從勒索軟體看資安防護 - netfos · 情資閘道安全擴展到端點, 資料安全,...
TRANSCRIPT
從勒索軟體看資安防護
曹家通 Albert 技術顧問
Agenda
• 認識勒索軟體生態
• 聯合全球智慧情報網路聯防
• 最新安全防禦解決方案Web Isolation (Fireglass)
認識勒索軟體生態
勒索軟體是什麼?
惡名昭彰的勒索軟體(Ransomware,Cryptolocker..),透過感染和控制將受害者電腦鎖住、您無法使用電腦也無法存取檔案或文件,來敲詐勒索電腦使用者以獲得贖金的一種惡意程式, 勒索軟體甚至還從一般電腦發展到行動裝置系統上
勒索軟體主要的攻擊管道: 經常以電子郵件作為誘餌散播病毒或者透過被入侵的網站(網頁惡意程式) 、惡意廣告以及透過論壇文章瀏覽等管道進行。
所以最好的阻絕勒索軟體是在第一時間的第一階段閘口端阻擋,若PC 被感染了勒索軟體就麻煩了.
基本上電腦或伺服器被染了就需付出大量金錢來解密,而且通常駭客不會一次全解密通常要分好幾次,而且即使檔案解密了你也不知駭客會在裡面埋下什麼後門程式,因為他們不會隨便輕易放過被感染的金牛.
勒索程式如何運作?
勒索軟體 Ransomware經常偽裝成看似重要訊息的郵件:偽裝應徵者履歷表, 報價單, 電子帳單,罰單..等,而內含惡意的連結,並利用社交工程(social engineering )技巧來誘騙。
使用者可能因為開啟了惡意電子郵件或網站上的檔案而不小心或不知覺的下載並安裝了勒索程式。
基本上,駭客會設計一個可掌控電腦並挾持檔案的程式,勒索軟體 Ransomware一旦執行,就會鎖住電腦的畫面,或者將預先選定的檔案加密。
惡意廣告
• 大多數人對於惡意廣告存在著很大的誤解,以為一定要點擊才會受到危害,事實上,惡意廣告的攻擊並不需要使用者點擊,只要瀏覽器或裝置顯示出惡意廣告,使用者就會受到攻擊。
• 惡意廣告的攻擊可以分成兩種類型:
– (1) 點擊前(Pre-Click)攻擊
• 在使用者瀏覽網頁時,惡意廣告可以透過軟體漏洞來攻擊,例如 Java, Flash Player 甚至是瀏覽器漏洞。也可以透過廣告系統的弱點,撰寫 script 來發動主動攻擊,勒索軟體可以在使用者僅單純瀏覽網頁的情況下,就進行攻擊。
– (2) 點擊後(Post-Click)攻擊
• 當使用者點擊惡意廣告時,便會被導向一個攻擊者所建置的惡意網站,裡面存放著攻擊的程式,當使用者看到惡意網站時,就有機會開始執行惡意程式。
網頁掛馬
• 駭客會透過入侵企業網站來達到散布勒索軟體的作用,當他們發現網站伺服器或是應用程式有安全性漏洞時,他們便會入侵並在網頁上放入script導向裝載「漏洞攻擊套件(Exploit Kit)」的網頁,此時「漏洞攻擊套件」便會掃描使用者的漏洞來達到主動下載並執行勒索軟體的目的。
建立惡意網路基礎建設(INTERNET)
悄悄的進入
發動攻擊/開始加密
感染其他系統
將被感染的系統變成為 MALNET 基礎建設的一部份並且發動新的攻擊
The Vicious Cycle of Malnets:2012 Blue Coat Malnet Report
案例一 :勒索軟體網路架構
案例一 :
案例一 :
案例二 :
案例二 :
案例三:利用 flash 漏洞進行植入勒索程式的流程
UserRequest
Normal Web Site
Call Back
Landing server
Exploit Servers
proxy
1. 存取正常網站
2. 被引導至駭客的Proxy
3. Landing Page 檢查用戶的flash是否適合入侵
4. 轉導至開啟Flash網頁,並針對漏洞攻擊。
5. 得到系統權限,到C&C網站download 加密程式(dll或exe)。(443 客製加密)
C&C Site
內含惡意網址
案例三:實例分析:2016-06-17 - PSEUDO-DARKLEECH NEUTRINO EK FROM 45.63.25.106
一天已經阻擋了7萬多筆惡意網站連線
聯合全球智慧情報網路閘道與端點聯動應付勒索軟體
Radicati (March 2017)
“Symantec analyzes and mitigates unknown malware by automatically inspecting files though multiple layers of in house proprietary technology as well as third party technology (reputation, dual anti-malware engines, static code analysis, etc.).”
