Top Banner
Palo Alto Networks защита от неизвестных видов вредоносного кода при помощи TRAPS Денис Батранков консультант по информационной безопасности [email protected]
31

Palo Alto (traps)

Jan 18, 2017

Download

Technology

مصطفي عيسي
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Palo Alto (traps)

Palo Alto Networks защита от неизвестных видов

вредоносного кода при помощи TRAPS

Денис Батранков консультант по информационной

безопасности [email protected]

Page 2: Palo Alto (traps)

2 | ©2012 PALO ALTO NETWORKS

Page 3: Palo Alto (traps)

Оповестить о взломе у пользователя

§  [email protected]

§  Срочность проблемы:

§  a. CODE RED: требует ответа сегодня же

§  b. CODE YELLOW: требует ответа в течение 24 часов

§  c. CODE GREEN: требуется ответ в течение 36 часов

Page 4: Palo Alto (traps)

LIVE - ответы на все вопросы h"ps://live.paloaltonetworks.com

Page 5: Palo Alto (traps)

Скачать Migration Tool 3.2. Последнее обновление 27.11.2015 h"ps://live.paloaltonetworks.com/t5/Migra9on-Tool-Ar9cles/Download-the-Migra9on-Tool/ta-p/56582

Page 6: Palo Alto (traps)

Для упрощения далее будем называть

Вирус–любойвидпрограммсозданныхсзлымумыслом(криптолокеры/шифровальщики,трояны,червиидр.)Эксплойт–любаяпрограммасозданнаядляпроведенияатакиипомещеннаявлюбомформатеданныхпригодномдлязапуска(pdf,flash,doc,jpg,xlsидр.)

Page 7: Palo Alto (traps)

АТАКА ANUNAK

Элементы атаки

Поддельные письма с

вредоносными вложениями от имени ЦБ РФ

Использование существующих ботнетов для распространения нового кода

Инфицирование через drive-by-

download: Andromeda и Pony трояны через Neutrino

Exploit Kit

Доступ к банкоматам из специализи-рованных

сегментов, которые должны быть

изолированными, и инфицирование ОС

Снятие денег из банкоматов и через Интернет-кошельки, напр. Yandex Money

Подтверждено, что было

захвачено 52 банкомата. Кража более 1 млрд.

рублей.

Успешнополучендоступвнутрькорпоративныхсетейболеечем50банков.Украденоболее1млрд.рублейс2013по2014годизбанковвРоссии

h"p://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.htmlh"p://www.group-ib.com/files/Anunak_APT_against_financial_ins9tu9ons.pdf

Page 8: Palo Alto (traps)

Anunak – письмо с вредоносным вложением

Page 9: Palo Alto (traps)

Как защищаться от эксплойтов в почте?

Page 10: Palo Alto (traps)

Традиционные методы антивирусной защиты более неэффективны

☣ Специальносозданныеимодифицированныевредоносы

☣ Полиморфныевредоносы☣ Вредоносынулевогодня Резко снижается время на защиту

Современное вредоносное ПО стремится: §  Избежать попадания в ловушки (honey-pots) традиционных

антивирусных вендоров – целенаправленные атаки§  Измениться прежде, чем будет предоставлена защита

Page 11: Palo Alto (traps)

Для защиты важны первые 24 часа

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

9,000

1 2 3 4 5 6 7 8 9 101112131415161718192021222324252627282930313233343536

Часы95% заражений конкретным видом кода в первые 24 часа

Page 12: Palo Alto (traps)

Ключевые этапы современной сетевой атаки

Приманка

1

ЗавлечьиспользоватьспециальноеПО,открытьфайлилиперейтинавеб-сайтсвредоносами

Эксплоит

2

ЗараженныйконтентиспользуетуязвимостиПОизапускается

ЗагрузкаПОдля«черногохода»

3

Вфонезагружаетсяиустанавли-ваетсявторойвредонос

Установлениеобратногоканала

4

Вредоносустанавливаетисходящееподключениедлясвязисзлоумышлен-ником

Разведкаикражаданных

5

Удаленныйзлоумышлен-никимеетдоступвнутрисетиипроводитатаку

Page 13: Palo Alto (traps)

Технологии Palo Alto Networks, применяемые для защиты от современных угроз

App-ID

URL

IPS

ThreatLicen

se

Spyware

AV

Files

Sandboxing&Adv.EndpointProtec9on

Block !high-risk apps!

Block !known malware sites!

Block !the exploit!

Prevent drive-by-downloads!

Detect / prevent unknown malware!

Block malware!

Block spyware, C&C traffic!

Block C&C on non-standard ports!

Block malware, fast-flux domains!

Correlate and block C&C: malware URL, DNS sinkholing!

