Робота із malware:

Виявлення, аналіз, обмін IOC

(ATD + TIE + OpenDXL)

Владислав Радецькийvr@optidata.com.ua

#whoami

Працюю у компанії OptiData

Аналізую віруси

Пишу статті

Проводжу навчання з різних аспектів ІБ

Допомагаю з проектуванням, впровадженням та

супроводом засобів захисту

Прийшов до вас щоб поділитися досвідом

vr@optidata.com.ua

radetskiy.wordpress.com

Ми – команда спеціалістів з практичним досвідом інтеграції з ІБ.

Працюємо лише з тим, в чому розбираємось.

Більшість здійснених нами проектів захищені NDA.

Проектуємо. Навчаємо. Розгортаємо. Захищаємо.

Що таке OptiData ?

#IOC та звіти шукайте тут:

radetskiy.wordpress.com

Життя без sandbox: ~40 хв / 1 зразок

Навіщо нам sandbox ?

24/05 сталася наступна подія:

14/03 – ми вперше отримали цей зразок:

20/03 – (без sandbox!) повний аналіз

Навіщо нам sandbox ?

• Автоматизація потокової перевірки файлів

• Формування чітких та повних списків IOC

• Розуміння схеми атак для корекції політик

• Захист від того, що дозволено бізнесу (!)

McAfee ATD

DXL

/OpenDXL

McAfee ATD

NSP, Web, TIE/Endpoint

Bro IDS Sensor

Будь-який Email Gateway

McAfee ATD

DXL

/OpenDXL

McAfee ATD

NSP, Web, TIE/Endpoint

Bro IDS Sensor

Будь-який Email Gateway

• Статичний та динамічний аналіз файлів (>60 типів)

• Кастомізація образів тестових ВМ

• Підтримка ОС Windows XP – 10, Srv2k8 - 2016

• HW / VA (VMware, Hyper-V, Azure)

• Широкі можливості інтеграції

McAfee ATD - розвиток

• Virtual Appliance for VMware - 3.10 12/2016

•

•

•

McAfee ATD - розвиток

• Virtual Appliance for VMware - 3.10 12/2016

• Email Connector, Srv&Office 2016, HTML - 4.0 06/2017

•

•

McAfee ATD - розвиток

• Virtual Appliance for VMware - 3.10 12/2016

• Email Connector, Srv&Office 2016, HTML - 4.0 06/2017

• Hyper-V, Azure, TAXII, VM Builder - 4.2.0 11/2017

•

McAfee ATD - розвиток

• Virtual Appliance for VMware - 3.10 12/2016

• Email Connector, Srv&Office 2016, HTML - 4.0 06/2017

• Hyper-V, Azure, TAXII, VM Builder - 4.2.0 11/2017

• Email > STIX & Open IOC, SNTP, SNMPv3 - 4.4.0 05/2018

McAfee ATD - розвиток

• HTML, PDF, XML, JSON, Dropped

• Syslog, SNMP

• STIX, TAXII, Open IOC

• DXL > TIE, OpenDXL

McAfee ATD – обмін маркерами (IOC)

• HTML, PDF, XML, JSON, Dropped

• Syslog, SNMP

• STIX, TAXII, Open IOC

• DXL > TIE, OpenDXL

McAfee ATD – обмін маркерами (IOC)

STIX

ESM

DXL

/OpenDXL

McAfee ATD Обмін IOC через TAXII

McAfee ATD

Демо

McAfee ATD

McAfee ATD

McAfee ATD

McAfee ATD

McAfee ATD - XMode

• Центральне джерело репутації

• Посилення або заміна DAT/GTI

• Оператор може вносити зміни

• Канал обміну – шина DXL

McAfee TIE – БД репутації файлів

McAfee ATD

McAfee ePO

McAfee ENS

DXL

McAfee TIE

McAfee TIE – БД репутації файлів

Інтеграція до DXL (OpenDXL)

Складнощі:

•Обмін обліковими даними

•Різні API

•Різні порти/протоколи

•Обмін подіями (усе разом)

ModifyNetwork

Traffic

Modify Network Traffic

Modify NetworkTraffic

ModifyNetworkTraffic

Modify Network Traffic

Modify Network Traffic

Рішення #4

Рішення #3

Рішення #2

Рішення #1

McAfee DXL

Рішення #1

Рішення #4

Рішення #3

Data Exchange Layer

Рішення #2

Переваги:

•Одна шина, один протокол

•Одне API

•Центральна авторизація

•1:~ (підписка)

•1:1 (запит інформації)

McAfee DXL – “Security Connected”

• McAfee Threat Intelligence Exchange (TIE)

• McAfee Endpoint Security (ENS)

• McAfee Active Response (MAR)

• McAfee Enterprise Security Manager (ESM)

• McAfee ePolicy Orchestrator (ePO)

• McAfee Advanced Threat Defense (ATD)

• McAfee Web Gateway (MWG)

• McAfee Application Control (MAC)

• McAfee Network Security Platform (NSP)

• McAfee Data Loss Prevention (DLP)

EndpointProtection

Compliance

NetworkIPS

Analytics Mobile

Firewall

GatewaySecurity

DataProtection

OpenDXL – інтеграція засобів захисту

Aruba ClearPassPolicy Manager

McAfee Active Response

(MAR)

OpenDXLOrchestration

Script

McAfee Threat Intelligence

(TIE)

Rapid7 Nexpose

DataExchangeLayer

McAfeeePO

•TIE Client Module

•MAR Client Module

InfectedEndpoint

MaliciousSite

Check PointFirewall

Malware

Приклад:

•Підписуємося на події Check Point

•Запускаємо пошук через MAR

•Оновлюємо репутацію через TIE

•Призначаємо Tag усім інфікованим

•Запускаємо скан Nexpose

•Оновлюємо списки доступів Aruba

OpenDXL

Підписка на канали Запит інформації

• Розширення схеми McAfee DXL

• 2 режими обміну: підписка (1:~) та запит (1:1)

• Можливість інтеграції з іншими рішеннями ІБ

• Обмін IOC між різними засобами безпеки

• MQTT, TLS 1.2, PKI, двосторонній зв'язок

OpenDXL

OpenDXL

Демо

OpenDXL

приклади застосування

▪ SandBlast integration with DXL, TIE and ePO

▪ Publishing Topics: File Reputation, IOC, Threat Event Data, Mobile

▪ Subscribing Topics: IOC, File Reputation Updates

▪ ClearPass integration with DXL and ePO

▪ Publishing Topics: IOC Information, New Asset Discovery Information

▪ Subscribing Topics: IOC information, Threat Event

▪ Nexpose integration with DXL, TIE and ePO

▪ Publishing Topics: IOC, Vulnerability, New Asset Discovery Information

▪ Subscribing Topics: IOC, File Reputation, Threat Event, Vulnerabilities

▪ Deception Grid integration with DXL, TIE and ePO

▪ Publishing Topics: File Reputation, IOC, Threat Event Data

▪ Subscribing Topics: IOC, File Reputation, Threat Event

SIA

Partners

OpenDXL – приклади інтеграції

OpenDXL – приклади інтеграції

• FAQs for McAfee ATD (KB79333)

• community.mcafee.com/t5/Products/ct-p/products

• opendxl.com

• github.com/opendxl/

• facebook.com/Optidata.com.ua

• radetskiy.wordpress.com

Джерела інформації

Запитання ?

Дякую вам за увагу!