................................ 14
3.1.3. La fiabilidad de la clasificación ............................................................................. 14
3.2. Modelo Adaptive Defense ............................................................................. 14
3.3. Clasificación de procesos en Adaptive Defense........................................ 15
3.3.1. Procesos conocidos ................................................................................................. 15
3.3.2. Procesos desconocidos ........................................................................................... 15
3.3.3. Tipos de procesos conocidos ................................................................................. 16
3.4. Análisis de eventos ........................................................................................... 16
3.5. Confidencialidad de los datos del cliente ................................................... 17
3.5.1. Directrices de los datos recogidos por el servicio .............................................. 17
3.5.2. Información recogida de las máquinas ............................................................... 18
3.5.3. Privacidad de la información recogida ............................................................... 19
4. Instalación y puesta en marcha servicio Adaptive Defense ................. 21
4.1. Checklist de pasos y requisitos necesarios. .................................................. 21
4.2. Fase de aprendizaje ........................................................................................ 28
4.3. Fase de bloqueo de Malware (hardening) ................................................. 29
5. Estado de la protección y visibilidad de los equipos .............................. 31
5.1. Dashboard del estado del servicio ............................................................... 31
5.1.1. Service status ............................................................................................................. 31
5.1.2. Malware detections ................................................................................................. 33
5.1.3. Actividad Malware ................................................................................................... 35
5.1.4. Informes del estado de la protección del parque informático ...................... 36
5.1.5. Equipos protegidos ................................................................................................... 36
5.1.6. Filtrado de equipos ................................................................................................... 37
5.1.7. Borrado de equipos .................................................................................................. 39
5.1.8. Detalle de equipos protegidos .............................................................................. 39
5.1.9. Equipos desprotegidos ............................................................................................ 40
2
Manual de Adaptive Defense
5.2. Informes detallados de la actividad y configuración de los equipos .... 40
6. Configuración del comportamiento de Adaptive Defense .................. 44
6.1. Programas clasificados ................................................................................... 44
6.1.1. Ejecutar programas clasificados como Malware .............................................. 44
6.2. Programas sin clasificar ................................................................................... 45
6.2.1. Configuración de comportamiento de Adaptive Defense frente a
programas no clasificados ................................................................................................ 46
6.2.2. Modo auditoría ......................................................................................................... 48
6.2.3. Modo de bloqueo de programas en proceso de clasificación (modo
Extendido) ............................................................................................................................. 48
6.2.4. Modo de ejecución de programas en proceso de clasificación (modo
Deep Hardenig) ................................................................................................................... 48
6.3. Desactivación selectiva de la protección sobre ficheros o directorios .. 49
6.4. Desactivación completa de la protección ................................................. 50
7. Remediación de problemas de seguridad ............................................... 52
7.1. Desinfección automática de Malware ........................................................ 52
7.2. Modo Deep hardening e infección por Malware desconocido .............. 52
7.2.1. Localización de equipos infectados ..................................................................... 52
7.2.2. Desinfección de equipos ........................................................................................ 54
8. Análisis forense y prevención de ataques ................................................. 58
8.1. Análisis forense mediante las tablas de acciones ...................................... 58
8.1.1. Sujeto y predicado en las acciones ..................................................................... 61
8.2. Análisis forense mediante grafos de ejecución .......................................... 62
8.2.1. Diagramas .................................................................................................................. 63
8.2.2. Nodos .......................................................................................................................... 63
8.2.3. Líneas y flechas ......................................................................................................... 65
8.2.4. La línea temporal ...................................................................................................... 65
8.2.5. Zoom in y Zoom out .................................................................................................. 66
8.2.6. Timeline (línea temporal) ......................................................................................... 66
8.2.7. Filtros ............................................................................................................................ 67
8.2.8. Movimiento de los nodos y zoom general del grafo ......................................... 67
8.3. Interpretación de las tablas de acciones y grafos de actividad ............. 68
8.3.1. Ejemplo 1: Visualización de las acciones ejecutadas por el Malware
Trj/OCJ.A ............................................................................................................................... 69
8.3.2. Ejemplo 2: Comunicación con equipos externos en BetterSurf ...................... 70
8.3.3. Ejemplo 3: acceso al registro con PasswordStealer.BT ...................................... 72
8.3.4. Ejemplo 4: Acceso a datos confidenciales en Trj/Chgt.F ................................. 73
9. Análisis de conocimiento y búsquedas avanzadas ................................ 76
9.1. Acceso al entorno LogTrust ............................................................................ 76
9.2. Descripción de las tablas Adaptive Defense .............................................. 77
9.2.1. Tabla Alert .................................................................................................................. 78
9.2.2. Tabla Drivers ............................................................................................................... 82
9.2.3. Tabla Filesdwn............................................................................................................ 83
9.2.4. Tabla hook .................................................................................................................. 87
9.2.5. Tabla Install ................................................................................................................. 89
9.2.6. Tabla Monitoredopen .............................................................................................. 90
3
Manual de Adaptive Defense
9.2.7. Tabla Notblocked ..................................................................................................... 91
9.2.8. Tabla Ops .................................................................................................................... 94
9.2.9. Tabla Registry ............................................................................................................. 96
9.2.10. Tabla Socket ............................................................................................................ 99
9.2.11. Tabla Toast ............................................................................................................. 103
10. Anexo I: Integración con productos SIEM ............................................. 107
11. Anexo II: Acuerdos de Nivel de Servicio ................................................ 109
11.1. Servicio de Preventa y Migración .............................................................. 109
11.2. Servicio de Soporte Técnico ....................................................................... 109
11.3. Nuestra Infraestructura en la Nube ........................................................... 110
11.4. Servicio de clasificación de software no confiable ................................ 112
4
Manual de Adaptive Defense
1. Prólogo
¿A quién está dedicada esta guía?
Iconos
5
Manual de Adaptive Defense
1. Prólogo
Esta guía contiene información y procedimientos de uso para obtener el máximo beneficio del
producto Adaptive Defense.
1.1. ¿A quién está dirigida esta guía?
La presente documentación está dirigida a administradores de red que necesiten proteger los
equipos Windows del parque informático de la empresa frente a las amenazas y ataques
dirigidos avanzados (APTs).
Aunque Adaptive Defense es un servicio gestionado que ofrece seguridad garantizada sin
intervención del administrador de la red, también provee de información muy detallada y fácil
de comprender sobre los procesos y programas ejecutados por los usuarios en los equipos de la
empresa, ya sean amenazas conocidas o desconocidas como programas legítimos.
Para que el administrador de la red pueda interpretar correctamente la información ofrecida y
extraer conclusiones que alimenten nuevas iniciativas para fortalecer la seguridad de la
empresa son necesarios conocimientos técnicos de entornos Windows a nivel de procesos,
sistema de ficheros y registro, así como entender los protocolos de red más frecuentemente
utilizados.
1.2. Iconos
En esta guía aparecen los siguientes iconos:
Información adicional, como, por ejemplo, un método alternativo para realizar una
determinada tarea.
Sugerencias y recomendaciones.
Consejo importante de cara a un uso correcto de las opciones de Adaptive Defense.
6
Manual de Adaptive Defense
2. Introducción
Características principales
Perfil de Usuario
Arquitectura general
7
Manual de Adaptive Defense
2. Introducción
Adaptive Defense es un servicio de seguridad gestionado basado en la supervisión, control y
clasificación de los procesos ejecutados en el parque informático en base su comportamiento y
naturaleza.
A diferencia de los antivirus tradicionales, Adaptive Defense utiliza un nuevo concepto de
seguridad que le permite adaptarse de forma precisa al entorno particular de cada empresa,
supervisando la ejecución de todas las aplicaciones y aprendiendo constantemente de las
acciones desencadenadas por cada uno de los procesos.
Tras un breve periodo de aprendizaje Adaptive Defense es capaz de ofrecer un nivel de
protección muy superior al de un antivirus tradicional, así como ofrecer una información valiosa
sobre el contexto en el que se sucedieron los problemas de seguridad para poder determinar su
alcance e implantar las medidas necesarias para evitar que se vuelvan a repetir.
Adaptive Defense es un servicio Cloud y por lo tanto no requiere de nueva infraestructura de
control en la empresa, manteniendo de esta manera un TCO bajo.
2.1. Características principales de Adaptive Defense.
Adaptive Defense es un servicio gestionado que ofrece seguridad garantizada frente a
amenazas y ataques avanzados y dirigidos a las empresas, a través de cuatro pilares:
Visibilidad en tiempo real de cada acción realizada por las aplicaciones en ejecución.
Detección de amenazas mediante la clasificación automática de todos los ficheros y
procesos de la red utilizando técnicas Machine Learning en entornos de explotación de
información Big Data.
Respuesta mediante desinfección con herramientas especializadas y análisis forense
para investigar en profundidad el alcance de cada intento de intrusión.
Prevención mediante información que ayudará al administrador de la red a evitar
ataques dirigidos similares en el futuro.
8
Manual de Adaptive Defense
2.2. Perfil de Usuario de Adaptive Defense
Aunque Adaptive Defense es un servicio gestionado que ofrece seguridad sin intervención del
administrador de la red, también provee información muy detallada y comprensible sobre la
actividad de los procesos ejecutados por los usuarios en toda la infraestructura de IT de la
empresa. Esta información puede ser utilizada por el administrador para delimitar claramente el
impacto de posibles problemas y adaptar sus protocolos de seguridad y así evitar situaciones
equivalentes en el futuro.
Todos los usuarios con un Agente Adaptive Defense instalado en su equipo disfrutarán de un
servicio de seguridad con garantías, impidiendo la ejecución de programas que supongan una
amenaza para el desarrollo de la empresa.
2.3. Arquitectura general del servicio Adaptive Defense
Adaptive Defense es un servicio avanzado de seguridad basado en el análisis del
comportamiento de los procesos ejecutados en el parque de cada cliente.
El análisis de los procesos se realiza aplicando técnicas de Machine Learning en infraestructuras
Big Data alojadas en la nube de forma que el cliente no tiene que instalar hardware ni recursos
adicionales en sus oficinas.
A continuación se muestra el esquema general de Adaptive Defense:
9
Manual de Adaptive Defense
Según la figura Adaptive Defense está formado por varios elementos:
Servidor Adaptive Defense
Servidor web de la consola de administración
Equipos protegidos con Adaptive Defense
Equipo del administrador de red que accede a la consola web
Servidor Logtrust de explotación en tiempo real del conocimiento acumulado
Servidores SIEM del cliente compatibles con Adaptive Defense
A continuación se detallan los diferentes roles de la arquitectura mostrada.
2.3.1. Servidor Adaptive Defense
El servidor Adaptive Defense recopila todas las acciones realizadas por los procesos de usuario y
enviadas desde los Agentes instalados en los equipos del cliente. Mediante técnicas de
aprendizaje, evalúa su comportamiento y dicta una clasificación por cada proceso en
ejecución, que es devuelta al Agente para ejecutar una decisión.
El servidor Adaptive Defense está formado por una granja de servidores alojada en la nube que
configura un entorno de explotación Big Data donde se aplican reglas Machine Learning de
forma continuada para clasificar cada proceso ejecutado.
Las ventajas de este nuevo modelo de análisis de procesos en la nube frente al adoptado por
los antivirus tradicionales basados en el envío de muestras al proveedor y análisis manual son
varias:
El porcentaje de error al clasificar un proceso ejecutado en multitud de endpoints a lo
largo del tiempo es del 99’9991% (menos de 1 error cada 100.000 ficheros analizados) con
lo que el número de falsos positivos y falsos negativos es cercano a cero.
El retraso en la clasificación de los procesos vistos por primera vez es mínimo ya que el
Agente Adaptive Defense envía las acciones que desencadena cada proceso y el
servidor las analiza buscando patrones sospechosos. Adicionalmente para los ficheros
ejecutables encontrados en el equipo del usuario y que sean desconocidos para la
plataforma Adaptive Defense el agente enviará el fichero al servidor para su análisis.
El impacto en el rendimiento de la red del cliente debido al envío de los ejecutables
desconocidos está configurado para pasar completamente desapercibido. Un fichero
desconocido se envía una sola vez para todos los clientes que usan Adaptive Defense. Además
se han implementado mecanismos de gestión del ancho de banda y limites por Agente y hora,
con el objetivo de minimizar el impacto en la red del cliente.
El consumo de recursos de CPU en el equipo del usuario es mínimo y está estimado en un
2% frente al 5%-15% de las soluciones de seguridad tradicionales, ya que todo el proceso
de análisis y clasificación se realiza en la nube. El Agente instalado simplemente recoge la
clasificación enviada por el servidor Adaptive Defense y ejecuta una acción correctora.
El análisis en la nube libera al cliente de instalar y mantener infraestructuras de hardware y
software junto al pago de licencias y gestión de garantías, con lo que el TCO desciende
significativamente.
10
Manual de Adaptive Defense
Consulta el Anexo 2 para información sobre la disponibilidad de la plataforma Adaptive Defense
y los tiempos de clasificación.
2.3.2. Servidor Web de la consola de administración
Toda la gestión de Adaptive Defense se realiza a través de la consola web accesible para el
administrador desde la URL
https://adaptivedefense.pandasecurity.com
La consola web es compatible con los navegadores más comunes y es accesible desde
cualquier lugar y en cualquier momento utilizando cualquier dispositivo que tenga instalado un
navegador compatible.
Consulta el Capítulo 4: Instalación y puesta en marcha servicio Adaptive Defense para verificar si
tu navegador es compatible con el servicio.
La consola web es responsive de modo que es accesible desde móviles y tablets en cualquier
momento y lugar.
2.3.3. Equipos protegidos con Adaptive Defense
El Agente Adaptive Defense es un pequeño componente software que ocupa algo menos de
20MB y que tiene que estar instalado en todas las máquinas del parque informático susceptibles
de sufrir problemas de seguridad.
El modo de funcionamiento del Agente consiste en recoger información sobre todos los eventos
que se producen en las máquinas, enviándolos al Servidor Adaptive Defense. Toda la
información recogida corresponde a los eventos de software y los componentes que los
producen. No se recoge información ni documentos del usuario.
El Agente enviará en tiempo real toda la información al Servidor Adaptive Defense para su
explotación y clasificación.
El Agente Adaptive Defense es incompatible con Panda Endpoint Protection y Panda Endpoint
Protection Plus. El Agente Adaptive Defense se instala sin problemas en máquinas con otras
soluciones de seguridad de la competencia.
2.3.4. Servidor Logtrust de conocimiento acumulado
Adaptive Defense se entrega opcionalmente con un servicio de almacenamiento para todo el
conocimiento generado por los equipos del cliente, con un registro de cada acción realizada
por los procesos que se ejecutan en el parque de IT, ya sean Goodware como Malware. De esta
forma es posible relacionar y visualizar de forma flexible todos los datos recogidos para obtener
información adicional sobre las amenazas y sobre el uso que los usuarios están dando a los
equipos de la empresa.
11
Manual de Adaptive Defense
El servicio Logtrust es accesible desde el Dashboard de la propia consola Web.
Consulta el Capítulo 9 para configurar y sacar provecho del servicio de análisis de conocimiento
y búsquedas avanzadas.
2.3.5. Servidores SIEM de clientes compatibles con Adaptive Defense
Adaptive Defense se integra con soluciones SIEM de proveedores externos enviando los datos
recogidos sobre la actividad de todas las aplicaciones ejecutadas en los puestos. Esta
información se entrega al SIEM ampliada con todo el conocimiento de la plataforma Adaptive
Defense y podrá ser explotada por los sistemas de que disponga el cliente.
A continuación se listan los sistemas SIEM compatibles con Adaptive Defense:
QRadar
AlienVault
ArcSight
LookWise
Bitacora
Consulta el Anexo 1 Integración con productos SIEM para obtener más información sobre la
integración de Adaptive Defense con SIEMs de terceros.
12
Manual de Adaptive Defense
3. Conceptos
básicos de
Adaptive
Defense
Características del servicio de protección en el
endpoint
Modelo Adaptive Defense
Clasificación de procesos
Análisis de eventos
Confidencialidad de los datos
13
Manual de Adaptive Defense
3. Conceptos básicos de Adaptive Defense
Adaptive Defense es un servicio de seguridad garantizada basado en un modelo de protección
completamente diferente al utilizado en los antivirus tradicionales, ya sea On Premise, Cloud o
mono puesto.
3.1. Características del servicio de protección en el endpoint
Desde el punto de vista de la protección de los equipos de la red, son tres los parámetros
fundamentales a la hora de ofrecer un producto de seguridad fiable: el ratio de detección, el
ratio de clasificación y la precisión en la clasificación de los ficheros analizados. A estos tres
parámetros se debe de añadir un cuarto adicional que los recoge: el factor temporal.
3.1.1. El ratio de detección
El ratio de detección responde a la pregunta de “¿Cuantos virus conoce la solución de
seguridad?”
Se trata del porcentaje de muestras diferentes que el proveedor de seguridad reconoce, frente
al número de muestras totales en circulación.
3.1.2. El ratio de clasificación
El ratio de clasificación responde la pregunta de “¿Cuantos ficheros conoces?”
Indica el porcentaje de ficheros que el proveedor ya ha reconocido para poder emitir una
clasificación, frente al total de ficheros que circula por la red del cliente.
3.1.3. La fiabilidad de la clasificación
La fiabilidad de la clasificación mide el nivel de certeza en el veredicto emitido a la hora de
etiquetar un elemento como Goodware o Malware. O dicho de otro modo es la probabilidad
de que un elemento conocido cambie su clasificación, bien porque inicialmente fue clasificado
como Goodware y sea posteriormente reclasificado como Malware o viceversa.
