Click here to load reader
Upload
vladislav-radetskiy
View
1.159
Download
4
Embed Size (px)
Citation preview
Copyright © 2014, Palo Alto Networks
Конечные точки как главный вектор угрозыКомплексная защита от Palo Alto Networks
Владислав Радецкий[email protected]
Copyright © 2014, Palo Alto Networks
whoami
С 2011 года работаю в группе компаний БАКОТЕК®.Координирую техническую поддержку проектов по ИБ.Провожу тренинги, пишу статьи, исследую вирусы.
Специализация – защита данных и безопасность конечных точек.
Принимал участие в расследовании атак на энергетику.
[email protected]://radetskiy.wordpress.comhttps://ua.linkedin.com/in/vladislav-radetskiy-80940547
Copyright © 2014, Palo Alto Networks
Глоссарий
социальная инженерия – манипуляция, обман человека с целью получения информации/выгоды
фишинг – рассылка поддельных писем с целью доставить приманку жертве обмана
приманка – оболочка для т.н. dropper`а, бывает MS Office + VBA, PDF + js, RTF + CVE, .js, .exe ..
dropper – часть вируса, которая после активации соединяется с C&C либо загружает payload
C&C (реже C2) – Command & Control, сервер через который хозяин управляет вирусом
payload – основная часть вируса (шифрование, перехват информации, вывод системы из строя)
уязвимость – ошибка в коде ОС/ПО позволяющая при опр. условиях выполнить несанк. действия
эксплойт – часть кода позволяющая задействовать уязвимость ОС/ПО
семпл – образец конкретной версии зловерда
Copyright © 2014, Palo Alto Networks
Современные (целевые) атаки
Примеры приманок и обзор схем активации
Copyright © 2014, Palo Alto Networks
Разновидности приманок
Copyright © 2014, Palo Alto Networks
Использование социальной инженерии
Only amateurs attack machines; professionals target people.
Bruce Schneier
Copyright © 2014, Palo Alto Networks
Zbot (ZeuS) – просто “паспорт.exe”
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Adwind RAT – использование Java машины
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Cerber Ransomware #1 – использование PowerShell
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Cerber Ransomware #1 – использование PowerShell
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Cerber Ransomware #2 – шаблон с макросом
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Неизвестный образец (14_07_16)WildFire, Restrictions и Malware Protection отключены
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Неизвестный образец (14_07_16)WildFire, Restrictions и Malware Protection отключены
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Сигнатуры уже давно не успевают
Copyright © 2014, Palo Alto Networks
Рассылка Cerber Ransomware – момент контакта
Copyright © 2014, Palo Alto Networks
Рассылка RAT – 24 часа спустя
Copyright © 2014, Palo Alto Networks
Демо работы TRAPS
Проверка работы на реальных семплах
Copyright © 2014, Palo Alto Networks
Работа экплойта Flash, Traps выключен
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Работа экплойта Flash, Traps активирован
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Отключение одной из защит для firefox (ROP)
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Работа экплойта Flash, Traps активирован (ROP отключен)
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Попытка активации приманки Adwind (Java backdoor)
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Попытка активации Cerber Ransomware (Powershell)
radetskiy.wordpress.com
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Попытка активации Cerber Ransomware variant 2
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Блокировка payload (veil-evasion) через WildFire
radetskiy.wordpress.com
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Проверка неизвестного файла по облаку WildFire
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Проверка неизвестного файла по облаку WildFire
radetskiy.wordpress.com
Copyright © 2014, Palo Alto Networks
Traps Advanced Endpoint Protection
Copyright © 2014, Palo Alto Networks
АрхитектураInternet
WildFire Cloud
ESM
Syslog
Copyright © 2014, Palo Alto Networks
Что такое Palo Alto Traps?