“It then brokers suspicious content to the Symantec Malware Analysis solution or other third parties for sandboxing”
Gartner SecuritySymantec/Blue COAT 連續第十年 Leaders –– No 1
Magic Quadrant for Secure Web Gateways
File
UR
L
Wh
itel
ist
Bla
cklis
t
Cer
tifi
cate
Mac
hin
e Le
arn
ing
1.75億被保護的
企業和個人終端
9全球威脅回應中心
3000+ 工程師和研究人
員
10 億每日全新的未分類
Web請求
20 億每天掃描的電子郵件
全球智慧情報網絡(GIN)資料來源於:
1億8千2百萬阻止的Web攻擊
發現
4億3千萬新的惡意軟體,在去年一年的時間
12,000+
防護雲的應用
1億阻止了如此多的社會工程詐騙
阻止了10億封惡意郵件
64,000+
保護的資料中心GINxGIN=GIN2
賽門鐵克GIN
Symantec SWG Solution : Prevent – Not Just Detect
徹底檢查=最好的保護
Content Analysis
Global Intelligence
Network
Hash ReputationCustom user whitelist/blacklist + Risk Scoring
5 Billion file reputation database
Dual Anti-Malware/Anti-VirusKaspersky, Sophos, McAfee, Symantec
Files up to 5GB / Signature updates every 5 minutes
Predictive File AnalysisStatic Code Analysis / Machine Learning
Parse and collect files / Match code to 4B “bad”
Dynamic SandboxingVM + Emulation Sandboxing using custom
“Gold Images” Behavior and YARA rule analysis
外部沙箱
Web / Mail Threat Protection
• URL 信譽風險評等• SSL 解密• 分類/政策• 垃圾郵件檢測• 即時封鎖
SGASGSMG
.JAR .EXE將可接受的文件傳遞給用戶
反惡意代碼檢查阻止已知不好的
預測分析惡意碼成分
僅需引爆真正的未知文件
12
3
4
5內部沙箱
情資閘道安全擴展到 端點, 資料安全, 風險隔離防護
Global Intelligence Network
SEP Manager
SWG
User
1
3 2
2
1. SWG 整合內容分析,使用來自全球情報網絡的信息識別潛在威脅,並發送到Symantec Endpoint Protection(SEP)管理員進行驗證
2. SEP Manager檢查端點,以確定哪些被感染並響應
3. 補救
• 黑名單傳達給 SEPM
• 通知SEPM執行修補端點政策
4. 整合 DLP 可對外傳的資料做檢查,防止公司機敏性資料外洩
5. 擴展: 未分類及高風險類別網站或依據政策,將連線到風險隔離系統
DLP Network Prevent for Web
ICA
P
Threat Isolation
4
5
CounterTackServer
Enabling SEPM integration in Content Analysis 2.1
Enter the SEPM IP and administrator credentials.
Symantec Endpoint Protection Integration
Symantec Endpoint Protection Manager
ICAP
InternetProxySG
Internet Traffic
SEP M
anage
me
nt
Request EOC* search
內容分析發現了一個威脅,有多少管理端點有這個文件?
X systems have this file
*EOC: Evidence of compromise search
Content Analysis 2.1 leverages the Application Control feature in SEPM.