3.2. Modelo Adaptive Defense
En el modelo propuesto la actividad de clasificación y detección de Malware también se realiza
en local con los conocidos métodos heurísticos del sistema tradicional pero la principal novedad
es la recopilación automática de las acciones desencadenadas por cada proceso ejecutado
en los equipos del cliente, y su posterior estudio utilizando técnicas de Machine Learning en los
entornos Big Data desplegados dentro de la infraestructura del proveedor de seguridad.
De esta forma cada Agente instalado en el equipo del cliente registra todas las acciones y
cambios en el sistema que producen cada uno de los procesos que el usuario ejecuta. Estas
acciones perfectamente detalladas son enviadas al proveedor, produciéndose un minado de
14
Manual de Adaptive Defense
datos de comportamiento continuo y en tiempo real. Así es como Adaptive Defense conoce las
características y comportamiento de todos y cada uno de los ficheros que circulan en las redes
de sus clientes.
Debido a que una misma solución de software ejecutada en muchos clientes puede generar
grupos de acciones diferentes dependiendo de cómo sea utilizada, el proveedor tendrá acceso
a multitud de ejecuciones de un mismo programa, disponiendo así de un volumen de
evidencias adicionales muy valioso e imposible de replicar en el modelo tradicional que, una
vez cruzadas y explotadas con tecnologías de análisis estadístico sobre plataformas Big Data,
permitirán una clasificación casi instantánea y automática en la mayoría de los casos de todos y
cada uno de los procesos que ejecuta cada cliente, con un grado de fiabilidad muy próximo al
100%.
3.3. Clasificación de procesos en Adaptive Defense
El proceso de clasificación consiste en determinar la peligrosidad de cada programa ejecutado
en la empresa del cliente
En un primer nivel el sistema distingue entre dos estados.
Procesos conocidos
Procesos desconocidos
3.3.1. Procesos conocidos
Se trata de procesos ya registrados y analizados por Adaptive Defense o con ciertas
características que los convierten en procesos conocidos sin necesidad de analizarlos. En este
último grupo entrarían los programas que forman parte del sistema operativo o programas
firmados digitalmente por una entidad certificadora conocida.
Todos los procesos conocidos por Adaptive Defense llevan un hash asociado de forma que el
Agente pueda preguntar al Servidor Adaptive Defense si es conocido o no, y si lo es poder
recuperar su clasificación.
3.3.2. Procesos desconocidos
Son los procesos nuevos para el sistema y por lo tanto sin hash de identificación ni clasificación
asociada. En función de la configuración del servicio se permitirá o no su ejecución en el equipo
del cliente. En el caso de que se permita su ejecución el Agente enviará al servidor los eventos
generados por cada ejecución del proceso en cada uno de los equipos de usuario. En el
momento en que el número de eventos sea lo suficientemente relevante en el Servidor Adaptive
Defense se emitirá una clasificación y el proceso pasara a estado Conocido.
15
Manual de Adaptive Defense
3.3.3. Tipos de procesos conocidos
Dentro de los procesos conocidos existen dos tipos: Goodware y Malware/PUPS.
Goodware: Goodware es un proceso conocido cuyo comportamiento desde el momento en
que fue visto por primera vez en un equipo hasta el presente es seguro. Un proceso puede ser
Goodware por varias razones:
Por pertenecer a la distribución base del sistema operativo y venir firmado digitalmente
por una entidad emisora de certificados de confianza
Por haber sido monitorizada su ejecución una o más veces, y por lo tanto los eventos
generados ya han sido estudiados por Adaptive Defense.
Malware / PUP: Adaptive Defense analiza el comportamiento de los procesos en ejecución y
evalúa la peligrosidad de sus acciones. Si un proceso ha realizado acciones peligrosas en el
pasado para el equipo o la red donde se encontraba en ejecución Adaptive Defense lo
catalogará como Malware o como un programa potencialmente no deseado para todos los
clientes del servicio.
3.4. Análisis de eventos
Adaptive Defense basa su funcionamiento en tres pilares fundamentales: un Agente instalado en
el endpoint del cliente, un sistema de análisis automatizado en la nube y un equipo de expertos
en Panda Labs que estudia las amenazas más complicadas que los sistemas automáticos no
pueden resolver por sí solos.
El Agente instalado en cada equipo del cliente monitoriza cada uno de los procesos en
ejecución y envía todos los eventos a la nube, donde se explota este conocimiento para
determinar de forma automática para la mayor parte de los casos la peligrosidad de los
procesos ejecutados.
El número de tipos de acciones registradas y enviadas al proveedor es muy exhaustivo, una lista
de las más importantes se detalla a continuación:
Descarga de ficheros
Instalación de software
URLs de descarga
Modificación del fichero de Hosts
Edad del fichero
Creación / instalación de drivers
Captura de ventanas
Comunicaciones de procesos (IP, puertos, protocolos)
16
Manual de Adaptive Defense
Creación y modificación de ficheros ejecutables
Carga de DLLs
Creación de servicios
Mapeo de ficheros ejecutables
Borrado y renombrado de ficheros
Creación de carpetas
Creación y apertura de archivos
Creación y modificación de ramas del registro
Creación de hilos en procesos remotos
Destrucción de procesos
Acceso a la SAM
Acceso a datos (alrededor de 200 formatos de fichero)
3.5. Confidencialidad de los datos del cliente
El nuevo modelo de protección de Adaptive Defense requiere obtener información de las
acciones realizadas por las aplicaciones instaladas en los equipos del cliente.
3.5.1. Directrices de los datos recogidos por el servicio
La recogida de datos en Adaptive Defense estrictamente unas directrices generales que se listan
a continuación
Se recoge únicamente información relativa a ficheros ejecutables de Windows, (fichero
.exe, .dll,…) que se ejecutan / cargan en el equipo del usuario. No se recoge ninguna
información sobre ficheros de datos.
Los atributos de los ficheros se envían normalizados retirando la información referente al
usuario logueado. Así por ejemplo las rutas de ficheros se normaliza como
LOCALAPPDATA\nombre.exe en lugar de c:\Users\NOMBRE_DE_USUARIO \AppData
\Local\nombre.exe)
Las URLS recogidas son únicamente las de descarga de ficheros ejecutables. No se
recogen URLs de navegación de usuarios.
No existe nunca la relación dato-usuario dentro de los datos recogidos.
En ningún caso Adaptive Defense envía información personal a la nube.
17
Manual de Adaptive Defense
3.5.2. Información recogida de las máquinas
La información del entorno de ejecución (hardware y software del equipo) recogida por el
servicio es la siguiente:
Nombre del equipo.
Sistema operativo.
Service Pack.
Grupo en el que el PC protegido está incluido.
IP por defecto de la máquina.
MAC.
Direcciones IP asignadas al PC en los diferentes adaptadores de red.
MAC para los diferentes adaptadores de red.
Memoria Ram en MBytes.
Como información imprescindible para soportar el nuevo modelo de protección, Adaptive
Defense envía información sobre las acciones que realizan las aplicaciones ejecutadas en cada
equipo del usuario.
Atributo
Dato
Descripción
Ejemplo
Fichero
Hash
Hash del fichero al que hace
referencia el evento
N/A
URL
Url
Dirección desde donde se ha
descargado un ejecutable
http://www.Malware.com/ejecu
table.exe
Path
Path
Ruta normalizada en la que se
encuentra el fichero al que hace
referencia el evento
APPDATA\
Clave/Valor
Clave del registro de Windows y su
contenido relacionado
HKEY_LOCAL_MACHINE\SOFTWA
RE\Panda Security\Panda
Research\Minerva\Version =
3.2.21
Operación
Id Operación
Identificador de operación realizada
en el evento
(creación/modificación/carga/.. de
ejecutable, descarga de ejecutable,
comunicación,…)
El evento de tipo 0 indica la
ejecución de un ejecutable
Comunicación
Protocolo
/Puerto/
Dirección
Recoge el evento de comunicación
de un proceso (no su contenido)
junto con el protocolo y dirección
Malware.exe envía datos por
UDP en el puerto 4865
Registro
18
Manual de Adaptive Defense
Software
Software
Instalado
Recoge la lista de software instalado
en el endpoint según el API de
Windows
Office 2007, Firefox 25, IBM Client
Access 1.0
Adicionalmente puede ser necesario enviar ficheros ejecutables a nuestra plataforma de
Inteligencia Colectiva. Para reducir el consumo de ancho de banda sólo se envían ficheros
ejecutables a la plataforma de Inteligencia Colectiva en caso de no estar aún presentes. Al
enviarse únicamente ficheros ejecutables nos aseguramos que en ningún caso contendrán
información confidencial del usuario / cliente.
3.5.3. Privacidad de la información recogida
Toda la información recogida se almacena únicamente en nuestra plataforma cloud de
Windows Azure.
La información no es compartida con terceros salvo en el caso de que los clientes:
Quieran recibir en su sistema SIEM información sobre las alertas y datos de seguridad que
son recogidos por Adaptive Defense. La información recogida se enviará a los SIEM de los
clientes por un protocolo seguro establecido por el cliente.
Usen la plataforma Logtrust, la plataforma de explotación en tiempo real del
conocimiento acumulado con el que Adaptive Defense se integra por defecto. La
información es enviada a Logtrust por HTTPS y se almacena en los CPDs de Logtrust.
Toda la información que se envía a la nube es cifrada con algoritmos de encriptación fuertes
como BlowFish.
Finalmente, la información recogida en el equipo del usuario por el Agente es almacenada
temporalmente en una carpeta de almacenamiento cifrada.
19
Manual de Adaptive Defense
4. Instalación y
puesta en
marcha
Checklist de pasos y requisitos necesarios
Fase de aprendizaje
Fase de bloqueo de Malware
20
Manual de Adaptive Defense
4. Instalación y puesta en marcha servicio Adaptive Defense
En este capítulo se detallan los pasos necesarios para finalizar correctamente una instalación del
servicio y su posterior puesta en marcha.
4.1. Checklist de pasos y requisitos necesarios.
1º Comprobar la compatibilidad del Agente Adaptive Defense con los equipos a proteger.
Los sistemas Windows compatibles con el Agente son los siguientes:
Sistemas operativos (estaciones): Windows XP SP2 o superior (Vista, Windows 7, 8 y 8.1) en
plataformas de 32 y 64 bits.
Sistemas operativos (servidores): Windows Server 2003, Windows Server 2008, Windows
Server 2012 en cualquiera de sus configuraciones y arquitecturas.
2º Comprobar que se cumplen los prerrequisitos en cada equipo a instalar
El Agente es una aplicación que requiere de los siguientes componentes estándar,
generalmente ya instalados en el equipo del usuario:
.NET Framework versión 2.0 SP2 o cualquiera de las versiones superiores que lo incluyan. Si
no se encuentra se requerirá su instalación manual
Visual C++ 2010 Redistributable Package. Si no se encuentra el instalador lo descargará e
instalará por sí mismo.
3º Comprobar que se cumplen los prerrequisitos de conectividad
El agente se comunica por defecto a través de los protocolos HTTP y HTTPS con el servidor de
modo que requiere acceso por el puerto 80 y 443 a Internet con los destinos:
https://rpkws.pandasecurity.com/kdws/files
https://rpuws.pandasecurity.com/frws
https://paps1-agents.pandasecurity.com/AgentsSecure/Service.svc
http://paps1-agents.pandasecurity.com/Agents/Service.svc
http://acs.pandasoftware.com/member/installers/
http://enterprise.updates.pandasoftware.com/pcop/uacat
http://enterprise.updates.pandasoftware.com/pcop/nano
En el caso de utilizarse un proxy para acceder a Intenet se deben de configurar las credenciales
correspondientes en el portal web antes de la descarga del instalador (ver paso 4º).
Adicionalmente, el Agente tiene la capacidad de conmutar de conexión por proxy a conexión
directa y viceversa automáticamente, permitiendo así el envío de eventos para equipos en
movilidad conectados a redes no corporativas (sin proxy).
21
Manual de Adaptive Defense
4º Generación del paquete de instalación
La generación del paquete de instalación introduce cierta información en el instalador que
facilitará al administrador el posterior despliegue y configuración del Agente.
Configuración del proxy de salida a Internet: Si el acceso a Internet de la red es a través de un
proxy, primero se deberá de configurar la información para su utilización en la Consola web. De
este modo se generará un instalador MSI preparado para poder ser usado en la red.
Si se van a utilizar varios proxys diferentes se deberá generar un instalador personalizado
para cada uno de ellos y gestionar el despliegue en cada red correspondiente.
Para ello en el menú Install hay que rellenar los campos relativos al proxy y seleccionar la opción
Endpoints Access the internet using the following proxy.
Una vez introducidos los datos y salvados se puede proceder a la descarga del MSI en el equipo
local para comentar su despliegue.
El instalador es único y contiene tanto la versión del Agente compatible con sistemas de 32 bits
como la de 64 bits.
Instalación del Agente en equipos con otros antivirus instalados: Adaptive Defense es
compatible con los antivirus de endpoint tradicionales y se puede instalar como complemento
para proteger los equipos del cliente contra ataques dirigidos y avanzados.
Adaptive Defense no es compatible con Panda Endpoint Protection ni con Panda Endpoint
Protection Plus.
22
Manual de Adaptive Defense
5º Descarga y distribución del instalador
El fichero instalador MSI puede ser distribuido de varias formas en la red del cliente,
dependiendo del número de equipos, su localización y otros factores.
Instalación manual: El instalador MSI puede ser compartido en una carpeta de red de donde los
usuarios lo recogerán e instalarán manualmente, o también puede ser enviado por email.
La instalación del Agente requiere permisos de administrador local del equipo. Según la
configuración del equipo el UAC requerirá confirmar la instalación o introducir la contraseña de
administrador.
El programa de instalación no necesita ninguna información adicional.
Si el paquete Visual C++ 2010 Redistributable Package no está instalado en el equipo el instalador
lo descargará e instalara de forma automática.
Una vez terminado el proceso de instalación el Agente Adaptive Defense se actualizará con el
nuevo conocimiento y la última protección disponible.
Una vez instalado aparecerá el icono de Adaptive Defense en la barra de tareas.
El Agente Adaptive Defense está preparado para pasar inadvertido para el usuario y no admite
ningún tipo de configuración desde el mismo equipo.
Instalación centralizada mediante Políticas de grupo (GPO): Si el parque de equipos es muy
grande puede usarse la infraestructura de Active Directory existente para desplegar el instalador
23
Manual de Adaptive Defense
o cualquier otro software de instalación remota. De esta manera el administrador de red no
tendrá que desplazarse a los equipos uno por uno y podrá realizar una instalación silent en los
equipos de la red que considere oportuno.
A continuación se muestran los pasos de una instalación mediante una GPO (Group Policy
Object).
Descarga del instalador Adaptive Defense y compartición: Colocar el instalador Adaptive
Defense en una carpeta compartida que sea accesible por todos aquellos equipos que
vayan a recibir el Agente.
Abrir el applet “Active Directory Users and Computers” y crear una nueva OU
(Organizational Unit) de nombre “Adaptive Defense”.
Abrir el snap-in Group Policy Management y en Domains seleccionar la UO recién creada
24
Manual de Adaptive Defense
para bloquear la herencia.
Crear una nueva GOP en la UO “Adaptive Defense”
Editar la GPO
25
Manual de Adaptive Defense
Añadir un nuevo paquete de instalación que contendrá el Agente Adaptive Defense.
Para ello se nos pedirá que añadamos el instalador a la GPO.
Una vez añadido mostramos las propiedades y en la pestaña Deployment, Advanced
seleccionamos el check box que evita la comprobación entre el sistema operativo de
destino y el definido en el instalador.
26
Manual de Adaptive Defense
Finalmente añadimos en la OU Adaptive Defense creada anteriormente en “Active
Directory Users and Computers” a todos los equipos de la red que queramos enviar el
Agente.
6º Comprobación de la instalación del Agente
La instalación del Agente crea los siguientes elementos en los equipos:
R UTA DE INSTALACIÓN : ficheros correspondientes a los servicios instalados.
- 32 Bits: %programfiles%\Panda Security\WaAgent\
- 32 Bits: %programfiles%\Panda Security\WAC\
- 64 Bits: %programfiles(x86)%\Panda Security\WaAgent\
- 64 Bits: %programfiles(x86)%\Panda Security\WAC\
R UTA DE T RABAJO : Contiene la caché y diversos ficheros temporales de los eventos de
actividad de la máquina recogidos
- %ProgramData%\Panda Security\
SERVICIOS : la instalación registra 3 nuevos servicios cuyos ejecutables se encuentran
firmados digitalmente por Panda Security, S.L. al igual que todos los ficheros de la solución:
- Panda Endpoint Administration Agent (WAHost.exe): se encarga de la recogida y
envío de los eventos observados en la máquina.
- Panda Product Service (PSUAService.exe): se encarga de la gestión de la capa del
producto, así como de las notificaciones.
- PAPS Service (PSANHost.exe): se encarga de la gestión de detecciones y eventos
registrados en la máquina.
R EGISTRO : se crea la siguiente rama de registro con diversas configuraciones entre las que
se encuentra el identificador de cliente, url del frontal del servicio, datos de proxy, etc…
- 32 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Panda Security\
- 32 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\
- 64 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Panda Security\
- 64 Bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Panda Software\
Cambio de los datos de conexión a través de Proxy: Una vez que el Agente está instalado y
funcionando ya no es posible cambiar los datos de conexión a través de proxy desde la consola
del servicio. En su lugar se utiliza el programa WAPIRes.exe situado en la carpeta %PROGRAM
FILES%\Panda Security\WaAgent\WasAgent del equipo del usuario.
