traps - eventworld.cz · 2017-11-15 · 3 | ©2016, palo alto networks. confidential and...

ANTIVIRUS JE

MRTEV

TRAPS PRVNÍ SKUTEČNĚ FUNGUJÍCÍ OCHRANA PRO DESKTOPY A

SERVERY 14. listopadu 2017

Jakub Jiříček, CISSP, CNSE

[email protected]

Srovnání účinnosti tradiční a nové ochrany koncových bodů

2 | © 2016, Palo Alto Networks. Confidential and Proprietary.

Endpoint Protection Solutions Report 10/2017

https://info.it-cube.net/reportendpoint

Autoři: Kevin Borner, Markus Reiniger, Daniel Vollmer

Basic test Holiday test

Tradiční AV 48%-94% 12%-76%

Next-Gen 66%-99% 47%-99%

Účinnost detekce 8000 vzorků malware 50% ransomware, 20% Trojské koně, 10% 0-day, 20% ostatní

Tradiční antiviry jsou příliš pomalé, ukazuje WildFire

3 | ©2016, Palo Alto Networks. Confidential and Proprietary.

*Average monthly values as of January 2016. Source: Palo Alto Networks WildFire and Multi-Scanner

škodlivých souborů, které zkoumá WildFire jsou

detekovatelné top 6 tradičními AV*.

37.5% 71.9M

5.3M

2.0M

All Files Malicious Detected by AV

Prevenci je třeba poskládat z více metod


ZNEUŽITÍ ZRANITELNOSTÍ V

SOFTWARE

FILE-LESS ATTACK

“BEZ-SOUBOROVÝ ÚTOK”

TYPICKÝ CÍLENÝ

ÚTOK - PRŮBĚH

ÚVODNÍ PRŮZKUM

NAPADENÍ KONCOVÉHO BODU

NAVÁZÁNÍ KOMUNIKACE K ŘÍDÍCÍMU SERVERU

DOSAŽENÍ CÍLE ÚTOKU

SPUŠTĚNÍ MALWARE

MAKRA, SKRIPTY, ATD.

RYCHLE SE MĚNÍCÍ MALWARE

CÍLENÝ MALWARE

Spustitelné

programy

Provádí škodlivou

aktivitu přímo

Datové soubory

a obsah

přeměněný v

nákazu

Zneužije běžnou aplikaci

Malware Exploits =

Prevence škodlivého kódu kombinací metod /malware/



SOFTWARE

BEZ-SOUBOROVÉ ÚTOKY

ZMENŠENÍ PLOCHY PRO ÚTOK Policy Controls, Child Processes, Execution Restrictions

ZASTAVENÍ ZNÁMÝCH ŠKODLIVÝCH KÓDŮ WildFire Threat Intelligence

ZASTAVENÍ NEZNÁMÝCH ŠKODLIVÝCH KÓDŮ Local Analysis via Machine Learning

DETEKCE POKROČILÝCH HROZEB WildFire Inspection & Analysis

ŠKODLIVÝ KÓD

MAKRA / SKRIPTY

MORFUJÍCÍ

CÍLENÝ

A jak proti škodlivému kódu chrání Traps


New in 4.1 Enhanced in 4.1 Enhanced in 4.1

Introduced in 4.0 Enhanced in 4.0

Enhanced in 4.1

Enhanced in 4.0

výzkum

hrozeb dynamická analýza

zastavení

škodlivých

procesů

ochrana před

ransomware lokální analýza

Prevence zneužití zranitelností /exploits/



SOFTWARE

BEZ-SOUBOROVÉ ÚTOKY

ŠKODLIVÝ KÓD

MAKRA / SKRIPTY

MORFUJÍCÍ

CÍLENÝ

ZAMEZENÍ PRŮZKUMU

OCHRANA PAMĚTI PŘED ÚTOKY

OCHRANA SPOUŠTĚNÍ KÓDU

OCHRANA JÁDRA

A jak proti zneužitím zranitelností chrání Traps


automatické zamezení zjišťování

zranitelností útočnými nástroji

ochrana ještě před

vlastním útokem

zablokování útočných technik, kterými

útočníci manipulují s dobrými aplikacemi

ochrana před

technikami zneužití

zranitelností

ochrana před zneužitím jádra

operačního systému

ochrana

jádra OS

Enhanced in 4.1

Intro’d in 4.0 Intro’d in 4.0

Zneužití zranitelností povolených aplikací - Exploits

Zahájení zlomyslné aktivity:

Povolená aplikace

DLL

JIT

Etcetera

(použití funkcí OS)


Záplaty od výrobce

stažení malware (e.g. *winrun.exe*)

krádež citlivých dat

zašifrování disku (ransomware)

smazání dat

a další…

Zranitelnosti v běžných

a používaných

aplikacích (např.

Adobe reader)

Traps blokuje zneužití zranitelností

zneužití

zranitelnosti

Traps

EPM

Škodlivá aktivita nenastává

Povolená aplikace


Zastavení

jedné

techniky v

řetězci

poruší celou

útočnou

sekvenci

Traps se soustředí na základy


Celk

ový p

očet Aktualizace

Signatury / chování

Traps

Čas

Nejdřív je třeba opravit

zranitelnost, pak aplikovat

aktualizaci

Je třeba znát škodlivé

datové soubory

Bez aktualizací,

nemusí znát

zranitelnosti a bez

signatur (!)

