Upload
expolink
View
34
Download
4
Embed Size (px)
Citation preview
Ransomware: платить нельзязащититься
Confidential | Copyright 2017 Trend Micro Inc.
Карен Карагедян
КОД ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Новосибирск, 30.03.2017
Copyright 2015 Trend Micro Inc.2 Copyright 2017 Trend Micro Inc.2
Домашние
пользователиГосударственный
секторМалый бизнес
Партнеры и
OEM
Крупные
предприятия
Рабочие
станции
Сервера Виртуальные
системыЭлектронная
почтаСеть ОблакоИнтернет-
шлюз
Trend Micro — глобальный разработчик средств кибербезопасности
Copyright 2015 Trend Micro Inc.3 Copyright 2017 Trend Micro Inc.3
Общее количество заблокированных угроз, 2016
— первое полугодие
Copyright 2015 Trend Micro Inc.4 Copyright 2017 Trend Micro Inc.4
Угрозы в электронной почте
— первое полугодие
— второе полугодие
74% of targeted attacks involve spear phishing
emails. – Trend Labs Jan 2016
3/31/2017 5Copyright 2017 Trend Micro Inc.
74%Целенаправленных атак доставляются посредством электронной почты
Угрозы в электронной почте
Copyright 2015 Trend Micro Inc.7 Copyright 2017 Trend Micro Inc.7
Статистика форматов файлов
Об
озн
ач
ен
ия
«хорошие»данные
«плохие»данные
Неизвестныеданные
Репутация файлов и Веб,
предотвращение
уязвимостей, контроль
приложений, выявление
модификаций
Поведенческий анализ
Блокировка
вредоносных
файлов
Уменьшение«шума»
Машинное обучение перед
исполнением
Машинное обучение во
время исполнения
Подходящая технология в подходящее время
Безопасны
е файлы
Copyright 2015 Trend Micro Inc.9 Copyright 2017 Trend Micro Inc.9
Новые семейства программ-вымогателей
Рост 750%
Январь 2016 — программы-вымогатели
ФОРМА ОПЛАТЫ
СПАМ
2 BTC
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО И
УДАЛЯЮТСЯ
ПУБЛИЧНЫЙ КЛЮЧ БЕРЁТСЯ С C&C
КЛЮЧ ШИФРОВАНИЯ НА СЕРВЕРЕ
ФАЙЛЫ БД
Нужно связаться с автором для получения инструкций по оплате
СПАМ СПАМ СПАМ СПАМ СПАМ
13 BTC 0.5 BTC 1 BTC 0.1 BTC
НЕТ СООБЩЕНИЯ
О ВЫКУПЕ
ЧИСЛО ДЕТЕКТОВ В
SPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ
ДАННЫЕ
ФАЙЛЫ БД
ЛИЧНЫЕ ФАЙЛЫ ЛИЧНЫЕ
ФАЙЛЫ
ТОЛЬКО ЛИЧНЫЕ ФАЙЛЫ
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
ПРИВАТНЫВЙ КЛЮЧ НА СЕРВЕРЕ
КРИПТОГРАФИЯ
САМОУНИЧТОЖЕНИЕ
ФАЙЛЫ БД ФАЙЛЫ БДВЕБ-СТРАНИЦЫФАЙЛЫ БД
+
КЛЮЧИ ГЕНЕРИРУЮТСЯ ЛОКАЛЬНО
CRYPNISCA CRYPRITUCRYPRADAM CRYPJOKERLECTOOL EMPERMEMEKAP
НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ
LECTOOL EMPER CRYPRADAMMEMEKAP
CRYPNISCA CRYPJOKER CRYPRITU
