Palo Alto Traps - тестирование на реальных семплах

Copyright © 2014, Palo Alto Networks

Конечные точки как главный вектор угрозыКомплексная защита от Palo Alto Networks

Владислав Радецкий[email protected]

mailto:[email protected]


whoami

С 2011 года работаю в группе компаний БАКОТЕК®.Координирую техническую поддержку проектов по ИБ.Провожу тренинги, пишу статьи, исследую вирусы.

Специализация – защита данных и безопасность конечных точек.

Принимал участие в расследовании атак на энергетику.

[email protected]://radetskiy.wordpress.comhttps://ua.linkedin.com/in/vladislav-radetskiy-80940547


https://radetskiy.wordpress.com/

https://ua.linkedin.com/in/vladislav-radetskiy-80940547


Глоссарий

социальная инженерия – манипуляция, обман человека с целью получения информации/выгоды

фишинг – рассылка поддельных писем с целью доставить приманку жертве обмана

приманка – оболочка для т.н. dropper`а, бывает MS Office + VBA, PDF + js, RTF + CVE, .js, .exe ..

dropper – часть вируса, которая после активации соединяется с C&C либо загружает payload

C&C (реже C2) – Command & Control, сервер через который хозяин управляет вирусом

payload – основная часть вируса (шифрование, перехват информации, вывод системы из строя)

уязвимость – ошибка в коде ОС/ПО позволяющая при опр. условиях выполнить несанк. действия

эксплойт – часть кода позволяющая задействовать уязвимость ОС/ПО

семпл – образец конкретной версии зловерда


Современные (целевые) атаки

Примеры приманок и обзор схем активации


Разновидности приманок


Использование социальной инженерии

Only amateurs attack machines; professionals target people.

Bruce Schneier


Zbot (ZeuS) – просто “паспорт.exe”

radetskiy.wordpress.com



Adwind RAT – использование Java машины




Cerber Ransomware #1 – использование PowerShell




Cerber Ransomware #1 – использование PowerShell




Cerber Ransomware #2 – шаблон с макросом




Неизвестный образец (14_07_16)WildFire, Restrictions и Malware Protection отключены




Неизвестный образец (14_07_16)WildFire, Restrictions и Malware Protection отключены




Сигнатуры уже давно не успевают


Рассылка Cerber Ransomware – момент контакта


Рассылка RAT – 24 часа спустя


Демо работы TRAPS

Проверка работы на реальных семплах


Работа экплойта Flash, Traps выключен



Работа экплойта Flash, Traps активирован



Отключение одной из защит для firefox (ROP)



Работа экплойта Flash, Traps активирован (ROP отключен)



Попытка активации приманки Adwind (Java backdoor)



Попытка активации Cerber Ransomware (Powershell)




Попытка активации Cerber Ransomware variant 2



Блокировка payload (veil-evasion) через WildFire




Проверка неизвестного файла по облаку WildFire



Проверка неизвестного файла по облаку WildFire



Traps Advanced Endpoint Protection


АрхитектураInternet

WildFire Cloud

ESM

Syslog


Что такое Palo Alto Traps?

Защита от эксплойтовВтом числе от т.н. 0-day

Защита от вирусовВключая продвинутые и неизвестные семплы

Легкий для систем и прост для операторовУскоренное развертывание с уже включенной защитой

Интегрируется с NGFW и облаком WildFireОбмен данными об угрозах = перекрестная проверка

По сути Traps это симбиоз динамических репутационных списков с виртуал-патчингом и кучей анти-эксплойт и анти-вирус техник


Недостатки обычных (классических) решений

EXE

Классический антивирус

Сигнатура?НЕТ

Строка кода?НЕТ

Поведение?НЕТ

PDF

Зловредзапуск

Експлойтактивация

Целевые Скрытые Продвинутые

паспорт.exe

scan.pdf.jar


Фокус на блок основных техник, а не конкретных атак

Уязвимости ОС и ПО Механизмы эксплуатации

Около тысячи в течении года Не более 5-7 рабочих за год

Вирусы Механизмы заражения

Миллионы появляются ежегодно Не более 10-20


ПользовательАктивирует

приманку

Применяются ограничения политик

HASH проверяется облаку WildFire

Чист /опасен

Опасный код отсеян

Защита от вирусов

Safe!Reported to

ESM


Защита от вирусов

Политики – запрет на запуск

WildFire – репутация / поведение

Предотвращение техник

Уменьшаем профиль

Защищаемся от уже известного

Защищаемся от новых семплов


Защита от эксплойтов

Пользователь открывает вложение

Traps встраивается в процесс приложения

Попытки использовать уязвимости

блокируются

CPU <0.1%

Активация эксплойта останавливается до того, как системе будет нанесен вред.

Атака была отбита

Safe!Process is terminated

Forensic data is collected

User\admin is notified

Traps выполняет заданные действия

Reported to ESM


Подготовка Активация Обход Закрепление Выполнение комманд

Защита от эксплойтов

Предотвращение одной из фаз прекращает атаку

Упреждение Memory Corruption

Проверка потоков и задач

Защита функций ОС

Внедрение в процессы

Heap Spray Use after free Использование функций ОС

ROPCVE-2016-хххх


Подведем итоги

Обоснование целесообразности внедрения


Преимущества Palo Alto Traps

• Быстрое развертывание

• Защита активирована “из коробки”

• Прост в эксплуатации (это проще чем внедрять HIPS)

• Не “грузит” систему

• Идет как дополнение к АВ либо иному уже используемому модулю

• Позволяет “видеть” какие процессы запускаються на системах

• Срабатывает не на сигнатуры, а на поведение

• Позволяет сэкономить время и деньги


Ключевые характеристики

Поддерживаемые ОС

Рабочие станции• Windows XP SP3• Windows Vista SP2• Windows 7• Windows 8/8.1• Windows 10

Сервера• Windows Server 2003 (+R2)• Windows Server 2008 (+R2)• Windows Server 2012 (+R2)

Нагрузка

• 25-50 Mb RAM• 5-7 % CPU • Низкий I\O• Нет движка


Сбор информации для форензики (расследования)

Живое логгирование

- Запуск файла- Time of execution- File name- File HASH- User name- Computer name- IP address- OS version- File’s malicious history

- Обращение к компонентам Traps- Traps Process shutdown attempt- Traps Service shutdown attempt- Related system logs

Эксплойт или вирус активируют сбор данных

- Информация по атаке- Time stamp- Triggering File (non executable)- File source - Involved URLs\URI- Prevented exploitation technique- IP address- OS version- Version of attempted vulnerable software- All components loaded to memory under attacked

process- Full memory dump- Indications of further memory corruption activity - User name and computer name


Комплексная защита

PAN NGFW, WildFire и Traps


Комплексный подход

Next-Generation Firewall

Проверка трафика

Блок известных атак

Проверка по WildFire

Защита мобильных и виртуальных сетей

Следит за процессами и файлами

Блокирует известные и новые эксплойты

Благодаря WildFire оперативно “обучается”

Next-Generation Endpoint Protection

Облако обмена данными

Источники – сеть и конечные точки

Анализ и корреляция по актуаульным угрозам/атакам

Позволяет обезопасить как сеть так и отдельные системы


Обмен информацией

Новые семплыПопытка

использования0-day



Вердиктв течени

3 – 5 минут



Сопоставление

Пересылка данных


Комплексный подход Internet

WildFire Cloud

TrapsAdvanced Endpoint Protection


Владислав Радецкий[email protected]

http://radetskiy.wordpress.com/


Technology

Palo Alto Traps - тестирование на реальных семплах