traps - eventworld.cz · 2017-11-15 · 3 | ©2016, palo alto networks. confidential and...
TRANSCRIPT
ANTIVIRUS JE
MRTEV
TRAPS PRVNÍ SKUTEČNĚ FUNGUJÍCÍ OCHRANA PRO DESKTOPY A
SERVERY 14. listopadu 2017
Jakub Jiříček, CISSP, CNSE
Srovnání účinnosti tradiční a nové ochrany koncových bodů
2 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Endpoint Protection Solutions Report 10/2017
https://info.it-cube.net/reportendpoint
Autoři: Kevin Borner, Markus Reiniger, Daniel Vollmer
Basic test Holiday test
Tradiční AV 48%-94% 12%-76%
Next-Gen 66%-99% 47%-99%
Účinnost detekce 8000 vzorků malware 50% ransomware, 20% Trojské koně, 10% 0-day, 20% ostatní
Tradiční antiviry jsou příliš pomalé, ukazuje WildFire
3 | ©2016, Palo Alto Networks. Confidential and Proprietary.
*Average monthly values as of January 2016. Source: Palo Alto Networks WildFire and Multi-Scanner
škodlivých souborů, které zkoumá WildFire jsou
detekovatelné top 6 tradičními AV*.
37.5% 71.9M
5.3M
2.0M
All Files Malicious Detected by AV
Prevenci je třeba poskládat z více metod
4 | © 2017, Palo Alto Networks. Confidential and Proprietary.
ZNEUŽITÍ ZRANITELNOSTÍ V
SOFTWARE
FILE-LESS ATTACK
“BEZ-SOUBOROVÝ ÚTOK”
TYPICKÝ CÍLENÝ
ÚTOK - PRŮBĚH
ÚVODNÍ PRŮZKUM
NAPADENÍ KONCOVÉHO BODU
NAVÁZÁNÍ KOMUNIKACE K ŘÍDÍCÍMU SERVERU
DOSAŽENÍ CÍLE ÚTOKU
SPUŠTĚNÍ MALWARE
MAKRA, SKRIPTY, ATD.
RYCHLE SE MĚNÍCÍ MALWARE
CÍLENÝ MALWARE
Spustitelné
programy
Provádí škodlivou
aktivitu přímo
Datové soubory
a obsah
přeměněný v
nákazu
Zneužije běžnou aplikaci
Malware Exploits =
Prevence škodlivého kódu kombinací metod /malware/
6 | © 2017, Palo Alto Networks. Confidential and Proprietary.
ZNEUŽITÍ ZRANITELNOSTÍ V
SOFTWARE
BEZ-SOUBOROVÉ ÚTOKY
ZMENŠENÍ PLOCHY PRO ÚTOK Policy Controls, Child Processes, Execution Restrictions
ZASTAVENÍ ZNÁMÝCH ŠKODLIVÝCH KÓDŮ WildFire Threat Intelligence
ZASTAVENÍ NEZNÁMÝCH ŠKODLIVÝCH KÓDŮ Local Analysis via Machine Learning
DETEKCE POKROČILÝCH HROZEB WildFire Inspection & Analysis
ŠKODLIVÝ KÓD
MAKRA / SKRIPTY
MORFUJÍCÍ
CÍLENÝ
A jak proti škodlivému kódu chrání Traps
7 | © 2017, Palo Alto Networks. Confidential and Proprietary.
New in 4.1 Enhanced in 4.1 Enhanced in 4.1
Introduced in 4.0 Enhanced in 4.0
Enhanced in 4.1
Enhanced in 4.0
výzkum
hrozeb dynamická analýza
zastavení
škodlivých
procesů
ochrana před
ransomware lokální analýza
Prevence zneužití zranitelností /exploits/
8 | © 2017, Palo Alto Networks. Confidential and Proprietary.
ZNEUŽITÍ ZRANITELNOSTÍ V
SOFTWARE
BEZ-SOUBOROVÉ ÚTOKY
ŠKODLIVÝ KÓD
MAKRA / SKRIPTY
MORFUJÍCÍ
CÍLENÝ
ZAMEZENÍ PRŮZKUMU
OCHRANA PAMĚTI PŘED ÚTOKY
OCHRANA SPOUŠTĚNÍ KÓDU
OCHRANA JÁDRA
A jak proti zneužitím zranitelností chrání Traps
9 | © 2017, Palo Alto Networks. Confidential and Proprietary.
automatické zamezení zjišťování
zranitelností útočnými nástroji
ochrana ještě před
vlastním útokem
zablokování útočných technik, kterými
útočníci manipulují s dobrými aplikacemi
ochrana před
technikami zneužití
zranitelností
ochrana před zneužitím jádra
operačního systému
ochrana
jádra OS
Enhanced in 4.1
Intro’d in 4.0 Intro’d in 4.0
Zneužití zranitelností povolených aplikací - Exploits
Zahájení zlomyslné aktivity:
Povolená aplikace
DLL
JIT
Etcetera
(použití funkcí OS)
10 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Záplaty od výrobce
stažení malware (e.g. *winrun.exe*)
krádež citlivých dat
zašifrování disku (ransomware)
smazání dat
a další…
Zranitelnosti v běžných
a používaných
aplikacích (např.
Adobe reader)
Traps blokuje zneužití zranitelností
zneužití
zranitelnosti
Traps
EPM
Škodlivá aktivita nenastává
Povolená aplikace
11 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Zastavení
jedné
techniky v
řetězci
poruší celou
útočnou
sekvenci
Traps se soustředí na základy
12 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Celk
ový p
očet Aktualizace
Signatury / chování
Traps
Čas
Nejdřív je třeba opravit
zranitelnost, pak aplikovat
aktualizaci
Je třeba znát škodlivé
datové soubory
Bez aktualizací,
nemusí znát
zranitelnosti a bez
signatur (!)
