Embed Size (px)
Citation preview
1
FireEye: Защита от современных киберугроз
2
Компания основана в 2004 году, поставляет свои решения с 2006 1000+ сотрудников в 6 странах.
Штаб-квартира:Милпитас, Калифорния. ~1000 Клиентов, во всех регионах, в каждой индустрии
Клиенты компании
Small Medium Enterprise
Правительство Инфраструктура Высокие технологии здравоохранение Финансовые улуги Торговля
Малые и средние предприятия
4
Угрозы нового поколения
Атаки становятся более изощренными, их стало
сложнее детектировать и устранять
(к примеру – криптолокеры; отравление прошивки
HDD; web-injection; крипторы; атаки на SCADA )
Наблюдается беспрецедентный рост их количества
(ботнеты)
Социальные сети позволяют атаковать сотрудников
прямо на их рабочих местах
(соц инженерия, фишинг)
Под угрозой все индустрии
(промышленный шпионаж)
Хактивизм
(свобода информации)
5
Stuxnet: вирус который вывел из строя почти 20% центрифуг по обогащению урана в Иране.
Shamoon: компьютерный вирус,
который был использован для
шпионажа в в энергетическом секторе.
Night Dragon: Атака была направленна на глобальные нефтяные, газовые, нефтехимические компании, а так же на отдельных лиц и руководителей в Казахстане, Тайвани, Греции и США с целью завладеть особо конфиденциальными данными.
6
Доступность эксплойтов и их паков на теневом рынке
…and free frameworks $$$$$$$$$
Aрест небезызвестного Paunch’а —
автора некогда самого популярного
набора эксплойтов Blackhole —
наверняка повлиял
на перераспределение основных
игроков на рынке
эксплойт-паков.
Популярные паки на сегодня
• Angler Exploit kit;
• Sweet Orange Exploit kit;
• Nuclear Exploit kit;
• Fiesta Exploit kit;
• Magnitude Exploit kit;
• Neutrino Exploit kit;
• Astrum Exploit kit;
• RIG Exploit kit;
• Archie Exploit kit.
7
Выгрузка данных
(dump)
111011101101
Проксирование,
заражение
ближайших хостов
Эксплуатация
уязвимостей ПО
или ОС
Действия атакующего:
Важнейшим этапом является – обнаружение и подавление вторжения
Последующие действия после прохода эксплойта хорошо скрываются
Загрузка
вредоносного ПО
(трояны/раты)
Поднятие шелла
(Callback) на
командный сервер
CVE 2015-0311) позволяет
выполнить произвольный
код во Flash версий до 16.0.0.287
для Windows (CVE
2015-0310) — обойти ограничения
безопасности в Adobe Flash Player,
отключить ASLR и выполнить про-
извольный код.
reDuh • HTTP Tunnel
(bit.ly/1D9EPRY)
WSO
Netcat :)
SpyRat
Gh0stB
Zeus
XtremeRAT
Spy-Net
Hashdump
[*] Obtaining the boot key...
[*] Calculating the hboot key using
SYSKEY 84670f114b6...
[*] Obtaining the user list and keys...
[*] Decrypting user keys...
[*] Dumping password hashes...Pivoting / Pivot
(recon сетевого периметра и
инвентаризация сервисов упущено)
8
Из индустрии высоких технологий:
Топ ATP Воздействие
Backdoor.APT.
Gh0stRAT (40%) Средства удаленного доступа (RAT),
которые приводят к потере
интеллектуальной собственности,
коммерческой тайны и
конфиденциальной внутренней связи.
Backdoor.APT.
DarkComet (40%)
Топ приступного Воздействие
Malware.Binary
(67%)
Атаки нулевого дня. (Zero-Day)
Exploit.Kit.Neutrino
(67%)
Заражение нескольких типов
вредоносных программ, ворующих
полномочия или ограничить доступ к
компьютеру и требует выкуп.