27
Manual de Adaptive Defense
7º Actualización del Agente
El Agente dispone de un servicio denominado Panda Endpoint Administration Agent. Este
servicio se encarga entre otras tareas, de la actualización del Agente, descargando desde el
Servidor Adaptive Defense los datos de actualización publicados.
La actualización es completamente transparente para el usuario final y puede ser monitorizada
a través del Dashboard y de informes diarios accesibles en la Consola web.
Consulta el Capítulo 5: Estado de la protección y visibilidad de los equipos para más información
acerca de los informes y el dashboard.
Una vez completada la instalación de los Agentes en el parque de equipos el servicio
comenzará a auditar los procesos ejecutados en las máquinas para proceder a su clasificación.
4.2. Fase de aprendizaje
La fase de aprendizaje es un periodo de tiempo que comienza en el momento en que la
instalación del Agente se ha completado y dura entre 2 días y 1 semana dependiendo del
número de aplicaciones que se ejecuten en ese equipo. Durante este tiempo el Agente
comienza a monitorizar los eventos que ocurren en la máquina enviando al servidor Adaptive
Defense aquellos que consideran relevantes.
Los Agentes también enviarán a los frontales únicamente aquellas muestras no registradas en el
conocimiento de Panda Security hasta el momento. Un fichero se enviará una sola vez desde
una máquina. El uso de ancho de banda está limitado y es monitorizado por el propio Agente.
Una vez recibida en el Servidor la información recogida por los Agentes, ésta pasa al backend
del servicio donde se aplican diferentes tecnologías para resolver los elementos desconocidos
y/o potencialmente maliciosos e identificar software potencialmente vulnerable.
Durante la fase de aprendizaje el comportamiento de Adaptive Defense con respecto al
Goodware, Malware y ficheros desconocidos es el siguiente:
Goodware: se permite su ejecución de forma normal
Malware: se bloquea su ejecución
Ficheros desconocidos: Inicialmente se permite su ejecución hasta que Adaptive Defense
concluya que se trata de Goodware o Malware. Una vez clasificado el conocimiento se
difunde a todos los equipos que utilizan el servicio de protección. Si un equipo ejecutó un
programa sin clasificar en su momento y que posteriormente ha resultado ser Malware el
sistema bloqueará cualquier intento de ejecución posterior y marcará el equipo como
infectado en la sección Alertas.
Consulta el capítulo 5: Estado de la protección y visibilidad de los equipos para más información
acerca de las Alertas.Consulta el Capítulo 3: Conceptos básicos de Adaptive Defense para más
información sobre Goodware, Malware y ficheros desconocidos.
28
Manual de Adaptive Defense
Al final de la fase de aprendizaje el 100% de las aplicaciones ejecutadas por los usuarios son
clasificadas como Goodware o Malware.
4.3. Fase de bloqueo de Malware (hardening)
Una vez terminada la fase de aprendizaje Adaptive Defense comenzará a proteger el equipo
según sea la configuración elegida por el administrador de red.
Consulta el Capítulo 6: Configuración del comportamiento de Adaptive Defense para más
información.
29
Manual de Adaptive Defense
5. Estado de la
protección y
visibilidad de
los equipos
Dashboard del estado del servicio
Informes detallados de la actividad y
configuración de los equipos
30
Manual de Adaptive Defense
5. Estado de la protección y visibilidad de los equipos
En este capítulo se mostrarán las diferentes formas disponibles para visualizar el estado de la
seguridad del parque informático con Adaptive Defense.
Algunos métodos como los dashboards presentan información actualizada en tiempo real,
mientras que otros como los reports consolidan la información recogida a lo largo de un periodo
de tiempo para presentarla de forma resumida, facilitando de este modo su revisión posterior
por el administrador de la red.
5.1. Dashboard del estado del servicio
En el Menú Lateral Dashboard es accesible una vista gráfica del estado de la protección del
parque informático.
El Dashboard se compone de tres pestañas situadas en lo alto de la página que permiten
conocer el estado del servicio, las detecciones y la actividad del Malware de un solo vistazo.
A continuación, se detallan los distintos tipos de gráficos mostrados.
5.1.1. Service status
Seleccionando la pestaña Service status se podrá comprobar que el servicio está funcionando y
que las máquinas del parque informático están reportando correctamente al servidor Adaptive
Defense.
31
Manual de Adaptive Defense
Service status information
En este grafico de evolución se muestra el histórico de eventos enviados al servidor Adaptive
Defense.
Los eventos son enviados cuando un programa no conocido es ejecutado y comienza a
desencadenar acciones que son monitorizadas por Adaptive Defense, por lo tanto, picos en la
gráfica indican una mayor actividad de los Agentes instalados, motivada por varias causas:
Instalación de nuevos Agentes en equipos que tenían software no conocido hasta el
momento.
Despliegue e instalación de programas nuevos en los equipos de los clientes.
Intentos de intrusión o propagación de virus desconocidos en la red.
La misma información pero agrupada para facilitar su interpretación se muestra en la cuadricula
siguiente.
Cada una de las casillas representa un día del mes y el color indica el número de eventos
generados según la guía de gradiente mostrada en la figura: los días con más eventos se
marcan con colores rojos y los días con menos eventos con colores azules.
De esta forma es posible localizar mediante las zonas rojas los días de mayor movimiento en el
plano de la seguridad, sobre todo si vienen precedidos de zonas azules y las zonas rojas no
coinciden con despliegues programados de nuevo software en los equipos de los usuarios.
Machines reporting y Machines without reporting
Las dos gráficas siguientes de tipo histograma horizontal muestran el número de máquinas que
han tenido establecida comunicación con el servidor Adaptive Defense en las últimas 24, 48 y 96
horas y el número de máquinas que no han tenido comunicación en los mismos intervalos de
tiempo.
32
Manual de Adaptive Defense
Visualizar los equipos de usuario sin comunicación con el servidor Adaptive Defense es una forma
rápida de saber si hay equipos desprotegidos en la red debido a condiciones de error, fallos de
red o cualquier otra causa.
Machines with service installed
Con el siguiente diagrama de líneas se representa el histórico de máquinas de la red que tienen
el Agente instalado durante los últimos 30 días.
5.1.2. Malware detections
Seleccionando la pestaña Malware detections se puede obtener información sobre las
amenazas detectadas en el parque informático.
Infected Machines
En los gráficos de barras mostrados a continuación se desglosa el número de programas
clasificados como Malware y ejecutados en cada máquina del parque informático.
Cada uno de los colores representa una máquina del parque y su longitud el número de
amenazas ejecutadas en la máquina.
33
Manual de Adaptive Defense
El gráfico de barras se presenta para las últimas 24, 48 y 96 horas mostrando de esta forma la
evolución de los equipos infectados en el corto plazo.
De la misma manera se puede observar las amenazas detectadas en las máquinas del parque
informático
Machines with executed Malware 24/48/96hrs
Mediante las tablas mostradas a continuación se obtienen los top 10 de máquinas con Malware
ejecutado. La primera tabla es la correspondiente a las últimas 24 horas, la segunda tabla 48
horas y la tercera tabla se corresponde con las últimas 96 horas.
Machines with identified / detected Malware 24/48/96hrs
Las tablas mostradas a continuación muestran los top 10 de máquinas con Malware
identificado. La primera tabla es la correspondiente a las últimas 24 horas, la segunda tabla 48
horas y la tercera tabla se corresponde con las últimas 96 horas.
34
Manual de Adaptive Defense
Machines with Malware (last) 24/48/96 horas
Las tablas mostradas a continuación muestran los top 10 de máquinas con Malware identificado
y / o ejecutado. La primera tabla es la correspondiente a las últimas 24 horas, la segunda tabla
48 horas y la tercera tabla se corresponde con las últimas 96 horas.
5.1.3. Actividad Malware
Seleccionando la pestaña Malware detections se puede obtener información sobre las
conexiones y descargas realizadas por los procesos clasificados como amenazas o de procesos
de dudosa procedencia.
Malware Activity Information
En los gráficos mostrados en esta sección se pueden visualizar las zonas geográficas a las que el
Malware se ha conectado y descargado software en las últimas 96 horas.
El código de colores utilizado para todos los gráficos de tipo mapa va desde el amarillo con un
número de conexiones bajo al rojo con una cantidad de conexiones alta.
Además se incluyen varias tablas de tipo listado indicando las URLs de acceso y el número de
veces que se descargó cada fichero.
Activity by untrusted applications
Esta sección es equivalente a la anterior pero en vez de reflejar la actividad de las amenazas
reconocidas por el sistema se incluye información de aplicaciones sin firma digital.
Activity by vulnerable applications
En esta sección se muestran las aplicaciones consideradas vulnerables por Adaptive Defense
que han sido ejecutadas en los equipos protegidos.
35
Manual de Adaptive Defense
Cada uno de los colores se corresponde con una aplicación / versión catalogada como
vulnerable. El tamaño de la sección de un mismo color es proporcional al número de veces
ejecutada en el parque informático protegido sobre el total de ejecuciones de todas las
aplicaciones vulnerables ejecutadas
5.1.4. Informes del estado de la protección del parque informático
Mediante el Menú Lateral Computers podremos visualizar de forma rápida y clara aquellos
equipos cuyo Agente Adaptive Defense no está actualizado, ha entrado en condición de error,
o su seguridad ha sido temporalmente comprometida.
El primer criterio de filtrado se realiza con las pestañas situadas en lo alto de la página.
De esta forma podemos realizar una primera selección de equipos protegidos y desprotegidos.
5.1.5. Equipos protegidos
Seleccionando Protected se presenta el listado de todos los equipos con un Agente Adaptive
Defense instalado junto con la información del estado de la protección
36
Manual de Adaptive Defense
La tabla contiene los siguientes campos:
Computer: nombre NetBios del equipo de usuario
Update: estado de la actualización del Agente Adaptive Defense. Los posibles estados
son:
- Pending restart: el Agente ha descargado una actualización pero necesita
reiniciarse para aplicarla
- Updated: el Agente tiene instalada y en funcionamiento la última versión publicada.
- Outdated: el Agente no está actualizado con la última versión publicada.
Protection: Estado de la protección. Los posibles estados son:
- Correct.
- Protection disabled.
- With errors. El error puede suceder por varios motivos:
- Existe una incongruencia entre la configuración y el estado del servicio.
- Errores en el servicio de desinfección o en el de bloqueo.
Last Connection: última vez que el agente conectó con el Servidor Adaptive Defense.
Para solucionar problemas con Agentes en estado de error contacte con el departamento de
Soporte Técnico en http://www.pandasecurity.com/about/contact/default_int.htm
5.1.6. Filtrado de equipos
Se pueden aplicar filtros para mostrar de forma más rápida los equipos con potenciales
problemas o para localizar un equipo por su nombre. Para ello se dispone de la herramienta de
filtrado mostrada en la siguiente figura
37
Manual de Adaptive Defense
Los criterios de filtrado son los siguientes
All
Computers with protection enabled
Computers with protection disabled
Computers with protection enabled
Computers with protection up-to-date
Computers with protection outdated
Computers with protection errors
Computers pending restart
Computers with up-to-date knowledge
Computers with outdated knowledge
Updated computers (no connection to the server in the last 72 hours)
Sobre el filtro aplicado se puede obtener información extendida con el botón “Export”. De esta
manera se obtiene un fichero en formato Excel para su descarga con los un mayor nivel de
detalle.
Computer: nombre NetBios del equipo de usuario
IP address: dirección IP del equipo
Domain: dominio de Microsoft al que pertenece el equipo
Operating system: versión del sistema operativo
Agent versión: versión del agente instalada
Protection versión: versión de la protección instalada
Installation date: fecha de instalación del agente
Knowledge update: fecha en la que la base de conocimiento del agente fue actualizada
por última vez
Update: estado de la actualización
- Updated
- Pending restart
- Outdated
- Updated
Protection: Estado de la protección. Los posibles estados son:
38
Manual de Adaptive Defense
- With Errors
- Correct
- Protection disabled
Last connection: última vez que el agente conectó con el Servidor Adaptive Defense
Protection status
- Enabled
- Disabled
Action to take on unclassified files: Configuración del servicio de bloqueo.
Consulta el Capítulo 6: Configuración del comportamiento de Adaptive Defense para obtener
más información sobre cómo definir el comportamiento del servicio ante los ficheros sin clasificar.
5.1.7. Borrado de equipos
Se puede eliminar uno o varios equipos seleccionándolos con el check box correspondiente y
haciendo clic en el botón Delete. Es importante eliminar los equipos que no sea necesario
proteger (equipos que ya no se usan) para que en esta sección se muestren únicamente
aquéllos cuya protección hay que gestionar y hacer un uso óptimo de las licencias contratadas.
El check box situado en la cabecera de la columna izquierda selecciona todos los equipos que
satisfagan el criterio de filtrado establecido, sin tener en cuenta la limitación de líneas impuesta
por la paginación.
5.1.8. Detalle de equipos protegidos
Al hacer clic en el nombre del equipo de la tabla se accede a una página en la que se muestra
información detallada sobre los equipos
La cantidad de información mostrada en Computer Details se encuentra entre la tabla de
equipos y el listado Excel, pero en esta ocasión referida exclusivamente al equipo seleccionado.
39
Manual de Adaptive Defense
En el campo Alerts triggered on this computer se indican el número de alertas disparadas por
este equipo.
Finalmente podemos desinfectar el equipo, ver los resultados de la desinfección o darlo de baja
del servicio si no va a ser utilizado, para recuperar una licencia.
Consulta el Capítulo 7: Remediación de problemas de seguridad para obtener más información
sobre la desinfección de equipos.
5.1.9. Equipos desprotegidos
La pestaña de equipos desprotegidos contiene los equipos donde el Agente ya no está
instalado, se instaló con errores o la protección se está iniciando pero todavía no está activa.
La tabla contiene los siguientes campos:
Computer: nombre NetBios del equipo de usuario
Status: situación de la protección del Agente Adaptive Defense. Los posibles estados son:
- Installing: instalación en curso
- Unprotected: equipos desprotegidos
- With errors: equipos con errores que afectan a la protección
Details: Breve descripción del estado de la protección
Last Connection: última vez que el Agente conectó con el Servidor Adaptive Defense
5.2. Informes detallados de la actividad y configuración de los equipos
Haciendo click en el Menu lateral Reports obtenemos un listado de los equipos de la red con un
Agente Adaptive Defense instalado y su actividad relativa a seguridad.
40
Manual de Adaptive Defense
La tabla tiene los campos indicados a continuación
Date: Fecha del informe de estado. Los informes de estado se comienzan a generar en el
Servidor Adaptive Defense a las 0:00 de cada día
Service Installed: Número de equipos con Adaptive Defense instalado
Service Updated: Número de equipos que actualizaron el servicio en el día.
Installed: Número de equipos que instalaron el servicio en el día.
Unistalled: Número de equipos que desinstalaron el servicio en el día.
Infected with MW: Número de equipos infectados por Malware
Infected with a PUP: Número de equipos infectados por programas potencialmente no
deseados
Downloads: permite descargar un informe detallado sobre la actividad del Malware en
formato Excel. La información incluida se detalla a continuación.
Seleccionando la casilla downloads de la tabla se descarga un informe sobre la actividad del
día elegido con toda la información relativa a amenazas detectadas en cada uno de los
equipos del parque de la red.
Los campos de la pestaña Summary del Excel son los siguientes:
Computer: nombre NetBios del equipo de usuario
IP: dirección IP del equipo
Installation Date: fecha de instalación del agente
Protection Version: versión de la protección instalada
Malware Files (Found): número de amenazas de tipo Malware encontradas
Malware Files (Executed): número de amenazas de tipo Malware ejecutadas
PUPs (Found): número de amenazas de tipo Programa potencialmente no deseado
encontradas
PUPs (Executed): número de amenazas de tipo Programa potencialmente no deseado
ejecutadas
Trusted Files (Found): Ficheros encontrados y firmados digitalmente
41
Manual de Adaptive Defense
Newly Installed: Ficheros instalados en el último ciclo. Cada ciclo se reinicia a las 0:00
Highly Vulnerable Applications: número de aplicaciones detectadas en el equipo con
errores aprovechables por amenazas
En la pestaña Vulnerable Applications se indican las aplicaciones vulnerables encontradas junto
con su versión. Estas aplicaciones pueden haber sido ejecutadas o simplemente han sido
detectadas por el Agente.
Aunque Adaptive Defense ofrece una protección con garantías frente al Malware que aprovecha
los fallos encontrados en software de terceros, se recomienda actualizar las aplicaciones con
vulnerabilidades conocidas para minimizar la exposición del sistema ante nuevas amenazas.
42
Manual de Adaptive Defense
6. Configuración
del
comportamiento
Programas clasificados
Programas sin clasificar
Desactivación selectiva de la protección sobre
ficheros o directorios
Desactivación completa de la protección
43
Manual de Adaptive Defense
6. Configuración del comportamiento de Adaptive Defense
Adaptive Defense es un servicio gestionado que libera al administrador de la red de la mayor
parte de la carga de trabajo asociada a productos basados en listas blancas / negras y
excepciones. De esta manera Panda Security cataloga de forma automática la seguridad de
los procesos ejecutados en cada equipo del cliente sin requerir ninguna intervención manual.
El administrador de la red puede configurar de forma independiente el comportamiento de
Adaptive Defense ante la ejecución de cualquier programa para cada equipo protegido, tanto
si ha sido clasificado previamente como si es visto por primera vez (y por lo tanto desconocido
para Adaptive Defense).