Tenhle přístup se vyplácí


Traps zastavuje Zero-day a doposud

neznámá zneužití zranitelností

ČAS

Zjištění

zranitelnosti v

Adobe Flash

Player (CVE-2015-0359)

Pokusy o zneužití

zranitelnosti útočníky

Traps pokusy blokuje

Traps v2.3.6

Traps

verze 2.3.6

bez aktualizací

nebo záplat od

původní instalace

Hlavní novinky ve verzi Traps 4.1


OCHRANA PŘED RANSOMWARE

OCHRANA PŘED ŠKODLIVÝMI DLL

VYLEPŠENÁ OCHRANA PŘED ZNEUŽITÍM

JÁDRA OS

NASTAVITELNÁ OCHRANA PODŘÍZENÝCH PROCESŮ

LOKÁLNÍ ANALÝZA PRO MAC OS

A ještě jedno nezávislé testování - AV-TEST


potvrzení, že Traps plně nahrazuje tradiční antivir

100% detekce skutečných vzorků

(bez signatur)

Naprosto nezpomaluje

Výsledné skóre lepší než průměr

tradičních výrobců

Jediný zástupce next-gen ochrany

testovaný letos AV-TEST

testovaná

verze 4.0

Q3, 2017

Traps vs. WannaCry

16 | © 2017, Palo Alto Networks. All rights reserved.

zneužívá SMB zranitelnost již

dříve opravenou výrobcem

(Microsoft) získává oprávnění na úrovni

jádra OS přímým zneužitím

volání jádra

instaluje nástroj DoublePulsar, který

může spouštět škodlivý kód voláním

legitimních procesů v místní síti hledá další

koncové body s SMB

zranitelností a šíří se na ně

spouští WannaCry

Ransomware, zašifruje počítač

Traps vs. WannaCry


zneužívá SMB zranitelnost již

dříve opravenou výrobcem

(Microsoft) získává oprávnění na úrovni

jádra OS přímým zneužitím

volání jádra

instaluje nástroj DoublePulsar, který

může spouštět škodlivý kód voláním

legitimních procesů v místní síti hledá další

koncové body s SMB

zranitelností a šíří se na ně

zablokování spustitelných souborů, které šíří škodlivý kód

dalšími procesy

ochrana

podřízených

procesů

spouští WannaCry

Ransomware, zašifruje počítač

zablokování procesu šířícího nákazu pomocí

shell code

ochrana

zneužití

jádra OS

lokální

analýza

analýza ve

WildFire

WildFire

Threat

Intelligence

ochrana před

ransomware

založená na

analýze chování

zjištěný

škodlivý EXE

soubor

zastavená

známá

hrozba

zjištěné a zastavené chování

ransomware

Pozvánky


Praktický workshop nejbližší 8.12.2017, dopoledne

• Praha 10

• ve spolupráci se TechData

• “přineste si vlastní PC”

Registrace, detaily:

http://www.nextgenfw.cz/

Webinář 1.12.2017, 9:30-10:00

• Ukázka zastavení nákazy

živým vzorkem ransomware

• Demo Traps konzole/klienta

Registrace, detaily:

https://goo.gl/CpRFQF

Traps vs. NotPetya


nainstaluje nástroj

DoublePulsar, který může

spouštět škodlivý kód

voláním běžných procesů

zneužití už opravené Microsoft

SMB zranitelnosti přímým voláním jádra OS

získá nejvyšší oprávnění

spouští škodlivý EXE, aby sbíral

aspoň přihlašovací údaje na

systémech, které nelze zneužít získá přístup pomocí

ukradených přístupových

údajů

uživatel spustí domnělou

aktualizaci a tím nastartuje

škodlivý kód, který zavolá

neautorizované procesy

spouští škodlivé

EXE


EXE

dojde k zašifrování Master

Boot Record


DLL


DLL

spouští škodlivé DLL

Traps vs. NotPetya


nainstaluje nástroj

DoublePulsar, který může

spouštět škodlivý kód

voláním běžných procesů

zneužití už opravené Microsoft

SMB zranitelnosti přímým voláním jádra OS

získá nejvyšší oprávnění

spouští škodlivý EXE, aby sbíral

aspoň přihlašovací údaje na

systémech, které nelze zneužít získá přístup pomocí

ukradených přístupových údajů

uživatel spustí domnělou

aktualizaci a tím nastartuje

škodlivý kód, který zavolá

neautorizované procesy


EXE


EXE

dojde k zašifrování Master

Boot Record


DLL


DLL

spouští škodlivé DLL

ochrana

podřízených

procesů

zablokované výchozí ochranou spouštění

skriptů

zablokování procesu šířícího nákazu pomocí

shell code

ochrana

zneužití

jádra OS

ochrana

podřízených

procesů

škodlivé EXE

lokální analýza

analýza WildFire

WildFire Threat

Intelligence

ochrana

podřízených

procesů

škodlivé

DLL

škodlivé

DLL

škodlivé

DLL

traps - eventworld.cz · 2017-11-15 · 3 | ©2016, palo alto networks. confidential and...

Documents