Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio...
Transcript of Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio...
![Page 1: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/1.jpg)
Sistema de Análisis Automatizado
de Phishing y Sitios Maliciosos
(SAAPM)
Gerardo Corona López
Andrea Itzel González Vargas
María Guadalupe Sarmiento Campos
![Page 2: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/2.jpg)
Agenda
• Introducción
• Problemática
• Herramientas utilizadas
• SAAPM
• Conclusiones
• Lecciones aprendidas
• Estado actual-futuro del proyecto
![Page 3: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/3.jpg)
¿Qué es SAAPM?
• Clasifica direcciones URL y archivos maliciosos
• Automatiza
1. Análisis
2. Gestión
3. Notificación
• Genera gráficas del comportamiento
• Genera reportes
![Page 4: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/4.jpg)
Objetivos
• Crear una herramienta que facilite al analista la gestión de sitios
maliciosos
• Análisis de direcciones URL y correos de forma automatizada
• Generación de reportes
• Generación de gráficas sobre el comportamiento de los sitios
maliciosos
![Page 5: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/5.jpg)
Problemática
Kaspersky, 2014, Typosquatters, Recuperado de https://media.kasperskydaily.com/wp-content/uploads/sites/87/2014/03/05212421/Typosquatters.png
![Page 6: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/6.jpg)
Problemática
UNAM, 2018, Phishing, Recuperado http://www.fundacionunam.org.mx/wp-content/uploads/2018/08/PISHING2.jpg
![Page 7: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/7.jpg)
Carbon Black
Threat post, 2019, Phishing Campaign Delivers Nasty Ransomware, Credential-Theft Two-Punch, Recuperado https://threatpost.com/phishing-gandcrab-ursnif/141182/
WORD
Ursnif
GandCrab
![Page 8: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/8.jpg)
WeTransfer
ESET, 2019, Campaña de phishing envía correo con supuestos archivos vía WeTransfer, Recuperado https://www.welivesecurity.com/la-es/2019/02/08/campana-de-phishing-envia-correo-con-supuestos-archivos-via-wetransfer/
www.malicioso.com
https://wetransfer.com/
https://malicioso.wetransfer.com/
![Page 9: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/9.jpg)
⚫ Python 3
⚫ Django
⚫ PostgreSQL
Módulo de gestión
Herramientas utilizadas
![Page 10: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/10.jpg)
SAAPM
NOTIFICACIÓN SALIDA
MONITOREO
GESTIÓN PHISHING
ENTRADA
URL
Módulos
![Page 11: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/11.jpg)
Módulo de Entrada
TXT CSV JSON
![Page 12: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/12.jpg)
⚫ URL:
⚫ Comas
⚫ Saltos de línea
⚫ Email:
⚫ Cabeceras de correo
Módulo de Entrada
![Page 13: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/13.jpg)
Módulo de URL
![Page 14: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/14.jpg)
Módulo de URL
![Page 15: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/15.jpg)
Módulo de Email
![Page 16: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/16.jpg)
Módulo de Email
![Page 17: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/17.jpg)
Módulo de Email
![Page 18: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/18.jpg)
Módulo de Email
![Page 19: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/19.jpg)
Módulo de Email
![Page 20: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/20.jpg)
Módulo de Email
![Page 21: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/21.jpg)
Módulo de Email
Módulo
Phishing
![Page 22: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/22.jpg)
Módulo de Phishing
• Análisis, procesamiento y clasificación de información relacionada
de cada sitio Phishing.
![Page 23: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/23.jpg)
GESTIÓN
AJUSTES
BÚSQUEDA
REPORTES
HOME
MONITOR
HISTÓRICO
Módulo de Gestión
![Page 24: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/24.jpg)
Submódulo Home (Dashboard)
![Page 25: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/25.jpg)
Submódulo de Monitoreo
![Page 26: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/26.jpg)
Submódulo de Histórico
![Page 27: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/27.jpg)
Submódulo de Histórico
![Page 28: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/28.jpg)
Submódulo de Reporte
![Page 29: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/29.jpg)
Submódulo de Reporte
![Page 30: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/30.jpg)
Submódulo de Búsqueda
• URL
• Dominio
• Dirección IP
• Correo
• Hash (MD5)
![Page 31: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/31.jpg)
Submódulo de Ajustes
• Plantillas para el reporte por medio de Email
• Configuración de Proxy
• Listas blancas
• Configuración en general de interés para el analista
![Page 32: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/32.jpg)
• Automatización de tareas
• Análisis de correos: [email protected]
• Monitoreo de las URL
• Notificaciones
h t t p s : / / w w w . s i t i o m a l i c i o s o . c o m
5
Módulo de Monitoreo
![Page 33: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/33.jpg)
Módulo de Notificación
![Page 34: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/34.jpg)
Módulo de Notificación
![Page 35: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/35.jpg)
Módulo de Salida
Genera archivos con información de interés para el analista:
• Compilación de direcciones IP, dominios y URL
• Reglas de firewall
![Page 36: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/36.jpg)
Demostración del Sistema
![Page 37: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/37.jpg)
Conclusiones
• Automatización
1. Ahorro de tiempo.
2. Notificación oportuna a los responsables.
• Análisis de gráficas
1. Identificación de campañas phishing.
2. Tendencias
• Análisis de correos y URL
1. Identificación de nuevos modos de engaño al usuario
![Page 38: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/38.jpg)
Lecciones aprendidas
• Al reportar a tiempo un sitio malicioso logramos que menos usuarios
sean victimas de robo, estafa, etc.
• Para reducir el número de usuarios afectados por sitios maliciosos,
es necesario capacitarlos para identificar sitios y correos maliciosos.
![Page 39: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/39.jpg)
• Actual: CSI/UNAM-CERT
• Futuro: Comunidad UNAM y sitio público
• Actual: CSI/UNAM-CERT
• Futuro: Entidades de seguridad de terceros para generar inteligencia
• Actual: Tareas aún ejecutadas manualmente
• Futuro: Automatizar tareas para mejorar tiempo de reporte y cierre de sitios phishing.
ALCANCE
BITACORAS
TIEMPO
Estado actual-futuro del proyecto
![Page 40: Sistema de Análisis Automatizado de Phishing y Sitios ... · • Al reportar a tiempo un sitio malicioso logramos que menos usuarios sean victimas de robo, estafa, etc. • Para](https://reader033.fdocuments.ec/reader033/viewer/2022042305/5ed05c79d7c69e1a5c46ee5e/html5/thumbnails/40.jpg)
GRACIAS
Andrea Itzel González Vargas
Facultad de Ciencias-UNAM
Gerardo Corona López
Facultad de Ingenieria-UNAM
María Guadalupe Sarmiento Campos
UPIITA-IPN