©2015 Check Point Software Technologies Ltd. 1 ©2015 Check Point Software Technologies Ltd. [Protected] Non-confidential content
Анатолий Виклов| Security Engineer, Check Point Россия
МЕТОДЫ
ПРЕДОТВРАЩЕНИЯ
ДЕЙСТВИЯ
ВРЕДОНОСНОГО КОДА
©2015 Check Point Software Technologies Ltd. 2
The First Malware
[Protected] Non-confidential content
К истокам...
©2015 Check Point Software Technologies Ltd. 5
Пример 2015 года: Троян ‘EXPLOSIVE’
[Protected] Non-confidential content
- Функционал
- Цель – операционная система MS Windows
- Предоставляет атакующему удаленный доступ
- Автоматическое инфицирование съемных дисков USB
- Динамически обновляемая информация о C&C серверах
- Мониторинг CPU и оперативной памяти
- Псевдо-Метаморфизм
©2015 Check Point Software Technologies Ltd. 6
Временная шкала детектирования 0008065861f5b09195e51add72dacd3c4bbce6444711320ad349c7dab5bb97fb
[Protected] Non-confidential content
0/47 0/49 0/55 0/57
8/57
27/57
36/57 40/57
43/57
0%
100%
Детект на Virus Total– EXPLOSIVE
©2015 Check Point Software Technologies Ltd. 7
Эволюционирование техник обхода вредоносным ПО
[Protected] Non-confidential content
Обфускация
Полиморфизм
Метаморфизм
Таргетированное
шифрование
Неизвестное неизвестное
©2015 Check Point Software Technologies Ltd. 8 [Protected] Non-confidential content
Сейчас наиболее эффективное решение -
Песочница Безопасная среда для исследования ПО
©2015 Check Point Software Technologies Ltd. 9 [Protected] Non-confidential content
Мониторинг:
• Системный реестр
• Сетевые соединения
• Активность файловой
системы
• Системные процессы и
сервисы
Эмуляция запуска в защищенной среде
Классическая песочница Принцип работы
Отслеживание признаков,типичных для вредоносного ПО
T H R E AT C O N T AI N E D
©2015 Check Point Software Technologies Ltd. 10
Песочницу сложно обойти, НО...
[Protected] Non-confidential content
Злоумышленники разрабатывают техники обхода:
• Детектирование вредоносным ПО виртуальных сред
• Задержка атаки… по времени или действию пользователя
• Проверка версии ОС и ПО
• Использование защищенных каналов связи
©2015 Check Point Software Technologies Ltd.
©2015 Check Point Software Technologies Ltd. 11
Спрячь на самом видном месте Пример ЗАО «Лаборатория Касперского»
[Protected] Non-confidential content
Source: Wired Magazine
• Отсутствие вредоносного ПО на жестких дисках зараженных станций
• Размещение кода ТОЛЬКО в оперативной памяти
• После перезагрузки повторное инфицирование с других зараженных станций ЛВС
©2015 Check Point Software Technologies Ltd. 12 [Protected] Non-confidential content
Оставаться на шаг впереди Представляем
Эффективно
Проактивно
Управляемо
©2015 Check Point Software Technologies Ltd. 13
Беспрецедентная защита в реальном времени от
неизвестного вредоносного ПО, 0-day уязвимостей и
таргетированных атак
Что такое SANDBLAST?
Песочница
Устойчивое к
попыткам
обхода
решение
Threat Extraction
Мгновенная
доставка
гарантированно
безопасных
вложений
[Protected] Non-confidential content
©2015 Check Point Software Technologies Ltd. 14
Цепочка атаки
[Protected] Non-confidential content
Атакующий использует
непропатченные версии ПО или 0-
day уязвимость
Обход защитных механизмов CPU и
ОС с использованием техник обхода
Инжектирование эксплойтом с
целью загрузки вредоносного ПО
Запуск вредоносного ПО
Уязвимость
Эксплойт
Shellcode (Запуск
«полезной нагрузки»)
Запуск вредоносного
ПО
©2015 Check Point Software Technologies Ltd. 15
Идентификация на уровне эксплойта - мы на шаг впереди
[Protected] Non-confidential content
Уязвимость
Эксплойт
SHELLCODE
Вредоносное ПО
Тысячи их
Миллионы
Десятки
Противодействие детекту
Традиционная песочница
©2015 Check Point Software Technologies Ltd. 16
Детектирование на уровне CPU Детект вредоноса до попытки обхода
Оставаясь на шаг впереди
Современные процессоры
оснащены сложными механизмами
мониторинга отладки и позволяют
отслеживать операции
[Protected] Non-confidential content
©2015 Check Point Software Technologies Ltd. 17 [Protected] Non-confidential content
Детект эксплойтов на уровне CPU
• Высочайший уровень детектирования
• Устойчив к обходу
• Эффективен и быстр
• Только от Check Point!
