ÚTOKY JE MOŽNÉ ZASTAVOVAT AUTOMATICKY · PDF file• Co se dalo udělat...

PALO ALTO NETWORKS ÚTOKY JE MOŽNÉ ZASTAVOVAT AUTOMATICKY Jakub Jiříček, Systems Engineer EE

únor 2017 Aug 2016 – v2

Agenda

2 | © 2015, Palo Alto Networks. Confidential and Proprietary.

• Unit42 – stručné představení

• Aktuální průzkum o Ransomware v Evropě

• Analýza škodlivého kódu Disttrack/Shamoon 2

• Co se dalo udělat dopředu pro to, aby útok neuspěl

LIFE THE UNIVERSE EVERYTHING

Analýzou informací dostupných pro

Palo Alto Networks vyhledávat

útočníky, jejich motivaci, prostředky a

taktiku pro lepší porozumění tomu,

jakým hrozbám čelí naši zákazníci.

Průzkum o ransomware

• Cíle: bleskový průzkum na několik základních otázek o ransomware v Evropě

• Jak: zjistit zkušenosti evropských organizací s tímto typem ohrožení, aby

ostatní mohli být úspěšnější

• Časový rámec: listopad 2016- prosinec 2016

• Respondenti: stávající zákazníci Palo Alto Networks, možní budoucí

zákazníci, kontakty získané prostřednictvím sociálních sítí

• Počet zúčastněných: >100

• Velikost společností: +200

4 | © 2015, Palo Alto Networks. Confidential and Proprietary.

Jak vážnou hrozbu představuje ransomware pro vaši organizaci?

5 | © 2016, Palo Alto Networks. Confidential and Proprietary.

Došlo někdy v minulosti k útoku ransomware na vaši organizaci?

6 | © 2016, Palo Alto Networks. Confidential and Proprietary.

Jak jste na útok ransomware reagovali?

7 | © 2016, Palo Alto Networks. Confidential and Proprietary.

Jak se aktuálně bráníte proti hrozbě ransomware?

8 | © 2016, Palo Alto Networks. Confidential and Proprietary.

Jaký postup byste zvolili v případě neomezených prostředků?

9 | © 2016, Palo Alto Networks. Confidential and Proprietary.

AutoFocus™ / UNIT 42 : aktuální trendy ransomware

10 | © 2015, Palo Alto Networks. Confidential and Proprietary.

Analýza škodlivého kódu Disttrack/Shamoon 2

11 | © 2015, Palo Alto Networks. Confidential and Proprietary.

• kdy

• jak

• co šlo udělat pro to,

aby útok neuspěl

Cíle škodlivého kódu Disttrack/Shamoon 2

12 | © 2015, Palo Alto Networks. Confidential and Proprietary.

• Shamoon 2 se chová jako worm, pokouší se rozšířit na další systémy v LAN s

použitím získaných přihlašovacích údajů

• Asi měl především uškodit, C&C komponenta nebyla nakonfigurovaná. K

vymazání dat mělo dojít těsně před víkendem v UAE (čtvrtek, 17/11/2016, v

20:45)

• Varianta B – 29/11/2016, velmi brzy ráno – VDI, výchozí hesla z dokumentace

výrobce

Disttrack/Shamoon 2 - komponenty

13 | © 2015, Palo Alto Networks. Confidential and Proprietary.

Dropper Communicator Wiper

vybalení dalších nástrojů/komponent

a jejich uložení a spuštění

Disttrack/Shamoon 2 - komponenty

14 | © 2015, Palo Alto Networks. Confidential and Proprietary.

Dropper Communicator Wiper

komunikace s řídícím

serverem útoku

Disttrack/Shamoon 2 - komponenty

15 | © 2015, Palo Alto Networks. Confidential and Proprietary.

Dropper Communicator Wiper

poškození hard disku

a smazání OS

Pohyb uvnitř napadené sítě a C&C komunikace

16 | © 2015, Palo Alto Networks. Confidential and Proprietary.

• Disttrack/Shamoon 2 se šíří sítí pomocí ukradených přístupových oprávnění.

