![Page 1: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/1.jpg)
“Advanced Persistent Threats και NG Firewall”
Αντώνης Καλοχριστιανάκης Digital SIMA
![Page 2: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/2.jpg)
Huston we have a problem ! « To antivirus και IPS είναι updated, αλλά μολύνθηκα »
![Page 3: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/3.jpg)
Πρώτη αιτία : « Zero Day »
• Το fix δεν είναι ακόμη διαθέσιμο • Το vulnerabilty είναι ακόμη άγνωστο
![Page 4: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/4.jpg)
*Malwise - An Effective and Efficient Classification System for
Packed and Polymorphic Malware, Deakin University, Victoria, June
2013
Σχεδόν το 88% του malware
μεταμορφώνεται ώστε να
παρακάμψει τα signature-based
antivirus *
Το Antivirus δεν είναι αρκετό
![Page 5: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/5.jpg)
Δεύτερη αιτία: Η τεχνολογία αλλάζει , και οι hackers…
“Antivirus is Dead” Brian Dye Senior VP of Symantec
“Παρόλο που η αναγνώριση και προστασία από κακόβουλο κώδικα στους Η/Υ ακόμη παίζει σημαντικό ρόλο, πολλές από τις σύγχρονες εξελιγμένες επιθέσεις καταφέρνουν να μολύνουν Η/Υ που έχουν εγκατεστημένο antivirus S/W”
To 82% από το malware που ανιχνεύεται, παραμένει ενεργό έως το πολύ 1 ώρα Το 70% όλων των απειλών ανακύπτει μόνο μία φορά
![Page 6: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/6.jpg)
6
Advanced Persistent Threat (APT)
Η Advanced Persistant Threat (APT) είναι μία υψηλής τεχνολογίας εξελιγμένη επίθεση που σκοπεύει να αποκτήσει παρατεταμένο αθόρυβο έλεγχο ενός σημαντικού πολιτικού ή οικονομικού στόχου.
![Page 7: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/7.jpg)
Virtual Sandbox
OS – XP /Win 7
Hypervisor
Server
OS Emulation
XP /Win 7 Functions
XP /Win 7 Functions
XP /Win 7 Functions
XP /Win 7 Functions
CPU Memory
Server
System Emulation
OS – XP /Win 7
CPU / Memory
Server
High Fidelity Low Visibility
Low Fidelity High Visibility
High Fidelity High Visibility
Προηγμένη ανάλυση του Μalware
![Page 8: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/8.jpg)
Stalling
Looping
Malware?
Exploit
Key logger C&C Network Traffic
Inaction
• Malware Checks the Environment
• Multi-Path execution
• Next step based on results
• Stalling / Looping
• Wait long enough for analysis to time out
To Malware ελέγχει το περιβάλλον
Stalling / Looping
Εκτέλεση Multi-Path
Αναμονή μέχρι να σταματήσει ο έλεγχος
Επόμενο βήμα ανάλογα τα αποτελέσματα
Δυναμικές αποκρύψεις Malware
![Page 9: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/9.jpg)
Τα APTs αφορούν μόνο τα μεγάλα δίκτυα …
Σωστά ?
Αυτά δεν έχουν σχέση με εμένα,
σωστά?
![Page 10: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/10.jpg)
Εξέλιξη των APTs
Σήμερα το κοινό κακόβουλο malware
χρησιμοποιεί τις ίδιες προηγμένες τεχνικές όπως οι κυβερνητικές APTs.
Κάθε οργανισμός κυνδυνέυει από advanced
threats!
Zeus copies Stuxnet 0day
Criminals use 0day malware (Cryptolocker)
Zeus uses stolen certificates
Criminal spear phishing
Criminal watering hole attacks
![Page 11: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/11.jpg)
11
« Cryptolockers & CTB-Locker »
APT or not APT…
![Page 12: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/12.jpg)
Τα Antivirus βρίσκουν τα crytolockers … αλλά πολύ αργά !
Cryptolocker: Ανίχνευση από Antivirus
![Page 13: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/13.jpg)
To TeslaCrypt είναι τελευταίο τύπου ransomware , που στοχεύει στους online παίκτες.
Το TOR site του TeslaCrypt δίνει οδηγίες για το πώς θα πληρωθούν τα λύτρα, όχι μόνο σε bitcoins αλλά και PayPal My Cash Cards. Επιτρέπουν την αποκρυπτογράφηση ενός αρχείου για να αποδείξουν ότι μπορούν να το κάνουν. Επίσης υπάρχει ένα σύστημα επικοινωνίας που επιτρέπει στο θύμα να έρθει σε επαφή με τους developers του malware !!
![Page 14: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/14.jpg)
AntiVirus
URL Filtering
AntiSpam
IPS
App Control
Data Loss Prevention
APT
Platform
WatchGuard Management
WatchGuard Best of Breed Ασφάλεια
![Page 15: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/15.jpg)
Ποια είναι η Lastline?
Ιδρύθηκε από κορυφαίους καθηγητές και ερευνητές
– Ακαδημαϊκοί παγκοσμίου φήμης
– Έρευνα 8+ ετών στα APT
– Έμφαση στην καινοτομία
– Developers του Anubis / Wepawet:
![Page 16: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/16.jpg)
APTBlocker Local Cache
Remote “Cache”
File uploaded
APT Blocker
![Page 17: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/17.jpg)
17
Visibility Explains Why This Is Malware
![Page 18: ͟Advanced Persistent Threats και N' &irewall͠€¦ · Emulation XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions XP /Win 7 Functions CPU Memory Server System Emulation](https://reader030.vdocuments.mx/reader030/viewer/2022040411/5ed9f9b428db2d5ca2492ee4/html5/thumbnails/18.jpg)
Competitors for Advanced Persistent Threat (APT) Solution of the Year Check Point Check Point Threat Emulation FireEye Threat Prevention Platform Fortinet FortiSandbox Lancope StealthWatch System Palo Alto Networks WildFire Threat Track Security Advanced Threat Defense Platform WatchGuard WatchGuard APT Blocker