НИКОЛАЙ РОМАНОВВЕДУЩИЙ ТЕХНИЧЕСКИЙ КОНСУЛЬТАНТ, СЕРТИФИЦИРОВАННЫЙ ТРЕНЕРTREND MICRO

СКРЫТЫЕ УГРОЗЫ – МОЖНО ЛИ ТАЙНОЕ СДЕЛАТЬ ЯВНЫМ?

Source: GTIR, Solutionary, 2013

1-й день: жертва получает вредоносный код через фишинговое письмо

1-й день: жертва получает вредоносный код через фишинговое письмо

В 3-недельный срок в продукционной системе

атакующим «авторизовано» создается учетная запись,

меняющая права пользователя

В 3-недельный срок в продукционной системе

атакующим «авторизовано» создается учетная запись,

меняющая права пользователя

Примерно к концу 3-й недели сотрудники обнаруживают и

удаляют поддельную учетную запись

Примерно к концу 3-й недели сотрудники обнаруживают и

удаляют поддельную учетную запись

Клиент обращается к независимым аналитикам для

расследования

Клиент обращается к независимым аналитикам для

расследования

Удается найти точку входа и оставленный backdoor

Удается найти точку входа и оставленный backdoor

2012 – СКРЫТАЯ АТАКА НА БАНК СТОИМОСТЬЮ $5.2 МЛН.

3.5 недели – это не самый плохой

вариант!

Source: GTIR, Solutionary, 2013

2012 – СКРЫТАЯ АТАКА НА $5.2 МЛН.

ИСПОЛЬЗУЕМЫЕ И НАСТРОЕННЫЕ IDS И

ANTIMALWARE НЕ ЗАПОДОЗРИЛИ НЕЛАДНОЕ!

Атакующий смог получить возможность управлять системами перевода средств в обход политик!

Выявление сложнообнаружимых угроз— опыт Trend Micro в проектах (по миру)

• Известное вредоносное по обнаружено в 98% случаев

• Действующие ботнеты — 94%

• Недопустимые приложения — 88%

• Вредоносные файлы нацеленные на банки — 75%

• Вредоносные документы — 75%

• Неизвестное вредоносное ПО – 49%

• Сетевые атаки — 84%

• Вредоносные приложения для Андроид — 28%

• Использование облачных хранилищ — 60%

• Выявлены попытки целевого фишинга — пару раз

• Обнаружена связь с центрами управления ботнетами — очень часто

• Обнаружены неоспоримые признаки присутствия вредоносных программ (ZACCESS, TROJ_MOSERAN.BMC,  SQLSLAMMER.A, ZBOT, Spyware) — почти всегда

Deep Discovery

ВЫЯВЛЕНИЕ СЛОЖНООБНАРУЖИМЫХ УГРОЗ - ОПЫТ TREND MICRO В ПРОЕКТАХ (В РФ)

Источник: Максим Гончаров, Russian Underground Revisited, апрель 2014

ЦЕНЫ НА РОССИЙСКОМ АНДЕГРАУНДНОМ РЫНКЕ

Пример: scan4you.net

ЦЕНЫ НА РОССИЙСКОМ АНДЕГРАУНДНОМ РЫНКЕ (ПРОДОЛЖЕНИЕ)

ИзменяющиесяАтаки

Мобильные устройства и ПКРазные ОС и ПО FTP

IRC

Порт 2056ИзвестныеУгрозы

НеизвестныеУгрозы

Сотни протоколов

Десятки сетевыхпортов

i

i

i

i

ii

i ii

i HTTP

СТАНДАРТНЫЕ КАНАЛЫ ДЛЯ ПРОНИКНОВЕНИЯ

ЕСТЬ ЛИ У ВАС СЕЙЧАС КАКИЕ-ТО МЕХАНИЗМЫ ЗАЩИТЫ ОТ ПОДОБНОГО?

• Анализ всевозможных протоколов, используемых вредоносными программами и хакерами

• Выявление «поперечного» перемещения

• Обнаружение попыток взлома

• Детектирование вредоносных документов и файлов, для Mac и мобильных платформ

• Возможность использовать индивидуальные песочницы

• Адаптивная блокировка

• Интеграция с SIEM

• Сопоставление с глобальной информацией о ландшафте угроз

• Использует открытую аппаратную или виртуальную платформу

• Полная защита, начиная с одной системы

04/12/23 12

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

Решение для мониторинга сети

предприятия с использованием

настраиваемой изолированной среды

(«песочниц») и оперативных сведений,

позволяющих выявлять и отражать

атаки на ранних стадиях

Решение: Deep Discovery

Анализ «слабых»сигналов

Обнаружение

Разбор угрозыОткуда? Риск? Канал?

