expose the underground - Разоблачить невидимое

Разоблачить невидимое: Обнаружить и остановить APT

Ноябрь 2014

Денис Батранков

О чем пойдет речь

Текущие угрозы и способы противодействия

Проблемы текущих методов защиты

Как атакуют сегодня и как этому противостоять

Платформа безопасности предприятия

Межсетевые экраны нового поколения

Облачная защита нового поколения

Выводы

Текущие угрозы

Организованные хакеры

Растущее число атак

Сложность

Вносить исправления в процессы

Предотвратить атаки на

периметре в облаке и на мобильных устройствах

Связать воедино сигналы от средств

безопасности

Успех несмотря на ограниченные

ресурсы у службы безопасности

Задачи руководителя ИБ

Избавить сотрудников от стрессовых ситуаций

Известные угрозы

Риск в компании

Эксплойты/уязвимости нулевого дня

Неизвестное и изменяющееся ПО

Обходящие защиту каналы управления/туннелирование

Перемещения червей внутри сети

СЕГОДНЯШНИЕ APT РАНЬШЕ

Сложные и многоплановые

SSL шифрование

Использование пользовательских приложений

Явные

Ограниченный список известных протоколов

Известный вредоносный код и эксплойты

Известные уязвимости

Известные сервера управления

Угрозы стали нормальным фоном в работе Необходимые утилиты в общем доступе

Сдвиги в базовом ИТ ведут к взрывному интересу хакеров

Соц. сети Новые продукты SaaS

Облака и виртуализация

Мобильность и удаленная работа

Шифрование

Столько новых возможностей для

хакеров

Атаки все проще реализовать

Целевая атака – APT в действии

Получение доступа

Заражение партнера

занимающегося кондиционирова

нием

Установка ПО для управления

Вывод нужной информации скрытыми каналами

Обследование

Выбор целей

Сбор данных и укрепление в

новых сегментах сети

Проникновение в сеть с

украденным паролем








Выводы

1.  Распространение вредоносного ПО или нелегитимного трафика через открытые порты §  нестандартное использование стандартных портов

§  создание новых специализированных протоколов для атаки

2.  Использование стандартных протоколов на нестандартных портах – уклонение от сигнатурного сканирования

Техники уклонения от защиты развиваются – системы защиты тоже должны

• Port 80

• IRC

signatures Port 10000

HTTP

Port 80

Что передается через зашифрованные каналы туда и обратно?

Применение шифрования: •  SSL •  Специальные протоколы

шифрования

Пример: использование туннелирования поверх DNS

Примеры

§  tcp-over-dns

§  dns2tcp

§  Iodine

§  Heyoka

§  OzymanDNS

§  NSTX

Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту

Почему традиционные антивирусы не справляются

Современный вредоносный код может:

§  Обойти ловушки антивирусов создав специальный целевой вирус под компанию

§  До того как антивирус создаст сигнатуру он будет уклоняться, используя полиморфизм, перекодирование, используя динамические DNS и URL

☣  Целевое создание под компанию

☣  Полиморфизм

☣  Неизвестный еще никому код

Сложно защититься

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

9,000

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

Часы

Для защиты важны первые 24 часа

95% заражений конкретным видом кода в первые 24 часа

Текущие методы не работают

Anti-APT для порта 80

Anti-APT для порта 25

Хостовой AV Облачная защита DNS

Сетевой AV

DNS защищен для исходящих запросов

Anti-APT облако

Интернет

Корпоративная сеть

UTM

DNS Alert Endpoint Alert Web Alert SMTP Alert SMTP Alert SMTP Alert SMTP Alert Web Alert DNS Alert DNS Alert SMTP Alert APT Web Alert Web Alert AV Alert AV Alert Web Alert DNS Alert SMTP Alert Endpoint Alert

