Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
практическая демонстрация блокировки эксплойтов
Хакер в ловушке
Денис Батранков
denis@paloaltonetworks.com
Инфицирование отдельных
серверов в ЦОД
Достичь ЦОД
Получить управление над
целевой системой в ЦОД
Достичь цели
Для защиты ...
Многоэшелонированая защита внутри NGFW
App-ID
URL
IPS
ThreatLicense
Spyware
AV
Files
WildFire
Блокировка
приложений
URL Ma...
URL
фильтр
DNS
Sinkholing
Динамиче
ские DNS
Detect and
Block
Threat Intelligence:
Блокировка центров управления
URL катего...
TRAPS предотвращает атаки на хостах
Документ открывает
пользователь, ничего
не ожидая
Traps незаметно
интегрируется в проц...
Kill Chain на практике
Использовать
уязвимость
Скрипты (Wscript,
Jscript)
Макросы(VBA)
Dropper
(Executables, DLLs,
powersh...
Kill Chain на практике
Использовать
уязвимость
Скрипты (Wscript,
Jscript)
Макросы(VBA)
Dropper
(Ejecutables, DLLs,
powersh...
Демонстрация защиты от криптолокера Locky
Анализируем что происходило
Доставка
Эксплуатация
Удаленное
управление
Инсталляция
X
X
X
X
X
X
X
DNS
сигнатуры
AppID
DefPo...
Как защищает Palo Alto Networks
IP Feeds. Динамически обновляемые фиды плохих и
рискованных IP-адресов, используемых в ата...
Как самому попробовать? Легко!
11 | © 2017 Palo Alto Networks, Inc.
Confidential and Proprietary.
• Все уже установлено на...
Платформа Palo Alto Networks
Мы работаем для вашей защиты
Обеспечиваем заданную производительность при всех включенных сер...
Видеозапись демонстрации расположена тут
https://youtu.be/Z2jmzzZniMo
Email офиса в России: Russia@paloaltonetworks.com
Upcoming SlideShare
Loading in …5
×

Хакер в ловушке, или Практическая демонстрация блокировки эксплойтов и криптолокера

418 views

Published on

На мастер-классе пройдет демонстрация: одновременно на нескольких виртуальных машинах будет работать реальный вредоносный код и средства защиты. Все движки включены: антивирус, URL-фильтрация, antispyware, IPS, Threat Intelligence, DNS Sinkholing, песочницы на базе Next Generation Firewall и одновременно ловушки, песочница и защита от вредоносного кода для рабочих станций на базе программы TRAPS.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Хакер в ловушке, или Практическая демонстрация блокировки эксплойтов и криптолокера

  1. 1. практическая демонстрация блокировки эксплойтов Хакер в ловушке Денис Батранков denis@paloaltonetworks.com
  2. 2. Инфицирование отдельных серверов в ЦОД Достичь ЦОД Получить управление над целевой системой в ЦОД Достичь цели Для защиты от APT нужно иметь метод блокировки на каждом этапе Kill Chain Вектор атаки превратился в цепочку атак Цель хакера: пройти все этапы и атаковать. Цель безопасника: Установить защиту на каждом этапе, чтобы блокировать хотя бы одно звено цепи = остановить атаку! В атаке Anunak на банковский сектор cреднее время от первого письма до вывода денег – 42 дня (отчет компании Group-IB) Кража интеллектуальной собственности, финансовые транзакции, вымогательство Кража/шифрование данных Перемещение внутри сети и инфицирование других станций Обход защиты на рабочих станциях Приманка, компрометация, доставка эксплойта в почту Брешь в защите периметра Загрузка полноценного вируса и установление обратного канала Доставка вредоносного ПО
  3. 3. Многоэшелонированая защита внутри NGFW App-ID URL IPS ThreatLicense Spyware AV Files WildFire Блокировка приложений URL Malware Block the exploit Скрытое скачивание Неизвестные вирусы Известные вредоносы spyware, C&C C&C fast-flux domains Новые C&C Блокирование активных атак по сигнатурам, источникам, поведению Приманка •Эксплоит •Загрузка ПО для «черного хода» Установление обратного канала •Разведка и кража данных Этапы атаки
  4. 4. URL фильтр DNS Sinkholing Динамиче ские DNS Detect and Block Threat Intelligence: Блокировка центров управления URL категория - malware, DNS Sinkholing, Anti-Spyware Сразу блокируем ненужные для работы URL Сразу видим DNS запросы к вредоносным ресурсам. