На мастер-классе пройдет демонстрация: одновременно на нескольких виртуальных машинах будет работать реальный вредоносный код и средства защиты. Все движки включены: антивирус, URL-фильтрация, antispyware, IPS, Threat Intelligence, DNS Sinkholing, песочницы на базе Next Generation Firewall и одновременно ловушки, песочница и защита от вредоносного кода для рабочих станций на базе программы TRAPS.

1. практическая демонстрация блокировки эксплойтов
Хакер в ловушке
Денис Батранков
denis@paloaltonetworks.com

2. Инфицирование отдельных
серверов в ЦОД
Достичь ЦОД
Получить управление над
целевой системой в ЦОД
Достичь цели
Для защиты от APT нужно иметь метод блокировки на
каждом этапе Kill Chain
Вектор атаки превратился в цепочку атак
Цель хакера: пройти все этапы и атаковать.
Цель безопасника: Установить защиту на каждом этапе,
чтобы блокировать хотя бы одно звено цепи = остановить
атаку!
В атаке Anunak на банковский сектор
cреднее время от первого письма до вывода денег – 42 дня
(отчет компании Group-IB)
Кража интеллектуальной
собственности, финансовые
транзакции, вымогательство
Кража/шифрование данных
Перемещение внутри сети и
инфицирование других
станций
Обход защиты на рабочих
станциях
Приманка, компрометация,
доставка эксплойта в почту
Брешь в защите периметра
Загрузка полноценного вируса и
установление обратного канала
Доставка вредоносного ПО

3. Многоэшелонированая защита внутри NGFW
App-ID
URL
IPS
ThreatLicense
Spyware
AV
Files
WildFire
Блокировка
приложений
URL Malware
Block
the exploit
Скрытое
скачивание
Неизвестные
вирусы
Известные
вредоносы
spyware, C&C
C&C
fast-flux domains
Новые C&C
Блокирование
активных атак
по сигнатурам,
источникам,
поведению
Приманка •Эксплоит
•Загрузка ПО
для «черного
хода»
Установление
обратного
канала
•Разведка и
кража
данных
Этапы
атаки

4. URL
фильтр
DNS
Sinkholing
Динамиче
ские DNS
Detect and
Block
Threat Intelligence:
Блокировка центров управления
URL категория - malware,
DNS Sinkholing,
Anti-Spyware
Сразу
блокируем
ненужные для
работы URL
Сразу видим
DNS запросы
к вредоносным
ресурсам.
Сразу
блокируем
сайты на
динамических
DNS
Сигнатуры
популярных
систем
удаленного
управления

5. TRAPS предотвращает атаки на хостах
Документ открывает
пользователь, ничего
не ожидая
Traps незаметно
интегрируется в процесс
Техника эксплуатации
блокируется до начала
вредоносной активности
Когда происходит попытка взлома,
то эксплойт вызывает ловушку и останавливается
до того как вредоносная активность начинается
Traps
Traps оповещает о событии и
собирает данные для
анализа
UserAdmin
is Notified
PDF
P D F
P D F
Process is
Terminated
Forensic Data
is Collected
R
R
R

6. Kill Chain на практике
Использовать
уязвимость
Скрипты (Wscript,
Jscript)
Макросы(VBA)
Dropper
(Executables, DLLs,
powershell WMI, ..)
Downloader
(Executable, DLL,
WMI, etc.)
Выполнение
вредоносного
функционала
Anti Exploit
Эскалация
привилегий (после
эксплуатации)
Child Objects
Local Analysis
WildFire
У нас есть ловушки
TRAPS

7. Kill Chain на практике
Использовать
уязвимость
Скрипты (Wscript,
Jscript)
Макросы(VBA)
Dropper
(Ejecutables, DLLs,
powershell WMI, ..)
Downloader
(Ejecutable, DLL,
WMI, etc.)
Выполнение
вредоносного
функционала
Anti Exploit
Эскалация
привилегий (после
эксплуатации)
Child Objects
Local Analysis
WildFire
Anti Exploit Anti Exploit
Anti Exploit*
Child Objects
Anti Exploit*
Local Analysis
WildFire
Anti Exploit*
Local Analysis
WildFire
Local Analysis
WildFire
У нас есть ловушки
TRAPS

8. Демонстрация защиты от криптолокера Locky

9. Анализируем что происходило
Доставка
Эксплуатация
Удаленное
управление
Инсталляция
X
X
X
X
X
X
X
DNS
сигнатуры
AppID
DefPort
URL
фильтр
AV
сигнатуры.
IPS
сигн.
AV
сигн.
SSL Decrypt
FileBlock
AppID
unknown
X
HTTPS : locky.exe

10. Как защищает Palo Alto Networks
IP Feeds. Динамически обновляемые фиды плохих и
рискованных IP-адресов, используемых в атаках.
Threat Prevention (TP). Антивирус получает сигнатуры
WannaCry вместе с обновлениями каждые 15 минут. IPS
блокирует попытки эксплуатации MS17-010
URL Filtering. Блокирует URL-адреса, используемые в атаке.
Обновления сразу же.
DNS Sinkholing. Функция DNS Sinkholing позволяет
идентифицировать зараженные хосты в сети.
Traps
Traps предотвращает запуск известных и
неизвестных вариантов WanaCrypt0r на
хостах. Моментально.
Aperture
Сервис защиты SaaS-приложений
обнаруживает вредоносы и помещает их в
карантин, использует Wildfire и DLP
контролирует контент.
AutoFocus
Сервис AutoFocus предоставляет данные об используемых семплах, тактиках, техниках и процедурах
для аналитиков SOC/IRP и охоты за угрозами в сети. Например поиск по тегу WanaCrypt0r
WildFire
WildFire автоматически анализирует все новые семплы, например от WanaCrypt0r, сразу создает защиту и
аналитику, и рассылает их на NGFW, Traps, Aperture и AutoFocus. Всё в течение 5 минут.

11. Как самому попробовать? Легко!
11 | © 2017 Palo Alto Networks, Inc.
Confidential and Proprietary.
• Все уже установлено на виртуальных машинах – осталось запустить
TRAPS
Лучше антивируса
Migration Tool
Firewall -> NGFW
Panorama
Управление NGFW
NGFW
URL,AV,IPS,APP, …
NGFW+TRAPS
NSX, vCenter, ESXi
Защита виртуализации

12. Платформа Palo Alto Networks
Мы работаем для вашей защиты
Обеспечиваем заданную производительность при всех включенных сервисах безопасности
Email офиса в России: Russia@paloaltonetworks.com

13. Видеозапись демонстрации расположена тут
https://youtu.be/Z2jmzzZniMo
Email офиса в России: Russia@paloaltonetworks.com