1. The hash of the malicious file is pushed to SEPM
2. A black list is created
3. All clients managed receive the black list and can block the new threat
Black list in Symantec Endpoint Protection
1
2
3
Secure Web Gateway (SWG) + Content Analysis (CA) Deployment Options
Virtual ProxySG + CA - HW Web Security Service
VSWG
VCA
ProxySG
CA
ASG + MA
ASG
MAWeb Security w/ Malware Analysis
• ESX Support• Sold as a subscription
• Independent Scaling of Services
• Purchase HW + Subscription
• Purchase HW + Subscription
• Easy to deploy cloud service
• Subscription sold per user
Content Inspection & Orchestration
Filter for Success – Reducing Incident Response Queue
Web Threats
URL Category & Risk Score
Behavioral AnalysisSandbox
63MWeb requests
18KFiles
“detonated” (emulation)
12MFiles scanned
IncidentResponse
3Alerts
needing response
Whitelist/BlacklistHash Reputation
Dual AVMalware Signature
Predictive File Malicious Character
SWG Content Analysis MAA SA/ATP: E
安全防禦解決方案Web Isolation (Fireglass)
Threat Isolation 是下一波的商機
o Isolation is a new approach to PREVENT threats
• Sometimes referred to as Remote Browsing, but has broader applications for use
o “One of the most significant ways to reduce the ability of web-based attacks”
oGartner Predict than over 50% of enterprise will adopt web isolation
“在2017年評估並試用遠程瀏覽器解決方案,作為企業可以降低網絡攻擊用戶造成損害的最重要方式之一”
Isolation Doesn’t Rely on DETECTION-PREVENTION Approach and Doesn’t Block Access
Web Isolation Approach
o It assumes everything can be malicious
o It prevents ANY code from reaching the endpoint
o It allows for access to unknown/risky content where access is still needed
Problem: Over-blocking the “Middle Ground” Sites
Web access policy:o Always allow certain
categories/siteso Always block certain
categories/siteso Key Issue – Middle
Ground• Over-block – creates
user issues• Under-block –
Increased risk of malware
Stop Over-blocking
Web access policy:• Always allow certain
categories/sites• Always block certain
categories/sites• Middle ground
categories/sites get isolatedo Expanded access
with no malware risk
Web Isolation With Proxy Using Website Categories
Stop Over-blocking
Web access policy:• Always allow certain
categories and low risk sites
• Always block certain categories and riskiest sites
• Middle ground categories and potentially risky sites get isolatedo Expanded access
with no malware risk
Web Isolation With Proxy Using Website Categories (With Risk Levels: BCIS-Advanced)
與 SWG 整合的應用案例
Stop Over-blocking -通過分離未分類和潛在危險的流量來擴展Web訪問
給特權用戶的額外保護
透過隔離技術避免網路釣魚攻擊使用 embedded URL Links方式
1
2
3
避免勒索軟體的入侵的最佳解決方案
選擇最好的方案
SSLV 加密流量,以增強有資安設備能量
SWG + IS 結合 GIN 實現公司上網規範並阻斷已知不好的URL Link (正常網站被掛碼後連到惡意網路)
SWG + IS + CAS 通過存取的網站內容執行深度分析掃瞄.
Gateway 與 endpoint 整合聯動加強防護效果
SMG + CAS 對email 的連結及附件進行分析檢查防護
導入隔離瀏覽 Web Isolation 系統安全防問中間地區類別/網站
持續日常維運工作
加強企業內部員工資訊安全意識及稽核
透過內部資安教育加強企業內部員工資訊安全意識及稽核方式(例如:隨機寄eMail內含聯結或檔案給end user,當end user點選或開檔案就自動回傳給稽核單位,並列入考積評鑑),如此才能有效教育使用者不要隨便開來歷不明的eMail, 且發現有懷疑的eMail時即時通報資安小組.
應定期確認所有主機(包含終端使用者以及伺服器主機),patches 都更新至最新安全版本及應用軟體 (如: Flash, Acrobat..等) 更新至最新的版本.
即時更新 PC 端掃毒引擎的病毒碼.
定期備份重要檔案
商機無所不在
• SSL 加密流量管理, 要回現有資安建設的損失
• 端點閘道一起來
• 先做閘道再汰換端點後做聯防
• 最強的內容檢查透過 ICAP , Open API, 整合到資安建設
• 導入最新的風險隔離技術,提高應用使用範圍
43
謝謝!