More Related Content Similar to Palo Alto Traps - тестирование на реальных семплах (20) More from Vladyslav Radetsky (20) Palo Alto Traps - тестирование на реальных семплах1. Copyright © 2014, Palo Alto Networks
Конечные точки как главный вектор угрозы
Комплексная защита от Palo Alto Networks
Владислав Радецкий
vr@bakotech.com
2. Copyright © 2014, Palo Alto Networks
whoami
С 2011 года работаю в группе компаний БАКОТЕК®.
Координирую техническую поддержку проектов по ИБ.
Провожу тренинги, пишу статьи, исследую вирусы.
Специализация – защита данных и безопасность
конечных точек.
Принимал участие в расследовании атак на энергетику.
vr@bakotech.com
https://radetskiy.wordpress.com
https://ua.linkedin.com/in/vladislav-radetskiy-80940547
3. Copyright © 2014, Palo Alto Networks
Глоссарий
социальная инженерия – манипуляция, обман человека с целью получения информации/выгоды
фишинг – рассылка поддельных писем с целью доставить приманку жертве обмана
приманка – оболочка для т.н. dropper`а, бывает MS Office + VBA, PDF + js, RTF + CVE, .js, .exe ..
dropper – часть вируса, которая после активации соединяется с C&C либо загружает payload
C&C (реже C2) – Command & Control, сервер через который хозяин управляет вирусом
payload – основная часть вируса (шифрование, перехват информации, вывод системы из строя)
уязвимость – ошибка в коде ОС/ПО позволяющая при опр. условиях выполнить несанк. действия
эксплойт – часть кода позволяющая задействовать уязвимость ОС/ПО
семпл – образец конкретной версии зловерда
4. Copyright © 2014, Palo Alto Networks
Современные (целевые) атаки
Примеры приманок и обзор схем активации
6. Copyright © 2014, Palo Alto Networks
Использование социальной инженерии
Only amateurs attack machines;
professionals target people.
Bruce Schneier
7. Copyright © 2014, Palo Alto Networks
Zbot (ZeuS) – просто “паспорт.exe”
radetskiy.wordpress.com
8. Copyright © 2014, Palo Alto Networks
Adwind RAT – использование Java машины
radetskiy.wordpress.com
9. Copyright © 2014, Palo Alto Networks
Cerber Ransomware #1 – использование PowerShell
radetskiy.wordpress.com
10. Copyright © 2014, Palo Alto Networks
Cerber Ransomware #1 – использование PowerShell
radetskiy.wordpress.com
11. Copyright © 2014, Palo Alto Networks
Cerber Ransomware #2 – шаблон с макросом
radetskiy.wordpress.com
12. Copyright © 2014, Palo Alto Networks
Неизвестный образец (14_07_16)
WildFire, Restrictions и Malware Protection отключены
radetskiy.wordpress.com
13. Copyright © 2014, Palo Alto Networks
Неизвестный образец (14_07_16)
WildFire, Restrictions и Malware Protection отключены
radetskiy.wordpress.com
15. Copyright © 2014, Palo Alto Networks
Рассылка Cerber Ransomware – момент контакта
17. Copyright © 2014, Palo Alto Networks
Демо работы TRAPS
Проверка работы на реальных семплах
18. Copyright © 2014, Palo Alto Networks
Работа экплойта Flash, Traps выключен
radetskiy.wordpress.com
19. Copyright © 2014, Palo Alto Networks
Работа экплойта Flash, Traps активирован
radetskiy.wordpress.com
20. Copyright © 2014, Palo Alto Networks
Отключение одной из защит для firefox (ROP)
radetskiy.wordpress.com
21. Copyright © 2014, Palo Alto Networks
Работа экплойта Flash, Traps активирован (ROP отключен)
radetskiy.wordpress.com
22. Copyright © 2014, Palo Alto Networks
Попытка активации приманки Adwind (Java backdoor)
radetskiy.wordpress.com
23. Copyright © 2014, Palo Alto Networks
Попытка активации Cerber Ransomware (Powershell)
radetskiy.wordpress.com
radetskiy.wordpress.com
24. Copyright © 2014, Palo Alto Networks
Попытка активации Cerber Ransomware variant 2
radetskiy.wordpress.com
25. Copyright © 2014, Palo Alto Networks
Блокировка payload (veil-evasion) через WildFire
radetskiy.wordpress.com
radetskiy.wordpress.com
26. Copyright © 2014, Palo Alto Networks
Проверка неизвестного файла по облаку WildFire
radetskiy.wordpress.com
27. Copyright © 2014, Palo Alto Networks
Проверка неизвестного файла по облаку WildFire
radetskiy.wordpress.com
29. Copyright © 2014, Palo Alto Networks
Архитектура Internet
WildFire Cloud
ESM
Syslog
30. Copyright © 2014, Palo Alto Networks
Что такое Palo Alto Traps?
Защита от эксплойтов
Втом числе от т.н. 0-day
Защита от вирусов
Включая продвинутые и неизвестные семплы
Легкий для систем и прост для операторов
Ускоренное развертывание с уже включенной защитой
Интегрируется с NGFW и облаком WildFire
Обмен данными об угрозах = перекрестная проверка
По сути Traps это симбиоз динамических репутационных списков с
виртуал-патчингом и кучей анти-эксплойт и анти-вирус техник
31. Copyright © 2014, Palo Alto Networks
Недостатки обычных (классических) решений
EXE
Классический
антивирус
Сигнатура?
