Cyberintelligence for IoT
Trabajo de grado - Pregrado
2018
Escuela Colombiana de Ingeniería Julio Garavito
Through this project we seek to analyze, evaluate and integrate diverse
tools and cyber intelligence environments, focusing this analysis on defense
of assets and the identification of adversaries, together with the subsequent sharing of
intelligence information.
An intelligence environment evaluated is formed by Logstash, Elasticsearch and
Kibana (ELK), on the other hand, analyzed the information management tool
of MISP (Malware Information Sharing Platform) threats and the tool
analysis of Malcom systems networks.
The intelligence tools that were used to make malware analysis
They were: Radare2, Androguard, InmunityDBG, OllyDBG and Yara Rules. Between these
tools were chosen Radare2, Androguard and Yara rules for their potential
automation. To integrate these tools, r2Yara and Androguard were used
for Yara.
Different architectures were also studied to build an IoT Sentinel that
integrates the different tools used and previously reviewed.
Finally, a sentinel was built to protect IoT devices against
malware attacks, this sentinel integrates the aforementioned tools
together with various external analysis APIs.
This sentinel works by monitoring the network and sending files to evaluation
transferred (samples) between IoT devices and the internet. The evaluation is
It consists of 3 safety rings, one based on machine learning that
categorizes applications such as goodware or malware, one that uses Yara rules
and one of external analysis of samples. If a ring detects a sample as
malware a report is created in MISP and this is shared with the sentinels
connected to the same MISP community, to subsequently generate new
rules. Mediante el presente proyecto se busca analizar, evaluar e integrar diversas
herramientas y entornos de ciber inteligencia, enfocando este análisis a la defensa
de activos y la identificación de adversarios, junto con la posterior compartición de
información de inteligencia.
Un entorno de inteligencia evaluado es el formado por Logstash, Elasticsearch y
Kibana (ELK), por otro lado, se analizó la herramienta de gestión de información
de amenazas MISP (Malware Information Sharing Platform) y la herramienta de
análisis de redes de sistemas Malcom.
Las herramientas de inteligencia que se usaron para hacer análisis de malware
fueron: Radare2, Androguard, InmunityDBG, OllyDBG y Yara Rules. Entre estas
herramientas se escogieron Radare2, Androguard y Yara rules por su potencial de
automatización. Para integrar estas herramientas se usó r2Yara y Androguard
para Yara.
También se estudiaron distintas arquitecturas para construir un Centinela IoT que
integra las diferentes herramientas usadas y revisadas previamente.
Por último, se construyó un centinela para proteger dispositivos IoT frente a
ataques de malware, este centinela integra las herramientas antes mencionadas
junto con diversos APIs de análisis externo.
Este centinela funciona monitoreando la red y enviando a evaluación archivos
transferidos (muestras) entre dispositivos IoT e internet. La evaluación se
compone de 3 anillos de seguridad, uno basado en aprendizaje de máquina que
categoriza aplicaciones como goodware o malware, uno que utiliza reglas de Yara
y uno de análisis externo de muestras. Si algún anillo detecta una muestra como
malware se crea un reporte en MISP y este se comparte con los centinelas
conectados a la misma comunidad MISP, para posteriormente generar nuevas
reglas.
Descripción:
Autorización.pdf
Título: Autorización.pdf
Tamaño: 392.2Kb
PDF
Descripción: Useche Pelaez, David - 2018..pdf
Título: Useche Pelaez, David - 2018..pdf
Tamaño: 4.543Mb
PDFLEER EN FLIP
Título: Autorización.pdf
Tamaño: 392.2Kb
Descripción: Useche Pelaez, David - 2018..pdf
Título: Useche Pelaez, David - 2018..pdf
Tamaño: 4.543Mb
PDFLEER EN FLIP