Choose the Better Donor Modalities

Por forma a identificar e mitigar os efeitos nefastos do malware, as componentes da Cisco AMP detetam, analisam e, opcionalmente, bloqueiam a transmiss˜ao de ficheiros. Esta secc¸˜ao aborda os dois tipos de eventos relacionados com ficheiros: eventos de ficheiros e eventos de malware.

Para cada ficheiro detetado no tr´afego da rede monitorizada ´e gerado um novo evento, no caso desse ficheiro ser considerado malicioso ´e tamb´em gerado um novo evento de malware. S˜ao apresentadas as configurac¸˜oes efetuadas na pol´ıtica de controlo de acessos referentes a ficheiros, sendo que, para efeitos pr´aticos, n˜ao ser˜ao detalhadas opc¸˜oes que fujam ao ˆambito deste trabalho.

3.4.1

Eventos de Ficheiro (File Events)

Um dos fatores diferenciais da plataforma Cisco AMP, comparativamente a NIDS co- muns, ´e a forma como este lida com a transferˆencia de ficheiros. Sempre que for detetada a transferˆencia de um novo ficheiro, que tenha como origem ou destino o tr´afego monito- rizado, ´e gerado um novo evento de ficheiro (ver figura 3.10). Para cada ficheiro detetado ´e-lhe atribu´ıdo uma de trˆes classificac¸˜oes:

• Limpo ou Clean - Significa que a plataforma considera este ficheiro inofensivo, ap´os an´alise do mesmo, ou que o administrador adicionou o ficheiro `a lista de fi- cheiros confi´aveis (whitelist);

• Malware - Significa que a plataforma, ap´os an´alise do ficheiro, considerou o mesmo como sendo malicioso ou o administrador adicionou o ficheiro `a lista de ficheiros n˜ao confi´aveis (blacklist);

• Desconhecido ou Unknown - N˜ao foi atribu´ıda uma classificac¸˜ao ao ficheiro ap´os a an´alise do mesmo (pode ter sido inconclusiva) nem foi adicionado `a blacklist ou whitelistpelo administrador;

• Indispon´ıvel ou Unavailable - Significa que a plataforma n˜ao conseguiu, por di- versas raz˜oes, comunicar com a AMP Cloud por forma a executar a an´alise de um determinado ficheiro.

O Defense Center regista os diferentes tipos de eventos de ficheiros detetados pelo sensor. A informac¸˜ao dispon´ıvel, relativamente a cada um desses eventos, pode variar dependendo da ac¸˜ao o despoletou. S˜ao gerados trˆes tipos de eventos:

• Eventos de Ficheiros - representam os ficheiros, incluindo malware, detetados pela Cisco AMP;

• Eventos de Malware- representa todo o malware detetado pela Cisco AMP; • Eventos Retrospetivos - representam os ficheiros detetados pela Cisco AMP cuja

disposic¸˜ao se alterou ao longo do tempo.

Os campos apresentados nos trˆes tipos de eventos s˜ao idˆenticos, alterando apenas a classificac¸˜ao atribu´ıda aos pr´oprios ficheiros. S˜ao guardados registos de todas as trans- ferˆencias de ficheiros efetuadas, `a semelhanc¸a dos eventos de ligac¸˜oes, para que possam ser analisados posteriormente pela equipa de resposta a incidentes, sempre que se consi- dere pertinente.

3.4.2

Eventos de Malware

Para al´em do evento correspondente `a detec¸˜ao de um ficheiro (evento de ficheiro), ´e ge- rado um evento de malware (ver figura 3.11) sempre que estes forem classificados como maliciosos. Com base nos resultados da an´alise, o sistema pode atualizar a classificac¸˜ao de um ficheiro. S˜ao aplicados m´etodos de inspec¸˜ao a cada ficheiro detetado, por forma a determinar se o mesmo cont´em malware. Dependendo das opc¸˜oes ativadas na pol´ıtica de ficheiros, estes podem ser analisados de trˆes formas que obedecem `a seguinte ordem:

1. Spero Analysis - Caso seja um ficheiro execut´avel, a plataforma analisa a sua es- trutura e envia a assinatura Spero resultante para a nuvem da Cisco Threat Grid. A nuvem analisa a assinatura por forma a determinar se o ficheiro ´e malicioso. Esta an´alise envolve o estudo das carater´ısticas estruturais do ficheiro, tal como metadata e informac¸˜ao dos cabec¸alhos;