Las acciones posibles en Adaptive Defense se dividen en dos grupos:
Para programas clasificados
Para programas sin clasificar
6.1. Programas clasificados
Los programas conocidos por Adaptive Defense son clasificados como Goodware o Malware.
Según sea la clasificación del programa que se intenta ejecutar la acción será:
Goodware: el servicio permite la ejecución del programa o proceso
Malware: el servicio impide por defecto la ejecución del programa o proceso.
6.1.1. Ejecutar programas clasificados como Malware
En los casos en los que el usuario necesite utilizar programas que están catalogados como
Malware o como Programas no deseados (herramientas de hacking, barras de navegadores
etc) puede resultar conveniente permitir su ejecución controlada aunque Adaptive Defense los
haya clasificado como potenciales amenazas.
En el Menú lateral Alerts se encuentra el listado de procesos detectados como Malware:
44
Manual de Adaptive Defense
Desplegando la amenaza que nos interese podremos excluirla del bloqueo mediante el botón
Do no detect again
6.2. Programas sin clasificar
Más del 99% de los programas encontrados en los equipos de los usuarios están clasificados en
los sistemas de Adaptive Defense, no obstante, los que todavía queden sin clasificar pueden ser
ejecutados o bloqueados temporalmente hasta su clasificación.
En caso de bloqueo Adaptive Defense permite la notificación al usuario del motivo del bloqueo,
permitir su ejecución condicional según la decisión que tome el propio usuario o ser bloqueado
de forma silenciosa.
El proceso de clasificación es una tarea continua en los servidores de Adaptive Defense y tras un
breve periodo de tiempo los programas bloqueados en un principio por carecer de clasificación
podrán ejecutarse si Adaptive Defense ha determinado que son lícitos.
45
Manual de Adaptive Defense
6.2.1. Configuración de comportamiento de Adaptive Defense frente a
programas no clasificados
Para configurar el comportamiento de Adaptive Defense frente a la ejecución de programas no
clasificados hay que hacer click en el Menú lateral Settings.
En la pestaña Behaviour marcar los equipos del parque informático que recibirán la nueva
configuración. Para seleccionar todos los equipos hay que hacer click en el check box situado
en el título de la tabla de equipos.
Para localizar equipos de forma más eficiente se puede utilizar el botón Filter junto con el
desplegable situado a su izquierda para establecer un criterio de filtrado:
Computers with Protection enabled: filtra los equipos con la protección activada
Computers with disabled protection: filtra los equipos con la protección desactivada
Computers configured to “Allow execution”: filtra los equipos que permiten la ejecución
de programas sin clasificar
Computers configured to “Ask before allowing execution”: filtra los equipos que preguntan
al usuario si bloquear o ejecutar los programas sin clasificar
Computers configured to “Block without reporting to the user”: filtra los equipos que
bloquean los programas sin clasificar sin preguntar al usuario
Computers configured to “Block and report to the user”: filtra los equipos que bloquean y
muestran la razón del bloqueo al usuario.
46
Manual de Adaptive Defense
Una vez seleccionados los equipos que vamos a cambiar su configuración del comportamiento
de Adaptive Defense hay que click en el botón Protection Settings y seleccionar la nueva
configuración en la ventana flotante Protection settings:
Protection status:
Do not change the status: el estado de la protección permanece invariable
Enabled: activa la protección
Audit Mode: activa el modo auditoria
Disabled: desactiva la protección
Behaviour with UNCLASSIFIED files
Do not change the behaviour: la configuración del comportamiento frente a programas
sin clasificar permanece invariable
Allow execution: permite la ejecución de los programas sin clasificar
Ask before allowing execution: pregunta al usuario si ejecutar o no programas sin clasificar
Block without reporting to the user: bloquea la ejecución de programas sin clasificar y sin
notificarlo al usuario
Block and report to the user: bloquea la ejecución de programas sin clasificar notificando
la razón al usuario.
47
Manual de Adaptive Defense
6.2.2. Modo auditoría
En el modo auditoria Adaptive Defense solo informa de las amenazas detectadas pero no
bloquea ni desinfecta el Malware encontrado. Este modo es útil para probar la solución de
seguridad o para comprobar que la instalación del producto no comprometa el buen
funcionamiento del equipo.
6.2.3. Modo de bloqueo de programas en proceso de clasificación (modo
Extendido)
En entornos donde la seguridad sea prioridad, y con el objetivo de ofrecer una protección de
máximas garantías Adaptive Defense deberá ser configurado en modo Block without reporting
to the user, Block and report to the user o Ask before allowing execution. En este modo,
conocido como Modo extendido, será bloqueada la ejecución del software en proceso de
clasificación. De esta forma se podrá garantizar la ejecucion únicamente del software lícito.
Al configurar este modo de funcionamiento en equipos o servidores donde el software cambie
de forma habitual, la ejecución de estos programas no se permitirá hasta que estén clasificados.
El proceso de clasificación es instantáneo en algunas ocasiones aunque en otras se realizará de
forma automática en nuestra plataforma BigData en cuestión de minutos. Si el programa es
especialmente complejo la labor de clasificación es realiza por nuestros expertos, normalmente
en menos de 24 horas. Por esta razón, este modo es recomendado para equipos y servidores
donde no se instale habitualmente nuevo software.
En el modo Ask before allowing execution se pregunta al usuario del equipo si desea permitir o no
la ejecución de los programas en proceso de clasificación. Este modo tiene el riesgo de que el
usuario final permita ejecutar Malware creyendo que es un software lícito; por esta razón se
recomienda su configuración únicamente en equipos gestionados por usuarios avanzados.
6.2.4. Modo de ejecución de programas en proceso de clasificación (modo
Deep Hardenig)
En aquellos entornos donde se producen cambios constantes en el software instalado en los
equipos de los usuarios o se ejecutan muchos programas desconocidos como por ejemplo
programas de creación propia, puede no ser viable esperar a que Adaptive Defense aprenda
de ellos para clasificarlos. En este caso se elegirá Allow Execution, que se corresponde con el
Modo Deep Hardening de protección.
En el Modo Deep Hardening se permite la ejecución de los programas desconocidos ya
instalados en el equipo del usuario y sus acciones son enviadas al Servidor Adaptive Defense
donde serán estudiados. Sin embargo para prevenir ataques de tipo Zero-day y similares los
programas desconocidos descargados o instalados posteriormente a la activación de Adaptive
Defense serán bloqueados hasta su clasificación. Una vez recogida la suficiente evidencia y
explotada la información Adaptive Defense clasificará el programa de modo que en los
48
Manual de Adaptive Defense
entornos en Modo Deep Hardening comenzará a ser bloqueado si se trata de Malware,
generando una alerta al administrador para su posterior análisis forense.
6.3. Desactivación selectiva de la protección sobre ficheros o directorios
Panda Security desaconseja encarecidamente la desactivación selectiva de la protección sin
antes intentado resolver los posibles problemas con el equipo de Soporte.
Frente a la posibilidad de desactivar completamente la protección y que amenazas conocidas
o desconocidas infecten alguno de nuestros equipos, existe la opción de deshabilitar la
protección para ficheros o carpetas que cumplan determinadas condiciones. Para ello en el
Menú lateral Settings, en la pestaña Exclusions.
Las opciones de exclusión se muestran a continuación:
Extension to exclude: se indican las extensiones de los ficheros que no serán analizados.
Folders to exclude: se indican las carpetas de los equipos que no serán analizadas
Files to exclude: se indican los ficheros que no serán analizados
49
Manual de Adaptive Defense
6.4. Desactivación completa de la protección
En el caso improbable de que Adaptive Defense entre en una condición no prevista y muestre
un comportamiento errático generalizado es posible desactivar completamente el servicio. Para
ello podemos modificar el estado del servicio haciendo click en la esquina superior derecha.
50
Manual de Adaptive Defense
7. Remediación
de problemas de
seguridad
Desinfección automática de malware
Modo Deep hardening e infección por Malware
desconocido
51
Manual de Adaptive Defense
7. Remediación de problemas de seguridad
Adaptive Defense es un servicio gestionado que se adapta al ecosistema de aplicaciones
particular de cada empresa para ofrecer una protección que permita clasificar el 100% del
software utilizado en cada cliente; sin embargo es posible que aparezcan incidencias
relacionadas con la seguridad relacionadas con el modo de configuración elegido por el
administrador de la red o debido a infecciones anteriores a la puesta en marcha del servicio.
7.1. Desinfección automática de Malware
Adaptive Defense incluye el servicio de desinfección automática de todo tipo de amenazas y
Malware avanzado.
Si un programa es detectado como Malware, de forma automática el servicio intentará realizar
una desinfección mostrando un mensaje al usuario con información sobre la acción realizada.
Para los ficheros que no sea posible su desinfección Adaptive Defense los moverá directamente
a la cuarentena local del equipo.
La cuarentena local es un repositorio de ficheros cifrados no accesible de forma directa. Para
recuperar elementos de la cuarentena póngase en contacto con soporte en
http://www.pandasecurity.com/about/contact/default_int.htm
7.2. Modo Deep hardening e infección por Malware desconocido
En el modo Deep hardening es posible que algunos de los programas desconocidos por
Adaptive Defense y que residan en el equipo del usuario puedan ser ejecutados, con lo que si el
programa contenía Malware el equipo podría quedar comprometido.
Adaptive Defense clasificará los programas desconocidos cuando tenga las evidencias
suficientes, generalmente dentro de las primeras 24 horas desde la primera ejecución,
generando una alerta al administrador y bloqueando a partir de ese momento el programa
clasificado como amenaza.
En este escenario son necesarias herramientas tanto para localizar los equipos infectados como
para limpiarlos de forma rápida.
7.2.1. Localización de equipos infectados
Haciendo click en el Menú lateral Alerts se accede a las alertas detectadas en la red del cliente.
52
Manual de Adaptive Defense
La tabla de equipos mostrada refleja el Malware detectado junto con información extendida:
El significado de los campos de la tabla se indica a continuación:
Date: fecha de la detección del Malware
Computer: equipo donde se realizó la detección
Name: nombre del Malware
Type: MW: Malware, PUP programa potencialmente no deseado
Status: estado del equipo
- Executed: el Malware se llegó a ejecutar y el equipo puede estar infectado
- Not Executed: Malware detectado por la protección contra vulnerabilidades
- Blocked: Malware conocido por Adaptive Defense y bloqueada su ejecución
- Allowed: Malware conocido por Adaptive Defense pero su ejecución se permite al
estar incorporado en la pestaña Exceptions del menú lateral Settings.
Como en el resto de informes se incorpora una herramienta de filtrado que permite localizar los
equipos de mayor interés. En este caso se divide en tres filtros.
53
Manual de Adaptive Defense
El filtro 1 restringe la búsqueda indicada en el textbox de escritura situado a su derecha al
campo seleccionado:
All: el string de búsqueda se aplicará sobre los campos Computer, Name y Date
Computer: el string de búsqueda se aplicará sobre el nombre del equipo
Name: el string de búsqueda se aplicará sobre el nombre del Malware
Date: el string de búsqueda se aplicará sobre la fecha de la detección
El filtro 2 limita la búsqueda al tipo de Malware:
All: todos los tipos de Malware
MW: solo amenazas de tipo Malware
PUP: solo amenazas de tipo programa potencialmente no deseado
El filtro 3 limita todavía más la selección de incidencias
Executed: el Malware se llegó a ejecutar y equipo está infectado
Not Executed: Malware detectado por la protección contra vulnerabilidades
Blocked: Malware conocido por Adaptive Defense y bloqueada su ejecución
Allowed: Malware conocido por Adaptive Defense pero su ejecución se permite al estar
incorporado en la pestaña Exceptions del menú lateral Settings.
Data file Access: el Malware realizó accesos a disco para recoger información del equipo
o para crear ficheros y los recursos necesarios para su ejecución
Communications: el Malware abrió sockets de comunicación con cualquier máquina,
incluido localhost
7.2.2. Desinfección de equipos
Una vez localizados los equipos infectados el administrador de la red puede lanzar de forma
remota y desde la misma consola de administración la herramienta de desinfección Cloud
Cleaner.
Cloud Cleaner es una herramienta especializada el desinfectar el Malware avanzado. Para
acceder a esta herramienta hay que hacer click en cada equipo infectado de forma individual
y elegir Disinfect Computer
54
Manual de Adaptive Defense
Acto seguido se muestra una ventana de configuración rápida de la desinfección
Las opciones del menú de desinfección son las siguientes:
Remove viruses: este check box siempre está habilitado y limpiar los virus encontrados en
el equipo
Delete PUPs: Borra los programas potencialmente no deseados.
Clear Browser cache: limpia la cache del navegador instalado en el equipo (Internet
Explorer, Firefox y Chrome)
Delete Browing history: limpia el histórico de páginas web del navegador
Delete browser cookies: borra las cookies del navegador
Restore the system policies typically modified by Malware: restaura el acceso al
administrador de tareas, muestra archivos ocultos, muestra las extensiones de los archivos
y en general restituye las políticas del sistema que el Malware pueda haber cambiado
impidiendo su restablecimiento a la configuración original elegida por el cliente
Display the disinfection console: muestra la consola de Cloud Cleaner con los resultados
de la desinfección
Una vez configurada se creará una tarea de desinfección.
55
Manual de Adaptive Defense
Ejecutada la tarea podremos ver los resultados haciendo click en el link: See disinfection results
Para más información sobre Cleaner Monitor consulta la ayuda web del producto o en el enlace
http://pcopdocuments.azurewebsites.net/Help/pccm/es-ES/index.htm
56
Manual de Adaptive Defense
8. Análisis forense
y prevención de
ataques
Análisis forense mediante las tablas de acciones
Análisis forense mediante grafos de ejecución
Interpretación de las tablas de acciones y
grafos de actividad
57
Manual de Adaptive Defense
8. Análisis forense y prevención de ataques
Cuando la red del cliente ha sido infectada es necesario determinar hasta qué punto ha
resultado comprometida y cómo protegerla de futuros ataques.
El Malware de nueva generación se caracteriza por pasar inadvertido durante largos periodos
de tiempo, que aprovecha para acceder a datos sensibles o a la propiedad intelectual
generada por la empresa. Su objetivo es obtener una contrapartida económica, bien realizando
chantaje cifrando los documentos de la empresa, bien vendiendo la información obtenida la
competencia, entre otras estrategias comunes a este tipo de ataques informáticos.
Sea cual sea el caso, se hace imprescindible determinar las acciones que desencadenó el
Malware en la red para poder tomar las medidas oportunas. Adaptive Defense es capaz de
monitorizar de forma continuada todas las acciones desencadenadas por las amenazas y
almacenarlas para mostrar el recorrido de las mismas, desde su primera aparición en la red
hasta su neutralización.
Adaptive Defense presenta de forma visual este tipo de información de dos maneras: a través
de tablas de acciones y diagramas de grafos.
8.1. Análisis forense mediante las tablas de acciones
En el Menú lateral Alerts accedemos al listado de amenazas detectadas y desplegando
cualquiera de ellas obtenemos una tabla con información detallada de su actividad.
58
Manual de Adaptive Defense
Los campos incluidos para describir de forma general la amenaza son:
Malware hash: Adaptive Defense muestra el hash del Malware para su posterior consulta
en VirusTotal o Google
Malware Path: Path del ejecutable que contiene el Malware.
Dwell time: tiempo que la amenaza ha permanecido en el sistema.
Life cycle of the Malware in the computer: es una tabla con el detalle de cada una de las
acciones desencadenadas por la amenaza.
En la tabla de acciones de la amenaza solo se incluyen aquellos eventos relevantes ya que la
cantidad de acciones desencadenadas por un proceso es tan alta que impediría extraer
información útil para realizar un análisis forense.
El contenido de la tabla se presenta inicialmente ordenado por fecha, de esta forma es más
fácil seguir el curso de la amenaza.
A continuación se detallan los campos incluidos en la tabla de acciones:
Date: fecha de la acción
Times: número de veces que se ejecutó la acción. Una misma acción ejecutada varias
veces de forma consecutiva solo aparece una vez en el listado de acciones con el
campo times actualizado.
Action: acción realizada. A continuación se indica una lista de las acciones que pueden
aparecer en este campo:
- File Download
- Socket Used
- Accesses Data
- Executed By
- Execute
- Created By
- Create
- Modified By
- Modify
- Loaded By
- Load
- Installed By
- Install
- Mapped By
- Map
- Deleted By
- Delete
- Renamed By
- Rename
59
Manual de Adaptive Defense
- Killed By
- KillsP rocess
- Remote Thread Created By
- Creates Remote Thread
- Kills Process:
- Remote Thread Created By
- Creates Remote Thread
- Opened Comp By
- Open Comp
- Created Comp By
- Create Comp
- Creates Reg Key To Exe
- Modifies Reg key To Exe
Path/URL/Registry key/IP:port: es la entidad de la acción. Según sea el tipo de acción
podrá contener:
- Registry key: para todas las acciones que impliquen modificación del registro de
Windows
- IP:port: para todas las acciones que impliquen una comunicación con un equipo
local o remoto
- Path: para todas las acciones que impliquen acceso al disco duro del equipo
- URL: para todas las acciones que impliquen el acceso a una URL
File Hash/Registry Value/Protocol-Direction/Description: es un campo que complementa a
la entidad. Según sea el tipo de acción podrá contener:
- File Hash: para todas las acciones que impliquen acceso a un fichero
- Registry Value: para todas las acciones que impliquen un acceso al registro
- Protocol-Direction: para todas las acciones que impliquen una comunicación con un
equipo local o remoto. Los valores posibles son
- TCP
- UDP
- Bidirectional
- UnKnown
- Description
- Trusted: El fichero está firmado digitalmente
Para localizar las acciones que más nos interesen del listado disponemos de una serie de filtros
en la cabecera de la tabla.
