Check point, держи марку! Серия №7

©2015 Check Point Software Technologies Ltd. 1©2015 Check Point Software Technologies Ltd.

Анатолий Виклов, Security Engineer, Check Point Россия

МЕТОДЫ

ПРЕДОТВРАЩЕНИЯ

ДЕЙСТВИЯ

ВРЕДОНОСНОГО КОДА

©2015 Check Point Software Technologies Ltd. 2

The First Malware

[Protected] Non-confidential content

К истокам...


Полиморфизм


Метаморфизм


Пример 2015 года:Троян ‘EXPLOSIVE’

- Функционал

- Цель – операционная система MS Windows

- Предоставляет атакующему удаленный доступ

- Автоматическое инфицирование съемных дисков USB

- Динамически обновляемая информация о C&C серверах

- Мониторинг CPU и оперативной памяти

- Псевдо-Метаморфизм


Временная шкала детектирования0008065861f5b09195e51add72dacd3c4bbce6444711320ad349c7dab5bb97fb

0/47 0/49 0/55 0/57

8/57

27/57

36/5740/57

43/57

0%

100%

Детект на Virus Total– EXPLOSIVE


Эволюционирование техник обхода вредоносным ПО

Обфускация


Метаморфизм

Таргетированное

шифрование

Неизвестное неизвестное


Сейчас наиболее эффективное решение -

Песочница Безопасная среда для исследования ПО


Мониторинг:

• Системный реестр

• Сетевые соединения

• Активность файловой

системы

• Системные процессы и

сервисы

Эмуляция запуска в защищенной среде

Классическая песочницаПринцип работы

Отслеживание признаков,типичных для вредоносного ПО

T H R E AT C O N T AI N E D


Песочницу сложно обойти, НО...

Злоумышленники разрабатывают техники обхода:

• Детектирование вредоносным ПО виртуальных сред

• Задержка атаки…по времени или действию пользователя

• Проверка версии ОС и ПО

• Использование защищенных каналов связи

©2015 Check Point Software Technologies Ltd.


Спрячь на самом видном местеПример ЗАО «Лаборатория Касперского»

Source: Wired Magazine

• Отсутствие вредоносного ПО на жестких дисках зараженных станций

• Размещение кода ТОЛЬКО в оперативной памяти

• После перезагрузки повторное инфицирование с других зараженных станций ЛВС


Оставаться на шаг впереди

Представляем

Эффективно Проактивно Управляемо


Беспрецедентная защита в реальном времени от

неизвестного вредоносного ПО, 0-day уязвимостей и

таргетированных атак

Что такое SANDBLAST?

Песочница

Устойчивое к

попыткам

обхода

решение

Threat Extraction

Мгновенная

доставка

гарантированно

безопасных

вложений


Цепочка атаки

Атакующий использует

непропатченные версии ПО или 0-

day уязвимость

Обход защитных механизмов CPU и

ОС с использованием техник обхода

Инжектирование эксплойтом с

целью загрузки вредоносного ПО

Запуск вредоносного ПО

Уязвимость

Эксплойт

Shellcode (Запуск

«полезной нагрузки»)

Запуск вредоносного

ПО


Идентификация на уровне эксплойта - мы на шаг впереди

Уязвимость

Эксплойт

SHELLCODE

Вредоносное ПО

Тысячи их

Миллионы

Десятки

Противодействие детекту

Традиционная песочница


Детектирование на уровне CPUДетект вредоноса до попытки обхода

Оставаясь на шаг впереди

Современные процессоры

оснащены сложными механизмами

мониторинга отладки и позволяют

отслеживать операции

©2015 Check Point Software Technologies Ltd. 23[Protected] Non-confidential content

Детект эксплойтов на уровне CPU

• Высочайший уровень детектирования

• Устойчив к обходу

• Эффективен и быстр

• Только от Check Point!


Традиционная песочница –традиционные задержки

• Как результат, во многих инсталляциях песочницы не используются в режиме блокировки

• Вредоносный файл может попасть к пользователю, пока находится в очереди для проверки

ПРОВЕРКА ЗАНИМАЕТ ВРЕМЯ


SANDBLAST THREAT EXTRACTION

Немедленный доступ

Не детект, но упреждающая защита

Попытки атаки очевидны

Упреждающая защита


Доставляем гарантированно безопасные файлы

Б е з н а с С н а м и

Инфекция Вредоносный код удален


Избавим от будущих

заражений уже сейчас!

