martes, 22 de diciembre de 2015

Rita la bailaora? no RITA: Real Intelligence Threat Analysis.

Estimados amigos de Inseguros!!!

Si vives o frecuentas mi país, España, puede que hayas oído un dicho popular muy extendido " esto lo va a hacer RITA". ¿Quien es Rita? A raíz de documentarme para este post ya se porque se dice, y tu quieres saberlo, solo tienes que leer aquí :-)


En esta ocasión no vamos a hablar más de refranes populares ni de estrellas del flamenco.

Vamos a analizar la herramienta RITA, Real Intelligence Threat Analysis publicada por el señor Jhon Strand. Partimos de la base de la lectura oficial del lanzamiento de la herramienta para hacernos una idea, eso si, en el idioma del Fish&Chips, y no de Rita la bailaora xD.

¿Qué es RITA? Para ponernos en situación os invito a leer la información que apareció en este blog sobre Threat intelligence, Collective Intelligence Framework, PassiveDns, Malcom y el excelente artículo del profesor Lorenzo en Security By Default sobre MalTrail.

El framework de Rita pretende ser un punto de trabajo para los equipos de detección de amenazas para ayudarnos a encontrar IOCs, Indicators of Crompomise en caso de ataques o infecciones. Detectar patrones de conexión hacia C&C puede ser más efectivo que crear una regla de IDS, la cual puede ser evadida mediante sutiles cambios...y lo sabes !!! xD

Una de las cosas que me gusta es que usa ElasticSearch como motor de almacenamiento, y Kibanna para su representación. ¿Se considera esto Big Data? :-)

Para destripar y comprender el funcionamiento y las posibilidades, prefiero predicar con el ejemplo. O mejor, vemos un vídeo?



Podemos descargarlo desde este dropbox. Para mi ha sido un suplicio por mi falta de conexión a Internet, y los continuos cortes en la descarga de Dropbox, que no me permite retomarlos ni tan siquiera usando jdownloader. Cada uno que lo baje como pueda.

Lo primero que puedes hacer es desplegar el OVA en Virtualbox, pero yo prefiero realizarlo en mi VMware ESXi repleto de Gigas de RAM. Para ello hay que realizar un pequeño procedimiento para cambiar el ova a ovf compatible para VMware. Si no es tu caso, omite esta parte del artículo.

Lo primero que hacemos para pasar de OVA VirtualBox a OVF compatible con VMware es bajarnos dos herramientas, la OVF tool de Vmware y Microsoft Checksum Verify.

Con el fichero OVA descargado pasamos la tool OVF para extraer el fichero OVF.


Una vez tenemos el fichero OVF, lo desplegamos en nuestro ESXi y nos da los errores típicos de compatibilidad. Pero no significaba OPEN VIRTUALIZATION FORMAT...?


Vamos a cambiar el fichero ovf con un editor y dejamos vmx-07 que en mi caso ha funcionado a la maravilla. Una vez modificado, podemos pasar la herramienta de checksum de Ms para sacarle el SHA1, y modificarlo en el archivo .mf. Una vez realizado este procedimiento, podemos desplegar el fichero OVF a nuestro ESXi sin ningún problema.


Bien, con y esto y un poco de paciencia tenemos desplegada la máquina virtual.

Podemos hacer login con el usuario ht la password !templinpw! . Ejecutamos el servidor web con /home/ht/Documents/RITA/run.py y tenemos la web.



Al introducir el nombre del "cliente" debemos usar caracteres en minúscula, ya que este campo será el índice en Elasticsearch y podemos tener problemas con las mayúsculas.

El primer módulo que podemos activar es Beaconing. Podemos establecer un periodo que alerte de conexiones hacia internet periódicas, típicas de infecciones conectando hacia un C&C. 

Para el módulo Blackisted podemos averiguar conexiones de red que se establecen hacia direcciones ip catalogadas como maliciosas.

Scanning detecta sistemas que se intentan conectar a otros sistemas en diferentes puertos, el típico port scan.

Duration detecta conexiones de red persistentes en el tiempo.

Long_urls detecta conexiones hacia direcciones largas.

Concurrent detecta conexiones concurrentes hacia sistemas de login.

Una de las cosas que más me gusta es que podemos explorar los datos, que por cierto el desarrollador nos deja de prueba muy amablemente, en nuestro frontend Kibanna, por lo que hace muy sencillo la creación de un Dashboard personalizado con los indicadores que nos plazcan. Por defectos os muestro el índice.


Una de las cuestiones mas interesantes es que la manera de cargar datos en el framework, generalmente los que provienen de logs es mediante CSV.


Una cuestión importante, como vamos a pasar nuestros datos PCAP en formato CSV? te vale esta herramienta en perl? http://afterglow.sourceforge.net/

Espero que os sirva de ayuda este framework. Yo tengo mis dudas, le veo algunos flecos, sobre todo, falta de información. En la máquina virtual he podido ver la guía de instalación del sistema básico, pero me falta mucha información, por ejemplo, de donde baja las fuentes de inteligencia para catalogar que una dirección es Black o no...

Espero que sigan con el desarrollo de esta herramienta que me parece muy útil.

Un saludo, gracias por leerme !!!