Palo Alto Networks защита от неизвестных видов

вредоносного кода при помощи TRAPS

Денис Батранков консультант по информационной

безопасности Russia@paloaltonetworks.com

2 | ©2012 PALO ALTO NETWORKS

Оповестить о взломе у пользователя

§  breachalert@paloaltonetworks.com

§  Срочность проблемы:

§  a. CODE RED: требует ответа сегодня же

§  b. CODE YELLOW: требует ответа в течение 24 часов

§  c. CODE GREEN: требуется ответ в течение 36 часов

LIVE - ответы на все вопросы h"ps://live.paloaltonetworks.com

Скачать Migration Tool 3.2. Последнее обновление 27.11.2015 h"ps://live.paloaltonetworks.com/t5/Migra9on-Tool-Ar9cles/Download-the-Migra9on-Tool/ta-p/56582

Для упрощения далее будем называть

Вирус–любойвидпрограммсозданныхсзлымумыслом(криптолокеры/шифровальщики,трояны,червиидр.)Эксплойт–любаяпрограммасозданнаядляпроведенияатакиипомещеннаявлюбомформатеданныхпригодномдлязапуска(pdf,flash,doc,jpg,xlsидр.)

АТАКА ANUNAK

Элементы атаки

Поддельные письма с

вредоносными вложениями от имени ЦБ РФ

Использование существующих ботнетов для распространения нового кода

Инфицирование через drive-by-

download: Andromeda и Pony трояны через Neutrino

Exploit Kit

Доступ к банкоматам из специализи-рованных

сегментов, которые должны быть

изолированными, и инфицирование ОС

Снятие денег из банкоматов и через Интернет-кошельки, напр. Yandex Money

Подтверждено, что было

захвачено 52 банкомата. Кража более 1 млрд.

рублей.

Успешнополучендоступвнутрькорпоративныхсетейболеечем50банков.Украденоболее1млрд.рублейс2013по2014годизбанковвРоссии

h"p://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.htmlh"p://www.group-ib.com/files/Anunak_APT_against_financial_ins9tu9ons.pdf

Anunak – письмо с вредоносным вложением

Как защищаться от эксплойтов в почте?

Традиционные методы антивирусной защиты более неэффективны

☣ Специальносозданныеимодифицированныевредоносы

☣ Полиморфныевредоносы☣ Вредоносынулевогодня Резко снижается время на защиту

Современное вредоносное ПО стремится: §  Избежать попадания в ловушки (honey-pots) традиционных

антивирусных вендоров – целенаправленные атаки§  Измениться прежде, чем будет предоставлена защита

Для защиты важны первые 24 часа

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

9,000

1 2 3 4 5 6 7 8 9 101112131415161718192021222324252627282930313233343536

Часы95% заражений конкретным видом кода в первые 24 часа

Ключевые этапы современной сетевой атаки

Приманка

1

ЗавлечьиспользоватьспециальноеПО,открытьфайлилиперейтинавеб-сайтсвредоносами

Эксплоит

2

ЗараженныйконтентиспользуетуязвимостиПОизапускается

ЗагрузкаПОдля«черногохода»

3

Вфонезагружаетсяиустанавли-ваетсявторойвредонос

Установлениеобратногоканала

4

Вредоносустанавливаетисходящееподключениедлясвязисзлоумышлен-ником

Разведкаикражаданных

5

Удаленныйзлоумышлен-никимеетдоступвнутрисетиипроводитатаку

Технологии Palo Alto Networks, применяемые для защиты от современных угроз

App-ID

URL

IPS

ThreatLicen

se

Spyware

AV

Files

Sandboxing&Adv.EndpointProtec9on

Block !high-risk apps!

Block !known malware sites!

Block !the exploit!

Prevent drive-by-downloads!

Detect / prevent unknown malware!

Block malware!

Block spyware, C&C traffic!

Block C&C on non-standard ports!

Block malware, fast-flux domains!

Correlate and block C&C: malware URL, DNS sinkholing!

Координи-рованное блокирование активных атак по сигнатурам, источникам, поведению

Приманка ЭксплоитЗагрузкаПОдля«черногохода»

Установлениеобратногоканала

Разведкаикражаданных

Anti-Exploitation – prevent 0-day!

Check e-mail links!

Если файл прошел все проверки, но все еще является подозрительным – применяем сервис Wildfire!

Типы файлов, которые доставляют неизвестные вирусы

15 | ©2014, Palo Alto Networks. Confidential and Proprietary.

49% всех исполняемых файлов являются вредоносными*

* - по статистике сервиса Wildfire

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

PE PE64 RTF Flash APK DLL DLL64 Java Class

Java JAR

XLS XLSX PPT PPTX DOC DOCX PDF

Benign Samples Malicious Samples

Supported File Types in WildFire

§  Windows Executables (.exe, .dll, .scr, .ocx, .sys, .drv, .cpl)

§  PDF documents (.pdf)

§  Office documents (.doc/.docx, .ppt/pptx, .xls/xlsx, .rtf)

§  Java applets (.jar, .class)

§  Adobe Flash files (.swf)

§  Android executable files (APK)

Any object contained within these file types, such as Flash objects, javascript, downloaded images and other files

TOP 10 приложений доставляющие неизвестное вредоносное ПО (по количеству сессий)

http-proxy 0.9%

web browsing 18.201%

flash 0.036%

imap .256%

SMTP 78.291%

webdav 0.017% soap 0.014%

ftp 0.129%

yunpan 0.014%

pop3 2.895%

JAN-15 APR-15 JUL-15

18 | ©2015, Palo Alto Networks. Confidential and Proprietary.