60
Manual de Adaptive Defense
Algunos de los campos son de tipo texto y otros son desplegables con todas las ocurrencias
distintas dadas en la columna seleccionada. Las búsquedas textuales son flexibles y no requieren
del uso de comodines para buscar dentro de cadena de texto.
8.1.1. Sujeto y predicado en las acciones
Para entender correctamente el formato utilizado para presentar la información en listado de
acciones es necesario establecer un paralelismo con el lenguaje natural:
Todas las acciones tienen como sujeto el fichero clasificado como Malware. Este sujeto no
se indica en cada línea de la tabla de acciones porque es común para toda la tabla.
Todas las acciones tienen un verbo que relaciona el sujeto (la amenaza clasificada) con
un complemento, llamado entidad. La entidad se corresponde con el campo
Path/URL/Registry key/IP:port de la table.
La entidad se complementa con un segundo campo que añade información a la acción,
que se corresponde con el campo Hash/Registry Value/Protocol-Direction/Description.
De esta forma se presentan dos acciones de ejemplo de un mismo Malware hipotético:
Date
Times
3/30/2015
4:38:40 PM
1
Action
Connects
with
Path/URL/Registry
Hash/Registry Value/Protocol-
key/IP:port …
Direction/Description
54.69.32.99:80
TCP-Bidrectional
Trusted
NO
PROGRAM_FILES|\M
3/30/2015
4:38:45 PM
1
Loads
OVIES
9994BF035813FE8EB6BC98EC
TOOLBAR\SAFETYNUT
CBD5B0E1
NO
\SAFETYCRT.DLL
La primera acción indica que el Malware (sujeto) se conecta (Action) con la dirección IP
54.69.32.99:80 (entidad) mediante el protocolo TCP-Bidireccional.
La segunda acción indica que el Malware (sujeto) carga (Action) la librería
PROGRAM_FILES|\MOVIES TOOLBAR\SAFETYNUT\SAFETYCRT.DLL con hash
9994BF035813FE8EB6BC98ECCBD5B0E1
Al igual que en el lenguaje natural se implementan dos tipos de oraciones:
Activa: Son acciones predicativas (con un sujeto y un predicado) relacionados por un
verbo en forma activa. En estas acciones el verbo de la acción relaciona el sujeto, que
siempre es el proceso clasificado como amenaza y un complemento directo, la entidad,
que puede ser de múltiples tipos según el tipo de acción.
Pasiva: Son acciones donde el sujeto (el proceso clasificado como Malware) pasa a ser
sujeto paciente (que recibe la acción, no que la ejecuta) y el verbo viene en forma
pasiva (ser + participio). En este caso el verbo pasivo relaciona el sujeto pasivo que recibe
la acción con la entidad, que es la que realiza la acción.
61
Manual de Adaptive Defense
Ejemplos de acciones activas son los siguientes:
Connects with
Loads
Creates
Ejemplos de acciones pasivas son los siguientes:
Is created by
Downloaded from
Un ejemplo de acción pasiva es el siguiente
Date
Times
Action
Path/URL/Registry
Hash/Registry Value/Protocol-
key/IP:port …
Direction/Description
Trusted
3/30/
2015
4:51:4
1
Is executed
by
WINDOWS|\explorer.exe
7522F548A84ABAD8FA516DE5
AB3931EF
NO
6 PM
En esta acción el Malware (sujeto pasivo) es ejecutado (acción pasiva) por el programa
WINDOWS|\explorer.exe (entidad) de hash 7522F548A84ABAD8FA516DE5AB3931EF
Las acciones de tipo Activo nos permiten inspeccionar en detalle los pasos que ha ejecutado el
Malware. Por el contrario las acciones de tipo pasivo suelen reflejar el vector de infección
utilizado por el Malware (qué proceso lo ejecutó, qué proceso lo copió al equipo del usuario etc).
8.2. Análisis forense mediante grafos de ejecución
Los grafos de ejecución representan de forma visual la información mostrada en las tablas de
acciones poniendo énfasis en el enfoque temporal.
Los grafos se utilizan inicialmente para tener, de un solo vistazo, una idea general de las
acciones desencadenadas por la amenaza.
62
Manual de Adaptive Defense
8.2.1. Diagramas
La cadena de acciones en la vista de grafos de ejecución queda representada por dos
elementos:
Nodos: representan acciones en su mayoría o elementos informativos
Líneas y flechas: unen los nodos de acción e informativos para establecer un orden
temporal y asignar a cada nodo el rol de “sujeto” o “predicado”.
8.2.2. Nodos
Los nodos muestran la información mediante su icono asociado, color y un panel descriptivo
que se muestra a la derecha de la pantalla cuando se seleccionan con el ratón.
El código de colores utilizado es el siguiente:
-
Rojo: elemento no confiable, Malware, amenaza.
Naranja: elemento desconocido, no catalogado.
Verde: elemento confiable, Goodware.
A continuación se listan los nodos de tipo acción junto con una breve descripción:
Símbolo
Tipo Nodo
Descripción
Acción
-
Fichero descargado
Fichero comprimido creado
Acción
-
Socket / comunicación usada
63
Manual de Adaptive Defense
Acción
-
Comenzada la monitorización
Acción
-
Proceso creado
Acción
-
Fichero ejecutable creado
Librería creada
Clave en el registro creada
Acción
-
Fichero ejecutable modificado
Clave de registro modificada
Acción
-
Fichero ejecutable mapeado para
escritura
Acción
-
Fichero ejecutable borrado
Acción
-
Librería cargada
Acción
-
Servicio instalado
-
Fichero ejecutable renombrado
-
Proceso detenido o cerrado
-
Hilo creado remotamente
-
Fichero comprimido abierto
Acción
Acción
Acción
Acción
A continuación se listan los nodos de tipo descriptivo junto con una breve descripción
64
Manual de Adaptive Defense
Símbolo
Tipo
Nodo
Descripción
Nodo
Final
o
o
o
Nombre de fichero y extensión
Verde: Goodware
Naranja: No catalogado
Rojo: Malware/PUP
o
o
o
Equipo interno (está en la red
corporativa)
Verde: Confiable
Naranja: desconocido
Rojo: No confiable
o
o
o
Equipos externo
Verde: Confiable
Naranja: desconocido
Rojo: No confiable
-
País asociado a la IP de un equipo
externo
Nodo
Final
-
Fichero y extensión
Nodo
Final
-
Clave del registro
Nodo
Final
Nodo
Final
Nodo
Final
8.2.3. Líneas y flechas
Las líneas del diagrama de grafos relacionan los diferentes nodos y ayudan a establecer el
orden de ejecución de acciones de la amenaza de forma visual.
Los dos atributos de una línea son:
Grosor de la línea: el grosor de una línea que une dos nodos indica el número de
ocurrencias que esta relación ha tenido en el diagrama. A mayor número de ocurrencias
mayor tamaño de la línea
Flecha: marca la dirección de la relación entre los dos nodos.
8.2.4. La línea temporal
La línea temporal o Timeline permite controlar la visualización de la cadena de acciones
realizada por la amenaza a lo largo del tiempo. Mediante los botones situados en la parte
inferior de la pantalla podemos colocarnos en el momento preciso donde la amenaza realizo
cierta acción y recuperar información extendida que nos puede ayudar en los proceso de
análisis forense.
La línea temporal de los grafos de ejecución tiene este aspecto:
65
Manual de Adaptive Defense
Inicialmente podemos seleccionar un intervalo concreto de la línea temporal arrastrando los
selectores de intervalo hacia la izquierda o derecha para abarcar la franja temporal que más
nos interese.
Una vez seleccionada la franja temporal el grafo mostrará únicamente las acciones y nodos que
caigan dentro de ese intervalo. El resto de acciones y nodos quedará difuminado en el
diagrama.
Las acciones de la amenaza quedan representadas en la línea temporal como barras verticales
acompañadas del time stamp, que marca la hora y minuto donde ocurrieron.
8.2.5. Zoom in y Zoom out
Con los botones + y – de la barra temporal podemos hacer zoom in o zoom out para ganar
mayor resolución en el caso de que haya muchas acciones en un intervalo de tiempo corto.
8.2.6. Timeline (línea temporal)
Para poder ver la ejecución completa de la amenaza y la cadena de acciones que ejecutó se
utilizan los siguientes controles:
Start: comienza la ejecución de la Timeline a velocidad constante de x1. Los grafos y las
líneas de acciones irán apareciendo según se vaya recorriendo la línea temporal.
1x: establece la velocidad de recorrido de la línea temporal
Stop: detiene la ejecución de la línea temporal
+ y -: zoom in y zoom out de la línea temporal
66
Manual de Adaptive Defense
< y >: mueve la selección del nodo al inmediatamente anterior o posterior
Initial zoom: recupera el nivel de zoom inicial si se modificó con los botones + y –
Select all nodes: mueve los selectores temporales para abarcar toda la línea temporal
First node: Establece el intervalo temporal en el inicio, paso necesario para iniciar la
visualización de la TimeLine complete
Para poder visualizar el recorrido completo de la Timeline primero seleccionar “First node” y
después “Start”. Para ajustar la velocidad de recorrido seleccionar el botón 1x.
8.2.7. Filtros
En la parte superior del diagrama de grafos se encuentran los controles para filtrar la información
mostrada.
Los criterios de filtrado disponibles son:
Action: desplegable que permite seleccionar un tipo de acción de entre todas las
ejecutadas por la amenaza. De esta manera el diagrama solo muestra los nodos que
coincidan con el tipo de acción seleccionada y aquellos nodos adyacentes relacionados
con esta acción.
Entity: desplegable que permite
Path/URL/Registry key/IP:port)
elegir
una
entidad
(contenido
del
campo
8.2.8. Movimiento de los nodos y zoom general del grafo
Para mover el grafo en las cuatro direcciones y hacer zoom in o zoom out se pueden utilizar los
controles situados en la parte superior derecha del grafo.
Para hacer zoom in y zoom out más fácilmente se puede utilizar la rueda central del ratón.
El símbolo X permite salir de la vista de grafos.
67
Manual de Adaptive Defense
Si se prefiere ocultar la zona de botones Timeline para utilizar un mayor espacio de la pantalla
para el grafo se puede seleccionar el símbolo
situado en la parte inferior derecha del
grafo.
Finalmente, el comportamiento del grafo al ser representando en pantalla o arrastrado por
alguno de sus nodos se puede configurar mediante el panel mostrado a continuación,
accesible al seleccionar el botón situado a la izquierda arriba del grafo
8.3. Interpretación de las tablas de acciones y grafos de actividad
Para interpretar correctamente las tablas de acciones y grafos de actividad se requieren ciertos
conocimientos técnicos ya que ambos recursos son representaciones de los volcados de
evidencias recogidas, que deberán ser interpretadas por el propio administrador de red de la
empresa.
En este capítulo se ofrecen unas directrices básicas de interpretación a través de varios ejemplos
de Malware real.
68
Manual de Adaptive Defense
El nombre de las amenazas aquí indicadas puede variar entre diferentes proveedores de
seguridad. Para identificar un Malware concreto se recomienda utilizar el hash de identificación.
8.3.1. Ejemplo 1: Visualización de las acciones ejecutadas por el Malware
Trj/OCJ.A
En la cabecera de la tabla alertas se muestra la información fundamental del Malware
encontrado. En este caso los datos relevantes son los siguientes:
Fecha: 06/04/2015 3:21:36
Equipo: XP-BARCELONA1
Nombre: Trj/OCJ.A
Tipo: MW
Estado: Executed
Hash del Malware: EEEEEEEEDDDD
Ruta del Malware: TEMP|\Rar$EXa0.946\appnee.com.patch.exe
Estado del equipo
El estado del Malware es Executed debido a que el modo de Adaptive Defense configurado era
Deep hardening: el Malware ya residía en el equipo en el momento en que Adaptive Defense se
instaló y era desconocido en el momento de su ejecución.
Hash
Con la cadena de hash se podrá obtener más información en sitios como Virus total para tener
una idea general de la amenaza y su forma de funcionamiento.
Ruta del Malware
La ruta donde se detectó el Malware por primera vez en el equipo pertenece a un directorio
temporal y contiene la cadena RAR de modo que procede de un fichero empaquetado que se
programa RAR descomprimió temporalmente en el directorio y dio como resultado el ejecutable
appnee.com.patch.exe
Tabla de acciones
Paso
Fecha
Acción
Path
1
3:17:00
Created by
PROGRAM_FILES|\WinRAR\WinRAR.exe
2
3:17:01
Executed by
PROGRAM_FILES|\WinRAR\WinRAR.exe
3
3:17:13
Create
TEMP|\bassmod.dll
4
3:17:34
Create
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\AMTLIB.DLL.BAK
5
3:17:40
Modify
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\amtlib.dll
69
Manual de Adaptive Defense
6
3:17:40
Delete
PROGRAM_FILES|\ADOBE\ACROBAT 11.0\ACROBAT\AMTLIB.DLL.BAK
7
3:17:41
Create
PROGRAM_FILES|\Adobe\ACROBAT
11.0\Acrobat\ACROBAT.DLL.BAK
8
3:17:42
Modify
PROGRAM_FILES|\Adobe\ACROBAT 11.0\Acrobat\Acrobat.dll
9
3:17:59
Execute
PROGRAM_FILES|\Google\Chrome\Application\chrome.exe
Los pasos 1 y 2 indican que el Malware fue descomprimido por el WinRar.Exe y ejecutado desde
el mismo programa: el usuario abrió el fichero comprimido e hizo clic en el binario que contiene.
Una vez en ejecución en el paso 3 el Malware crea una dll (bassmod.dll) en una carpeta
temporal y otra (paso 4) en el directorio de instalación del programa Adobe Acrobat 11. En el
paso 5 también modifica una dll de Adobe, quizá para aprovechar algún tipo de exploit del
programa.
Después de modificar otras dlls lanza una instancia de Chrome y en ese momento termina la
Timeline; Adaptive Defense catalogó el programa como amenaza después de esa cadena de
acciones sospechosas y ha detenido su ejecución.
En la Timeline no aparecen acciones sobre el registro de modo que es muy probable que el
Malware no sea persistente o no haya podido ejecutarse hasta ese punto de lograr sobrevivir a
un reinicio del equipo.
El programa Adobe Acrobat 11 ha resultado comprometido de modo que se recomienda su
reinstalación aunque gracias a que Adaptive Defense monitoriza ejecutables tanto si son
Goodware como Malware, la ejecución de un programa comprometido será detectada en el
momento en que desencadene acciones peligrosas, terminando en su bloqueo.
8.3.2. Ejemplo 2: Comunicación con equipos externos en BetterSurf
BetterSurf es un programa potencialmente no deseado que modifica el navegador instalado en
el equipo del usuario e inyecta anuncios en las páginas web que visite.
En la cabecera de la tabla alertas se muestra la información fundamental del Malware
encontrado. En este caso se cuenta con los siguientes datos:
Fecha: 30/03/2015
Equipo: MARTA-CAL
Nombre: PUP/BetterSurf
Tipo: MW
Ruta del Malware: PROGRAM_FILES|\VER0BLOCKANDSURF\N4CD190.EXE
Tiempo de exposición: 11 días 22 horas 9 minutos 46 segundos
70
Manual de Adaptive Defense
Tiempo de exposición
En este caso el tiempo de exposición ha sido muy largo: durante casi 12 días el Malware estuvo
en estado latente en la red del cliente. Este comportamiento es cada vez más usual y puede
deberse a varios motivos: puede ser que el Malware no ha realizado ninguna acción sospechosa
hasta muy tarde o que simplemente el usuario descargó el fichero pero no lo ejecutó en el
momento.
Tabla de acciones
Paso
1
2
3
4
5
6
7
8
9
Fecha
08/03/2015
11:16
18/03/2015
11:16
18/03/2015
11:16
18/03/2015
11:16
18/03/2015
11:16
18/03/2015
11:16
18/03/2015
11:17
18/03/2015
11:17
18/03/2015
11:17
Acción
Path / IP
Hash / Protocolo
Created by
TEMP|\08c3b650-e9e14f.exe
EB0C9D2E28E1EE
Executed by
SYSTEM|\services.exe
953DF73048B8E8
Load
PROGRAM_FILES|\VER0BLOF\N4Cd190.d
ll
CE44F5559FE618
Load
SYSTEM|\BDL.dll
D7D59CABE1270
Socket used
127.0.0.1:13879
0-UnKnown
Socket used
37.58.101.205:80
0-Bidrectional
Socket used
5.153.39.133:80
0-Bidrectional
Socket used
50.97.62.154:80
0-Bidrectional
Socket used
50.19.102.217:80
0-Bidrectional
En este caso se puede apreciar como el Malware establece comunicación con varias IPs
diferentes. La primera de ellas (paso 5) es el propio equipo y el resto son IPs del exterior a las que
se conecta por el puerto 80 de las cuales probablemente se descargue los contenidos de
publicidad.
La principal medida de prevención en este caso será bloquear las IPs en el cortafuegos
corporativo.
Antes de añadir reglas para el bloqueo de IPs en el cortafuegos corporativo se recomienda
consultar las IPs a bloquear en el RIR asociado (RIPE, ARIN, APNIC etc) para ver la red del
proveedor al que pertenecen. En muchos casos la infraestructura remota utilizada por el Malware
es compartida con servicios legítimos alojados en proveedores como Amazon y similares de
modo que bloquear IPs equivaldría a bloquear también el acceso a páginas web normales.