Координи-рованное блокирование активных атак по сигнатурам, источникам, поведению

Приманка ЭксплоитЗагрузкаПОдля«черногохода»

Установлениеобратногоканала

Разведкаикражаданных

Anti-Exploitation – prevent 0-day!

Check e-mail links!

Page 14: Palo Alto (traps)

Если файл прошел все проверки, но все еще является подозрительным – применяем сервис Wildfire!

Page 15: Palo Alto (traps)

Типы файлов, которые доставляют неизвестные вирусы

15 | ©2014, Palo Alto Networks. Confidential and Proprietary.

49% всех исполняемых файлов являются вредоносными*

* - по статистике сервиса Wildfire

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

PE PE64 RTF Flash APK DLL DLL64 Java Class

Java JAR

XLS XLSX PPT PPTX DOC DOCX PDF

Benign Samples Malicious Samples

Page 16: Palo Alto (traps)

Supported File Types in WildFire

§  Windows Executables (.exe, .dll, .scr, .ocx, .sys, .drv, .cpl)

§  PDF documents (.pdf)

§  Office documents (.doc/.docx, .ppt/pptx, .xls/xlsx, .rtf)

§  Java applets (.jar, .class)

§  Adobe Flash files (.swf)

§  Android executable files (APK)

Any object contained within these file types, such as Flash objects, javascript, downloaded images and other files

Page 17: Palo Alto (traps)

TOP 10 приложений доставляющие неизвестное вредоносное ПО (по количеству сессий)

http-proxy 0.9%

web browsing 18.201%

flash 0.036%

imap .256%

SMTP 78.291%

webdav 0.017% soap 0.014%

ftp 0.129%

yunpan 0.014%

pop3 2.895%

Page 18: Palo Alto (traps)

JAN-15 APR-15 JUL-15

18 | ©2015, Palo Alto Networks. Confidential and Proprietary.

! W E B && ! E M A I L 8.4% ВИРУСОВ ИДУТ в обход таких каналов как HTTP И

SMTP в 2015

21.5%

7.5% 8.2%

Page 19: Palo Alto (traps)

JAN-15 APR-15 JUL-15

19 | ©2015, Palo Alto Networks. Confidential and Proprietary.

S S L M A L W A R E (W E B) 40% ВРЕДОНОСНОГО КОДА ИДЕТ ПО HTTPS

50% 43.5% 46.5%

24%

Page 20: Palo Alto (traps)

Комплексный подход к предотвращению угроз от Palo Alto Networks §  Сканирование и защита на одном устройстве при помощи следующего функционала: §  Определение и контроль приложений; §  URL фильтрация + SSL decryption; §  IPS + Anti Spyware + AV+ сервис защиты от современных угроз (Wildfire).

§  … Защитаотнеизвестных

угроз(zero-day)Защитаотизвестныхугрозивирусов:IPS+AV+An[Spy

Определениеприложений

Page 21: Palo Alto (traps)

Снижение рисков за счет уменьшения площади атаки

» Безопасноеразрешениетольколегитимныхприложенийвсети

» Легитимныйтрафикразрешаетсятолькоопределеннымпользователям» Неизвестныйтрафик(unknown)автоматическиблокируется

» Комплексныеметодызащиты:ü ДвухсторонняяинспекцияIPS,AV,An9Spy

ü СканированиевнутриSSL

ü Сканированиеархивов

Разрешениеприложенийтолькоопределеннымпользователям/группепользователей

Сканированиеразрешенноготрафиканаугрозыивирусы

Page 22: Palo Alto (traps)

Internet

WildFire Cloud

Traps Advanced Endpoint Protection

Page 23: Palo Alto (traps)

Решение для защиты хостов нового поколения:

Palo Alto Networks TRAPS

Не просто обнаружить, а предотвратить!

Page 24: Palo Alto (traps)

Предотвращение эксплойта – как это работает

Пользователь открывает документ

Traps прозрачно инжектирует

ловушки в процессы

Процесс защищен, так как при попытке использования эксплойта срабатывает ловушка

CPU <0.1%

При попытке использования уязвимости срабатывает ловушка и процесс останавливается еще до запуска вредоносного кода. Лечение / карантин не требуется!