FireEye Cli.Беззащитность
клиентов Целенаправленные
атаки
18 98% 28%
1.46 8.66
41486.9
43022.5
86.92
3011.14
Веб -
эксплойты
Загрузка
вредоносного
ПО
Уникальные
вредоносы
Отстуки
Зараженные
хосты
198.9
12.9
2708.9
2629.8
МаксимумСреднее(За неделю)
9
Исследование Bitglass по краже конфиденциальных данных
«Bitglass пишет, что в течение
нескольких дней после публикации
документа его скачали и открыли
пользователи в пяти странах на трёх
континентах, а общее количество
открытий превысило 200 штук.»
«К 12-му дню количество открытий составило
1080 штук, а география злоумышленников
распространилась на 22 страны на пяти
континентах. Наиболее часто документ
скачивали пользователи из России, Китая и
Бразилии.»
«Они выложили в онлайне таблицу Excel с
фальшивой информацией о 1568 якобы
сотрудниках. Затем проследили, где эта
информация всплыла для продажи.»
10
Старый подход для борьбы с новыми угрозами?Определение по
шаблонам
•Сигнатуры – черный список –
репутация– эвристика
•Только известные угрозы
•Ложные срабатывания
Новый метод Виртуальных Машин
•Без сигнатур
•Режим реального времени
•Известные\не известные угрозы
•Минимум ложных срабатываний
11
SANDBOX – РЕШЕНИЕ ДЛЯ ЗАЩИТЫ ОТ APT (ZD)
Производители FW:
“Now I have a Sandbox too!”…..
Обычный FW + Песочница:
<это исполняемый или PDF ?>
Ограничения данного подхода:
• Без мульти векторной защиты
• Файлы в «чистом» виде
• Время исследования и
обновления сигнатур
• Нет защиты от веб эксплойтов
12
КАКИМ ДОЛЖНО БЫТЬ NGTP ?• Никаких сигнатур;
• Не только определение, но и защита;
• Защита всех векторов распространения атак;
• Высокая точность;
• Глобальность.
FireEye FX Series
FireEye EX Series
FireEye AX Series
FireEye NX Series
FireEye CM
Dynamic Threat Intelligence (DTI)
Централизованное управлениеВсеми устройствами и DTI
Защищает от угроз распространяющихся через Web Callback и блокирование
Расследование происхождения угроз
Анализ осуществляется на «борту» устройства!
13
Multi Vector Execution Engine
Масштабируемость: Dynamic Threat Intelligence
• Различные ОС, приложения,
браузеры, плагины и их версии
• Множество типов файлов
• Многозадачность
• Физический гипервизор
• Контрмеры от вредоносного ПО
Много-этапный анализ:
• Минимум ложных срабатываний
• Нет нагрузки на систему
14
FireEye NX Series (Web защита)• Установка «в разрез сети», режим реального времени
• Анализ всех web объектов (web страниц, flash, PDF, офисных документов и *.exe);
• Блокирование callback, прерывание несанкционированного использования данных;
• Динамическое создание профилей угроз нулевого дня и передача их в DTI;
• Интеграция с устройствами FireEye EX, FX и AX серий для динамического блокирования callback коммуникаций, выполненных вредоносным ПО.
• Блокировка входящего
и исходящего трафика
• Продвинутый анализ
содержимого(PDF,
JavaScript, URLs)
• Модели до 4 Gbps
FEATURES Windows 7 – SP1
Virtual Execution
Environment Analysis
Первона
чальный
анализ
Play Malware
Attack
Windows XP - Base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Мгновенная
Блокировка
Известных
уязвимостей
Захват
пакетов
1 2 3 4
C
A
L
L
B
A
C
K
E
N
G
I
N
E
5
Предотвращение
несанкц.