Защита от эксплойтовВтом числе от т.н. 0-day
Защита от вирусовВключая продвинутые и неизвестные семплы
Легкий для систем и прост для операторовУскоренное развертывание с уже включенной защитой
Интегрируется с NGFW и облаком WildFireОбмен данными об угрозах = перекрестная проверка
По сути Traps это симбиоз динамических репутационных списков с виртуал-патчингом и кучей анти-эксплойт и анти-вирус техник
Copyright © 2014, Palo Alto Networks
Недостатки обычных (классических) решений
EXE
Классический антивирус
Сигнатура?НЕТ
Строка кода?НЕТ
Поведение?НЕТ
Зловредзапуск
Експлойтактивация
Целевые Скрытые Продвинутые
паспорт.exe
scan.pdf.jar
Copyright © 2014, Palo Alto Networks
Фокус на блок основных техник, а не конкретных атак
Уязвимости ОС и ПО Механизмы эксплуатации
Около тысячи в течении года Не более 5-7 рабочих за год
Вирусы Механизмы заражения
Миллионы появляются ежегодно Не более 10-20
Copyright © 2014, Palo Alto Networks
ПользовательАктивирует
приманку
Применяются ограничения политик
HASH проверяется облаку WildFire
Чист /опасен
Опасный код отсеян
Защита от вирусов
Safe!Reported to
ESM
Copyright © 2014, Palo Alto Networks
Защита от вирусов
Политики – запрет на запуск
WildFire – репутация / поведение
Предотвращение техник
Уменьшаем профиль
Защищаемся от уже известного
Защищаемся от новых семплов
Copyright © 2014, Palo Alto Networks
Защита от эксплойтов
Пользователь открывает вложение
Traps встраивается в процесс приложения
Попытки использовать уязвимости
блокируются
CPU <0.1%
Активация эксплойта останавливается до того, как системе будет нанесен вред.
Атака была отбита
Safe!Process is terminated
Forensic data is collected
User\admin is notified
Traps выполняет заданные действия
Reported to ESM
Copyright © 2014, Palo Alto Networks
Подготовка Активация Обход Закрепление Выполнение комманд
Защита от эксплойтов
Предотвращение одной из фаз прекращает атаку
Упреждение Memory Corruption
Проверка потоков и задач
Защита функций ОС
Внедрение в процессы
Heap Spray Use after free Использование функций ОС
ROPCVE-2016-хххх
Copyright © 2014, Palo Alto Networks
Подведем итоги
Обоснование целесообразности внедрения
Copyright © 2014, Palo Alto Networks
Преимущества Palo Alto Traps
• Быстрое развертывание
• Защита активирована “из коробки”
• Прост в эксплуатации (это проще чем внедрять HIPS)
• Не “грузит” систему
• Идет как дополнение к АВ либо иному уже используемому модулю
• Позволяет “видеть” какие процессы запускаються на системах
• Срабатывает не на сигнатуры, а на поведение
• Позволяет сэкономить время и деньги
Copyright © 2014, Palo Alto Networks
Ключевые характеристики
Поддерживаемые ОС
Рабочие станции• Windows XP SP3• Windows Vista SP2• Windows 7• Windows 8/8.1• Windows 10
Сервера• Windows Server 2003 (+R2)• Windows Server 2008 (+R2)• Windows Server 2012 (+R2)
Нагрузка
• 25-50 Mb RAM• 5-7 % CPU • Низкий I\O• Нет движка
Copyright © 2014, Palo Alto Networks
Сбор информации для форензики (расследования)
Живое логгирование
- Запуск файла- Time of execution- File name- File HASH- User name- Computer name- IP address- OS version- File’s malicious history
- Обращение к компонентам Traps- Traps Process shutdown attempt- Traps Service shutdown attempt- Related system logs
Эксплойт или вирус активируют сбор данных
- Информация по атаке- Time stamp- Triggering File (non executable)- File source - Involved URLs\URI- Prevented exploitation technique- IP address- OS version- Version of attempted vulnerable software- All components loaded to memory under attacked
process- Full memory dump- Indications of further memory corruption activity - User name and computer name
Copyright © 2014, Palo Alto Networks
Комплексная защита
PAN NGFW, WildFire и Traps
Copyright © 2014, Palo Alto Networks
Комплексный подход
Next-Generation Firewall
Проверка трафика
Блок известных атак
Проверка по WildFire
Защита мобильных и виртуальных сетей
Следит за процессами и файлами
Блокирует известные и новые эксплойты
Благодаря WildFire оперативно “обучается”
Next-Generation Endpoint Protection
Облако обмена данными
Источники – сеть и конечные точки
Анализ и корреляция по актуаульным угрозам/атакам
Позволяет обезопасить как сеть так и отдельные системы
Copyright © 2014, Palo Alto Networks
Обмен информацией
Новые семплыПопытка
использования0-day
Copyright © 2014, Palo Alto Networks
Обмен информацией
Вердиктв течени
3 – 5 минут
Copyright © 2014, Palo Alto Networks
Обмен информацией
Сопоставление
Пересылка данных
Copyright © 2014, Palo Alto Networks
Комплексный подход Internet
WildFire Cloud
TrapsAdvanced Endpoint Protection
Copyright © 2014, Palo Alto Networks
Владислав Радецкий[email protected]