Disttrack dopředu znal interní DNS a jména a hesla účtů s administrátorským

oprávněním, které by jinak bylo těžké zlomit brute force útokem

• Po úvodním nakažení se pokouší šířit na další síťové adresy /24. Kontroluje

také, jestli má oprávnění administrátora a může spustit škodlivý obsah buď

jako službu nebo naplánovanou úlohu

• Vzorek byl nastavený ke komunikaci se serverem 1.1.1.1:8080 pomocí HTTP

GET – neplatná adresa (pravděpodobně výsledek použití nástroje pro

přípravu útoku)

Ničení dat

17 | © 2015, Palo Alto Networks. Confidential and Proprietary.

• Disttrack dropper má za úkol nainstalovat komponentu wiper. Vzorek měl datum aktivace pevně v sobě, může ho ale také získat z C2 serveru.

• K mazání se používá komerční produkt RawDisk, pomocí kterého lze získat přímý přístup k souborům, diskům a diskovým oblastem. Shoduje se s původní verzí útoku Shamoon z roku 2012.

• V naplánovaném čase přepíše partition table a MBR připraveným JPEG obrázkem, zašifruje soubory náhodným klíčem nebo je přepíše náhodnými hodnotami

• Použitý JPEG obrázek je obrázek utopeného syrského chlapce (Alan Kurdi), ze září 2015. Původní Shamoon používal obrázek hořící americké vlajky

http://oilpatchdispatch.areavoices.com/files/2013/03/0317.N.AD_.Water2-web.jpg

Jak šlo tenhle útok zastavit

19 | © 2015, Palo Alto Networks. Confidential and Proprietary.

• První fáze útoku - plánování: před vlastním útokem získali útočníci informace

o síti a jména a hesla administrátorů. O vlastním způsobu, jak to provedli, nic

nevíme. Pravděpodobně zneužili zranitelnost některé legitimní běžící aplikace.

• Při vlastním útoku:

• S odstupem času se už jedná o známý škodlivý kód, který zastaví kde kdo. Tedy

DNES

• Bylo ale možné zastavit ho i v době, když ještě nebyly signatury, které by ho

popisovaly?

Palo Alto Networks platforma vs Shamoon 2

20 | © 2015, Palo Alto Networks. Confidential and Proprietary.

Bezpečnostní platforma pro všechny fáze útoku

Zastavení útoku v kterékoli fázi

Vysoká integrace a automatizace –

zvyšují účinnost zastavení

Funguje nepřetržitě pro všechny

aplikace, uživatele a zařízení

Schéma útoku Disttrack/Shamoon 2

podniková síť

Internet

Palo Alto

Networks

security platform

center

Private cloud

(volitelné zařízení WF-500)

so

ub

ory

oc

hra

ny

Public cloud

oc

hra

ny s

ou

bo

ry

WildFireTM

Zneužití

zranitelnosti

Command

& control Instalace škodlivého

kódu

Pohyb v

síti Vstup nákazy – zranitelnost

Stažení škodlivého kódu

East-West Všechny známé varianty

vzorků Shamoon 2 jsou ve

WildFire označené jako

škodlivé a FW je zastaví

Každá varianta s verdiktem

„neznámý“ je odeslána k

analýze, výsledek je zpět do

5 minut

Zranitelnost je

zablokovaná

pomocí TRAPS

TRAPS zastaví škodlivý kód

na základě verdiktu WF, hash

hodnoty známého malware,

pomocí strojové inteligence a

nebo bezp. pravidel

Všechny známé varianty

vzorků Shamoon 2 jsou ve

WildFire označené jako

škodlivé a FW je zastaví

Každá varianta s verdiktem

„neznámý“ je odeslána k

analýze, výsledek je zpět do

5 minut

Shamoon 2 nekomunikoval

navenek s řídícími servery, ale

pokud by se o to pokusil,

zastavil by ho URL filtr

Veškerý škodlivý provoz

east-west by byl zastavený

pomocí VM firewallu na

hypervizorech O zastavení pohybu

nákazy přes DC

firewall se postará

kontrola v DC FW

Pro úspěšné zastavení veškerého škodlivého kódu a odesílání vzorků do

sandboxu by měla být používaná kontrola SSL provozu

V systému AutoFocus je vidět aktivita kódu Disttrack/Shamoon

23 | © 2015, Palo Alto Networks. Confidential and Proprietary.