! W E B && ! E M A I L 8.4% ВИРУСОВ ИДУТ в обход таких каналов как HTTP И

SMTP в 2015

21.5%

7.5% 8.2%

JAN-15 APR-15 JUL-15

19 | ©2015, Palo Alto Networks. Confidential and Proprietary.

S S L M A L W A R E (W E B) 40% ВРЕДОНОСНОГО КОДА ИДЕТ ПО HTTPS

50% 43.5% 46.5%

24%

Комплексный подход к предотвращению угроз от Palo Alto Networks §  Сканирование и защита на одном устройстве при помощи следующего функционала: §  Определение и контроль приложений; §  URL фильтрация + SSL decryption; §  IPS + Anti Spyware + AV+ сервис защиты от современных угроз (Wildfire).

§  … Защитаотнеизвестных

угроз(zero-day)Защитаотизвестныхугрозивирусов:IPS+AV+An[Spy

Определениеприложений

Снижение рисков за счет уменьшения площади атаки

» Безопасноеразрешениетольколегитимныхприложенийвсети

» Легитимныйтрафикразрешаетсятолькоопределеннымпользователям» Неизвестныйтрафик(unknown)автоматическиблокируется

» Комплексныеметодызащиты:ü ДвухсторонняяинспекцияIPS,AV,An9Spy

ü СканированиевнутриSSL

ü Сканированиеархивов

Разрешениеприложенийтолькоопределеннымпользователям/группепользователей

Сканированиеразрешенноготрафиканаугрозыивирусы

Internet

WildFire Cloud

Traps Advanced Endpoint Protection

Решение для защиты хостов нового поколения:

Palo Alto Networks TRAPS

Не просто обнаружить, а предотвратить!

Предотвращение эксплойта – как это работает

Пользователь открывает документ

Traps прозрачно инжектирует

ловушки в процессы

Процесс защищен, так как при попытке использования эксплойта срабатывает ловушка

CPU <0.1%

При попытке использования уязвимости срабатывает ловушка и процесс останавливается еще до запуска вредоносного кода. Лечение / карантин не требуется!

Атака остановлена до исполнения

вредоносного кода

Безопасно! Остановка процесса

Сбор данных

Оповещения пользователя и администратора

Traps выполняет действия только в

момент срабатывания

ловушки

Отчет в ESM

Пример цепочки доставки эксплойта IE Zero-Day CVE-2014-1776

Heap-spray Use After Free ROP

Utilizing OS functions

Подготовка Запуск Внедрение Работа Вредоноснаяактивность

Предотвращениехотябыоднойизтехникблокируетвсюатаку

Блокирование хотя бы одной техники останавливает атаку целиком

Предотвращение завтрашних эксплойтов сегодня Новые 0-day эксплойты используют старые техники (2-5 в цепочке)

DLL Security

IE Zero Day CVE-2013-3893 HeapSpray DEP

Circumven[on UASLR ROP/U[lizingOSFunc[on

ROPMi[ga[on/DLLSecurity

Adobe Flash CVE-2015-5119

ReturnOrientedProgramming

SysExit&

ROPU[lizing

OSFunc[onDLL

Security

Adobe Flash CVE-2015- 3010/0311

ROP ROPMi[ga[on JITSpray JIT

Mi[ga[onU[lizing

OSFunc[onDLL

Security

MemoryLimitHeapSprayCheck

March 2012

EP-SeriesПервыйрелиз

June 2013

NetTravelerCampaign

The“Mask”Campaign

April 2014

Будущие Zero-Days

Безобновлений!

Уверенность в завтрашней защите Останавливаем сегодня завтрашние атаки!

February 2014

IE-ZeroDaysCVE-2014-1776CVE-2014-032

Пользователь пытается запустить файл

Применение запретов по

политике, задержка исполнения до

вердикта WildFire

Проверка HASH и неизвестных

файлов в облаке WildFire

Разрешено исполнение файла

Защита от техник вредоносного ПО

Интеграция TRAPS с Wildfire – как это работает

Safe!

Отчет в ESM

Palo Alto Networks Next-Generation Threat Cloud

Palo Alto Networks Next-Generation Endpoint

Palo Alto Networks Next-Generation Firewall

Next-Generation Firewall §  Инспекция трафика §  Контроль приложений и пользователей

§  Защита от угроз 0-ого дня §  Блокировка угроз и вирусов на уровне сети

Next-Generation Threat Cloud §  Анализ подозрительных файлов в облаке

§  Распространение сигнатур безопасности на МЭ

Next-Generation Endpoint §  Инспекция процессов и файлов §  Защиты от известных и неизвестных угроз §  Защиты стационарных, виртуальных и мобильных пользователей

§  Интеграция с облачной защитой от угроз

Платформа безопасности нового поколения

Регистрация:h"p://ow.ly/Zu7psПриглашаюнавебинар29марта201610:00