Атака остановлена до исполнения

вредоносного кода

Безопасно! Остановка процесса

Сбор данных

Оповещения пользователя и администратора

Traps выполняет действия только в

момент срабатывания

ловушки

Отчет в ESM

Page 25: Palo Alto (traps)

Пример цепочки доставки эксплойта IE Zero-Day CVE-2014-1776

Heap-spray Use After Free ROP

Utilizing OS functions

Подготовка Запуск Внедрение Работа Вредоноснаяактивность

Предотвращениехотябыоднойизтехникблокируетвсюатаку

Page 26: Palo Alto (traps)

Блокирование хотя бы одной техники останавливает атаку целиком

Предотвращение завтрашних эксплойтов сегодня Новые 0-day эксплойты используют старые техники (2-5 в цепочке)

DLL Security

IE Zero Day CVE-2013-3893 HeapSpray DEP

Circumven[on UASLR ROP/U[lizingOSFunc[on

ROPMi[ga[on/DLLSecurity

Adobe Flash CVE-2015-5119

ReturnOrientedProgramming

SysExit&

ROPU[lizing

OSFunc[onDLL

Security

Adobe Flash CVE-2015- 3010/0311

ROP ROPMi[ga[on JITSpray JIT

Mi[ga[onU[lizing

OSFunc[onDLL

Security

MemoryLimitHeapSprayCheck

Page 27: Palo Alto (traps)

March 2012

EP-SeriesПервыйрелиз

June 2013

NetTravelerCampaign

The“Mask”Campaign

April 2014

Будущие Zero-Days

Безобновлений!

Уверенность в завтрашней защите Останавливаем сегодня завтрашние атаки!

February 2014

IE-ZeroDaysCVE-2014-1776CVE-2014-032

Page 28: Palo Alto (traps)

Пользователь пытается запустить файл

Применение запретов по

политике, задержка исполнения до

вердикта WildFire

Проверка HASH и неизвестных

файлов в облаке WildFire

Разрешено исполнение файла

Защита от техник вредоносного ПО

Интеграция TRAPS с Wildfire – как это работает

Safe!

Отчет в ESM

Page 29: Palo Alto (traps)

Palo Alto Networks Next-Generation Threat Cloud

Palo Alto Networks Next-Generation Endpoint

Palo Alto Networks Next-Generation Firewall

Next-Generation Firewall §  Инспекция трафика §  Контроль приложений и пользователей

§  Защита от угроз 0-ого дня §  Блокировка угроз и вирусов на уровне сети

Next-Generation Threat Cloud §  Анализ подозрительных файлов в облаке

§  Распространение сигнатур безопасности на МЭ

Next-Generation Endpoint §  Инспекция процессов и файлов §  Защиты от известных и неизвестных угроз §  Защиты стационарных, виртуальных и мобильных пользователей

§  Интеграция с облачной защитой от угроз

Платформа безопасности нового поколения

Page 30: Palo Alto (traps)

Регистрация:h"p://ow.ly/Zu7psПриглашаюнавебинар29марта201610:00

Page 31: Palo Alto (traps)

Related Documents
evocativi palo alto

evocativi palo alto

Category: Business
And PALO ALTO MEDICAL FOUNDATION/PALO ALTO DIVISION ...

And PALO ALTO MEDICAL FOUNDATION/PALO ALTO DIVISION ...

Category: Documents
PALO ALTO NETWORKS · 2019-10-17 · Palo Alto Networks Prevención de exploits enfocado en técnicas Traps se enfoca en técnicas de explotación, en lugar de utilizar firmas para

PALO ALTO NETWORKS · 2019-10-17 · Palo Alto Networks...

Category: Documents
Integrate Palo Alto Traps - Netsurion · Palo Alto Traps advanced endpoint protection stops threaton the endpoint and coordinates enforcement with cloud and network security to prevent

Integrate Palo Alto Traps - Netsurion · Palo Alto Traps...

Category: Documents
Escuela de palo alto

Escuela de palo alto

Category: Documents
Palo Alto Networks Traps v4 · Overview NSS Labs performed an independent test of the Palo Alto Networks Traps v4.1. The product was subjected to thorough testing at the NSS facility

Palo Alto Networks Traps v4 · Overview NSS Labs performed....

Category: Documents
Palo Alto High School (Palo Alto, CA) Self-Study/Review (2008-2009)

Palo Alto High School (Palo Alto, CA) Self-Study/Review...

Category: Documents
IntSights for Palo Alto Networks Integration Benefits + PaloAl… · IntSights for Palo Alto Networks Cyber Intelligence for Proactive Threat Blocking IntSights and Palo Alto Networks

IntSights for Palo Alto Networks Integration Benefits +...

Category: Documents
Palo alto networks

Palo alto networks

Category: Internet
Palo Alto Unified School District (Palo Alto, CA) High School Guidance Program Review (2012)

Palo Alto Unified School District (Palo Alto, CA) High...

Category: Documents
Traps Advanced Endpoint Protection - Startseite · 2018-06-21 · Traps Advanced Endpoint Protection Bastian Schwittay Systems Engineer Specialist - Endpoint, Palo Alto Networks

Traps Advanced Endpoint Protection - Startseite ·...

Category: Documents
PALO ALTO Course

PALO ALTO Course

Category: Technology