ВЫСОЧАЙШИЙ УРОВЕНЬ ДЕТЕКТА

МГНОВЕННАЯ ДОСТАВКА БЕЗОПАСНОГО

КОНТЕНТА


Unprecedented real-time prevention against

unknown malware, zero-day and targeted attacks

WHAT IS SANDBLAST?

Threat Emulation with CPU-Level Detection

Evasion-

resistant

malware

detection

Threat Extraction

Prompt

Delivery of safe

reconstructed

files


TH

RE

AT

EX

TR

AC

TIO

N

CPU-Level DetectionCatches the most sophisticated malware

before evasion techniques deploy

O/S Level EmulationStops zero-day and unknown malware

in wide range of file formats

Malware Malware

Original Doc

Safe Doc

Threat ExtractionDeliver safe version of content quickly

SANDBLASTZERO-DAY PROTECTION


Threat ExtractionDocument Reconstruction

Original Document

Document Reconstructed

Safe Copy ofDocument

Reconstructed safe copy of documents

Delivered immediately

Customizable

Protection Level


Threat EmulationExploit Detection and Prevention

Original Document

Document is sent for sandboxing, where it

is opened and inspected

Original Document

If no infection found

Prevent Zero-Day Attacks

Constantly Update ThreatCloud

If infected with unknown Malware-Document is deleted,

-ThreatCloud is updated,

-Admin is notified

Attack is PREVENTED


Deployment OptionsCheck Point SandBlastZero-Day Protection

Deployment Highlights

• Two form factors: Cloud and On-Premises:o Sensitive to both privacy and industry specific regulatory requirements

• Emulation of e-Mail attachments on one applianceo Single appliance can emulate files from throughout the network

• MTA for true mail prevention (not just detection)o Emulate files before they enter the networko Check Point provides emulation in a timeframe that doesn’t disrupt the business

• Multiple deployment options


FAST, FLEXIBLE DEPLOYMENT

SANDBLAST

APPLIANCE

CHECK POINT GATEWAY

SANDBLAST

CLOUD


SandBlast CloudCheck Point SandBlastZero-Day Protection

Internet

Check Point SandBlast Cloud

Real-time security intelligence delivered from Check Point ThreatCloud. Turns zero-day attacks into known and preventable attacks.

No new hardware is neededRequires Check Point Security Gateway withR77 and above

Corporate Network (LAN)

Check Point Security Gateway

(Requires R77 and above)

Threat Emulation

O/S Level Sandboxing

and CPU-Level Detection

in Cloud

Threat Extraction

(Prompt delivery of

reconstructed clean files)

on Local Appliance

SANDBLAST

CLOUD


On Premise DeploymentCheck Point SandBlastZero-Day Protection

Internet

On-Premises Check Point SandBlast Appliance

Added to existing Check Point Security Gateway in two ways:Prevent: Inline – Emulate before allowing into network

Detect: Duplicate network traffic (via SPAN port)


Check Point Security Gateway

(Requires R77 and above)

Threat Emulation

(O/S Level Sandboxing with

CPU-Level Evasion detection)Check Point

SandBlast Appliance

Threat Extraction

(Prompt delivery of


Inline or SPAN Port


Standalone DeploymentCheck Point SandBlastZero-Day Protection

Internet

Standalone Check Point SandBlast Appliance on-premises Prevent: Inline – Emulate before allowing into network

Detect: Duplicate network traffic (via SPAN port)

One-box solution – Ideal for proof-of-concept (No Check Point Gateway)


Check Point SandBlast Appliance

Threat Emulation

(O/S Level Sandboxing with

CPU-Level Evasion detection)

Threat Extraction

(Prompt delivery of



Hybrid SolutionCheck Point SandBlastZero-Day Protection

Check Point SandBlast as a Hybrid SolutionFor both Single-site and Multi-site

Check Point Security Gateways with R77NGTP elements – AV, AB, Anti Spam etc. alongside Threat Extraction