Анализ Блокировка

Мгновенная блокировка динамической

сигнатурой

Реакция

Избавление от заразы

Deep Discovery Inspector Deep Discovery Endpoint Sensor

Сеть Конечный узел

ИНДИВИДУАЛЬНАЯ ЗАЩИТА — ПРАВИЛЬНЫЙ ПОДХОД

ИНДИВИДУАЛЬНАЯ ЗАЩИТА В ДЕЙСТВИИ

• Обновления «черныхсписков» IP/доменов

• Индивидуальныесигнатуры

15

Веб доступКонечные точки

Обмен сообщениями

Сервер

Обнаружение

Анализируется более80 протоколов

Модуль Network Content InspectionМодуль Network Content Inspection

Модуль Advanced Threat SecurityМодуль Advanced Threat Security

Репутация IP & URLРепутация IP & URL

Виртуальный анализаторВиртуальный анализатор

Модуль корреляции сетевых данныхМодуль корреляции сетевых данных

DNSDNS

SQLSQL P2PP2P

HTTPHTTP SMTPSMTP

CIFSCIFS

FTPFTP

-----

Эксплойты, внедренные в документы

Незаметная загрузкаДропперы

Неизвестный ВПКДоступ к C&CКража данных

Черви/распространениеБекдор-активность

Передача данных наружу

Подход 360°

• Анализ содержимого

• Эмуляция открытия документов

• Анализ «полезной нагрузки»

• Анализ поведения

• Обнаружение взлома

• Мониторинг сети

Расползание в сети

Взлом

Точка входа

ТЕХНОЛОГИИ DEEP DISCOVERY

• «Свой» образ ОС

• Ускоренное выполнение

• Обнаружение Anti-VM

• 32/64 бит

• Исполняемые файлы, документы, URL...

WinXP SP3WinXP SP3 Win7BaseWin7Base

Isolated Network

Индивидуальная песочница

«Живой» мониторинг• Интеграция с ядром (хуки, инъекции в dll)

• Анализ сетевых потоков

• Корреляция событий

Filesystemmonitor

Registry

monitor

Processmonitor

Rootkitscanner

Networkdriver

Fake Explorer

Fake Server

Fake AVAPI

Hooks

Win7HardenedWin7Hardened

Core Threat Simulator

LoadLibraryA ARGs: ( NETAPI32.dll ) Return value: 73e50000LoadLibraryA ARGs: ( OLEAUT32.dll ) Return value: 75de0000LoadLibraryA ARGs: ( WININET.dll ) Return value: 777a0000key: HKEY_CURRENT_USER\Local Settings\MuiCache\48\52C64B7E\LanguageList value:key: HKEY_CURRENT_USER\Software\Microsoft\Onheem\20bi1d4fWrite: path: %APPDATA%\Ewada\eqawoc.exe type: VSDT_EXE_W32Injecting process ID: 2604 Inject API: CreateRemoteThread Target process ID: 1540 Target image path: taskhost.exesocket ARGs: ( 2, 2, 0 ) Return value: 28bfesocket ARGs: ( 23, 1, 6 ) Return value: 28c02window API Name: CreateWindowExW ARGs: ( 200, 4b2f7c, , 50300104, 0, 0, 250, fe, 301b8, f, 4b0000, 0 ) Return value: 401b2internet_helper API Name: InternetConnectA ARGs: ( cc0004, mmlzntponzkfuik.biz, 10050, , , 3, 0, 0 ) Return value: cc0008.......

Модификация заражаемого файла: eqawoc.exeИнъекция в процесс: 2604 taskhost.exeПодключение к подозрительному серверу: mmlzntponzkfuik.biz

Модификация заражаемого файла: eqawoc.exeИнъекция в процесс: 2604 taskhost.exeПодключение к подозрительному серверу: mmlzntponzkfuik.biz

!

Анализ

ВИРТУАЛЬНЫЙ АНАЛИЗАТОР

Эмуляция окружения

Извлечение икорреляция• Сценарии

• Взлом

• Скрипты (JS/AS)

• Структура файла

• «полезная нагрузка»...

Win32 DLLsWin32 DLLs Process Environment

Process Environment

Virtual Processor

Virtual Processor

File & Registry Simulation

File & Registry Simulation

• Быстрый анализ

• Типы документов• Microsoft Office

• Adobe PDF

• Adobe Flash и др.

Высокий уровеньдетектирования

Анализдокументов

Разборформатов

Эмулятор

Обнаружение

МОДУЛЬ DOCODE

• Готовые к работе устройства

• Формирование понятных отчетов силами аналитиков Trend Micro

• Инженерные ресурсы Trend Micro

Наша помощь в проекте

Зависит от требуемой пропускной способности

250 Мбит/с↓ 500 Мбит/с↓ 1000 Мбит/с ↓4 Гбит/с

Лицензирование

Просто обнаружить угрозу – недостаточно

Установите источник и причину

Устраните последствия заражения

Обнаруживаете что-то подозрительное – а что дальше?

Какие выводы можно сделать?..

Целевые атаки – потенциальная опасность для российских компаний, неважно госсектор или нет

Не всегда целевая атака = продвинутая атака!

Спасибо!

Nikolay_romanov@trendmicro.com

+7 926 202 7636