Palo Alto Traps - тестирование на реальных семплах

Конечные точки как главный вектор угрозыКомплексная защита от Palo Alto Networks

Владислав Радецкийvr@bakotech.com

whoami

С 2011 года работаю в группе компаний БАКОТЕК®.Координирую техническую поддержку проектов по ИБ.Провожу тренинги, пишу статьи, исследую вирусы.

Специализация – защита данных и безопасность конечных точек.

Принимал участие в расследовании атак на энергетику.

vr@bakotech.comhttps://radetskiy.wordpress.comhttps://ua.linkedin.com/in/vladislav-radetskiy-80940547

Глоссарий

социальная инженерия – манипуляция, обман человека с целью получения информации/выгоды

фишинг – рассылка поддельных писем с целью доставить приманку жертве обмана

приманка – оболочка для т.н. dropper`а, бывает MS Office + VBA, PDF + js, RTF + CVE, .js, .exe ..

dropper – часть вируса, которая после активации соединяется с C&C либо загружает payload

C&C (реже C2) – Command & Control, сервер через который хозяин управляет вирусом

payload – основная часть вируса (шифрование, перехват информации, вывод системы из строя)

уязвимость – ошибка в коде ОС/ПО позволяющая при опр. условиях выполнить несанк. действия

эксплойт – часть кода позволяющая задействовать уязвимость ОС/ПО

семпл – образец конкретной версии зловерда

Современные (целевые) атаки

Примеры приманок и обзор схем активации

Разновидности приманок

Использование социальной инженерии

Only amateurs attack machines; professionals target people.

Bruce Schneier

Zbot (ZeuS) – просто “паспорт.exe”

radetskiy.wordpress.com

Adwind RAT – использование Java машины

Cerber Ransomware #1 – использование PowerShell

Cerber Ransomware #2 – шаблон с макросом

Неизвестный образец (14_07_16)WildFire, Restrictions и Malware Protection отключены

Сигнатуры уже давно не успевают

Рассылка Cerber Ransomware – момент контакта

Рассылка RAT – 24 часа спустя

Демо работы TRAPS

Проверка работы на реальных семплах

Работа экплойта Flash, Traps выключен

Работа экплойта Flash, Traps активирован

Отключение одной из защит для firefox (ROP)

Работа экплойта Flash, Traps активирован (ROP отключен)

Попытка активации приманки Adwind (Java backdoor)

Попытка активации Cerber Ransomware (Powershell)

Попытка активации Cerber Ransomware variant 2

Блокировка payload (veil-evasion) через WildFire

Проверка неизвестного файла по облаку WildFire

Traps Advanced Endpoint Protection

АрхитектураInternet

WildFire Cloud

Syslog

Что такое Palo Alto Traps?

Защита от эксплойтовВтом числе от т.н. 0-day

Защита от вирусовВключая продвинутые и неизвестные семплы

Легкий для систем и прост для операторовУскоренное развертывание с уже включенной защитой

Интегрируется с NGFW и облаком WildFireОбмен данными об угрозах = перекрестная проверка

По сути Traps это симбиоз динамических репутационных списков с виртуал-патчингом и кучей анти-эксплойт и анти-вирус техник

Недостатки обычных (классических) решений

Классический антивирус

Сигнатура?НЕТ

Строка кода?НЕТ

Поведение?НЕТ

Зловредзапуск

Експлойтактивация

Целевые Скрытые Продвинутые

паспорт.exe

scan.pdf.jar

Фокус на блок основных техник, а не конкретных атак

Уязвимости ОС и ПО Механизмы эксплуатации

Около тысячи в течении года Не более 5-7 рабочих за год

Вирусы Механизмы заражения

Миллионы появляются ежегодно Не более 10-20

ПользовательАктивирует

приманку

Применяются ограничения политик

HASH проверяется облаку WildFire

Чист /опасен

Опасный код отсеян

Защита от вирусов

Safe!Reported to

Защита от вирусов

Политики – запрет на запуск

WildFire – репутация / поведение

Предотвращение техник

Уменьшаем профиль

Защищаемся от уже известного

Защищаемся от новых семплов

Защита от эксплойтов

Пользователь открывает вложение

Traps встраивается в процесс приложения

Попытки использовать уязвимости

блокируются

CPU <0.1%

Активация эксплойта останавливается до того, как системе будет нанесен вред.