Только обнаружение Много событий Нужен человек для анализа

Vendor 1 Vendor 2

Internet Connection

Malware Intelligence

Vendor 3 Vendor 4








Выводы

Понимание проникновения - по шагам

Начальная компрометация

Вредоносный код устанавливается и соединяется с атакующим

Проникновение глубже и заражение других хостов

Кража интеллектуальной собственности

Предотвращение возможно на каждом шаге атаки

Вывод данных Управление рабочей станцией

Установка вредоносного

кода Взлом периметра

Задача: Обнаружить и отбить атаку

Автоматически определять

неизвестную атаку и делать ее известной

всем

Блокировать угрозы на: •  Периметре •  ЦОД •  Между виртуальными машинами/VDI

•  Мобильных и стационарных станциях

Обмен информацией о новых видах

вредоносного кода защищает всех

заказчиков по всему миру

Полный цикл защиты

Предотвращение во всей сети

Обнаружить неизвестную

атаку, остановить известные

5 4 3 2

Пять подходов Palo Alto Networks к блокированию APTs

Конечные устройства, виртуальная инфраструктура мобильные устройства являются следующей целью стратегии ИБ.

Полностью видеть приложения использующие сеть вне зависимости от методов сокрытия.

Разрешить только необходимые приложения для работы компании – минимизирует возможности атакующего.

Создать собственную закрытую сеть обмена о новом вредоносном коде между заказчиками по всему миру.

Платформа безопасности может обнаруживать и блокировать атаки на каждом этапе проникновения в сеть. 1








Выводы

Настоящий платформенный подход

Автоматическая защита и подготовка

материала для расследования

Сеть Хост

Облака

Public Cloud

Private Cloud

SaaS

Традиционное ИТ Мобильные устройства

Определить, ограничить и расшифровать приложения

Обнаружить и предотвратить известные и неизвестные вирусы

Облако угроз

Palo Alto Networks и APT

Кража данных

Next Generation Firewall

Предотвращение угроз (IPS)

URL Filtering

WildFire

Сетевой антивирус

Поведенческий контроль (URL, DNS, IP)

TRAPS - защита хоста и GlobalProtect

ОПЕРАЦИЯ С ХОСТОМ ПРИСЛАТЬ КОД ВЗЛОМ ПЕРИМЕТРА

§ Обзор всего трафика и выборочное расшифрование SSL

§ Пропуск только нужных приложений

§ Пропуск только нужных типов файлов

Блокировка известных: § Эксплойтов §  Вредоносных программ § Систем управления ботами

§ Обнаружение неизвестного вредоносного кода

§ Обнаружение неизвестных эксплойтов

§ Обнаружение неизвестных центров управления

§  Блокировка zero-day эксплойтов без знания об уязвимости

§  Расширить политику и защиту на все устройства включая мобильные

§  Контроль всех процессов и сторонних приложений безопасности на хостах

§  Блокировать плохие URLs, домены, IP адреса

Palo Alto Networks Next-Generation Threat Cloud

Palo Alto Networks Next-Generation Endpoint

Palo Alto Networks Next-Generation Firewall

Next-Generation Firewall §  Инспекция трафика §  Контроль приложений и пользователей

§  Защита от угроз 0-ого дня §  Блокировка угроз и вирусов на уровне сети

Next-Generation Threat Cloud §  Анализ подозрительных файлов в облаке

§  Распространение сигнатур безопасности на МЭ

Next-Generation Endpoint §  Инспекция процессов и файлов §  Защиты от известных и неизвестных угроз §  Защиты стационарных, виртуальных и мобильных пользователей

§  Интеграция с облачной защитой от угроз

Платформа безопасности нового поколения








Выводы

Разрешить нужные приложения, нужным пользователям и для нужного контента

Сделайте межсетевой экран важным инструментом для контроля бизнес процессов в сети

Приложения: Классификация трафика приложений в сети - App-ID.

Пользователи: Связать пользователей и устройства с приложениями которыми они пользуются - User-ID и GlobalProtect.

Содержимое приложений: Сканировать контент - Content-ID and WildFire.