Маскируется под прикрепленный PDF-
файл
Февраль 2016 — программы-вымогатели
САМОУНИЧТОЖЕНИЕ
ЛИЧНЫЕ
ФАЙЛЫЛИЧНЫЕ
ФАЙЛЫ
LOCKYCRYPHYDRA
ИНСТРУМЕНТАРИЙ ДЛЯ УДАЛЁННОГО ВЗЛОМА
SYNC MANGER LOGGER
СПАМ В ВИДЕ СЧЕТА НА ОПЛАТУ
Маскируется под
прикрепленный PDF-
файл
СПАМ СПАМ
1 BTC 0.5 - 1 BTC2 BTC536 GBP
1.505 BTC0.8 BTC$350
400 долларов заплатить автору по инструкции
ФАЙЛЫ БД
ТОЛЬКО
ЛИЧНЫЕ ФАЙЛЫВЕБ-СТРАНИЦЫ
+ ТОЛЬКО
ЛИЧНЫЕ ФАЙЛЫ
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧ ШИФРРОВАНИЯ БЕРЕТСЯ С C&C
ПУБЛИЧНЫЙ КЛЮЧ
БЕРЁТСЯ С C&CПУБЛИЧНЫЙ КЛЮЧ
БЕРЁТСЯ С C&C
ФАЙЛЫ БДКОД
КОШЕЛЕК
MADLOCKERCRYPDAP CRYPZUQUITCRYPGPCODE
МАКРОС ИЛИ
ПРИКРЕПЛЕННЫЙ JS
НЕТНЕТНЕТНЕТНЕТ
CRYPGPCODE CRYPHYDRA CRYPDAP CRYPZUQUIT MADLOCKER LOCKY
ФОРМА ОПЛАТЫ
ЧИСЛО ДЕТЕКТОВ В
SPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ
ДАННЫЕ
КРИПТОГРАФИЯ
ФОРМА ОПЛАТЫ
ЧИСЛО ДЕТЕКТОВ В
SPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ
ДАННЫЕ
КРИПТОГРАФИЯ
Март 2016 — программы-вымогатели
САМОУНИЧТОЖЕНИЕ
ЛИЧНЫЕ
ФАЙЛЫЛИЧНЫЕ
ФАЙЛЫ
KeRanger
ФАЙЛЫ С МАКРОСАМИ
ИГРЫ
CRIPTOSO
1.18 – 2.37 BTC$500 — $1000
TEAM VIEWER
ПЕРЕЗАПИСЫВАЕТ MBR
0.99 – 1.98 BTC$431 — $862
1 BTC и увеличивается на 1 BTC ежедневно
ФАЙЛЫ ВОЗВРАТА
НАЛОГОВ США
COVERTON
1 BTC
ИНСТРУМЕНТАРИЙ
ДЛЯ УДАЛЁННОГО
ВЗЛОМА
СПАМСПАМ В ВИДЕ УСЛОВИЙ
ПРЕДОСТАВЛЕНИЯ УСЛУГИПРИКРЕПЛЕННЫЙ МАКРОС,
ЗАГРУЖАЮЩИЙ КОД
ПОИСК РАБОТЫ СО ССЫЛКОЙ НА DROPBOX
МАКРОС ИЛИ
ПРИКРЕПЛЕННЫЙ JSИНСТРУМЕНТАРИЙ
ДЛЯ УДАЛЁННОГО
ВЗЛОМА
+
1.24-2.48 BTC 1 BTC 1.3 BTC
ФАЙЛЫ БД ФАЙЛЫ БД
1.4 – 3.9 BTC$588 — $1638
0.5 — 25 BTC
ФАЙЛЫ БДRJL
ИГРЫ КОШЕЛЕКФИНАНСОВЫЕ
ФАЙЛЫ
ПУБЛИЧНЫЙ КЛЮЧ БЕРЕТСЯ С C&C
КЛЮЧ AES ГЕНЕРИРУЕТСЯ ЛОКАЛЬНОПУБЛИЧНЫЙ КЛЮЧ
БЕРЕТСЯ С C&C
ПЯТЬ ПАР КЛЮЧЕЙ ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО. ОДИН КЛЮЧ ТРЕБУЕТ КЛЮЧ RSA
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
Он разговаривает!
Уникально
Уникально
Сценарий наPower shell
TESLA 4.0CERBER CRYPAURA PETYAMAKTUB SURPRISEPowerware
НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ
CERBER CRYPAURAKERANGER
TESLAMAKTUB SURPRISE PETYA POWERWARE CRYPTOSO COVERTON
APPSTORE
http://blog.trendmicro.com/trendlabs-security-intelligence/cerber-crypto-ransomware-speaks-sold-russian-underground/
Copyright 2015 Trend Micro Inc.13 Copyright 2017 Trend Micro Inc.13
Программы-вымогатели в цифрах
– Форбс, февраль 2016
Число систем, заражаемых Locky в день
90,000
$200-10kХарактерный размер выкупа
– ФБР, апрель 2016
69,000++Число образцов, обнаруженных в 2015 г.