использования
данных
Port0
65k
Исходящие
Профили атак
нулевого-дня
DTI
15
FireEye EX Series (Email защита)• Установка «в разрез сети», режим реального времени
• Карантин сообщений с Zero-day угрозами в режиме реального времени;
• Динамическое создание профилей угроз нулевого дня и передача их в DTI;
• Интеграция с NX для остановки смешанных атак
• Поддержка YARA-правил
• Интеграция с AV-Suite
8300 поддерживает 96 Virtual Execution
Environments (VXE)
Virtual Execution
Environment (VXE) Analysis
Play Malware
Attack
Windows XP - base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Windows 7 – SP1
Распределение
Объектов Анализа
1 2 3 4
✔
✔
✔
Профили атак
нулевого-дня
URL передаются в cписки
приоритетных URL на
FireEye NX через консоль
управления
DTI
17
FireEye FX Series
(защита от угроз нового поколения находящихся в файловой системе)
• Защита общих папок от продвинутых угроз
• Поддержка нескольких режимов сканирования
• Поддержка множества типов файлов
• Возможность применять в различных ситуациях
• нтеграция с NX, EX и AX устройствами
• Интеграция с AV-Suite
• Поддержка YARA-правил
Первоначальный анализ
011011
110010
Сравнение с имеющейся
базой угроз Virtual Execution Environments (VXE)
Детальный анализ
Play Malware
Attack
Распространение
информации об угрозах
среди клиентов FireEye
Windows XP - base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Windows 7 – SP1
Управление
1 2
DTI
CLIWeb GUI
Отслеживание C&C
Действий (в режиме реального времени)
Детальны отчет
Карантин
NSF/SMB share
19
Защита от смешанных атак
• Защита против комбинированных атак через URL-ссылки, содержащиеся в email-письмах
• Анализ высокоприоритетных URL-ссылок в FireEye NX Series MVX механизме;
• Интеграция FireEye NX, EX, FX Series через FireEye CM для:
корреляции вредоносных URL с электронными письмами направленного фишинга;
внесения в черный список IP адресов C&C серверов;
состояния файлового хралилища, карантина.
FireEye CM
FireEye NX
FireEye EX
FireEye FX
20
Опасайтесь песочниц!
• Часто основаны на коммерческих гипервизорах
(Vmware, Xen, Hyper-V), а не на физических
• Нет защиты от мульти-векторных атак
• Нет анализа многопоточности
• Работа только с исполняемыми файлами
• Ограничения по пропускной способности
• Нет матрицы уязвимого ПО
• Нет способности обнаружить эксплоит
• Не способны создавать правила и сигнатуры
автоматически
• Анализ угроз в облаке
• Не видят полного цикла атаки
Способы обхода:
Чувствительность к настройкам
• «Режим ожидания» замирание на определенное время
• «Временной триггер» запуск в определенное время
• «Скрытый процесс»
• «Исполнение после перезагрузки»
Обход VMware
• Проверка сервисов присущих для Vmware
(vmicheatbeat, vmci, vmdebug,
vmmouse, vmscis… )
• Проверка наличия уникальных файлов (наличие
vmmouse.sys)
• Наличие порта VMX
Среда
• «Проверка версии»
• «Запрос загрузчика DLL»
• «Внедрение ifarmes в GIF и Flash»
21
Платформа FireEye : Партнеры
Network
Monitoring
Endpoint
22
Установка FireEye NX (Web защита)
NG Firewall
Switch
SPAN / TAP
NX 1
NX N
Router
NG Firewall
INLINEIPS (Optional)
NX
Router
NG Firewall
Switch
PROXY
NX
IPS
Switch
A1 A2
B1 B2
Router
http://http:// http://
23
Установка FireEye EX (Email защита)
Router
NG Firewall
MTA
Switch
DMZ
Anti SpamGateway / MTA
EX
Router
NG Firewall
BCC
Switch
DMZ
Anti SpamGateway / MTA
EX
Router
NG Firewall
SPAN
Switch
DMZ
Anti SpamGateway / MTA
EX
http:// http:// http://
24
Установка FireEye FX (Контент защита)
Router
NG Firewall
HR
MOUNT MODE
Switch
DC
Private
File AppFX
Mount Mode
FX
http://
25
Инфицирован или нет…
если есть callback – система инфицирована!
Анализ событий
26
Dashboard – Статус защиты от вредоносного ПО
27
Обзор инфицированного хоста
28
Test Lab