71
Manual de Adaptive Defense
8.3.3. Ejemplo 3: acceso al registro con PasswordStealer.BT
PasswordStealer.BT es un troyano que registra la actividad del usuario en el equipo y envía la
información obtenida al exterior. Entre otras cosas es capaz de capturar la pantalla del usuario,
registras las teclas pulsadas y enviar ficheros a un servidor C&C (Command & Control).
En la cabecera de la tabla alertas se muestra la información fundamental del Malware
encontrado. En este caso se cuenta con los siguientes datos:
Ruta del Malware: APPDATA|\microsoftupdates\micupdate.exe
Por el nombre y la localización del ejecutable el Malware se hace pasar por una actualización
de Microsoft. Este Malware en concreto no tiene capacidad para contagiar equipos por sí
mismo, requiere que el usuario ejecute de forma manual el virus.
Estado del equipo
El estado del Malware es Executed debido a que el modo de Adaptive Defense configurado era
Deep hardening: el Malware ya residía en el equipo en el momento en que Adaptive Defense se
instaló y era desconocido en el momento de su ejecución.
Tabla de acciones
Paso
Fecha
Acción
Path
Path / Hash
1
31/03/201
5 23:29
Executed
by
PROGRAM_FILESX86|\internet
explorer\iexplore.exe
7477021D17D781B24
2
31/03/201
5 23:29
Created by
INTERNET_CACHE|\Content.IE5\QGV8PV8
0\ index[1].php
C9D4C32DF27B3CDEF
3
31/03/201
5 23:30
Creates
Reg Key To
Exe
\REGISTRY\USER\S-1-5[...]95659\Software\Microsoft\Windows\
CurrentVersion \Run?MicUpdate
C:\Users\vig03\AppData
\ Roaming\
MicrosoftUpdates\
MicUpdate.exe
4
31/03/201
5 23:30
Execute
SYSTEMX86|\notepad.exe
D378BFFB70864AA61C
5
31/03/201
5 23:30
Remote
Thread
Created by
SYSTEMX86|\notepad.exe
D378BFFB70864AA61C
En este caso el Malware es creado en el paso 2 por una página web y ejecutado por el
navegador Internet Explorer.
El orden de las acciones tiene una granularidad de 1 microsegundo. Por esta razón varias
acciones ejecutadas dentro del mismo microsegundo pueden aparecer desordenadas en la
Timeline, como sucede en el paso 1 y paso 2.
72
Manual de Adaptive Defense
Una vez ejecutado el Malware se hace persistente en el paso 3 añadiendo una rama en la rama
del registro que pertenece al usuario y que lanzará el programa en el inicio del sistema. Después
comienza a ejecutar acciones propias del Malware como arrancar un notepad e inyectar
código en uno de sus hilos.
Como acción de remediación en este caso y en ausencia de un método de desinfección
conocido se puede minimizar el impacto de este Malware borrando la entrada del registro. Es
muy posible que en una maquina infectada el Malware impida modificar dicha entrada;
dependiendo del caso sería necesario arrancar el equipo en modo seguro o con un CD de
arranque para borrar dicha entrada.
8.3.4. Ejemplo 4: Acceso a datos confidenciales en Trj/Chgt.F
Trj/Chgt.F fue publicado por wikileaks a finales de 2014 como herramienta utilizada por las
agencias gubernamentales de algunos países para realizar espionaje selectivo.
En este ejemplo pasaremos directamente a la tabla de acciones para observar el
comportamiento de esta amenaza avanzada.
Tabla de acciones
Paso
Fecha
Acción
Path
Info
1
4/21/2015 2:17:47
PM
Is executed by
SYSTEMDRIVE|\Python2
7\pythonw.exe
9F20D976AFFFB2D0B9BE38
B476CB2053
2
4/21/2015 2:18:01
PM
Accesses Data
#.XLS
Office Excel document
access
3
4/21/2015 2:18:01
PM
Accesses Data
#.DOC
Office Word document
access
4
4/21/2015 2:18:03
PM
Creates
TEMP|\doc.scr
4DBD8393522CD5DA7364
ACEA35E80719
5
4/21/2015 2:18:06
PM
Executes
TEMP|\doc.scr
4DBD8393522CD5DA7364
ACEA35E80719
6
4/21/2015 2:18:37
PM
Executes
PROGRAM_FILES|\Micro
soft
Office\Office12\WINW
ORD.EXE
CEAA5817A65E914AA178B
28F12359A46
7
4/21/2015 8:58:02
PM
Connects with
192.168.0.1:2042
TCP-Bidrectional
Inicialmente el Malware es ejecutado por el intérprete de Python (paso 1) para luego acceder a
un documento de tipo Excel y otro de tipo Word (paso 2 y 3). En el paso 4 se ejecuta un fichero
73
Manual de Adaptive Defense
de extensión scr, probablemente un salvapantallas con algún tipo de fallo o error que provoque
una situación anómala en el equipo y que pueda ser aprovechada por el Malware.
En el paso 7 se produce una conexión de tipo TCP. La dirección IP es privada de modo que se
estaría conectando a la red del propio cliente.
En este caso se deberá de comprobar el contenido de los ficheros accedidos para evaluar la
pérdida de información aunque viendo la Timeline la información accedida en principio no ha
sido extraída de la red del cliente.
Adaptive Defense desinfectará por sí mismo la amenaza y bloqueará de forma automática
posteriores ejecuciones del Malware en ese cliente y en otros clientes.
74
Manual de Adaptive Defense
9. Análisis de
conocimiento y
búsquedas
avanzadas
Acceso al entorno LogTrust
Descripción de las tablas de Adaptive Defense
75
Manual de Adaptive Defense
9. Análisis de conocimiento y búsquedas avanzadas
El entorno LogTrust es un módulo opcional de Adaptive Defense. Si no tiene acceso a este entorno
contacte con su comercial.
Logtrust es un servicio explotación en tiempo real del conocimiento acumulado complementario
que importa y analiza de forma automática y en tiempo real toda la información generada por
Adaptive Defense.
Logtrust facilita las búsquedas de información relativa a la seguridad del parque informático del
cliente y ayuda al generar vistosas gráficas para interpretar los datos registrados por los Agentes
de Adaptive Defense.
En este capítulo se mostrará en detalle el esquema de organización diseñado para el
almacenamiento de la información generada por Adaptive Defense así como los
procedimientos necesarios para explotar esta información.
El objetivo de la plataforma LogTrust es el de complementar la información ofrecida por
Adaptive Defense a la hora de establecer nuevos protocolos de remediación y profundizar en
las técnicas de análisis forense mostradas en el capítulo 8.
El entorno LogTrust cuenta con una ayuda online accesible desde el panel superior Ayuda.
9.1. Acceso al entorno LogTrust
Para acceder al entorno de LogTrust hay que seleccionar el link Advaced Search desde el
Dashboard de Adaptive Defense.
Una vez accedido se presentará el entorno pre configurado con el Dashboard mostrado en la
consola de Adaptive Defense.
76
Manual de Adaptive Defense
9.2. Descripción de las tablas Adaptive Defense
Adaptive Defense envía toda la información recogida de los Agentes instalados en los equipos
del cliente al servicio LogTrust, el cual se encarga de organizarlo en tablas de fácil lectura.
Cada línea de una tabla se corresponde a un evento supervisado por Adaptive Defense. Las
tablas contienen una serie de campos específicos además de campos comunes que aparecen
en todas y que ofrecen información como el momento en que ocurrió el evento, la maquina
donde se registró, su dirección IP etc.
Muchos campos utilizan prefijos que ayudan a referir la información mostrada. Los dos prefijos
más usados son:
Parent: los campos que comienzan con la etiqueta Parent (parentPath, parentHash,
parentCompany…) reflejan el contenido de una característica o atributo del proceso
padre.
Child: los campos que comienzan con la etiqueta Child (childPath, childHash,
childCompany…) reflejan el contenido de una característica o atributo de un proceso hijo
creado por el proceso padre.
Además de estos prefijos en muchos campos y valores se utilizan abreviaturas; conocer su
significado ayuda a interpretar el campo en cuestión:
Sig: Signature (firma digital)
Exe: executable (ejecutable)
Prev: prevalencia
Mw: Malware
Sec: seconds (segundos)
Op: operación
Cat: categoría
PUP: Potential Unwanted Program (programa potencialmente no deseado)
Ver: versión
SP: Service Pack
Cfg: configuración
Svc: servicio
Op: operación
PE: programa ejecutable
Cmp y comp: comprimido
Dst: destino
77
Manual de Adaptive Defense
A continuación, se listan las tablas disponibles indicando el tipo de información que contienen y
sus campos específicos.
9.2.1. Tabla Alert
Esta tabla es una correspondencia de las alertas mostradas en la consola de Adaptive Defense,
en el Menú lateral Alerts.
Contiene una línea por cada amenaza detectada en la red del cliente con información sobre el
equipo involucrado, tipo de alerta, Timestamp y resultado de la alerta.
Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
machineIP
IP de la máquina del cliente que
desencadenó la alerta
Dirección IP
date
Fecha de recepción del evento en el servidor
de Adaptive Defense
Date
alertType
Categoría de la amenaza que disparó la
alerta
Malware, PUP
machineName
Nombre de la máquina del cliente
String
version
versión del Agente Adaptive Defense
instalada en la máquina
x.x.x
executionStatus
La amenaza se llegó a ejecutar o no
Executed o Not Executed
dwellTimeSecs
Tiempo transcurrido en segundos desde la
primera vez que la amenaza fue vista en la
red del cliente
Segundos
itemHash
Hash de la amenaza encontrada
String
itemName
Nombre de la amenaza detectada
String
itemPath
Path completo del fichero que contiene la
amenaza
String
Puesto que la tabla Alerts es una transposición del Menú lateral Alerts de la consola de Adaptive
Defense es sencillo obtener estadísticas de los equipos más infectados:
10 equipos más atacados e infectados
Se puede obtener un listado simple de los 10 equipos más atacados haciendo clic en la
cabecera de la columna machineName o manicheIP.
78
Manual de Adaptive Defense
Este listado abarca desde el primer momento en que Adaptive Defense comenzó a funcionar en
el cliente, si se quiere reducir el rango simplemente se puede acotar el intervalo con los controles
Search limits.
Estos listados incluyen tanto bloqueos como ejecuciones de Malware, si se quieren mostrar
únicamente los equipos infectados será necesario añadir un filtro haciendo clic en el icono de la
barra de herramientas
Y configurando un filtro de datos utilizando el campo executionStatus e igualando a Executed,
tal y como se muestra en la imagen.
79
Manual de Adaptive Defense
10 amenazas más vistas
De forma equivalente haciendo clic en las columnas itemHash o ítemName se pueden visualizar
estadísticas rápidas sobre las 10 amenazas más vistas en la red del cliente.
Otra forma de obtener información de forma mucho más visual es generar una gráfica del
Malware más visto. Para ello en el eje de las coordenadas se muestra el nombre del Malware y
en el eje de abscisas el número de ocurrencias.
Para ello hay que seguir los siguientes pasos:
Añadir una agrupación sobre el campo itemName sin límite temporal (No temporal
aggrupation).
Añadir una función contador para determinar cuántas ocurrencias hay en cada grupo
itemName.
80
Manual de Adaptive Defense
Añadir un filtro para discriminar las agrupaciones de 2 o menos ocurrencias. De esta forma
limpiamos la gráfica de aquellas amenazas que solo hayan sido vistas 2 veces
Añadir un gráfico de tipo Chart Aggregation y utilizar la columna Count como parámetro.
En este punto ya se dispone de un listado alertas agrupadas por amenaza y con el número de
ocurrencias por cada amenaza. Con estos datos se puede construir una gráfica simple:
81
Manual de Adaptive Defense
Otra información útil
Hay varios campos interesantes en la tabla Alerts que pueden ser utilizados para extraer
información valiosa acerca de los ataques recibidos en la red del cliente:
Eventdate: agrupando por este campo podemos visualizar el número de ataques diarios y
así determinar si hay una epidemia en curso.
dwellTimeSecs: Es un campo que nos permite obtener la ventana de detección de las
amenazas recibidas, es decir, el tiempo desde que la amenaza fue vista por primera vez
en la red del cliente hasta su clasificación.
itemHash: dado que el nombre de la amenaza varía entre proveedores de seguridad se
puede utilizar el campo hash para agrupar amenazas en vez del itemName. Esto permite
discriminar además el Malware que se etiqueta con el mismo nombre.
9.2.2. Tabla Drivers
Esta tabla incluye todas las operaciones que se realizan sobre drivers detectadas en los procesos
ejecutados en los equipos del usuario.
Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor
de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIp
IP de la máquina del cliente
Dirección IP
ver
Versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso que realizo la
operación sobre el driver registrada
String
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx
Operación realizada por el proceso sobre el
Open
driver
Creation
hash
Hash / digest del fichero
String
driveType
Tipo de unidad donde reside el proceso que
desencadenó la operación sobre el driver
registrada
Fixed, Remote, Removable
path
Path del proceso que desencadenó la
operación registrada sobre el driver
String
validSig
Proceso firmado digitalmente
Boolean
company
Contenido del atributo Company de los
metadatos del proceso
String
imageType
Arquitectura interna del ejecutable
EXEx32, EXEx64, DLLx32, DLLx64
muid
op
82
Manual de Adaptive Defense
exeType
Tipo de ejecutable
Delphi, DOTNET, VisualC, VB,
CBuilder, Mingw, Mssetup,
Setupfactory, Lcc32,
Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de Panda
Security
HIGH, LOW, MEDIUM
prevLastDay
Prevalencia para día anterior en los sistemas
de Panda Security
HIGH, LOW, MEDIUM
cat
Categoría del fichero que realizo la operación
sobre el driver
Goodware, Malware, PUP,
mwName
Nombre del Malware si el fichero está
String, (Null si el elemento no es
catalogado como una amenaza
Malware)
serviceDriveType
Tipo de unidad donde reside el driver que
recibe la operación registrada
Fixed, Remote, Removable
servicePath
Path del driver recibió la operación registrada
String
Unknown, Monitoring
Esta tabla indica las operaciones de todos los procesos sobre los drivers instalados. Puesto que el
Malware que crea o o modifica drivers se considera especialmente peligroso por atacar
elementos básicos del sistema lo idóneo en este caso es filtrar el campo Cat y descartar todo lo
que este catalogado como “Goodware” o “Monitoring”.
9.2.3. Tabla Filesdwn
Esta tabla contiene información sobre las operaciones de descarga de datos por HTTP realizadas
por los procesos vistos en la red del cliente (URL, datos de los ficheros descargados, equipos que
las realizaron etc).
Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor
Date
83
Manual de Adaptive Defense
de Adaptive Defense
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx
type
Tipo del fichero descargado
Zip, Exe, Cab, Rar
url
url de descarga
Recurso URI
hash
Digest / hash del fichero descargado
String
validSig
Fichero descargado firmado digitalmente
Boolean
company
Contenido del atributo Company de los
metadatos del fichero descargado
String
imageType
Arquitectura interna del fichero descargado
EXEx32, EXEx64, DLLx32, DLLx64
exeType
Tipo de ejecutable del fichero descargado
Delphi, DOTNET, VisualC, VB,
CBuilder, Mingw, Mssetup,
Setupfactory, Lcc32,
Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de Panda
Security
HIGH, LOW, MEDIUM
prevLastDay
Prevalencia del día anterior en los sistemas de
Panda Security
HIGH, LOW, MEDIUM
cat
Categoría del fichero descargado
mwName
Nombre del Malware si el fichero descargado
String, (Null si el elemento no es
está catalogado como una amenaza
Malware)
Puesto
que
esta
tabla
muestra
todas
las
descargas
Goodware, Malware, PUP,
Unknown, Monitoring
de
los
usuarios
de
la
red
independientemente de que sean Malware o Goodware, aparte de localizar con un simple filtro
la información de la descarga en el caso de Malware también será posible visualizar de forma
gráfica los dominios que reciben más descargas.
84
Manual de Adaptive Defense
Dominios que reciben más descargas
Para mostrar este tipo de información es necesario manipular el contenido del campo url para
limpiar la parte del string que no nos interesa y quedarnos con la parte del dominio.
Crear una columna nueva con la operación Split sobre el campo url.
Agrupar por url diferente sin marcar agrupación temporal
Añadir una columna agregación de tipo contador
De esta forma se obtiene un listado por dominio agrupado y el número de ocurrencias de cada
dominio dentro de cada grupo. Con esta información se puede obtener fácilmente una gráfica
con los dominios más visitados para descarga.
85
Manual de Adaptive Defense
En este caso utilizados una gráfica de tipo tarta, más sencilla de interpretar para el tipo de
información que estamos mostrando. Para ello vamos a filtrar previamente las agrupaciones de
10 o menos ocurrencias para poder fijarnos con más detalle en el resto de dominios.
En las gráficas de tipo tarta las diferentes secciones son activas y al pasar el ratón por encima
nos muestran los porcentajes y el nombre de la serie representada.
Otra información útil
De la misma manera se pueden conjugar otros campos para enriquecer o filtrar los listados y
conseguir unas tablas más afinadas. De esta forma se puede utilizar:
Machine o machineIP: agrupando por estos campos se pueden ver los equipos de la red
del cliente que más descargas inician.