НЕТ
Строка кода?
НЕТ
Поведение?
НЕТ
PDF
Зловред
запуск
Експлойт
активация
Целевые Скрытые Продвинутые
паспорт.exe
scan.pdf.jar
32. Copyright © 2014, Palo Alto Networks
Фокус на блок основных техник, а не конкретных атак
Уязвимости ОС и ПО Механизмы эксплуатации
Около тысячи в течении года Не более 5-7 рабочих за год
Вирусы Механизмы заражения
Миллионы появляются ежегодно Не более 10-20
33. Copyright © 2014, Palo Alto Networks
Пользователь
Активирует
приманку
Применяются
ограничения политик
HASH проверяется
облаку WildFire
Чист /
опасен
Опасный код отсеян
Защита от вирусов
Safe!
Reported to
ESM
34. Copyright © 2014, Palo Alto Networks
Защита от вирусов
Политики – запрет на запуск
WildFire – репутация / поведение
Предотвращение техник
Уменьшаем профиль
Защищаемся от уже известного
Защищаемся от новых семплов
35. Copyright © 2014, Palo Alto Networks
Защита от эксплойтов
Пользователь
открывает
вложение
Traps встраивается в
процесс приложения
Попытки
использовать
уязвимости
блокируются
CPU
<0.1%
Активация эксплойта останавливается до того, как системе будет нанесен вред.
Атака была отбита
Safe!Process is terminated
Forensic data
is collected
Useradmin is notified
Traps выполняет
заданные действия
Reported to
ESM
36. Copyright © 2014, Palo Alto Networks
Подготовка Активация Обход Закрепление Выполнение комманд
Защита от эксплойтов
Предотвращение одной из фаз прекращает атаку
Упреждение
Memory
Corruption
Проверка
потоков и задач
Защита функций
ОС
Внедрение в
процессы
Heap Spray Use after free Использование
функций ОС
ROP
CVE-2016-хххх
37. Copyright © 2014, Palo Alto Networks
Подведем итоги
Обоснование целесообразности внедрения
38. Copyright © 2014, Palo Alto Networks
Преимущества Palo Alto Traps
• Быстрое развертывание
• Защита активирована “из коробки”
• Прост в эксплуатации (это проще чем внедрять HIPS)
• Не “грузит” систему
• Идет как дополнение к АВ либо иному уже используемому модулю
• Позволяет “видеть” какие процессы запускаються на системах
• Срабатывает не на сигнатуры, а на поведение
• Позволяет сэкономить время и деньги
39. Copyright © 2014, Palo Alto Networks
Ключевые характеристики
Поддерживаемые ОС
Рабочие станции
• Windows XP SP3
• Windows Vista SP2
• Windows 7
• Windows 8/8.1
• Windows 10
Сервера
• Windows Server 2003 (+R2)
• Windows Server 2008 (+R2)
• Windows Server 2012 (+R2)
Нагрузка
• 25-50 Mb RAM
• 5-7 % CPU
• Низкий IO
• Нет движка
40. Copyright © 2014, Palo Alto Networks
Сбор информации для форензики (расследования)
Живое логгирование
- Запуск файла
- Time of execution
- File name
- File HASH
- User name
- Computer name
- IP address
- OS version
- File’s malicious history
- Обращение к компонентам Traps
- Traps Process shutdown attempt
- Traps Service shutdown attempt
- Related system logs
Эксплойт или вирус активируют сбор данных
- Информация по атаке
- Time stamp
- Triggering File (non executable)
- File source
- Involved URLsURI
- Prevented exploitation technique
- IP address
- OS version
- Version of attempted vulnerable software
- All components loaded to memory under attacked
process
- Full memory dump
- Indications of further memory corruption activity
- User name and computer name
41. Copyright © 2014, Palo Alto Networks
Комплексная защита
PAN NGFW, WildFire и Traps
42. Copyright © 2014, Palo Alto Networks
Комплексный подход
Next-Generation Firewall
Проверка трафика
Блок известных атак
Проверка по WildFire
Защита мобильных и
виртуальных сетей
Следит за процессами и файлами
Блокирует известные и новые эксплойты
Благодаря WildFire оперативно “обучается”
Next-Generation Endpoint Protection
Облако обмена данными
Источники – сеть и конечные точки
Анализ и корреляция по
актуаульным угрозам/атакам
Позволяет обезопасить как сеть
так и отдельные системы
43. Copyright © 2014, Palo Alto Networks
Обмен информацией
Новые семплы
Попытка
использования
0-day
44. Copyright © 2014, Palo Alto Networks
Обмен информацией
Вердикт
в течени
3 – 5 минут
45. Copyright © 2014, Palo Alto Networks
Обмен информацией
Сопоставление
Пересылка данных
46. Copyright © 2014, Palo Alto Networks
Комплексный подход Internet
WildFire Cloud
Traps
Advanced Endpoint Protection
47. Copyright © 2014, Palo Alto Networks
Владислав Радецкий
radetskiy.wordpress.com
vr@bakotech.com