Palo Alto Networks защита от неизвестных видов
вредоносного кода при помощи TRAPS
Денис Батранков консультант по информационной
безопасности [email protected]
Оповестить о взломе у пользователя
§ Срочность проблемы:
§ a. CODE RED: требует ответа сегодня же
§ b. CODE YELLOW: требует ответа в течение 24 часов
§ c. CODE GREEN: требуется ответ в течение 36 часов
Скачать Migration Tool 3.2. Последнее обновление 27.11.2015 h"ps://live.paloaltonetworks.com/t5/Migra9on-Tool-Ar9cles/Download-the-Migra9on-Tool/ta-p/56582
Для упрощения далее будем называть
Вирус–любойвидпрограммсозданныхсзлымумыслом(криптолокеры/шифровальщики,трояны,червиидр.)Эксплойт–любаяпрограммасозданнаядляпроведенияатакиипомещеннаявлюбомформатеданныхпригодномдлязапуска(pdf,flash,doc,jpg,xlsидр.)
АТАКА ANUNAK
Элементы атаки
Поддельные письма с
вредоносными вложениями от имени ЦБ РФ
Использование существующих ботнетов для распространения нового кода
Инфицирование через drive-by-
download: Andromeda и Pony трояны через Neutrino
Exploit Kit
Доступ к банкоматам из специализи-рованных
сегментов, которые должны быть
изолированными, и инфицирование ОС
Снятие денег из банкоматов и через Интернет-кошельки, напр. Yandex Money
Подтверждено, что было
захвачено 52 банкомата. Кража более 1 млрд.
рублей.
Успешнополучендоступвнутрькорпоративныхсетейболеечем50банков.Украденоболее1млрд.рублейс2013по2014годизбанковвРоссии
h"p://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.htmlh"p://www.group-ib.com/files/Anunak_APT_against_financial_ins9tu9ons.pdf
Традиционные методы антивирусной защиты более неэффективны
☣ Специальносозданныеимодифицированныевредоносы
☣ Полиморфныевредоносы☣ Вредоносынулевогодня Резко снижается время на защиту
Современное вредоносное ПО стремится: § Избежать попадания в ловушки (honey-pots) традиционных
антивирусных вендоров – целенаправленные атаки§ Измениться прежде, чем будет предоставлена защита
Для защиты важны первые 24 часа
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
9,000
1 2 3 4 5 6 7 8 9 101112131415161718192021222324252627282930313233343536
Часы95% заражений конкретным видом кода в первые 24 часа
Ключевые этапы современной сетевой атаки
Приманка
1
ЗавлечьиспользоватьспециальноеПО,открытьфайлилиперейтинавеб-сайтсвредоносами
Эксплоит
2
ЗараженныйконтентиспользуетуязвимостиПОизапускается
ЗагрузкаПОдля«черногохода»
3
Вфонезагружаетсяиустанавли-ваетсявторойвредонос
Установлениеобратногоканала
4
Вредоносустанавливаетисходящееподключениедлясвязисзлоумышлен-ником
Разведкаикражаданных
5
Удаленныйзлоумышлен-никимеетдоступвнутрисетиипроводитатаку
Технологии Palo Alto Networks, применяемые для защиты от современных угроз
App-ID
URL
IPS
ThreatLicen
se
Spyware
AV
Files
Sandboxing&Adv.EndpointProtec9on
Block !high-risk apps!
Block !known malware sites!
Block !the exploit!
Prevent drive-by-downloads!
Detect / prevent unknown malware!
Block malware!
Block spyware, C&C traffic!
Block C&C on non-standard ports!
Block malware, fast-flux domains!
Correlate and block C&C: malware URL, DNS sinkholing!
Координи-рованное блокирование активных атак по сигнатурам, источникам, поведению
Приманка ЭксплоитЗагрузкаПОдля«черногохода»
Установлениеобратногоканала
Разведкаикражаданных
Anti-Exploitation – prevent 0-day!
Check e-mail links!
Типы файлов, которые доставляют неизвестные вирусы
15 | ©2014, Palo Alto Networks. Confidential and Proprietary.
49% всех исполняемых файлов являются вредоносными*
* - по статистике сервиса Wildfire
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
PE PE64 RTF Flash APK DLL DLL64 Java Class
Java JAR
XLS XLSX PPT PPTX DOC DOCX PDF
Benign Samples Malicious Samples
Supported File Types in WildFire
§ Windows Executables (.exe, .dll, .scr, .ocx, .sys, .drv, .cpl)
§ PDF documents (.pdf)
§ Office documents (.doc/.docx, .ppt/pptx, .xls/xlsx, .rtf)
§ Java applets (.jar, .class)
§ Adobe Flash files (.swf)
§ Android executable files (APK)
Any object contained within these file types, such as Flash objects, javascript, downloaded images and other files
TOP 10 приложений доставляющие неизвестное вредоносное ПО (по количеству сессий)
http-proxy 0.9%
web browsing 18.201%
flash 0.036%
imap .256%
SMTP 78.291%
webdav 0.017% soap 0.014%
ftp 0.129%
yunpan 0.014%
pop3 2.895%
JAN-15 APR-15 JUL-15
18 | ©2015, Palo Alto Networks. Confidential and Proprietary.