Атака была отбита

Safe!Process is terminated

Forensic data is collected

User\admin is notified

Traps выполняет заданные действия

Reported to ESM

Подготовка Активация Обход Закрепление Выполнение комманд

Защита от эксплойтов

Предотвращение одной из фаз прекращает атаку

Упреждение Memory Corruption

Проверка потоков и задач

Защита функций ОС

Внедрение в процессы

Heap Spray Use after free Использование функций ОС

ROPCVE-2016-хххх

Подведем итоги

Обоснование целесообразности внедрения

Преимущества Palo Alto Traps

• Быстрое развертывание

• Защита активирована “из коробки”

• Прост в эксплуатации (это проще чем внедрять HIPS)

• Не “грузит” систему

• Идет как дополнение к АВ либо иному уже используемому модулю

• Позволяет “видеть” какие процессы запускаються на системах

• Срабатывает не на сигнатуры, а на поведение

• Позволяет сэкономить время и деньги

Ключевые характеристики

Поддерживаемые ОС

Рабочие станции• Windows XP SP3• Windows Vista SP2• Windows 7• Windows 8/8.1• Windows 10

Сервера• Windows Server 2003 (+R2)• Windows Server 2008 (+R2)• Windows Server 2012 (+R2)

Нагрузка

• 25-50 Mb RAM• 5-7 % CPU • Низкий I\O• Нет движка

Сбор информации для форензики (расследования)

Живое логгирование

- Запуск файла- Time of execution- File name- File HASH- User name- Computer name- IP address- OS version- File’s malicious history

- Обращение к компонентам Traps- Traps Process shutdown attempt- Traps Service shutdown attempt- Related system logs

Эксплойт или вирус активируют сбор данных

- Информация по атаке- Time stamp- Triggering File (non executable)- File source - Involved URLs\URI- Prevented exploitation technique- IP address- OS version- Version of attempted vulnerable software- All components loaded to memory under attacked

process- Full memory dump- Indications of further memory corruption activity - User name and computer name

Комплексная защита

PAN NGFW, WildFire и Traps

Комплексный подход

Next-Generation Firewall

Проверка трафика

Блок известных атак

Проверка по WildFire

Защита мобильных и виртуальных сетей

Следит за процессами и файлами

Блокирует известные и новые эксплойты

Благодаря WildFire оперативно “обучается”

Next-Generation Endpoint Protection

Облако обмена данными

Источники – сеть и конечные точки

Анализ и корреляция по актуаульным угрозам/атакам

Позволяет обезопасить как сеть так и отдельные системы

Обмен информацией

Новые семплыПопытка

использования0-day

Вердиктв течени

3 – 5 минут

Сопоставление

Пересылка данных

Комплексный подход Internet

WildFire Cloud

TrapsAdvanced Endpoint Protection

Владислав Радецкийradetskiy.wordpress.comvr@bakotech.com

Palo Alto Traps - тестирование на реальных семплах

Technology

Xamarin.Forms в реальных проектах

Unit тестирование

Маркетинг мобильных приложений: как получить реальных клиентов

Sphinx в реальных проектах: шишки и плюшки

Гибкое тестирование

методы обоснования реальных инвестиций --2

2. Тепловое излучение реальных тел

Автоматизированное тестирование

Исследовательское тестирование

Первоклассное тестирование

Юнит Тестирование

нагрузочное тестирование

Тестирование локализации

Метод реальных опционов в оценке автотранспортных средств

Использование возможностей декларативного подхода в реальных проектах

Математическое моделирование и анализ реальных сложных сетей

Тестирование требований

Нагрузочное тестирование

итоговое тестирование

ТЕРМОДИНАМИЧЕСКИЕ СВОЙСТВА РЕАЛЬНЫХ ГАЗОВ