2. Local Malware Analysis - Esta an´alise local n˜ao requer uma ligac¸˜ao `a nuvem da Threat Grid, podendo ser feita atrav´es de uma plataforma local. Inclui a an´alise de ficheiros execut´aveis, PDFs, documentos Microsoft Office e outro tipo de ficheiros que possam conter malware. Este mecanismo utiliza um conjunto de regras de detec¸˜ao fornecidas pela Cisco Talos Security and Research Group (Talos). Como n˜ao envolve o envio de ficheiros para a nuvem AMP, esta soluc¸˜ao ´e mais r´apida que as restantes. ´E fornecido um relat´orio detalhado com a composic¸˜ao do ficheiro incluindo as suas propriedades, objetos embebidos e conte´udos maliciosos;

3. Dynamic Analysis - Quando a plataforma pr´e-classifica os ficheiros como malware, estes s˜ao submetidos para a nuvem AMP ou para uma sandbox local de modo a se- rem analisados dinamicamente. Esta sandbox, seja ela na nuvem ou local, executa o ficheiro num ambiente controlado por forma a determinar se o ficheiro ´e malicioso, devolvendo uma pontuac¸˜ao consoante o n´ıvel da ameac¸a. Posteriormente, podem ser bloqueados ficheiros cujo n´ıvel de ameac¸a esteja acima de um limite definido, caso o equipamento esteja em modo ativo (inline).

Figura 3.12: Pol´ıtica de ficheiros do sistema Cisco AMP

No caso da Portugal Telecom, em particular, a Cisco AMP encontra-se configurada de modo a realizar os trˆes tipos de an´alise sempre que for detetado um ficheiro no tr´afego da rede monitorizada. A figura 3.12 apresenta a configurac¸˜ao da pol´ıtica de ficheiros, indi- cando as opc¸˜oes ativadas como m´etodo de an´alise de ficheiros. Estes eventos maliciosos s˜ao armazenados durante um per´ıodo de tempo mais alargado que os eventos de fichei- ros, tendo em conta a natureza e importˆancia dos mesmos. Desta forma garante-se que a equipa de resposta a incidentes tem acesso `a informac¸˜ao gerada pela Cisco AMP durante o tempo necess´ario para a sua an´alise.

3.4.3

Eventos Retrospetivos

A classificac¸˜ao atribu´ıda a um ficheiro pode alterar-se ao longo do tempo, podendo este, por exemplo, passar de “Clean” para “Malware” e vice-versa. Sempre que classificac¸˜ao de um ficheiro se altera para “Malware”, ´e gerado um novo evento retrospetivo. O De- fense Center ´e notificado de que a classificac¸˜ao de um determinado ficheiro se alterou e um novo evento de malware ´e gerado, de acordo com o seguinte procedimento:

• O Defense Center gera um novo evento retrospetivo - Representa uma alterac¸˜ao da classificac¸˜ao de todos os ficheiros detetados na ´ultima semana que tˆem o mesmo valor de hash SHA-256. Por esse motivo, estes eventos contˆem informac¸˜ao li- mitada: a data e hora em que o Defense Center foi notificado da alterac¸˜ao da disposic¸˜ao, a pr´opria classificac¸˜ao, o valor do hash SHA-256 do respetivo ficheiro e o nome da ameac¸a;

• O Defense Center altera a classificac¸˜ao de todos os ficheiros previamente de- tetados com o mesmo valor de hash SHA-256 associado - Se a classificac¸˜ao de um ficheiro mudar para “Malware”, o Defense Center gera um novo evento de malware. Se a classificac¸˜ao de um ficheiro mudar para “Clean”, o Defense Cen- ter n˜ao remove o evento de malware que foi criado originalmente, ao inv´es disso ´e simplesmente alterada a classificac¸˜ao do ficheiro.

Esta capacidade de reavaliar eventos passados, constitui uma enorme vantagem na detec¸˜ao de malware. Esta ´e a fase de detec¸˜ao de ameac¸as “p´os-intrus˜ao” referenciada anteriormente, como citac¸˜ao da pr´opria Cisco.