На мастер-классе пройдет демонстрация: одновременно на нескольких виртуальных машинах будет работать реальный вредоносный код и средства защиты. Все движки включены: антивирус, URL-фильтрация, antispyware, IPS, Threat Intelligence, DNS Sinkholing, песочницы на базе Next Generation Firewall и одновременно ловушки, песочница и защита от вредоносного кода для рабочих станций на базе программы TRAPS.
2. Инфицирование отдельных
серверов в ЦОД
Достичь ЦОД
Получить управление над
целевой системой в ЦОД
Достичь цели
Для защиты от APT нужно иметь метод блокировки на
каждом этапе Kill Chain
Вектор атаки превратился в цепочку атак
Цель хакера: пройти все этапы и атаковать.
Цель безопасника: Установить защиту на каждом этапе,
чтобы блокировать хотя бы одно звено цепи = остановить
атаку!
В атаке Anunak на банковский сектор
cреднее время от первого письма до вывода денег – 42 дня
(отчет компании Group-IB)
Кража интеллектуальной
собственности, финансовые
транзакции, вымогательство
Кража/шифрование данных
Перемещение внутри сети и
инфицирование других
станций
Обход защиты на рабочих
станциях
Приманка, компрометация,
доставка эксплойта в почту
Брешь в защите периметра
Загрузка полноценного вируса и
установление обратного канала
Доставка вредоносного ПО
3. Многоэшелонированая защита внутри NGFW
App-ID
URL
IPS
ThreatLicense
Spyware
AV
Files
WildFire
Блокировка
приложений
URL Malware
Block
the exploit
Скрытое
скачивание
Неизвестные
вирусы
Известные
вредоносы
spyware, C&C
C&C
fast-flux domains
Новые C&C
Блокирование
активных атак
по сигнатурам,
источникам,
поведению
Приманка •Эксплоит
•Загрузка ПО
для «черного
хода»
Установление
обратного
канала
•Разведка и
кража
данных
Этапы
атаки
4. URL
фильтр
DNS
Sinkholing
Динамиче
ские DNS
Detect and
Block
Threat Intelligence:
Блокировка центров управления
URL категория - malware,
DNS Sinkholing,
Anti-Spyware
Сразу
блокируем
ненужные для
работы URL
Сразу видим
DNS запросы
к вредоносным
ресурсам.
Сразу
блокируем
сайты на
динамических
DNS
Сигнатуры
популярных
систем
удаленного
управления
5. TRAPS предотвращает атаки на хостах
Документ открывает
пользователь, ничего
не ожидая
Traps незаметно
интегрируется в процесс
Техника эксплуатации
блокируется до начала
вредоносной активности
Когда происходит попытка взлома,
то эксплойт вызывает ловушку и останавливается
до того как вредоносная активность начинается
Traps
Traps оповещает о событии и
собирает данные для
анализа
UserAdmin
is Notified
PDF
P D F
P D F
Process is
Terminated
Forensic Data
is Collected
R
R
R
6. Kill Chain на практике
Использовать
уязвимость
Скрипты (Wscript,
Jscript)
Макросы(VBA)
Dropper
(Executables, DLLs,
powershell WMI, ..)
Downloader
(Executable, DLL,
WMI, etc.)
Выполнение
вредоносного
функционала
Anti Exploit
Эскалация
привилегий (после
эксплуатации)
Child Objects
Local Analysis
WildFire
У нас есть ловушки
TRAPS
7. Kill Chain на практике
Использовать
уязвимость
Скрипты (Wscript,
Jscript)
Макросы(VBA)
Dropper
(Ejecutables, DLLs,
powershell WMI, ..)
Downloader
(Ejecutable, DLL,
WMI, etc.)
Выполнение
вредоносного
функционала
Anti Exploit
Эскалация
привилегий (после
эксплуатации)
Child Objects
Local Analysis
WildFire
Anti Exploit Anti Exploit
Anti Exploit*
Child Objects
Anti Exploit*
Local Analysis
WildFire
Anti Exploit*
Local Analysis
WildFire
Local Analysis
WildFire
У нас есть ловушки
TRAPS
10. Как защищает Palo Alto Networks
IP Feeds. Динамически обновляемые фиды плохих и
рискованных IP-адресов, используемых в атаках.