Cat: filtrando por este campo se puede despejar la tabla y mostrar únicamente lo que
está catalogado como Malware. De esta forma se pueden obtener dominios
considerados como emisores de Malware para bloquearlos en un cortafuegos que
permita análisis en la capa 7.
86
Manual de Adaptive Defense
9.2.4. Tabla hook
Esta tabla contiene todas las operaciones de creación y manipulación de hooks en el sistema
del usuario
Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el
servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx
hooktype
Tipo de hook realizado por el proceso
hash
Digest del proceso que realiza el hook en el
sistema
Keyboard_ll, mouse_ll,
keyboard, mouse
String
driveType
Tipo de unidad donde reside el proceso
que realiza el hook
Fixed, Remote, Removable
path
Path del proceso que realiza el hook
String
validSig
Proceso que realiza el hook firmado
digitalmente
Boolean
company
Contenido del atributo Company de los
metadatos del proceso que realiza el hook
String
imageType
Arquitectura del fichero que realiza el hook
EXEx32, EXEx64, DLLx32, DLLx64
exeType
Tipo de ejecutable del proceso que realiza
el hook
Delphi, DOTNET, VisualC, VB,
CBuilder, Mingw, Mssetup,
Setupfactory, Lcc32,
Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de
Panda Security del proceso que realiza el
hook
HIGH, LOW, MEDIUM
87
Manual de Adaptive Defense
prevLastDay
Prevalencia del ultimo día en los sistemas
de Panda Security del proceso que realiza
el hook
cat
Categoría del proceso que realiza el hook
en el sistema
mwName
Nombre del Malware si el proceso que
realiza el hook en el sistema está
catalogado como una amenaza
HIGH, LOW, MEDIUM
Goodware, Malware, PUP,
Unknown, Monitoring
String, (Null si el elemento no
es Malware)
hookPEhash
Digest / hash del proceso hookeado
String
Fixed, Remote, Removable
Hook
Tipo de unidad donde reside el proceso
hookeado
hookPEpath
path del proceso hookeado
String
hookPEvalidSig
Proceso hookeado firmado digitalmente
Boolean
hookPEcompany
hookPEimageType
Contenido del atributo Company de los
metadatos del proceso hookeado
Arquitectura interna del fichero del proceso
hookeado
String
EXEx32, EXEx64, DLLx32, DLLx64
Delphi, DOTNET, VisualC, VB,
hookPEexeType
Tipo de ejecutable del proceso hookeado
CBuilder, Mingw, Mssetup,
Setupfactory, Lcc32,
Setupfactory, Unknown
hookPEprevalence
Prevalencia histórica en los sistemas de
Panda Security del proceso hookeado
HIGH, LOW, MEDIUM
hookPEprevLastDay
Prevalencia del ultimo día en los sistemas
de Panda Security del proceso hookeado
HIGH, LOW, MEDIUM
hookPEcat
Categoría del proceso hookeado
Goodware, Malware, PUP,
Unknown, Monitoring
Nombre del Malware si el proceso
hookPEmwName
hookeado está catalogado como una
String
amenaza
Esta tabla muestra las operaciones de todos los procesos que realizan hooks. Puesto que el
Malware que realiza este tipo de operación se considera especialmente peligroso por
88
Manual de Adaptive Defense
interceptar comunicaciones lo idóneo en este caso es filtrar el campo Cat y descartar todo lo
que este catalogado como “Goodware” y “Monitoring”.
9.2.5. Tabla Install
Esta tabla contiene toda la información generada en la instalación de los Agentes de Adaptive
Defense en las maquinas del cliente.
Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de Adaptive
Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
machineIP1
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP2
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP3
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP4
IP de una tarjeta de red adicional si está instalada
Dirección IP
machineIP5
IP de una tarjeta de red adicional si está instalada
Dirección IP
ver
versión del Agente Adaptive Defense
String
op
Operación realizada
Install, Uninstall,
Upgrade
osVer
Versión del Sistema Operativo
String
osSP
Versión del Service Pack
String
osPlatform
Plataforma del S.O.
WIN32, WIN64
Desinstalación de agentes
A parte de las gráficas mostradas en el Dashboard de Adaptive Defense sobre las versiones de
agentes instalados o desinstalados puede ser muy útil localizar de forma rápida los equipos que
han desinstalado su agente en un periodo de tiempo dado.
Para ello hay que acotar la fecha y simplemente añadir un filtro sobre el campo op para
seleccionar todas las filas que tengan el string “Uninstall”. Con esta operación podremos obtener
un listado de máquinas desinstaladas y por lo tanto vulnerables a las amenazas.
89
Manual de Adaptive Defense
9.2.6. Tabla Monitoredopen
Esta tabla contiene los ficheros de datos accedidos por las aplicaciones ejecutadas en el
equipo del usuario junto con los procesos que accedieron a los datos
Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el servidor de
Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
muid
Identificador interno del equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero que accede a datos
String
parentPath
path del proceso que que accede a datos
String
parentValidSig
Proceso que accede a datos firmado
digitalmente
Boolean
parentCompany
Contenido del atributo Company de los
metadatos del fichero que accede a datos
String
parentBroken
El fichero que a datos está corrupto /
defectuoso
Boolean
parentImageType
Tipo de arquitectura interna del fichero que
accede a datos
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo de ejecutable que accede a datos
Delphi, DOTNET, VisualC, VB,
CBuilder, Mingw, Mssetup,
Setupfactory, Lcc32, Setupfactory,
Unknown
parentPrevalence
Prevalencia histórica del fichero que accede a
datos en los sistemas de Panda Security
HIGH, LOW, MEDIUM
parentPrevLastDay
Prevalencia en el día anterior del fichero que
accede a datos en los sistemas de Panda
Security
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero que accede a datos
Goodware, Malware, PUP,
Unknown, Monitoring
90
Manual de Adaptive Defense
parentMWName
parentPid
Nombre del Malware si el fichero que accede a
String, (Null si el elemento no es
datos está catalogado como una amenaza
Malware)
Numero identificador del proceso que accede a
datos en el equipo del cliente
String
Nombre del fichero de datos accedido por el
childPath
proceso. Por defecto solo se indica la extensión
del fichero para preservar la privacidad de
String
datos del cliente
loggedUser
Usuario logueado en el equipo en el momento
del acceso del fichero
String
Acceso a documentos de usuario
Como esta tabla muestra el acceso a ficheros de todos los procesos que se ejecutan en el
equipo del usuario, es bastante sencillo localizar una fuga de información en caso de infección.
Filtrando por el campo parentCat para discriminar el Goodware del resto de posibilidades
podemos obtener un listado de accesos a ficheros de datos por parte de procesos sin clasificar
o clasificados como Malware, con lo que es posible visualizar de un vistazo el impacto de la fuga
de datos y tomar las medidas necesarias.
9.2.7. Tabla Notblocked
Esta tabla incluye un registro por cada elemento que Adaptive Defense ha dejado pasar sin
analizar debido a situaciones excepcionales como tiempo de arranque del servicio en el
endpoint, cambios de configuración etc.
Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del
cliente
Date
serverdate
Fecha de recepción del evento en
el servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive
Defense
String
user
Nombre de usuario del proceso
String
91
Manual de Adaptive Defense
muid
Identificador interno del equipo del
cliente
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero padre
String
parentValidSig
Proceso padre firmado digitalmente
Boolean
parentCompany
Contenido del atributo Company de
los metadatos del proceso padre
String
parentBroken
El fichero padre está corrupto o no
Boolean
parentImageType
Arquitectura interna del proceso
padre
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo de ejecutable del proceso
padre
Delphi, DOTNET, VisualC, VB,
CBuilder, Mingw, Mssetup,
Setupfactory, Lcc32, Setupfactory,
Unknown
parentPrevalence
Prevalencia histórica en los sistemas
de Panda Security del proceso
padre
HIGH, LOW, MEDIUM
parentPrevLastDay
Prevalencia en el día anterior en los
sistemas de Panda Security del
proceso padre
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero padre
ParentmwName
Nombre del Malware si el fichero
padre está catalogado como una
amenaza
Goodware, Malware, PUP,
Unknown, Monitoring
string, (Null si el elemento no es
Malware)
childHash
Digest / hash del fichero hijo
String
childValidSig
Proceso hijo firmado digitalmente
Boolean
childCompany
Contenido del atributo Company de
los metadatos del proceso hijo
String
childBroken
El fichero hijo está corrupto o no
Boolean
childImageType
Arquitectura interna del proceso hijo
EXEx32, EXEx64, DLLx32, DLLx64
Tipo de ejecutable del proceso hijo
Delphi, DOTNET, VisualC, VB,
CBuilder, Mingw, Mssetup,
Setupfactory, Lcc32, Setupfactory,
Unknown
childExeType
92
Manual de Adaptive Defense
childPrevalence
Prevalencia histórica en los sistemas
de Panda Security del fichero hijo
HIGH, LOW, MEDIUM
childPrevLastDay
Prevalencia del dia anterior en los
sistemas de Panda Security del
fichero hijo
HIGH, LOW, MEDIUM
childCat
Categoría del proceso hijo
Nombre del Malware si el fichero hijo
childmwName
está catalogado como una
amenaza
cfgSvcLevel
Goodware, Malware, PUP,
Unknown, Monitoring
String, (Null si el elemento no es
Malware)
Learning: el agente permite la
ejecución de los procesos no
conocidos
Hardening: el agente impide
la ejecución de los procesos
clasificados como amenazas
Block: el agente impide la
ejecución de los procesos
clasificados como amenazas
y de los procesos
desconocidos
Learning: el agente permite la
ejecución de los procesos no
conocidos
Hardening: el agente impide
la ejecución de los procesos
clasificados como amenazas
Block: el agente impide la
ejecución de los procesos
clasificados como amenazas
y de los procesos
desconocidos
Configuración de servicio del
agente
Modo de operación del agente. El
Agente puede tener temporalmente
una configuración establecida
realSvcLevel
diferente a la configuración en uso
debido a diversas razones del
entorno de ejecución. A la larga
cfgSvcLevel y realSvcLevel deberán
de coincidir.
Unknown = 0
Goodware = 1
Malware = 2
responseCat
Categoría del fichero devuelta por
Suspect = 3
la nube
Compromised =4
GoodwareNotConfirmed = 5
PUP = 6
GoodwareUnwanted = 7
numCacheClassifiedElements
Nº de elementos clasificados en
caché
Numeric
93
Manual de Adaptive Defense
9.2.8. Tabla Ops
Esta tabla contiene un registro de todas las operaciones realizadas por los procesos vistos en la
red del cliente.
Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina
del cliente
Date
serverdate
Fecha de recepción del evento
en el servidor de Adaptive
Defense
Date
machine
Nombre de la máquina del
cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive
Defense
String
user
Nombre de usuario del proceso
String
CreateDir, Exec, KillProcess, CreatePE, DeletePE,
op
muid
Operación realizada
Identificador interno del equipo
del cliente
LoadLib, OpenCmp, RenamePE, CreateCmp
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero padre
String
parentPath
path del proceso padre
String
parentValidSig
Proceso padre firmado
digitalmente
Boolean
parentCompany
Contenido del atributo Company
de los metadatos del fichero
padre
String
parentImageType
Tipo de arquitectura interna del
fichero padre
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo del ejecutable padre
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw,
Mssetup, Setupfactory, Lcc32, Setupfactory,
Unknown
parentPrevalence
Prevalencia histórica del fichero
padre en los sistemas de Panda
HIGH, LOW, MEDIUM
94
Manual de Adaptive Defense
Security
parentPrevLastDay
Prevalencia en el día anterior del
fichero padre en los sistemas de
Panda Security
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero padre
Goodware, Malware, PUP, Unknown, Monitoring
parentMWName
Nombre del Malware
encontrado en el fichero padre
String, (Null si el elemento no es Malware)
childHash
Digest / hash del fichero hijo
String
childPath
path del proceso hijo
String
childValidSig
Proceso hijo firmado digitalmente
Boolean
childCompany
Contenido del atributo Company
de los metadatos del fichero hijo
String
childImageType
Tipo de arquitectura interna del
fichero hijo
EXEx32, EXEx64, DLLx32, DLLx64
childExeType
Tipo de ejecutable hijo
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw,
Mssetup, Setupfactory, Lcc32, Setupfactory,
Unknown
childPrevalence
Prevalencia histórica del fichero
hijo en los sistemas de Panda
Security
HIGH, LOW, MEDIUM
childPrevLastDay
Prevalencia en el día anterior del
fichero hijo en los sistemas de
Panda Security
HIGH, LOW, MEDIUM
childCat
Categoría del fichero hijo
Goodware, Malware, PUP, Unknown, Monitoring
childMWName
Nombre del Malware
encontrado en el fichero hijo
String, (Null si el elemento no es Malware)
ocsExec
Se ejecutó o no software
considerado como vulnerable
Boolean
ocsName
Nombre del software
considerado vulnerable
String
ocsVer
Version del software considerado
vulnerable
String
Origen de creación del proceso
peCreationSource
ejecutable. Equivalente al
String
campo DriveType
95
Manual de Adaptive Defense
params
toastResult
clientCat
action
Parámetros de ejecución del
proceso ejecutable
Resultado de la tostada
mostrada
Categoría en la caché del
agente del elemento
Acción realizada
Modo del agente
String
Ok
Timeout
Angry
Block
Allow
Goodware, Malware, PUP, Unknown, Monitoring
Allow, Block, BlockTimeout
Learning: el agente permite la ejecución de
los procesos no conocidos
Hardening: el agente impide la ejecución
de los procesos clasificados como
amenazas
Block: el agente impide la ejecución de los
procesos clasificados como amenazas y de
los procesos desconocidos
Unknown
Cache
Cloud
Contect
Serializer
User
Legacyuser
Netnative
certifUA
serviceLevel
winningTech
Tecnología que ha provocado la
acción
9.2.9. Tabla Registry
Esta tabla contiene un registro de todas las operaciones realizadas por los procesos vistos en la
red del cliente sobre el registro de cada sistema.
Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del
cliente
Date
serverdate
Fecha de recepción del evento en el
Date
96
Manual de Adaptive Defense
servidor de Adaptive Defense
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso que
String
modifico el registro
op
Operación realizada sobre el registro
ModifyExeKey, CreateExeKey
del equipo
hash
Digest / hash del proceso que realiza
String
la modificación en registro
muid
Identificador interno del equipo del
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
cliente
targetPath
Path del ejecutable apuntado en el
registro
Tipo de unidad donde reside el proceso que
realiza el hook
regKey
Clave de registro
String
driveType
Tipo de unidad donde reside el
proceso que accede al registro
String
path
Path del proceso que modifica el
String
registro
validSig
Clave de registro
Boolean
company
Clave de registro
String
imageType
Arquitectura del fichero que accede
String
al registro
exeType
Tipo de ejecutable
Delphi, DOTNET, VisualC, VB, CBuilder, Mingw,
Mssetup, Setupfactory, Lcc32, Setupfactory,
Unknown
Prevalence
Prevalencia histórica en los sistemas
HIGH, LOW, MEDIUM
de Panda Security del proceso
prevLastDay
Prevalencia del ultimo día en los
HIGH, LOW, MEDIUM
sistemas de Panda Security del
97
Manual de Adaptive Defense
proceso
Cat
Categoría del proceso
Goodware, Malware, PUP, Unknown, Monitoring
mwName
Nombre del Malware si el proceso está
String, (Null si el elemento no es Malware)
catalogado como una amenaza
Persistencia de las amenazas instaladas
Como esta tabla muestra el acceso al registro de todos los procesos que se ejecutan en el
equipo del usuario, es bastante sencillo visualizar el Malware que consiguió ejecutarse hasta el
punto de lograr persistencia en el sistema.
Las ramas del registro que invocan a un programa en el arranque son múltiples pero las más
utilizadas por troyanos y otros tipos de amenazas son:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
Viendo las claves casi todas comparten la rama “Run” de modo que filtrando por el campo
regKey y buscando la subcadena “Run” podemos visualizar toda la información relativa al
proceso que añadió o retiró la rama del registro.
98
Manual de Adaptive Defense
Una vez filtrados los procesos que manipulan el sistema de arranque se pueden aplicar filtros
posteriores que refinen la búsqueda inicial, utilizando el campo Cat para eliminar todos los
programas catalogados como Goodware de la lista, de forma equivalente a la mostrada en
ejemplos anteriores
9.2.10. Tabla Socket
Esta tabla contiene un registro de todas las operaciones de red realizadas por los procesos vistos
en la red del cliente.
