SandBox for IoT Malware analysis (Diseker)

Abstract

The market of IoT devices has been increasing rapidly in the last few years, adding new devices and tools to homes, adding new tools that can be managed remotely to hospitals and allowing us to monitor our health and security very closely by using wearables and installing cameras in our houses, but the fast and rapid increase of those limited resource devices made the industry start developing new devices without standardization, using weak cryptography systems that can be easily broken due to the limited resources or by deploying devices without the proper services to install them in houses or hospitals (such as cameras and monitorization devices). The lack of standardization, weak security configurations and outdated systems used by the IoT devices in the market, has made the IoT devices an easy target to threat actors which in turn increased the presence of IoT malware on the internet. Those threat actors take advantage of the presence of such security weak devices and use them for attacks such DDoS, mining or spamming. In this project I will be discussing a readapted sandbox for IoT devices that will help security analysts tun malicious code in it and understand it behaviour which will help them extract IOCs and create signatures to protect network and devices from being used maliciously. This sandbox with the name Diseker, was successful of analysing multiple malware instances as well as helped established a pattern performed by most of the malware in the dataset.

El mercado de dispositivos del internet de las cosas ha estado aumentado de forma rápido en los últimos años, añadiendo nuevos dispositivos conectados a nuestras casas, hospitales y nos ayudan también a control nuestro estado de salud. Pero el aumento de estos dispositivos conectados con recursos limitados no es siempre positivo, ya que la industria opta a la producción y acabó generando dispositivos con sistemas criptográficos pobres debido a lo recursos limitados, ha creado muchos dispositivos con una falta de estandarización y también optó a la desplegar dispositivos sin un servicio de instalación o gestión seguro. Todos los puntos negativos anteriores han hecho que la superficie de ataque a esos dispositivos sea muy grande lo que aumentó la amenazas que provocó también un gran auge de programas maliciosos dedicados dispositivos con recursos limitados, los dispositivos infectados acaban siendo utilizados en ataques como DDoS, enviar correo no deseado o minar criptomonedas. En este proyecto se divulgará la implementación de una Sandbox para programas maliciosos dedicados a dispositivos IoT, esta Sandbox va a proporcionar una gran verbosidad a los analistas y les ayudará a entender el comportamiento del código malicioso. Esta Sandbox con nombre Diseker, fue capaz de dar suficiente detalle de los códigos maliciosos en este proyecto y se pudo establecer un patrón de comportamiento de la muestra utilizada, lo que demuestra el potencial de una herramienta parecida.

El marcat dels dispositius del internet de les coses ha estat en augment continu i ràpid els últims anys, afegint nou dispositius connectats a les nostres cases, hospitals i ens ajuda controlar i supervisar la nostra salut i propietat. Però l'augment dels dispositius connectats amb recursos limitats no es sempre positiu, perquè la majoria dels dispositius al mercat han segut implementat amb sistemes criptogràfic febles degut als recursos limitat del dispositiu, dispositius sense estandardització en el recursos o configuració i més gran nombre de empreses venen els dispositius sense un servei de instal·lació o gestió segura. Tots els punts negatius anteriors han fet que la superfície de atac sigues molt gran y accessible, que al seu torn ha augmentat l'amenaça. Aquest situació va crear un gran interès en la implementació de programés maliciosos per als dispositius de les coses, el dispositius infectats són utilitzats en atacs com DDoS, enviar correus spam o s'utilitzen per minar moneda digital. En aquest projecte se divulgarà la implementació de una Sandbox pera a programes maliciosos dedicats als dispositius IoT, aquest Sandbox proporcionarà una gran verbositat als analistes i els ajudarà entendre el comportament del programari maliciós amb l'objectiu de mitigar possibles atacs. Aquest Sandbox, nom Diseker, va ser capaç de extreure suficients detalls de una mostra dels programes maliciós i establir un patró de comportament comú.