Однопроходная архитектура = параллельная работа движков защиты








Выводы

Защита улучшается по мере работы и блокирует сразу Собираются данные из:

WildFire – специализированная виртуальная среда

Web

Обнаруживает неизвестные §  Вредоносный код §  Эксплойты §  Центры управления ботами §  DNS запросы §  Вредоносные URL

3000+ пользователей

WildFire

WildFire Threat Prevetntion

URL Filtering

All traffic SSL encryption

All ports

Perimeter All commonly

exploited file types

3rd party data

Data center Endpoint

Email

FTP

SMTP

SMB

Основные техники работы WildFire

Анализ без исполнения Найти неизвестный вредоносный код анализируя 130+ типов вредоносного поведения

Создать защиту

Подозрительные файлы идущие по различным приложениям отправляются сенсорами в сети в единую платформу анализа

Этап I

Точно хорошие?

Этап II

Статический анализ PDF, Microsoft Office, Java и Android APKs

Этап III

Динамический анализ

Этап IV

Списки хороших

Подписаны доверенным сертификатом

Внедренные файлы

Внедренный код

Аномалии структуры

Внедренный шелкод

Сетевой трафик

Файловая активность

Процессы и сервисы

Изменения реестра

Исполняем в спец среде

Создать защиту

… …

WildFire облачная архитектура

Песочница для WEB

Песочница для email Песочница для файл-сервера

Центр управления

Ручной анализ

Подход к частной защите от APT

WildFireTM

WildFire облако или свое устройство

WF-500

Подход WildFire §  Легкая интеграция §  Легко расширяется §  Эффективное расходование средств

§  Перехват файлов на NGFW и отправка в WildFire

§  Отправка файлов в WildFire через XML API

§  Сложно управлять §  Сложно масштабировать §  Дорого §  Множество устройств для перехвата файлов из разных приложений

Wildfire: Remote Access Trojan (RAT) в Arcom §  WildFire обнаружил целенаправленную атаку на крупную производственную

компанию в центральной Азии

§  Вредоносное ПО было предназначено для промышленного шпионажа и кражи данных §  Строит обратный канал §  Принимает более 40 команд от центра управления

§  Было отправлено как фишинговое электронное письмо §  “The end of Syrian President Bashar al-Assad.exe”

§  Не использовался внешний упаковщик §  Обычно для целенаправленных атак

•  Для маскировки код инжектировался в браузер по умолчанию и notepad.exe 7

•  Command&Control в Ливан7

Сравнение работы Wildfire с обычными антивирусами

0%

20%

40%

60%

80%

100%

Day 0 Day 1 Day 2 Day 3 Day 4 Day 5 Day 6 Day 7

% вредоносного кода неизвестного антивирусным вендорам

60% от вредоносного кода найденного WildFire

неизвестно традиционным вендорам антивирусов

40% вредоносного кода найденного

WildFire еще неизвестно вендорам антивирусов

Match & block

Корреляция угроз в облаке

C2 14.17.95.XXX

Enterprise London

Malicious executable

Match & block

C2 14.17.95.XXX

1 Enterprise Singapore

2

Malicious Android APK

Match & block Match & block

Корреляция угроз в облаке

Know

n C2

Malw

are

Exploit

DN

S

Dow

nload UR

L

Know

n C2

Malw

are

Exploit

DN

S

Dow

nload UR

L

Malicious executable

Malicious Android APK


WildFire Threat Prevention URL Filtering Облако знаний

Malware Exploits Malicious URLs

DNS queries

Command-and-control

3000 WildFire заказчиков

уже делают

мир лучше

13500 заказчиков пользуются результатами исследований

Исследовательская работа

Информация из облака идет на NGFW благодаря WildFire

Threat Intelligence Sources

WildFire Users

AV Signatures DNS Signatures Anti-C&C Signatures Malware URL Filtering

Что дает подписка на сервис WildFire

NGFW получает WildFire сигнатуры каждые 15 минут

Все отчеты и описания работы вредоносного кода в устройстве

Специальный REST API для загрузки файлов на проверку

Использование встроенного WildFire API

§  WildFire API может быть использован чтобы интегрироваться с выбранным агентом использующим какие-то свои скрипты для анализа файлов

