PALO ALTO NETWORKS ÚTOKY JE MOŽNÉ ZASTAVOVAT AUTOMATICKY Jakub Jiříček, Systems Engineer EE
únor 2017 Aug 2016 – v2
Agenda
2 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• Unit42 – stručné představení
• Aktuální průzkum o Ransomware v Evropě
• Analýza škodlivého kódu Disttrack/Shamoon 2
• Co se dalo udělat dopředu pro to, aby útok neuspěl
LIFE THE UNIVERSE EVERYTHING
Analýzou informací dostupných pro
Palo Alto Networks vyhledávat
útočníky, jejich motivaci, prostředky a
taktiku pro lepší porozumění tomu,
jakým hrozbám čelí naši zákazníci.
Průzkum o ransomware
• Cíle: bleskový průzkum na několik základních otázek o ransomware v Evropě
• Jak: zjistit zkušenosti evropských organizací s tímto typem ohrožení, aby
ostatní mohli být úspěšnější
• Časový rámec: listopad 2016- prosinec 2016
• Respondenti: stávající zákazníci Palo Alto Networks, možní budoucí
zákazníci, kontakty získané prostřednictvím sociálních sítí
• Počet zúčastněných: >100
• Velikost společností: +200
4 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Jak vážnou hrozbu představuje ransomware pro vaši organizaci?
5 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Došlo někdy v minulosti k útoku ransomware na vaši organizaci?
6 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Jak jste na útok ransomware reagovali?
7 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Jak se aktuálně bráníte proti hrozbě ransomware?
8 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Jaký postup byste zvolili v případě neomezených prostředků?
9 | © 2016, Palo Alto Networks. Confidential and Proprietary.
AutoFocus™ / UNIT 42 : aktuální trendy ransomware
10 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Analýza škodlivého kódu Disttrack/Shamoon 2
11 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• kdy
• jak
• co šlo udělat pro to,
aby útok neuspěl
Cíle škodlivého kódu Disttrack/Shamoon 2
12 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• Shamoon 2 se chová jako worm, pokouší se rozšířit na další systémy v LAN s
použitím získaných přihlašovacích údajů
• Asi měl především uškodit, C&C komponenta nebyla nakonfigurovaná. K
vymazání dat mělo dojít těsně před víkendem v UAE (čtvrtek, 17/11/2016, v
20:45)
• Varianta B – 29/11/2016, velmi brzy ráno – VDI, výchozí hesla z dokumentace
výrobce
Disttrack/Shamoon 2 - komponenty
13 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Dropper Communicator Wiper
vybalení dalších nástrojů/komponent
a jejich uložení a spuštění
Disttrack/Shamoon 2 - komponenty
14 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Dropper Communicator Wiper
komunikace s řídícím
serverem útoku
Disttrack/Shamoon 2 - komponenty
15 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Dropper Communicator Wiper
poškození hard disku
a smazání OS
Pohyb uvnitř napadené sítě a C&C komunikace
16 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• Disttrack/Shamoon 2 se šíří sítí pomocí ukradených přístupových oprávnění.
Disttrack dopředu znal interní DNS a jména a hesla účtů s administrátorským
oprávněním, které by jinak bylo těžké zlomit brute force útokem
• Po úvodním nakažení se pokouší šířit na další síťové adresy /24. Kontroluje
také, jestli má oprávnění administrátora a může spustit škodlivý obsah buď
jako službu nebo naplánovanou úlohu
• Vzorek byl nastavený ke komunikaci se serverem 1.1.1.1:8080 pomocí HTTP
GET – neplatná adresa (pravděpodobně výsledek použití nástroje pro
přípravu útoku)
Ničení dat
17 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• Disttrack dropper má za úkol nainstalovat komponentu wiper. Vzorek měl datum aktivace pevně v sobě, může ho ale také získat z C2 serveru.
• K mazání se používá komerční produkt RawDisk, pomocí kterého lze získat přímý přístup k souborům, diskům a diskovým oblastem. Shoduje se s původní verzí útoku Shamoon z roku 2012.
• V naplánovaném čase přepíše partition table a MBR připraveným JPEG obrázkem, zašifruje soubory náhodným klíčem nebo je přepíše náhodnými hodnotami
• Použitý JPEG obrázek je obrázek utopeného syrského chlapce (Alan Kurdi), ze září 2015. Původní Shamoon používal obrázek hořící americké vlajky
Jak šlo tenhle útok zastavit
19 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• První fáze útoku - plánování: před vlastním útokem získali útočníci informace
o síti a jména a hesla administrátorů. O vlastním způsobu, jak to provedli, nic
nevíme. Pravděpodobně zneužili zranitelnost některé legitimní běžící aplikace.
• Při vlastním útoku:
• S odstupem času se už jedná o známý škodlivý kód, který zastaví kde kdo. Tedy
DNES
• Bylo ale možné zastavit ho i v době, když ještě nebyly signatury, které by ho
popisovaly?