Tenhle přístup se vyplácí
13 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Traps zastavuje Zero-day a doposud
neznámá zneužití zranitelností
ČAS
Zjištění
zranitelnosti v
Adobe Flash
Player (CVE-2015-0359)
Pokusy o zneužití
zranitelnosti útočníky
Traps pokusy blokuje
Traps v2.3.6
Traps
verze 2.3.6
bez aktualizací
nebo záplat od
původní instalace
Hlavní novinky ve verzi Traps 4.1
14 | © 2017, Palo Alto Networks. Confidential and Proprietary.
OCHRANA PŘED RANSOMWARE
OCHRANA PŘED ŠKODLIVÝMI DLL
VYLEPŠENÁ OCHRANA PŘED ZNEUŽITÍM
JÁDRA OS
NASTAVITELNÁ OCHRANA PODŘÍZENÝCH PROCESŮ
LOKÁLNÍ ANALÝZA PRO MAC OS
A ještě jedno nezávislé testování - AV-TEST
15 | © 2015, Palo Alto Networks. Confidential and Proprietary.
potvrzení, že Traps plně nahrazuje tradiční antivir
100% detekce skutečných vzorků
(bez signatur)
Naprosto nezpomaluje
Výsledné skóre lepší než průměr
tradičních výrobců
Jediný zástupce next-gen ochrany
testovaný letos AV-TEST
testovaná
verze 4.0
Q3, 2017
Traps vs. WannaCry
16 | © 2017, Palo Alto Networks. All rights reserved.
zneužívá SMB zranitelnost již
dříve opravenou výrobcem
(Microsoft) získává oprávnění na úrovni
jádra OS přímým zneužitím
volání jádra
instaluje nástroj DoublePulsar, který
může spouštět škodlivý kód voláním
legitimních procesů v místní síti hledá další
koncové body s SMB
zranitelností a šíří se na ně
spouští WannaCry
Ransomware, zašifruje počítač
Traps vs. WannaCry
17 | © 2017, Palo Alto Networks. All rights reserved.
zneužívá SMB zranitelnost již
dříve opravenou výrobcem
(Microsoft) získává oprávnění na úrovni
jádra OS přímým zneužitím
volání jádra
instaluje nástroj DoublePulsar, který
může spouštět škodlivý kód voláním
legitimních procesů v místní síti hledá další
koncové body s SMB
zranitelností a šíří se na ně
zablokování spustitelných souborů, které šíří škodlivý kód
dalšími procesy
ochrana
podřízených
procesů
spouští WannaCry
Ransomware, zašifruje počítač
zablokování procesu šířícího nákazu pomocí
shell code
ochrana
zneužití
jádra OS
lokální
analýza
analýza ve
WildFire
WildFire
Threat
Intelligence
ochrana před
ransomware
založená na
analýze chování
zjištěný
škodlivý EXE
soubor
zastavená
známá
hrozba
zjištěné a zastavené chování
ransomware
Pozvánky
18 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Praktický workshop nejbližší 8.12.2017, dopoledne
• Praha 10
• ve spolupráci se TechData
• “přineste si vlastní PC”
Registrace, detaily:
http://www.nextgenfw.cz/
Webinář 1.12.2017, 9:30-10:00
• Ukázka zastavení nákazy
živým vzorkem ransomware
• Demo Traps konzole/klienta
Registrace, detaily:
https://goo.gl/CpRFQF
Traps vs. NotPetya
19 | © 2017, Palo Alto Networks. All rights reserved.
nainstaluje nástroj
DoublePulsar, který může
spouštět škodlivý kód
voláním běžných procesů
zneužití už opravené Microsoft
SMB zranitelnosti přímým voláním jádra OS
získá nejvyšší oprávnění
spouští škodlivý EXE, aby sbíral
aspoň přihlašovací údaje na
systémech, které nelze zneužít získá přístup pomocí
ukradených přístupových
údajů
uživatel spustí domnělou
aktualizaci a tím nastartuje
škodlivý kód, který zavolá
neautorizované procesy
spouští škodlivé
EXE
spouští škodlivé
EXE
dojde k zašifrování Master
Boot Record
spouští škodlivé
DLL
spouští škodlivé
DLL
spouští škodlivé DLL
Traps vs. NotPetya
20 | © 2017, Palo Alto Networks. All rights reserved.
nainstaluje nástroj
DoublePulsar, který může
spouštět škodlivý kód
voláním běžných procesů
zneužití už opravené Microsoft
SMB zranitelnosti přímým voláním jádra OS
získá nejvyšší oprávnění
spouští škodlivý EXE, aby sbíral
aspoň přihlašovací údaje na
systémech, které nelze zneužít získá přístup pomocí
ukradených přístupových údajů
uživatel spustí domnělou
aktualizaci a tím nastartuje
škodlivý kód, který zavolá
neautorizované procesy
spouští škodlivé
EXE
spouští škodlivé
EXE
dojde k zašifrování Master
Boot Record
spouští škodlivé
DLL
spouští škodlivé
DLL
spouští škodlivé DLL
ochrana
podřízených
procesů
zablokované výchozí ochranou spouštění
skriptů
zablokování procesu šířícího nákazu pomocí
shell code
ochrana
zneužití
jádra OS
ochrana
podřízených
procesů
škodlivé EXE
lokální analýza
analýza WildFire
WildFire Threat
Intelligence
ochrana
podřízených
procesů
škodlivé
DLL
škodlivé
DLL
škodlivé
DLL