§  Отчеты для расследований в XML формате могут автоматически забираться из хранилища журналов WildFire через этот API. Это полезно если вы ставите задачу §  Коррелировать IP и URL из отчета с другими журналами IP/URL §  Коррелировать DNS и журналы DNS §  Проверять агентами, что заражение было §  Использовать хеш и другие параметры атаки для анализа §  Автоматически отдавать файлы для анализа в Wildfire с клиентов

§  API позволяет интегрироваться с другими системами автоматизации и оркестрации

TRAPS - Next-Generation Endpoint Protection

Forensic data collected File

opened

Exploit traps injected in process

No scanning or monitoring

Process killed

Не просто обнаружить, а предотвратить!

Blocked before malware

is delivered

Защита рабочей станции пользователя

Пример цепочки доставки эксплойта IE Zero-Day CVE-2014-1776

Heap-spray Use After Free ROP

Utilizing OS functions

Подготовка Запуск Внедрение Работа Вредоносная активность

Предотвращение хотя бы одной из техник блокирует всю атаку

March 2012

EP- Series Первый релиз

June 2013

NetTraveler Campaign

The “Mask” Campaign

April 2014

Будущие Zero-Days

Без обновлений!

Уверенность в завтрашней защите Останавливаем сегодня завтрашние атаки!

February 2014

IE- Zero Days CVE-2014-1776 CVE-2014-032








Выводы

© 2014 Palo Alto Networks. Proprietary and Confidential. | © 2007 Palo Alto Networks. Proprietary and Confidential Page 42 |

Как вы боретесь с неизвестными угрозами?

• 1. Пускаем только нужные и известные приложения Forrester Zero Trust Model

• А) Разрешаем явный доступ всем необходимым приложениям • Б) Запрещаем все остальное

2. Межсетевой экран нового поколения Многоэшелонированая защита

App-ID

URL

IPS

Thre

at L

icen

se

Spyware

AV

Files

WildFire

Block 7high-risk apps7

Block 7known malware

sites7

Block 7the exploit7

Prevent drive-by-downloads7

Detect unknown malware7

Block malware7

Block spyware, C&C traffic7

Block C&C on non-standard

ports7

Block malware, fast-flux domains7

Block new C&C traffic7

Координи-рованное интеллек-туальное

блокирование активных атак по сигнатурам, источникам, поведению

Приманка • Эксплоит • Загрузка ПО для «черного

хода»

Установление обратного канала

• Разведка и кража данных

Этапы атаки

3. Анализируем поведение - блокируем вредоносное Технология WildFire

Internet

• Анализируем протоколы SMB, FTP, HTTP, SMTP, POP3, IMAP

• Анализируем файлы exe, dll, bat, sys, flash, jar, apk, doc, pdf и т.д.

4. Отслеживаем «репутацию» DNS, URL и IP Репутационная база данных

5. Не создаем пробок

• Обеспечиваем заданную производительность при всех включенных сервисах безопасности

Palo Alto Networks Next-Generation Threat Cloud

Palo Alto Networks Next-Generation Endpoint

Palo Alto Networks Next-Generation Firewall

Next-Generation Firewall §  Инспекция трафика §  Контроль приложений и пользователей

§  Защита от угроз 0-ого дня §  Блокировка угроз и вирусов на уровне сети

Next-Generation Threat Cloud §  Анализ подозрительных файлов в облаке

§  Распространение сигнатур безопасности на МЭ

Next-Generation Endpoint §  Инспекция процессов и файлов §  Защиты от известных и неизвестных угроз §  Защиты стационарных, виртуальных и мобильных пользователей

§  Интеграция с облачной защитой от угроз

Платформа безопасности нового поколения