Nombre
Explicación
Valores
eventdate
Fecha del evento en la máquina del cliente
Date
serverdate
Fecha de recepción del evento en el
servidor de Adaptive Defense
Date
machine
Nombre de la máquina del cliente
String
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive Defense
String
user
Nombre de usuario del proceso
String
hash
Digest / hash del proceso que realiza la
conexión
muid
Identificador interno del equipo del cliente
driveType
Tipo de unidad donde reside el proceso que
realiza la conexión
path
path del proceso que realiza la conexión
protocol
port
Protocolo de comunicaciones utilizado por el
proceso
Puerto de comunicaciones utilizado por el
proceso
String
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Fixed, Remote, Removable
String
TCP, UDP, ICMP, ICMPv6,IGMP, RF
0-65535
direction
Sentido de la comunicación
Upload, Download, Bidirectional, Unknown
dstIp
IP destino
Dirección IP
dstPort
Puerto destino
0-65535
dstIp6
IP v6 de destino
Dirección IP
99
Manual de Adaptive Defense
validSig
Fichero que realiza la conexión firmado
digitalmente
Boolean
company
Contenido del atributo Company de los
metadatos del fichero que realiza la
conexión
String
imageType
Arquitectura interna del proceso que realiza
la conexión
EXEx32, EXEx64, DLLx32, DLLx64
exeType
Tipo de ejecutable del proceso que realiza la
conexión
Delphi, DOTNET, VisualC, VB, CBuilder,
Mingw, Mssetup, Setupfactory, Lcc32,
Setupfactory, Unknown
prevalence
Prevalencia histórica en los sistemas de
Panda Security
HIGH, LOW, MEDIUM
prevLastDay
Prevalencia del dia anterior en los sistemas
de Panda Security
HIGH, LOW, MEDIUM
cat
Categoría del proceso que realiza la
conexión
Goodware, Malware, PUP, Unknown,
mwName
Monitoring
Nombre del Malware si el proceso que
realiza la conexión está catalogado como
String, (Null si el elemento no es Malware)
una amenaza
Programas que más se conectan al exterior
Análogamente a la gráfica de la consola que geolocaliza los destinos de las conexiones
efectuadas por el Malware instalado en la red del cliente se pueden obtener los destinos más
conectados por el software licito que se ejecuta en los equipos. Para ello hay que seguir los
siguientes pasos:
Añadir un filtro que elimine todos los programas que no sean considerados lícitos. Para ello
hay que igualar el campo Cat a la cadena “Goodware”
Añadir un filtro que elimine todas las conexiones de destino a direcciones IP privadas. Para
ello hay que crear una columna con la función Is Public IPv4 sobre el campo dstIp, tal y
como se muestra en la figura
100
Manual de Adaptive Defense
Añadir sendas columnas latitude y longitude que extraigan del campo dstIP la longitud y
la latitud con las funciones Geolocated Latitude / Longitude.
En este punto del procedimiento tenemos un listado de conexiones desde software legítimo
hacia direcciones IP públicas y la latitud y longitud de cada IP. Las coordenadas obtenidas se
representaran en la gráfica de tipo mapa como puntos.
Puesto que se quiere representar el número de conexiones a una misma dirección IP será
necesario realizar una agrupación y añadir un contador para obtener el número de direcciones
IP repetidas en una agrupación.
Añadir una agrupación por el campo de la tabla dstIP y los campos de nueva creación
latitude y longitude, sin límite temporal.
101
Manual de Adaptive Defense
Agregar una función de tipo contador.
Añadir una gráfica de tipo Flat world map by coordinates o Google heat map utilizando
como datos las columnas count, latitude y longitude.
Al arrastrar las columnas a las casillas indicadas se mostrará el mapa elegido con los datos
representados por puntos de diversos colores y tamaños
102
Manual de Adaptive Defense
9.2.11. Tabla Toast
La tabla Toast registra una entrada por cada aparición de mensaje del agente al cliente
Nombre
Explicación
Valores
eventdate
Fecha del evento en la
máquina del cliente
Date
serverdate
Fecha de recepción del
evento en el servidor de
Adaptive Defense
Date
machine
Nombre de la máquina del
cliente
String
103
Manual de Adaptive Defense
machineIP
IP de la máquina del cliente
Dirección IP
ver
versión del Agente Adaptive
Defense
String
user
Nombre de usuario del
proceso
String
muid
Identificador interno del
equipo del cliente
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
parentHash
Digest / hash del fichero
padre
String
parentPath
path del proceso padre
String
parentValidSig
Proceso padre firmado
digitalmente
Boolean
parentCompany
Contenido del atributo
Company de los metadatos
del fichero padre
String
parentImageType
Tipo de arquitectura interna
del fichero padre
EXEx32, EXEx64, DLLx32, DLLx64
parentExeType
Tipo del ejecutable padre
Delphi, DOTNET, VisualC, VB, CBuilder,
Mingw, Mssetup, Setupfactory, Lcc32,
Setupfactory, Unknown
parentPrevalence
Prevalencia histórica del
fichero padre en los sistemas
de Panda Security
HIGH, LOW, MEDIUM
parentPrevLastDay
Prevalencia en el día anterior
del fichero padre en los
sistemas de Panda Security
HIGH, LOW, MEDIUM
parentCat
Categoría del fichero padre
Goodware, Malware, PUP, Unknown,
Monitoring
parentMWName
Nombre del Malware
encontrado en el fichero
padre
String, (Null si el elemento no es Malware)
childHash
Digest / hash del fichero hijo
String
childPath
path del proceso hijo
String
childValidSig
Proceso hijo firmado
digitalmente
Boolean
childCompany
Contenido del atributo
Company de los metadatos
del fichero hijo
String
childImageType
Tipo de arquitectura interna
del fichero hijo
EXEx32, EXEx64, DLLx32, DLLx64
childExeType
Tipo de ejecutable hijo
Delphi, DOTNET, VisualC, VB, CBuilder,
Mingw, Mssetup, Setupfactory, Lcc32,
104
Manual de Adaptive Defense
Setupfactory, Unknown
childPrevalence
Prevalencia histórica del
fichero hijo en los sistemas de
Panda Security
HIGH, LOW, MEDIUM
childPrevLastDay
Prevalencia en el día anterior
del fichero hijo en los sistemas
de Panda Security
HIGH, LOW, MEDIUM
childCat
Categoría del fichero hijo
Goodware, Malware, PUP, Unknown,
Monitoring
clientCat
Categoría en la caché del
agente del elemento
Goodware, Malware, PUP, Unknown,
Monitoring
childMWName
Nombre del Malware
encontrado en el fichero hijo
String, (Null si el elemento no es Malware)
Learning: el agente permite la ejecución
de los procesos no conocidos
serviceLevel
Modo del agente
Hardening: el agente impide la ejecución
de los procesos clasificados como
amenazas
Block: el agente impide la ejecución de
los procesos clasificados como amenazas
y de los procesos desconocidos
winningTech
Tecnología que ha
provocado la acción
Unknown
Cache
Cloud
Contect
Serializer
User
Legacyuser
Netnative
certifUA
cloudAccessOk
Acceso a la nube cuando se
Boolean
SonFirstSeen
Primera vez que el sistema vio
al proceso que provoco la
tostada
Date
SonLastQuery
Ultima vez que el proceso
que provoco la tostada lanzo
una query a la nube
Date
PrevoiusClientCat
Categoría previa del
elemento que provocó la
tostada
Numeric
Ok: el cliente acepta el mensaje
Timeout: la tostada desaparece por la no
acción del usuario
ToastResult
Resultado de la tostada
Angry: el usuario rechaza el bloqueo
Block
Allow
105
Manual de Adaptive Defense
10. Anexo I:
Integración
con
productos
SIEM
106
Manual de Adaptive Defense
10. Anexo I: Integración con productos SIEM
Adaptive Defense se integra con soluciones SIEM agregando información detallada sobre la
actividad de las aplicaciones ejecutadas en los puestos protegidos.
La información enviada al sistema SIEM del cliente tiene como origen el servidor Adaptive
Defense; por esta razón se trata de información ya elaborada (categoría, prevalencia etc) y no
simplemente de datos en crudo recogidos de los Agentes instalados en las máquinas de los
usuarios.
A continuación, se listan los sistemas SIEM compatibles con Adaptive Defense:
QRadar
AlienVault
ArcSight
LookWise
Bitacora
QRadar
Actualmente Adaptive Defense se integra con QRadar (formato Live)
AlienVault y ArcSight
La integración con AlienVault y ArcSight agrega información al SIEM bajo el formato CEF
(Common Event Format)
LookWise y el antiguo bitácora
LookWise y el antiguo bitácora puden recibir eventos de alertas e información de prevalencia
de Adaptive Defense, esto es: información de cuándo y en que máquinas del parque se ha visto
el Malware detectado.
Integración abierta a otros fabricantes (Splunk, etc)
La integración con nuevas plataformas SIEM es un proceso que se acomete bajo demanda por
lo que queda abierta la posibilidad de integración con fabricantes como Splunk y otros.
107
Manual de Adaptive Defense
11. Anexo II:
Acuerdos de
Nivel de
Servicio
Servicio de Preventa y Migración
Servicio de Soporte Técnico
Nuestra Infraestructura en la Nube
Servicio de clasificación de software no
confiable
108
Manual de Adaptive Defense
11. Anexo II: Acuerdos de Nivel de Servicio
En Panda Security consideramos crítico dejar claro los servicios que vienen incluidos con su
adquisición. A continuación se describen los niveles de servicio que se ofrecen con la
adquisición de nuestras soluciones.
11.1. Servicio de Preventa y Migración
El servicio de preventa y migración incluye demostración del servicio, información y respuesta al
cliente a todas sus dudas y consultas, coordinación con los departamentos internos de Panda
Security, soporte activo en la migración y desinstaladores para la solución reemplazada con
Panda Adaptive Defense.
Servicio de información al cliente dando respuestas por email o telefónicamente a todas
las dudas y preguntas del cliente.
Coordinación interna y comunicación abierta con todos los departamentos internos de
Panda Security con el objetivo de dar respuesta a todas las dudas y consultas del cliente,
además de transmitir las necesidades del cliente para su incorporación al servicio en
futuras revisiones.
Soporte activo en la migración. Soporte activo en la migración tomado datos,
elaboración de propuestas y colaboración en los despliegues.
Desinstaladores de la solución reemplazada. En caso de que la empresa que adquiera
Panda Adaptive Defense quiera reemplazar su solución de antivirus tradicional, Panda
ofrece desinstaladores de los productos / soluciones antivirus. Estos desinstaladores se
lanzarán de forma automática en los puestos y servidores donde se instale la protección
de Panda Adaptive Defense siempre y cuando así esté establecido en la configuración
del servicio. En el caso de no disponer del desinstalador, Panda se compromete a crear el
desinstalador en un plazo máximo de 2 semanas desde la recepción de la información
necesaria. La creación del desinstalador será posible en todos los casos salvo que el
producto a desinstalar incluya métodos de auto-protección que impidan su
desinstalación.
11.2. Servicio de Soporte Técnico
El servicio de Soporte de productos Panda, tiene por objeto establecer el mantenimiento y la
asistencia técnica que permita asegurar el correcto funcionamiento de todos los programas
Panda en todos los puestos y servidores del cliente.
Service Packs y hotfixes: Acceso a las mejoras técnicas de producto durante el tiempo de
activación del servicio.
Web de soporte: Acceso a foros, blogs, web de soporte, información sobre últimas
amenazas, mapa de virus, Panda ThreatWatch, enciclopedia de virus etc.
Soporte técnico: Atención telefónica y vía email de técnicos certificados en las soluciones
de PANDA SECURITY.
Acceso a programas beta: para acceder a las últimas versiones de productos de
seguridad de PANDA y compartir las experiencias y feedback con nosotros.
Acceso ilimitado al HelpDesk: Sin límite de incidencias reportadas.
109
Manual de Adaptive Defense
Las condiciones que definen el servicio son:
Servicio de soporte técnico personal. Servicio de atención al cliente, atendido por
expertos del producto a través de teléfono. Resolución personal de cualquier consulta o
incidencia relacionada con la detección de virus o con la configuración del producto.
11.3. Nuestra Infraestructura en la Nube
Disponibilidad del Servicio
Panda Security garantiza que el servicio estará disponible un 99,5% del tiempo, y cubre las
infraestructuras utilizadas por la solución Panda Adaptive Defense, en concreto aplica a los
siguientes sistemas:
Consola de administración.
Las descargas de los paquetes para instalar tanto el agente como la protección en
portátiles, estaciones y servidores Windows.
La disponibilidad se calculará anualmente según la siguiente ecuación:
𝑡𝑜𝑡𝑎𝑙 − 𝑛𝑜𝑛𝑒𝑥𝑐𝑙𝑢𝑑𝑒𝑑 − 𝑒𝑥𝑐𝑙𝑢𝑑𝑒𝑑
{(
) | ∗ 100} ≥ 99,5%
𝑡𝑜𝑡𝑎𝑙 − 𝑒𝑥𝑐𝑙𝑢𝑑𝑒𝑑
Dónde:
- total significa el número total de minutos por año
- No excluido significa el tiempo de indisponibilidad (downtime) que no está excluido,
es decir, el tiempo durante el cual ha habido una indisponibilidad del servicio en la
que la consola de administración y/o las descargas de los paquetes para instalar el
agente y la protección no han estado disponibles.
- Se define como tiempo excluido el que se incluye en los siguientes casos:
- Paradas planificadas por mantenimiento, instalación de nuevas versiones
(Major y Minor), y para la instalación de hotfixes. Este tiempo nunca excederá
de 48 horas por trimestre
- Cualquier parada por mantenimiento donde Panda Security avisa con una
antelación entre 48h y 96h vía email al partner. En dicha notificación se
indicará el tiempo de inicio y finalización aproximado de dicho mantenimiento.
- Cualquier parada planificada para la instalación de Major Releases, limitadas
a un máximo de 3 anuales.
- Cualquier parada planificada para la instalación de Minor Releases, limitadas
a un máximo de 3 anuales.
- Cualquier parada planificada para la instalación de hotfixes.
- Cualquier indisponibilidad del servicio originada por Fuerza Mayor, y en general
cualesquiera circunstancias que escapen al control de Panda Security,
incluyendo pero no limitándose a cualquier suceso externo que no hubiera
110
Manual de Adaptive Defense
podido preverse o que previsto fuera inevitable, que impida el cumplimiento
de las obligaciones de alguna de las partes, como por ejemplo, tormentas,
inundaciones, incendios, guerras o sabotajes.
Los cálculos de disponibilidad se realizarán para el año completo, incluso en los casos en los que
el cliente haya contratado el servicio por menos tiempo o durante el mismo año. Durante el año
2013 la disponibilidad de nuestra plataforma en la nube tuvo un 99,9% de disponibilidad.
¿Qué seguridad tiene la plataforma donde se alojan los datos?
Windows Azure, la plataforma donde está alojado Panda Adaptive Defense provee la máxima
confidencialidad y seguridad de los datos almacenados. Las políticas de seguridad y control
establecidas en Azure están descritas en el Whitepaper de “Windows Azure Security Overview”.
Ver http://download.microsoft.com/download/6/0/2/6028B1AE-4AEE-46CE-9187641DA97FC1EE/Windows%20Azure%20Security%20Overview%20v1.01.pdf
¿Qué certificaciones de seguridad tiene la plataforma donde se alojan los datos?
Tal y como se indica en el .pdf del apartado anterior Windows Azure corre sobre Microsoft
Global Foundation Services (GFS): “Windows Azure operates in the Microsoft Global Foundation
Services (GFS) infrastructure”
El siguiente documento muestra información sobre la gestión de la seguridad que se hace en
Global Foundation Services (GFS), la infraestructura Cloud de Microsoft en la cual corre Windows
Azure:http://cdn.globalfoundationservices.com/documents/InformationSecurityMangSysforMSCl
oudInfrastructure.pdf
En el .pdf se indican las certificaciones de Windows Azure:
ISO/IEC 27001:2005
Statement on Auditing Standards No. 70 (SAS 70) Type I and II
Sarbanes-Oxley (SOX)
Payment Card Industry Data Security Standard (PCI DSS)
Federal Information Security Management Act (FISMA)
Adicionalmente tenemos información más detallada sobre la certificación 27001 en:
http://blogs.msdn.com/b/windowsazure/archive/2011/12/19/windows-azure-achieves-is0-27001certification-from-the-british-standards-institute.aspx
Por último, indicar que en http://www.microsoft.com/download/en/details.aspx?id=26647 hay
un White Paper que describe como Windows Azure cumple con los requisitos de seguridad
definidos por Cloud Security Alliance, Cloud Control Matrix. Se adjunta párrafo del Whitepaper:
“Our security framework based on ISO 27001 enables customers to evaluate how Microsoft meets
or exceeds the security standards and implementation guidelines. ISO 27001 defines how to
111
Manual de Adaptive Defense
implement, monitor, maintain, and continually improve the Information Security Management
System (ISMS). In addition, the GFS infrastructure undergoes an annual American Institute of
Certified Public Accountants (AICPA) Statement of Auditing Standards (SAS) No. 70 audits, which
will be replaced with an AICPA Statement on Standards for Attestation Engagements (SSAE) No.
16 audit and an International Standards for Assurance Engagements (ISAE) No. 3402 audit.
Planning for an SSAE 16 audit of Windows Azure is underway.”
11.4. Servicio de clasificación de software no confiable
Panda Adaptive Defense se basa en innovadoras tecnologías que se alimentan de información
recogida de la monitorización continua de las aplicaciones que corren en los puestos y
servidores, de información de reputación, de información de la propia comunidad del Panda,
así como de información obtenida en la ejecución controlada de estas aplicaciones en
máquinas físicas ubicadas en la infraestructura de Panda.
Todas estas entradas alimentan a un motor de análisis de Big Data en nuestra infraestructura en
la nube donde se agrega, correlaciona y procesan las entradas. El resultado final es un
diagnostico que determina si la aplicación es o no confiable para Panda. Este diagnóstico se
determina con un grado de precisión cercano al 100%, calculado en función de todas las
clasificaciones de Goodware y Malware realizadas por Panda hasta la fecha.
En cualquier caso, el nivel de confiabilidad de las aplicaciones se recalcula continuamente a
medida que llegan nuevos eventos en el sistema.
Nuestros expertos de PandaLabs, con toda la información recogida de la monitorización
continua de las aplicaciones que corren en los Endpoints y con los resultados del análisis BigData
realizado en nuestra infraestructura en la nube, se encargarán de clasificar manualmente
aquellas aplicaciones que no son clasificadas de forma automática por el sistema.
112
Manual de Adaptive Defense
113
© Copyright 2024