Threat Prevention (TP). Антивирус получает сигнатуры
WannaCry вместе с обновлениями каждые 15 минут. IPS
блокирует попытки эксплуатации MS17-010
URL Filtering. Блокирует URL-адреса, используемые в атаке.
Обновления сразу же.
DNS Sinkholing. Функция DNS Sinkholing позволяет
идентифицировать зараженные хосты в сети.
Traps
Traps предотвращает запуск известных и
неизвестных вариантов WanaCrypt0r на
хостах. Моментально.
Aperture
Сервис защиты SaaS-приложений
обнаруживает вредоносы и помещает их в
карантин, использует Wildfire и DLP
контролирует контент.
AutoFocus
Сервис AutoFocus предоставляет данные об используемых семплах, тактиках, техниках и процедурах
для аналитиков SOC/IRP и охоты за угрозами в сети. Например поиск по тегу WanaCrypt0r
WildFire
WildFire автоматически анализирует все новые семплы, например от WanaCrypt0r, сразу создает защиту и
аналитику, и рассылает их на NGFW, Traps, Aperture и AutoFocus. Всё в течение 5 минут.
12. Платформа Palo Alto Networks
Мы работаем для вашей защиты
Обеспечиваем заданную производительность при всех включенных сервисах безопасности
Email офиса в России: Russia@paloaltonetworks.com
Understanding the actions advanced attackers use, in order to combat them, is critical to defeating APTs. First proposed in 2011, the “kill chain” maps the stages an attacker takes to compromise networks, move within them, and in the end carry out their goal – usually stealing intellectual property. The important points are:
This information about your adversary’s action informs your defenses at each point in the process
It begins with the initial compromise, which typically takes the form of a spearphishing email or drive-by download. It’s all about exploiting a vulnerability in common software, such as Microsoft Internet Explorer or Adobe Reader, and gaining control of a target system.
From here, you’ve only delivered an exploit, which is used to download Malware, which is the malicious code that is used by attackers to infect networks and endpoints. Once the attacker has delivered their Malware, they effectively control the infected endpoint, and can use outbound command-and-control communication to direct further actions within the network.
Next, the attacker will attempt to move laterally within the network. For instance, going from the original point of infection laptop, stealing credentials, leveraging additional vulnerabilities, and finding other hosts, or other servers that take them closer to their goal. This is where the attacker is moving through the “squishy center” of an enterprise. Typically the attacker is attempting to find the database/server where intellectual property is stored.
Of course, there is always a goal: in this case, the theft of valuable intellectual property for sale on underground markets or to copy trade secrets. This is done via command-and-control traffic that can leverage custom encryption or even DNS, making it very difficult to control or detect.
The key point of understanding the kill-chain is how it can inform your defenses. All you need to do is prevent the attacker from moving to the next step in order to stop the entire attack. If they cannot make the initial compromise, they cannot deliver malware, or if they cannot use CnC communication, they cannot provide additional instruction and move within the network. We will map what Palo Alto Networks offers to help you in the next section.
Let’s show how this looks to the individual user and admin.
In this next example a user opens a document, then Traps seamlessly injects itself (in the form of prevention modules) into the process. It’s important to note that Traps isn’t scanning or monitoring for malicious activity. These are static “traps” set up within the processes ready to block any exploit technique the second it’s used. There’s a massive scalability benefit to this approach as very little CPU and memory are used. (We’ll cover this in more detail shortly.)
Once Traps has injected itself into the process, that process is then shielded from any exploit. If an exploit attempt is made, Traps will immediately block the technique or techniques, terminate the process, and notify both the user and the admin that an attack was thwarted. In addition, Traps will collect detailed forensics and report that information to the Endpoint Security Manager (ESM).
If no attack is made it’s business as usual for that user and process. The user has no idea any preventative measures were deployed behind the scenes given the minimal resource utilization.
---------------------------------------
Optional when/if needed:
We protect any process based on configuration. There are ~100 process by default that are protected within Traps, and there are up to 500 versions that are supported based on configuration so any time those processes are spun up Traps gets injected. You have to inject Traps at the time that the process is started, not necessarily the time the file is loaded. A good example of that would be - I open a Word document the Microsoft Word process is started – we have to inject as high up into that stack as we possibly can to be successful and regardless of whether that Word document was good or bad if I now open a second Word document it’s being opened in the same process – so we have to make sure that we’re always there.