Upload
expolink
View
201
Download
3
Embed Size (px)
DESCRIPTION
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Citation preview
НИКОЛАЙ РОМАНОВВЕДУЩИЙ ТЕХНИЧЕСКИЙ КОНСУЛЬТАНТ, СЕРТИФИЦИРОВАННЫЙ ТРЕНЕРTREND MICRO
СКРЫТЫЕ УГРОЗЫ – МОЖНО ЛИ ТАЙНОЕ СДЕЛАТЬ ЯВНЫМ?
Source: GTIR, Solutionary, 2013
1-й день: жертва получает вредоносный код через фишинговое письмо
1-й день: жертва получает вредоносный код через фишинговое письмо
В 3-недельный срок в продукционной системе
атакующим «авторизовано» создается учетная запись,
меняющая права пользователя
В 3-недельный срок в продукционной системе
атакующим «авторизовано» создается учетная запись,
меняющая права пользователя
Примерно к концу 3-й недели сотрудники обнаруживают и
удаляют поддельную учетную запись
Примерно к концу 3-й недели сотрудники обнаруживают и
удаляют поддельную учетную запись
Клиент обращается к независимым аналитикам для
расследования
Клиент обращается к независимым аналитикам для
расследования
Удается найти точку входа и оставленный backdoor
Удается найти точку входа и оставленный backdoor
2012 – СКРЫТАЯ АТАКА НА БАНК СТОИМОСТЬЮ $5.2 МЛН.
3.5 недели – это не самый плохой
вариант!
Source: GTIR, Solutionary, 2013
2012 – СКРЫТАЯ АТАКА НА $5.2 МЛН.
ИСПОЛЬЗУЕМЫЕ И НАСТРОЕННЫЕ IDS И
ANTIMALWARE НЕ ЗАПОДОЗРИЛИ НЕЛАДНОЕ!
Атакующий смог получить возможность управлять системами перевода средств в обход политик!
Выявление сложнообнаружимых угроз— опыт Trend Micro в проектах (по миру)
• Известное вредоносное по обнаружено в 98% случаев
• Действующие ботнеты — 94%
• Недопустимые приложения — 88%
• Вредоносные файлы нацеленные на банки — 75%
• Вредоносные документы — 75%
• Неизвестное вредоносное ПО – 49%
• Сетевые атаки — 84%
• Вредоносные приложения для Андроид — 28%
• Использование облачных хранилищ — 60%
• Выявлены попытки целевого фишинга — пару раз
• Обнаружена связь с центрами управления ботнетами — очень часто
• Обнаружены неоспоримые признаки присутствия вредоносных программ (ZACCESS, TROJ_MOSERAN.BMC, SQLSLAMMER.A, ZBOT, Spyware) — почти всегда
Deep Discovery
ВЫЯВЛЕНИЕ СЛОЖНООБНАРУЖИМЫХ УГРОЗ - ОПЫТ TREND MICRO В ПРОЕКТАХ (В РФ)
Источник: Максим Гончаров, Russian Underground Revisited, апрель 2014
ЦЕНЫ НА РОССИЙСКОМ АНДЕГРАУНДНОМ РЫНКЕ
Пример: scan4you.net
ЦЕНЫ НА РОССИЙСКОМ АНДЕГРАУНДНОМ РЫНКЕ (ПРОДОЛЖЕНИЕ)
ИзменяющиесяАтаки
Мобильные устройства и ПКРазные ОС и ПО FTP
IRC
Порт 2056ИзвестныеУгрозы
НеизвестныеУгрозы
Сотни протоколов
Десятки сетевыхпортов
i
i
i
i
ii
i ii
i HTTP
СТАНДАРТНЫЕ КАНАЛЫ ДЛЯ ПРОНИКНОВЕНИЯ
ЕСТЬ ЛИ У ВАС СЕЙЧАС КАКИЕ-ТО МЕХАНИЗМЫ ЗАЩИТЫ ОТ ПОДОБНОГО?
• Анализ всевозможных протоколов, используемых вредоносными программами и хакерами
• Выявление «поперечного» перемещения
• Обнаружение попыток взлома
• Детектирование вредоносных документов и файлов, для Mac и мобильных платформ
• Возможность использовать индивидуальные песочницы
• Адаптивная блокировка
• Интеграция с SIEM
• Сопоставление с глобальной информацией о ландшафте угроз
• Использует открытую аппаратную или виртуальную платформу
• Полная защита, начиная с одной системы
04/12/23 12
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
Решение для мониторинга сети
предприятия с использованием
настраиваемой изолированной среды
(«песочниц») и оперативных сведений,
позволяющих выявлять и отражать
атаки на ранних стадиях
Решение: Deep Discovery
Анализ «слабых»сигналов
Обнаружение
Разбор угрозыОткуда? Риск? Канал?
