Защита от эксплойтов и новых, неизвестных образцов. Рассмотрены технические аспекты работы решения. Отображена работа защиты на актуальных семплах ransomware, RAT и т.д. Дополнительно показаны схемы активации и закрепления семплов в системе. Контент будет полезен руководителям и сотрудникам ИТ/ИБ подразделений.

1. Copyright © 2014, Palo Alto Networks
Конечные точки как главный вектор угрозы
Комплексная защита от Palo Alto Networks
Владислав Радецкий
vr@bakotech.com

2. Copyright © 2014, Palo Alto Networks
whoami
С 2011 года работаю в группе компаний БАКОТЕК®.
Координирую техническую поддержку проектов по ИБ.
Провожу тренинги, пишу статьи, исследую вирусы.
Специализация – защита данных и безопасность
конечных точек.
Принимал участие в расследовании атак на энергетику.
vr@bakotech.com
https://radetskiy.wordpress.com
https://ua.linkedin.com/in/vladislav-radetskiy-80940547

3. Copyright © 2014, Palo Alto Networks
Глоссарий
 социальная инженерия – манипуляция, обман человека с целью получения информации/выгоды
 фишинг – рассылка поддельных писем с целью доставить приманку жертве обмана
 приманка – оболочка для т.н. dropper`а, бывает MS Office + VBA, PDF + js, RTF + CVE, .js, .exe ..
 dropper – часть вируса, которая после активации соединяется с C&C либо загружает payload
 C&C (реже C2) – Command & Control, сервер через который хозяин управляет вирусом
 payload – основная часть вируса (шифрование, перехват информации, вывод системы из строя)
 уязвимость – ошибка в коде ОС/ПО позволяющая при опр. условиях выполнить несанк. действия
 эксплойт – часть кода позволяющая задействовать уязвимость ОС/ПО
 семпл – образец конкретной версии зловерда

4. Copyright © 2014, Palo Alto Networks
Современные (целевые) атаки
Примеры приманок и обзор схем активации

5. Copyright © 2014, Palo Alto Networks
Разновидности приманок

6. Copyright © 2014, Palo Alto Networks
Использование социальной инженерии
Only amateurs attack machines;
professionals target people.
Bruce Schneier

7. Copyright © 2014, Palo Alto Networks
Zbot (ZeuS) – просто “паспорт.exe”
radetskiy.wordpress.com

8. Copyright © 2014, Palo Alto Networks
Adwind RAT – использование Java машины
radetskiy.wordpress.com

9. Copyright © 2014, Palo Alto Networks
Cerber Ransomware #1 – использование PowerShell
radetskiy.wordpress.com

10. Copyright © 2014, Palo Alto Networks
Cerber Ransomware #1 – использование PowerShell
radetskiy.wordpress.com

11. Copyright © 2014, Palo Alto Networks
Cerber Ransomware #2 – шаблон с макросом
radetskiy.wordpress.com

12. Copyright © 2014, Palo Alto Networks
Неизвестный образец (14_07_16)
WildFire, Restrictions и Malware Protection отключены
radetskiy.wordpress.com

13. Copyright © 2014, Palo Alto Networks
Неизвестный образец (14_07_16)
WildFire, Restrictions и Malware Protection отключены
radetskiy.wordpress.com

14. Copyright © 2014, Palo Alto Networks
Сигнатуры уже давно не успевают

15. Copyright © 2014, Palo Alto Networks
Рассылка Cerber Ransomware – момент контакта

16. Copyright © 2014, Palo Alto Networks
Рассылка RAT – 24 часа спустя

17. Copyright © 2014, Palo Alto Networks
Демо работы TRAPS
Проверка работы на реальных семплах

18. Copyright © 2014, Palo Alto Networks
Работа экплойта Flash, Traps выключен
radetskiy.wordpress.com

19. Copyright © 2014, Palo Alto Networks
Работа экплойта Flash, Traps активирован
radetskiy.wordpress.com

20. Copyright © 2014, Palo Alto Networks
Отключение одной из защит для firefox (ROP)
radetskiy.wordpress.com

21. Copyright © 2014, Palo Alto Networks
Работа экплойта Flash, Traps активирован (ROP отключен)
radetskiy.wordpress.com

22. Copyright © 2014, Palo Alto Networks
Попытка активации приманки Adwind (Java backdoor)
radetskiy.wordpress.com

23. Copyright © 2014, Palo Alto Networks
Попытка активации Cerber Ransomware (Powershell)
radetskiy.wordpress.com
radetskiy.wordpress.com

24. Copyright © 2014, Palo Alto Networks
Попытка активации Cerber Ransomware variant 2
radetskiy.wordpress.com

25. Copyright © 2014, Palo Alto Networks
Блокировка payload (veil-evasion) через WildFire
radetskiy.wordpress.com
radetskiy.wordpress.com

26. Copyright © 2014, Palo Alto Networks
Проверка неизвестного файла по облаку WildFire
radetskiy.wordpress.com

27. Copyright © 2014, Palo Alto Networks
Проверка неизвестного файла по облаку WildFire
radetskiy.wordpress.com

28. Copyright © 2014, Palo Alto Networks
Traps
Advanced Endpoint Protection

29. Copyright © 2014, Palo Alto Networks
Архитектура Internet
WildFire Cloud
ESM
Syslog

30. Copyright © 2014, Palo Alto Networks
Что такое Palo Alto Traps?
Защита от эксплойтов
Втом числе от т.н. 0-day
Защита от вирусов
Включая продвинутые и неизвестные семплы
Легкий для систем и прост для операторов
Ускоренное развертывание с уже включенной защитой
Интегрируется с NGFW и облаком WildFire
Обмен данными об угрозах = перекрестная проверка
По сути Traps это симбиоз динамических репутационных списков с
виртуал-патчингом и кучей анти-эксплойт и анти-вирус техник