Palo Alto Networks platforma vs Shamoon 2
20 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Bezpečnostní platforma pro všechny fáze útoku
Zastavení útoku v kterékoli fázi
Vysoká integrace a automatizace –
zvyšují účinnost zastavení
Funguje nepřetržitě pro všechny
aplikace, uživatele a zařízení
Schéma útoku Disttrack/Shamoon 2
podniková síť
Internet
Palo Alto
Networks
security platform
center
Private cloud
(volitelné zařízení WF-500)
so
ub
ory
oc
hra
ny
Public cloud
oc
hra
ny s
ou
bo
ry
WildFireTM
Zneužití
zranitelnosti
Command
& control Instalace škodlivého
kódu
Pohyb v
síti Vstup nákazy – zranitelnost
Stažení škodlivého kódu
East-West Všechny známé varianty
vzorků Shamoon 2 jsou ve
WildFire označené jako
škodlivé a FW je zastaví
Každá varianta s verdiktem
„neznámý“ je odeslána k
analýze, výsledek je zpět do
5 minut
Zranitelnost je
zablokovaná
pomocí TRAPS
TRAPS zastaví škodlivý kód
na základě verdiktu WF, hash
hodnoty známého malware,
pomocí strojové inteligence a
nebo bezp. pravidel
Všechny známé varianty
vzorků Shamoon 2 jsou ve
WildFire označené jako
škodlivé a FW je zastaví
Každá varianta s verdiktem
„neznámý“ je odeslána k
analýze, výsledek je zpět do
5 minut
Shamoon 2 nekomunikoval
navenek s řídícími servery, ale
pokud by se o to pokusil,
zastavil by ho URL filtr
Veškerý škodlivý provoz
east-west by byl zastavený
pomocí VM firewallu na
hypervizorech O zastavení pohybu
nákazy přes DC
firewall se postará
kontrola v DC FW
Pro úspěšné zastavení veškerého škodlivého kódu a odesílání vzorků do
sandboxu by měla být používaná kontrola SSL provozu
V systému AutoFocus je vidět aktivita kódu Disttrack/Shamoon
23 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Disttrack/Shamoon 2 – první fáze útoku
24 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• O úvodní fázi – přípravě k útoku vlastním Shamoon 2 – nejsou k dispozici
veřejné informace, je ale velmi pravděpodobné, že došlo ke zneužití
zranitelnosti nějaké aplikace nebo OS.
• Traps obsahuje velmi silnou sadu modulů pro zastavení zneužití zranitelností
pro ochranu před známými i neznámými (0-Day) útoky na zranitelnosti
• Traps nemusí obsahovat popis fungování konkrétní zranitelnosti
Traps zastavuje zneužití nové zranitelnosti bez aktualizace
25 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Traps zastavuje Zero-day útoky a zneužití
neznámých zranitelností
ČASOVÁ OSA
Nová zranitelnost v
Adobe Flash Player (CVE-2015-0359)
První pokus o zneužití
zranitelnosti k útoku.
Traps útok zastavuje.
Traps v2.3.6
Vytvoření
Traps
verze 2.3.6
Bez záplat a
aktualizací; původní
instalovaná verze
A v konkrétním případě škodlivého kódu Disttrack/Shamoon 2…
26 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Zjišťuje a
umožňuje
spouštět
soubory
podepsané
důvěryhod-
nými
certifikáty,
bez potřeby
další analýzy 4
5
6
3
2
1
27 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Bezpečnostní
pravidla i pro
administrátory
Zjištění podpisu
důvěryhodným
certifikátem
Statická analýza
se strojovým
učením se
Kontrola
a analýza
WildFire
Omezení
spouštění
Karanténa
škodlivého
kódu
Traps
zastavení
Malware
kombinací
technik
NEW
NEW
NEW
Statická
analýza
zachytává
doposud
nezjištěné
varianty
škodlivého
kódu
Traps vs Disttrack/Shamoon 2
28 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• Dokud šlo o 0-day útok (tj. pro Shamoon 2 ještě nebyly žádné signatury),
Traps spoléhal na místní analýzu a spuštění kódu zastavilo:
1. Omezení spouštění nepodepsaných souborů
2. Místní analýza se strojovým učením
Užitečné odkazy
29 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• Příspěvek Chris Kubecka na Black Hat konferenci o Shamoon z roku 2012 https://www.youtube.com/watch?v=WyMobr_TDSI
• Unit42 blog na téma Shamoon 2
http://researchcenter.paloaltonetworks.com/2017/01/unit42-second-wave-shamoon-2-attacks-identified/
• IOCs v systému AutoFocus (vyžaduje přihlášení)
https://autofocus.paloaltonetworks.com/#/tag/Unit42.Disttrack
• Unit42 blog, poslední aktualizace třetí vlny útoků (30/1/2017) http://researchcenter.paloaltonetworks.com/2017/01/unit42-threat-brief-shamoon-2-wave-3-attacks/
Praktický workshop
30 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• Příprava infrastruktury pro útok a zachycení
živého vzorku ransomware pomocí Traps
• nejbližší 1.3.2017, dopoledne, Praha 10
• Ve spolupráci se společností Avnet
• “přineste si vlastní PC”
• Registrace, detaily: http://www.paloaltofirewall.cz/hands-on-lab