Анализ Блокировка
Мгновенная блокировка динамической
сигнатурой
Реакция
Избавление от заразы
Deep Discovery Inspector Deep Discovery Endpoint Sensor
Сеть Конечный узел
ИНДИВИДУАЛЬНАЯ ЗАЩИТА — ПРАВИЛЬНЫЙ ПОДХОД
ИНДИВИДУАЛЬНАЯ ЗАЩИТА В ДЕЙСТВИИ
• Обновления «черныхсписков» IP/доменов
• Индивидуальныесигнатуры
15
Веб доступКонечные точки
Обмен сообщениями
Сервер
Обнаружение
Анализируется более80 протоколов
Модуль Network Content InspectionМодуль Network Content Inspection
Модуль Advanced Threat SecurityМодуль Advanced Threat Security
Репутация IP & URLРепутация IP & URL
Виртуальный анализаторВиртуальный анализатор
Модуль корреляции сетевых данныхМодуль корреляции сетевых данных
DNSDNS
SQLSQL P2PP2P
HTTPHTTP SMTPSMTP
CIFSCIFS
FTPFTP
-----
Эксплойты, внедренные в документы
Незаметная загрузкаДропперы
Неизвестный ВПКДоступ к C&CКража данных
Черви/распространениеБекдор-активность
Передача данных наружу
Подход 360°
• Анализ содержимого
• Эмуляция открытия документов
• Анализ «полезной нагрузки»
• Анализ поведения
• Обнаружение взлома
• Мониторинг сети
Расползание в сети
Взлом
Точка входа
ТЕХНОЛОГИИ DEEP DISCOVERY
• «Свой» образ ОС
• Ускоренное выполнение
• Обнаружение Anti-VM
• 32/64 бит
• Исполняемые файлы, документы, URL...
WinXP SP3WinXP SP3 Win7BaseWin7Base
Isolated Network
Индивидуальная песочница
«Живой» мониторинг• Интеграция с ядром (хуки, инъекции в dll)
• Анализ сетевых потоков
• Корреляция событий
Filesystemmonitor
Registry
monitor
Processmonitor
Rootkitscanner
Networkdriver
Fake Explorer
Fake Server
Fake AVAPI
Hooks
Win7HardenedWin7Hardened
Core Threat Simulator
LoadLibraryA ARGs: ( NETAPI32.dll ) Return value: 73e50000LoadLibraryA ARGs: ( OLEAUT32.dll ) Return value: 75de0000LoadLibraryA ARGs: ( WININET.dll ) Return value: 777a0000key: HKEY_CURRENT_USER\Local Settings\MuiCache\48\52C64B7E\LanguageList value:key: HKEY_CURRENT_USER\Software\Microsoft\Onheem\20bi1d4fWrite: path: %APPDATA%\Ewada\eqawoc.exe type: VSDT_EXE_W32Injecting process ID: 2604 Inject API: CreateRemoteThread Target process ID: 1540 Target image path: taskhost.exesocket ARGs: ( 2, 2, 0 ) Return value: 28bfesocket ARGs: ( 23, 1, 6 ) Return value: 28c02window API Name: CreateWindowExW ARGs: ( 200, 4b2f7c, , 50300104, 0, 0, 250, fe, 301b8, f, 4b0000, 0 ) Return value: 401b2internet_helper API Name: InternetConnectA ARGs: ( cc0004, mmlzntponzkfuik.biz, 10050, , , 3, 0, 0 ) Return value: cc0008.......
Модификация заражаемого файла: eqawoc.exeИнъекция в процесс: 2604 taskhost.exeПодключение к подозрительному серверу: mmlzntponzkfuik.biz
Модификация заражаемого файла: eqawoc.exeИнъекция в процесс: 2604 taskhost.exeПодключение к подозрительному серверу: mmlzntponzkfuik.biz
!
Анализ
ВИРТУАЛЬНЫЙ АНАЛИЗАТОР
Эмуляция окружения
Извлечение икорреляция• Сценарии
• Взлом
• Скрипты (JS/AS)
• Структура файла
• «полезная нагрузка»...
Win32 DLLsWin32 DLLs Process Environment
Process Environment
Virtual Processor
Virtual Processor
File & Registry Simulation
File & Registry Simulation
• Быстрый анализ
• Типы документов• Microsoft Office
• Adobe PDF
• Adobe Flash и др.
Высокий уровеньдетектирования
Анализдокументов
Разборформатов
Эмулятор
Обнаружение
МОДУЛЬ DOCODE
• Готовые к работе устройства
• Формирование понятных отчетов силами аналитиков Trend Micro
• Инженерные ресурсы Trend Micro
Наша помощь в проекте
Зависит от требуемой пропускной способности
250 Мбит/с↓ 500 Мбит/с↓ 1000 Мбит/с ↓4 Гбит/с
Лицензирование
Просто обнаружить угрозу – недостаточно
Установите источник и причину
Устраните последствия заражения
Обнаруживаете что-то подозрительное – а что дальше?
Какие выводы можно сделать?..
Целевые атаки – потенциальная опасность для российских компаний, неважно госсектор или нет
Не всегда целевая атака = продвинутая атака!