SandBlast Appliance only required at Headquarters

Threat Emulation

O/S Level Sandboxing and CPU-Level Detection

in Cloud OR/AND On-Premise Appliance

Headquarters

Branch

Branch

Agent

SANDBLAST

CLOUD


Threat EmulationAdmin has comprehensive Attack Visibility

Summary

Details


Threat ExtractionEnd-user Experience

Threat Extraction – No delay in email delivery

Access to original files

– Download option if user trust the source


Check Point SandBlastZero-Day ProtectionProvisioning Options in Threat Prevention


Check Point SandBlastZero-Day ProtectionIntroducing CPU-Level Detection

Advanced Malware use various techniques to evade traditional Sandboxes

Check Point’s Advanced deep CPU-Level inspection

Detects malware at exploitation stage - No chance to attempt evasion

Vulnerability

Exploit

Malware

Shellcode

Trigger an attack through an unpatched or zero-day vulnerability

Run malicious code

Activate an embedded payload to retrieve the malware

Bypass the CPU and OS security controls using exploitation methods


Exploit the vulnerability

How an OS deploys

Security Controls

DEP – Data Execution Prevention

“The Processor will only run the

code that was marked as

executable”

ASLR – Address Space Layout

Randomization

“Code is loaded to a random

location in memory”

How Attacker bypass

OS Security Controls

ROP – Return Oriented

Programming

“Use only pre-existing pieces of

code already loaded into

executable-approved memory”

Use clues to locate the useful

code in memory

“a small piece of code located

in known system DLLs and

vulnerable software, such as

browser and adobe reader”

Check Point SandBlastZero-Day ProtectionCPU-Level Detection: Anatomy of Zero-Day Attack


Check Point SandBlastZero-Day ProtectionCPU-Level Detection: Focus on Exploit

Detect the Exploit instead of the evasive malware – Evasion proof

Based on CPU execution flow – Independent of Operating System

CPU-Level Detection:

Activate the CPU debug mode

Examine the CPU code execution

Look for inconsistencies in the execution flow

CPU(Intel Haswell+)

Mac

OS

X 1

0.9

Cen

tOS

7

Win

do

ws

XP

Win

do

ws

7 (3

2b

it)

Win

do

ws

7 (

64

bit

)

Win

do

ws

Serv

er 2

01

2

Hypervisor

CPU-level Sandbox

Mac

OS

X 1

0.9

Cen

tOS

7

Win

do

ws

7 (6

4b

it)

Inspect CPU Flows

Look for inconsistencies in the execution flow

“Double Click”

Activate the file in its native applicationActivate CPU Debug

Mode

Collect CPU flow data

Type From To

Call from_addr_1 to_addr_1


Return from_addr_3 to_addr_3


… …

Windows 7 (64bit)


SUMMARYCheck Point SandBlast Zero-Day Protection Threat Extraction, Threat Emulation, and CPU-Level Detection

THREAT

EXTRACTION

Reconstructs incoming files

Promptly delivers safe reconstructed files

Ensures Business Continuity

THREAT

EMULATION

Safe access to original document

Visibility on attack attempts

Evasion-proof CPU-Level detection of unknown malware


Deployment OptionsCheck Point SandBlastZero-Day Protection

Deployment Highlights

• Two form factors: Cloud and On-Premises:o Sensitive to both privacy and industry specific regulatory requirements

• Emulation of Mail, Web and File Shares on one applianceo Single appliance can emulate files from throughout the network

• MTA for true mail prevention (not just detection)o Emulate files before they enter the networko Check Point provides emulation in a timeframe that doesn’t disrupt the business

• Multiple deployment options

Coming Soon …


For Cloud-based ApplicationsCheck Point SandBlast Zero-Day Protection

Check Point SandBlast Cloud for Cloud-based Applications Pure Cloud Service – No Hardware Required Two types of Security Policies

- Detect (using BCC mode)

- Prevent (using MTA)

Prevent (MTA)

Detect (Bcc)

Cloud-Based email (Office 365)

SANDBLAST

CLOUD

SANDBLAST

CLOUD

Coming Soon …

©2015 Check Point Software Technologies Ltd. 47©2015 Check Point Software Technologies Ltd.

СПАСИБО!

Анатолий Виклов,

Check Point – Россия[email protected]

+7 495 967 74 44

Илья Яблонко,

УЦСБ[email protected]

+7 912 607 55 66

Check point, держи марку! Серия №7

Business

Transcript of Check point, держи марку! Серия №7