Disttrack/Shamoon 2 – první fáze útoku

24 | © 2015, Palo Alto Networks. Confidential and Proprietary.

• O úvodní fázi – přípravě k útoku vlastním Shamoon 2 – nejsou k dispozici

veřejné informace, je ale velmi pravděpodobné, že došlo ke zneužití

zranitelnosti nějaké aplikace nebo OS.

• Traps obsahuje velmi silnou sadu modulů pro zastavení zneužití zranitelností

pro ochranu před známými i neznámými (0-Day) útoky na zranitelnosti

• Traps nemusí obsahovat popis fungování konkrétní zranitelnosti

Traps zastavuje zneužití nové zranitelnosti bez aktualizace

25 | © 2015, Palo Alto Networks. Confidential and Proprietary.

Traps zastavuje Zero-day útoky a zneužití

neznámých zranitelností

ČASOVÁ OSA

Nová zranitelnost v

Adobe Flash Player (CVE-2015-0359)

První pokus o zneužití

zranitelnosti k útoku.

Traps útok zastavuje.

Traps v2.3.6

Vytvoření

Traps

verze 2.3.6

Bez záplat a

aktualizací; původní

instalovaná verze

A v konkrétním případě škodlivého kódu Disttrack/Shamoon 2…

26 | © 2015, Palo Alto Networks. Confidential and Proprietary.

Zjišťuje a

umožňuje

spouštět

soubory

podepsané

důvěryhod-

nými

certifikáty,

bez potřeby

další analýzy 4

5

6

3

2

1

27 | © 2015, Palo Alto Networks. Confidential and Proprietary.

Bezpečnostní

pravidla i pro

administrátory

Zjištění podpisu

důvěryhodným

certifikátem

Statická analýza

se strojovým

učením se

Kontrola

a analýza

WildFire

Omezení

spouštění

Karanténa

škodlivého

kódu

Traps

zastavení

Malware

kombinací

technik

NEW

NEW

NEW

Statická

analýza

zachytává

doposud

nezjištěné

varianty

škodlivého

kódu

Traps vs Disttrack/Shamoon 2

28 | © 2015, Palo Alto Networks. Confidential and Proprietary.

• Dokud šlo o 0-day útok (tj. pro Shamoon 2 ještě nebyly žádné signatury),

Traps spoléhal na místní analýzu a spuštění kódu zastavilo:

1. Omezení spouštění nepodepsaných souborů

2. Místní analýza se strojovým učením

Užitečné odkazy

29 | © 2015, Palo Alto Networks. Confidential and Proprietary.

• Příspěvek Chris Kubecka na Black Hat konferenci o Shamoon z roku 2012 https://www.youtube.com/watch?v=WyMobr_TDSI

• Unit42 blog na téma Shamoon 2

http://researchcenter.paloaltonetworks.com/2017/01/unit42-second-wave-shamoon-2-attacks-identified/

• IOCs v systému AutoFocus (vyžaduje přihlášení)

https://autofocus.paloaltonetworks.com/#/tag/Unit42.Disttrack

• Unit42 blog, poslední aktualizace třetí vlny útoků (30/1/2017) http://researchcenter.paloaltonetworks.com/2017/01/unit42-threat-brief-shamoon-2-wave-3-attacks/

Praktický workshop

30 | © 2015, Palo Alto Networks. Confidential and Proprietary.

• Příprava infrastruktury pro útok a zachycení

živého vzorku ransomware pomocí Traps

• nejbližší 1.3.2017, dopoledne, Praha 10

• Ve spolupráci se společností Avnet

• “přineste si vlastní PC”

• Registrace, detaily: http://www.paloaltofirewall.cz/hands-on-lab