El control sobre los procesos que corren en las distintas terminales de la red, resulta de gran importancia para la gestión de redes corporativas. Para hacer frente a estos problemas es que nace El Jefe, una herramienta libre que permite acumular en una única base de datos el análisis de procesos en ejecución en los diferentes entornos corporativos que operen sobre la plataforma Windows, mediante una sencilla interfaz web al usuario final.

El Jefe intercepta las llamadas del sistema nativas a Windows utilizadas en la creación de procesos, permitiendo así el seguimiento y monitoreo de procesos mediante la correlación de los eventos capturados. Todos los datos recolectados son registrados por el servidor, el cual los almacena en una base de datos PostgresSQL, para luego explorarlos mediante Django.

La herramienta también provee soporte para trabajar a la par de Cuckoo y, aunque su instalación conjunta no es obligatoria, esto nos permite realizar análisis dinámico de procesos sospechosos de manera rápida y sencilla. Mediante esta inclusión, El Jefe se torna no sólo una herramienta de control de procesos en estaciones de trabajo sino además un aliado para la etapa inicial de análisis de muestras de malware, nucleando ambos pasos sobre una misma aplicación.

Preparando el entorno de trabajo

Tras concretar la instalación según la guía de instalación provista en el sitio de Immunity, deberemos iniciar el proceso servidor de El Jefe y, si lo deseamos, el proceso que da soporte a la máquina virtual de Cuckoo.

También deberemos instalar el paquete cliente en las máquinas a ser monitoreadas. El archivo ejecutable de extensión .exe que cumple este propósito puede generarse desde la misma interfaz web: una vez que hemos ingresado nuestras credenciales de sesión para la aplicación, podremos dirigirnos a la solapa Client. Allí deberemos proveer el usuario y contraseña que hemos configurado, la dirección IP del servidor de El Jefe, y el puerto que hemos definido para la comunicación.

el_jefe_1

Analizando la información recolectada

Una vez que hemos desplegado El Jefe sobre todos los equipos, podremos acceder a información detallada sobre la creación de los procesos y los privilegios que les han sido concedidos, datos que han sido categóricamente organizados sobre un mecanismo centralizado de gestión.

La interfaz de la aplicación nos ofrece una serie de opciones tabuladas para sondear los equipos monitoreados, los binarios que en ellos se ejecutan y sus procesos, la secuencia de eventos, y realizar el manejo de datos con utilidades gráficas. Para cada una de estas variables, se dispone de un conjunto de filtros que ayudan a su exploración. Por ejemplo, en la siguiente captura de pantalla podemos ver la lista de binarios ejecutados en la máquina virtual de prueba, a los que es posible asignar una categoría para indicar si en efecto corresponden a aplicaciones maliciosas, o bien, si se reserva su estudio para etapas tardías.

el-jefe-2

Recorriendo las diferentes solapas disponibles, tenemos acceso no sólo a los binarios que han sido ejecutados, sus hashes, y su ubicación en el equipo, sino además a secciones de código de la página a correspondiente al punto de entrada de los ejecutables, sirviendo a un primer análisis de ingeniería reversa al permitir que el analista observe los primeros pasos en la ejecución.

Se deberá trabajar sobre todos estos datos para lograr la identificación de patrones de eventos que resulten indicadores de compromiso. Para conseguirlo, podría pensarse en infectar máquinas virtuales con amenazas comunes, o bien ejecutar contra ellas paquetes de explotación. Luego, desde el servidor de El Jefe, analizar los datos recolectados y entender cómo se ven estas rutinas en los eventos registrados, y crear las alertas correspondientes.

Poniendo a prueba al jefe

Con el objeto de poder observar los datos recolectados por la herramienta en una infección real, ejecutamos una muestra de Win32/Dorkbot en la máquina virtual monitoreada. En primer lugar, podemos buscar desde la solapa Intrusion aquellos procesos que extrañamente posean baja entropía. Si hacemos esto, veremos que figura Flash Player en la lista, lo cual resulta sospechoso.

el-jefe-3

Desde el comienzo, podemos ver el equipo de la red en el cual se desató la ejecución del proceso, y el SHA1 correspondiente al archivo.