– Trend Labs, 2016
Copyright 2016 Trend Micro Inc.14
Как это работает
Всевозможные каналыпроникновения
Данные шифруются
Требование выкупа Плати заРасшифровку
данных
Восстанавливай изрезервной копии
ИЛИ
Подробнее: http://blog.trendmicro.com/trendlabs-security-intelligence/youtube-ads-lead-to-exploit-kits-hit-us-victims/
Более 100 тысяч жертв за 30 дней
Распространение через рекламные сети
Примеры сообщений, содержащих CryptoWall
1
6
BETTER CALL SAUL
Copyright 2016 Trend Micro Inc.18
Защита от программ-вымогателей
Обучение пользователей Осведомленность, лучшие практики, проверка
Улучшение уровня защитыПоследние версии, веб-репутация, поведенческий анализ, дополнительные технологии
Отказ от выплаты выкупаВыплата мотивирует злоумышленников на дальнейшие атаки
Своевременная установка заплатМинимизация вероятности взлома через уязвимости
Контроль доступаОграничение доступа на запись к
важным для бизнеса данным для большинства сотрудников
Резервное копирование (3-2-1)Автоматизированное: три копии, два формата, одна копия хранится без подключения к сети
Copyright 2016 Trend Micro Inc.19
Защита Trend Micro от программ-вымогателей
СЕТЕВАЯЗАЩИТА
ГИБРИДНАЯ ОБЛАЧНАЯБЕЗОПАСНОСТЬ
ЗАЩИТАПОЛЬЗОВАТЕЛЯ
ВИЗУАЛИЗАЦИЯИ УПРАВЛЕНИЕ
Copyright 2016 Trend Micro Inc.20
Цели программ-вымогателей
Серверы
Атак на сервера
относительно мало,
но урон может быть
очень большим
Большая часть
программ-
вымогателей
использует
известные
уязвимости
Vulnerability Shielding
against unknown
threats
Blocks lateral
movement
Copyright 2016 Trend Micro Inc.21
Сеть
Серверы
Цели программ-вымогателей
Вероятная точка
входа
Распространение к
другим
пользователям и на
серверы
Пользователи
Сети
Цели программ-вымогателей
Серверы
Конечные точки —
самая вероятная
цель
Веб и целевой
фишинг —
наиболее
типичные методы
атаки
«Песочница» Экранирование
уязвимостей
Контроль приложений
Веб-шлюз
Шлюз электронной
почты
Контроль поведения программ-
вымогателей
Выявление особых угроз
Защита от целевого фишинга
Репутация сайтов и IP-
адресов
«Песочница»Экранирование
уязвимостей
Конечный узелСетьСервер
Most ransomwares can be stopped on gateway level
The last defense is Anti-Ransomware feature to proactively detect & block ransomware execution
Effective Layered Protection
Copyright 2016 Trend Micro Inc.
Copyright 2016 Trend Micro Inc.25
Объединенная защита от угроз: Лучшая и более быстрая защита
Централизованная
сквозная визуализация,
анализ и оценка
влияния угроз
Оперативная реакция, благодаря
своевременной информации об
угрозах и обновлений в реальном времени
Детектирование особых
типов вредоносного
кода и странного
поведения сети, не
заметных для
стандартных средств
безопасности
Выявление потенциальных уязвимостей и превентивная защита конечных точек, серверов и приложений
ЗАЩИТА
ОБНАРУЖЕНИЕ
РЕАКЦИЯ
ВИЗУАЛИЗАЦИЯИ УПРАВЛЕНИЕ
Защита от программ-вымогателей на конечных точках
1. Традиционный подход
– Зависит от сигнатур программ-вымогателей
– Предоставляет специальные инструменты для сдерживания распространения
3. Передовые технологии– Контроль приложений с целью
выявления процессов, шифрующих файлы
– Исключение из анализа легитимных процессов
– Блокировка и перемещение в карантин
Конкурирующие решения в основном используют первый и второй подходы, в то время, когда продукты Trend Micro используют все три, а также подход на основе белых списков
2. Поведенческий анализ
– Выявляет поведение, характерное для программ-вымогателей
Copyright 2015 Trend Micro Inc.27 Copyright 2017 Trend Micro Inc.27
Уязвимости АСУ ТП
IoT, IoV, IoE…Концерн Fiat Chrysler отзывает 1,4
миллиона машин из-за уязвимости
Confidential © 2017 Trend Micro Inc.
Магический квадрант Гартнера для систем защиты конечных точекЯнварь 2017
This graphic was published by Gartner, Inc. as part of a larger research
document and should be evaluated in the context of the entire document. The
Gartner document is available upon request from
https://resources.trendmicro.com/Gartner-Magic-Quadrant-Endpoints.html
Gartner does not endorse any vendor, product or service depicted in its research
publications, and does not advise technology users to select only those vendors
with the highest ratings or other designation. Gartner research publications
consist of the opinions of Gartner's research organization and should not be
construed as statements of fact. Gartner disclaims all warranties, expressed or
implied, with respect to this research, including any warranties of merchantability
or fitness for a particular purpose.
Copyright 2017 Trend Micro Inc.
ЛИДЕР РЫНКАзащиты серверов в
течение последних
семи лет
S****tec
In**l
Other
30%
Source: IDC, Securing the Server Compute Evolution: Hybrid Cloud Has Transformed the Datacenter, January 2017 #US41867116