Cyberintelligence for IoT

Abstract

Through this project we seek to analyze, evaluate and integrate diverse tools and cyber intelligence environments, focusing this analysis on defense of assets and the identification of adversaries, together with the subsequent sharing of intelligence information. An intelligence environment evaluated is formed by Logstash, Elasticsearch and Kibana (ELK), on the other hand, analyzed the information management tool of MISP (Malware Information Sharing Platform) threats and the tool analysis of Malcom systems networks. The intelligence tools that were used to make malware analysis They were: Radare2, Androguard, InmunityDBG, OllyDBG and Yara Rules. Between these tools were chosen Radare2, Androguard and Yara rules for their potential automation. To integrate these tools, r2Yara and Androguard were used for Yara. Different architectures were also studied to build an IoT Sentinel that integrates the different tools used and previously reviewed. Finally, a sentinel was built to protect IoT devices against malware attacks, this sentinel integrates the aforementioned tools together with various external analysis APIs. This sentinel works by monitoring the network and sending files to evaluation transferred (samples) between IoT devices and the internet. The evaluation is It consists of 3 safety rings, one based on machine learning that categorizes applications such as goodware or malware, one that uses Yara rules and one of external analysis of samples. If a ring detects a sample as malware a report is created in MISP and this is shared with the sentinels connected to the same MISP community, to subsequently generate new rules.

Mediante el presente proyecto se busca analizar, evaluar e integrar diversas herramientas y entornos de ciber inteligencia, enfocando este análisis a la defensa de activos y la identificación de adversarios, junto con la posterior compartición de información de inteligencia. Un entorno de inteligencia evaluado es el formado por Logstash, Elasticsearch y Kibana (ELK), por otro lado, se analizó la herramienta de gestión de información de amenazas MISP (Malware Information Sharing Platform) y la herramienta de análisis de redes de sistemas Malcom. Las herramientas de inteligencia que se usaron para hacer análisis de malware fueron: Radare2, Androguard, InmunityDBG, OllyDBG y Yara Rules. Entre estas herramientas se escogieron Radare2, Androguard y Yara rules por su potencial de automatización. Para integrar estas herramientas se usó r2Yara y Androguard para Yara. También se estudiaron distintas arquitecturas para construir un Centinela IoT que integra las diferentes herramientas usadas y revisadas previamente. Por último, se construyó un centinela para proteger dispositivos IoT frente a ataques de malware, este centinela integra las herramientas antes mencionadas junto con diversos APIs de análisis externo. Este centinela funciona monitoreando la red y enviando a evaluación archivos transferidos (muestras) entre dispositivos IoT e internet. La evaluación se compone de 3 anillos de seguridad, uno basado en aprendizaje de máquina que categoriza aplicaciones como goodware o malware, uno que utiliza reglas de Yara y uno de análisis externo de muestras. Si algún anillo detecta una muestra como malware se crea un reporte en MISP y este se comparte con los centinelas conectados a la misma comunidad MISP, para posteriormente generar nuevas reglas.