31. Copyright © 2014, Palo Alto Networks
Недостатки обычных (классических) решений
EXE
Классический
антивирус
Сигнатура?
НЕТ
Строка кода?
НЕТ
Поведение?
НЕТ
PDF
Зловред
запуск
Експлойт
активация
Целевые Скрытые Продвинутые
паспорт.exe
scan.pdf.jar

32. Copyright © 2014, Palo Alto Networks
Фокус на блок основных техник, а не конкретных атак
Уязвимости ОС и ПО Механизмы эксплуатации
Около тысячи в течении года Не более 5-7 рабочих за год
Вирусы Механизмы заражения
Миллионы появляются ежегодно Не более 10-20

33. Copyright © 2014, Palo Alto Networks
Пользователь
Активирует
приманку
Применяются
ограничения политик
HASH проверяется
облаку WildFire
Чист /
опасен
Опасный код отсеян
Защита от вирусов
Safe!
Reported to
ESM

34. Copyright © 2014, Palo Alto Networks
Защита от вирусов
Политики – запрет на запуск
WildFire – репутация / поведение
Предотвращение техник
Уменьшаем профиль
Защищаемся от уже известного
Защищаемся от новых семплов

35. Copyright © 2014, Palo Alto Networks
Защита от эксплойтов
Пользователь
открывает
вложение
Traps встраивается в
процесс приложения
Попытки
использовать
уязвимости
блокируются
CPU
<0.1%
Активация эксплойта останавливается до того, как системе будет нанесен вред.
Атака была отбита
Safe!Process is terminated
Forensic data
is collected
Useradmin is notified
Traps выполняет
заданные действия
Reported to
ESM

36. Copyright © 2014, Palo Alto Networks
Подготовка Активация Обход Закрепление Выполнение комманд
Защита от эксплойтов
Предотвращение одной из фаз прекращает атаку
Упреждение
Memory
Corruption
Проверка
потоков и задач
Защита функций
ОС
Внедрение в
процессы
Heap Spray Use after free Использование
функций ОС
ROP
CVE-2016-хххх

37. Copyright © 2014, Palo Alto Networks
Подведем итоги
Обоснование целесообразности внедрения

38. Copyright © 2014, Palo Alto Networks
Преимущества Palo Alto Traps
• Быстрое развертывание
• Защита активирована “из коробки”
• Прост в эксплуатации (это проще чем внедрять HIPS)
• Не “грузит” систему
• Идет как дополнение к АВ либо иному уже используемому модулю
• Позволяет “видеть” какие процессы запускаються на системах
• Срабатывает не на сигнатуры, а на поведение
• Позволяет сэкономить время и деньги

39. Copyright © 2014, Palo Alto Networks
Ключевые характеристики
Поддерживаемые ОС
Рабочие станции
• Windows XP SP3
• Windows Vista SP2
• Windows 7
• Windows 8/8.1
• Windows 10
Сервера
• Windows Server 2003 (+R2)
• Windows Server 2008 (+R2)
• Windows Server 2012 (+R2)
Нагрузка
• 25-50 Mb RAM
• 5-7 % CPU
• Низкий IO
• Нет движка

40. Copyright © 2014, Palo Alto Networks
Сбор информации для форензики (расследования)
Живое логгирование
- Запуск файла
- Time of execution
- File name
- File HASH
- User name
- Computer name
- IP address
- OS version
- File’s malicious history
- Обращение к компонентам Traps
- Traps Process shutdown attempt
- Traps Service shutdown attempt
- Related system logs
Эксплойт или вирус активируют сбор данных
- Информация по атаке
- Time stamp
- Triggering File (non executable)
- File source
- Involved URLsURI
- Prevented exploitation technique
- IP address
- OS version
- Version of attempted vulnerable software
- All components loaded to memory under attacked
process
- Full memory dump
- Indications of further memory corruption activity
- User name and computer name

41. Copyright © 2014, Palo Alto Networks
Комплексная защита
PAN NGFW, WildFire и Traps

42. Copyright © 2014, Palo Alto Networks
Комплексный подход
Next-Generation Firewall
 Проверка трафика
 Блок известных атак
 Проверка по WildFire
 Защита мобильных и
виртуальных сетей
 Следит за процессами и файлами
 Блокирует известные и новые эксплойты
 Благодаря WildFire оперативно “обучается”
Next-Generation Endpoint Protection
Облако обмена данными
 Источники – сеть и конечные точки
 Анализ и корреляция по
актуаульным угрозам/атакам
 Позволяет обезопасить как сеть
так и отдельные системы

43. Copyright © 2014, Palo Alto Networks
Обмен информацией
Новые семплы
Попытка
использования
0-day

44. Copyright © 2014, Palo Alto Networks
Обмен информацией
Вердикт
в течени
3 – 5 минут

45. Copyright © 2014, Palo Alto Networks
Обмен информацией
Сопоставление
Пересылка данных

46. Copyright © 2014, Palo Alto Networks
Комплексный подход Internet
WildFire Cloud
Traps
Advanced Endpoint Protection

47. Copyright © 2014, Palo Alto Networks
Владислав Радецкий
radetskiy.wordpress.com
vr@bakotech.com