©2015 Check Point Software Technologies Ltd. 18
ЛВС
Шлюз безопасности
Эмуляция в облаке Эмуляция на устройстве
Интернет
©2015 Check Point Software Technologies Ltd. 19
INSPECT
FILE
PREVENT SHARE
Защита от неизвестных атак с помощью
Check Point Threat Emulation
ПРОВЕРКА ЭМУЛЯЦИЯ
ПРЕДОТВРАЩЕНИЕ ИНФОРМИРОВАНИЕ
©2015 Check Point Software Technologies Ltd. 20
exe,pdf,MS Office,
flash, jar etc…
Определение файлов во
вложениях и при
скачивании с WEB
Загрузка файлов в
виртуальный ПАК (локально
или в облаке)
ПРОВЕРКА
©2015 Check Point Software Technologies Ltd. 21
ЭМУЛЯЦИЯ
Файл открывается и
происходит анализ
поведения
Эмуляция
файла в
разных ОС Windows XP&7
Мониторинг поведения: • Файловая система
• Системный реестр
• Сетевые подключения
• Системные процессы
©2015 Check Point Software Technologies Ltd. 22
ПРЕДОТВРАЩЕНИЕ
Шлюз
безопасности
Блокировка вредоносных
файлов в реальном времени
©2015 Check Point Software Technologies Ltd. 24
INSPECT
FILE
PREVENT SHARE
Защита от неизвестных атак с помощью
Check Point Threat Emulation
ПРОВЕРКА ЭМУЛЯЦИЯ
ПРЕДОТВРАЩЕНИЕ ИНФОРМИРОВАНИЕ
©2015 Check Point Software Technologies Ltd. 25
Выглядит как
обычное резюме?
Threat Emulation за работой
©2015 Check Point Software Technologies Ltd. 27
Joseph_Nyee.pdf
Файловая
активность
Системный
реестр
Системные
процессы
Сетевые
соединения
Некорректная файловая активность
Операции с системным реестром
Сетевая активность
Операции с процессами
Threat Emulation за работой
©2015 Check Point Software Technologies Ltd. 28
Таргетированная атака 2014 года
ЦЕЛИ: Российские и европейские организации
E-mail От миссис Мира
МЕТОД: Точечная фишинговая рассылка с эксплойтом в формате MS Word
©2015 Check Point Software Technologies Ltd. 29
Использование новой уязвимости MS word (CVE-2012-0158)
Вредоносный документ
RETURN ORIENTED PROGRAMMING (ROP)
EXPLOIT
• Отсылал системную информацию в командный центр
• Скачивал и устанавливал дополнительные модули для управления
• Шифровал и отправлял конфиденциальные данные в командный центр
©2015 Check Point Software Technologies Ltd. 30
Традиционная песочница – традиционные задержки
[Protected] Non-confidential content
• Как результат, во многих инсталляциях песочницы не используются в режиме блокировки
• Вредоносный файл может попасть к пользователю, пока находится в очереди для проверки
ПРОВЕРКА ЗАНИМАЕТ ВРЕМЯ
©2015 Check Point Software Technologies Ltd. 31
SANDBLAST THREAT EXTRACTION
[Protected] Non-confidential content
Немедленный доступ
Не детект, но упреждающая защита
Попытки атаки очевидны
Упреждающая защита
©2015 Check Point Software Technologies Ltd. 32
Доставляем гарантированно безопасные файлы
[Protected] Non-confidential content
Б е з н а с С н а м и
Инфекция Вредоносный код удален
©2015 Check Point Software Technologies Ltd. 33
Избавим от будущих
заражений уже сейчас!
ВЫСОЧАЙШИЙ УРОВЕНЬ ДЕТЕКТА
МГНОВЕННАЯ ДОСТАВКА БЕЗОПАСНОГО
КОНТЕНТА
[Protected] Non-confidential content