Para obtener mayor detalle de la ejecución del binario, buscaremos los eventos que se corresponden al mismo. Esto puede realizarse desde el vínculo Events correspondiente o, de igual modo, desde la solapa Events ingresando los filtros pertinentes.

el-jefe-4Podemos notar dos eventos relacionados al mismo binario. Si hacemos clic en el ícono del gráfico de barras podremos acceder a las estadísticas del proceso, como ser la cantidad de handlers del proceso, el número de hilos que inicializó, o cuántas operaciones de escritura realizó. El diámetro de los círculos nos dará una idea de la proporción en que se hizo uso de esa característica, y al desplazar el puntero del ratón sobre ellos podremos acceder al número exacto.

el-jefe-5Si hacemos clic sobre el vínculo en el nombre del binario, accederemos a la descripción del mismo. Al ubicar el puntero del ratón sobre el símbolo del ojo y esperar algunos segundos, éste cambiará por un pulgar hacia arriba o hacia abajo a partir de que VirusTotal designe al archivo como benigno o no. Si hacemos clic en él seremos redireccionados al sitio para poder apreciar con más detalle los resultados de cada casa antivirus para la muestra en cuestión.

el-jefe-6En esta pantalla también podremos ver los distintos hashes correspondientes al binario, secciones de código, comentarios, y demás. Particularmente, dispondremos de las opciones para descargar el archivo desde el terminal, y para analizarlo con alguno de los servicios de sandboxing. Resulta notorio que, para quienes hayan decidido saltar la instalación de Cuckoo, se presenta una segunda opción de análisis dinámico con CAMAL.

el-jefe-7Para ver los análisis realizados y pendientes en Cuckoo, deberemos dirigirnos a la solapa Sandbox. Una captura de pantalla con la lista de espera puede apreciarse a continuación.

el-jefe-8Cuando hemos aislado el binario sospechoso y, en general, cada vez que identifiquemos un evento maliciosos o potencialmente intrusivo, podemos optar por generar una alerta. Entonces, cuando vuelva a generarse un evento de la misma naturaleza, se emitirá inmediatamente un correo electrónico a la cuenta de correo del administrador configurada en el proceso de instalación. También, puede establecerse que el binario que originó el evento sea automáticamente enviado a Cuckoo para su análisis.

el-jefe-9Para entender un poco más sobre el contexto en el cual se ejecutó la amenaza, podemos observar los gráficos estadísticos que El Jefe nos proporciona. Estos nos presentarán de manera visual qué otros procesos se han ejecutado en la terminal infectada, y cómo estos se relacionan. Primero, deberemos explorar las estaciones disponibles utilizando los filtros para restringirnos a aquella que nos interese.

el-jefe-10De los iconos que pueden observarse resaltados, si hacemos clic en el círculo, obtendremos un gráfico con la proporción de eventos generada por cada proceso en el equipo. En este caso, dado que Dorkbot se inyecta en otros procesos, vemos que a Flash_Player.exe no le corresponde un área extensa en el gráfico.

el-jefe-11En cambio, si presionamos el botón de la derecha, El Jefe generará un gráfico con la relación entre los eventos que se han registrado desde ese equipo. Esto nos permite hacer un seguimiento de las acciones que ejecutó el usuario y la forma de ejecución del proceso.

el-jefe-12

En conclusión…

El Jefe es una herramienta gratuita que combina la flexibilidad de aplicaciones para el monitoreo de procesos y eventos en Windows con la facilidad del análisis dinámico en entornos de sandboxing como Cuckoo, escalando estas funcionalidades sobre un entorno de red, y permitiendo la fácil exploración de los resultados sobre una interfaz intuitiva.

Aplicaciones gratuitas como ésta proveen un medio efectivo para el análisis de sistemas, atendiendo a públicos diversos y sirviendo, de igual modo, al análisis de muestras maliciosas y al logro de un mayor nivel de seguridad en pequeñas redes empresariales.