! W E B && ! E M A I L 8.4% ВИРУСОВ ИДУТ в обход таких каналов как HTTP И
SMTP в 2015
21.5%
7.5% 8.2%
JAN-15 APR-15 JUL-15
19 | ©2015, Palo Alto Networks. Confidential and Proprietary.
S S L M A L W A R E (W E B) 40% ВРЕДОНОСНОГО КОДА ИДЕТ ПО HTTPS
50% 43.5% 46.5%
24%
Комплексный подход к предотвращению угроз от Palo Alto Networks § Сканирование и защита на одном устройстве при помощи следующего функционала: § Определение и контроль приложений; § URL фильтрация + SSL decryption; § IPS + Anti Spyware + AV+ сервис защиты от современных угроз (Wildfire).
§ … Защитаотнеизвестных
угроз(zero-day)Защитаотизвестныхугрозивирусов:IPS+AV+An[Spy
Определениеприложений
Снижение рисков за счет уменьшения площади атаки
» Безопасноеразрешениетольколегитимныхприложенийвсети
» Легитимныйтрафикразрешаетсятолькоопределеннымпользователям» Неизвестныйтрафик(unknown)автоматическиблокируется
» Комплексныеметодызащиты:ü ДвухсторонняяинспекцияIPS,AV,An9Spy
ü СканированиевнутриSSL
ü Сканированиеархивов
Разрешениеприложенийтолькоопределеннымпользователям/группепользователей
Сканированиеразрешенноготрафиканаугрозыивирусы
Решение для защиты хостов нового поколения:
Palo Alto Networks TRAPS
Не просто обнаружить, а предотвратить!
Предотвращение эксплойта – как это работает
Пользователь открывает документ
Traps прозрачно инжектирует
ловушки в процессы
Процесс защищен, так как при попытке использования эксплойта срабатывает ловушка
CPU <0.1%
При попытке использования уязвимости срабатывает ловушка и процесс останавливается еще до запуска вредоносного кода. Лечение / карантин не требуется!
Атака остановлена до исполнения
вредоносного кода
Безопасно! Остановка процесса
Сбор данных
Оповещения пользователя и администратора
Traps выполняет действия только в
момент срабатывания
ловушки
Отчет в ESM
Пример цепочки доставки эксплойта IE Zero-Day CVE-2014-1776
Heap-spray Use After Free ROP
Utilizing OS functions
Подготовка Запуск Внедрение Работа Вредоноснаяактивность
Предотвращениехотябыоднойизтехникблокируетвсюатаку
Блокирование хотя бы одной техники останавливает атаку целиком
Предотвращение завтрашних эксплойтов сегодня Новые 0-day эксплойты используют старые техники (2-5 в цепочке)
DLL Security
IE Zero Day CVE-2013-3893 HeapSpray DEP
Circumven[on UASLR ROP/U[lizingOSFunc[on
ROPMi[ga[on/DLLSecurity
Adobe Flash CVE-2015-5119
ReturnOrientedProgramming
SysExit&
ROPU[lizing
OSFunc[onDLL
Security
Adobe Flash CVE-2015- 3010/0311
ROP ROPMi[ga[on JITSpray JIT
Mi[ga[onU[lizing
OSFunc[onDLL
Security
MemoryLimitHeapSprayCheck
March 2012
EP-SeriesПервыйрелиз
June 2013
NetTravelerCampaign
The“Mask”Campaign
April 2014
Будущие Zero-Days
Безобновлений!
Уверенность в завтрашней защите Останавливаем сегодня завтрашние атаки!
February 2014
IE-ZeroDaysCVE-2014-1776CVE-2014-032
Пользователь пытается запустить файл
Применение запретов по
политике, задержка исполнения до
вердикта WildFire
Проверка HASH и неизвестных
файлов в облаке WildFire
Разрешено исполнение файла
Защита от техник вредоносного ПО
Интеграция TRAPS с Wildfire – как это работает
Safe!
Отчет в ESM
Palo Alto Networks Next-Generation Threat Cloud
Palo Alto Networks Next-Generation Endpoint
Palo Alto Networks Next-Generation Firewall
Next-Generation Firewall § Инспекция трафика § Контроль приложений и пользователей
§ Защита от угроз 0-ого дня § Блокировка угроз и вирусов на уровне сети
Next-Generation Threat Cloud § Анализ подозрительных файлов в облаке
§ Распространение сигнатур безопасности на МЭ
Next-Generation Endpoint § Инспекция процессов и файлов § Защиты от известных и неизвестных угроз § Защиты стационарных, виртуальных и мобильных пользователей
§ Интеграция с облачной защитой от угроз
Платформа безопасности нового поколения
Top Related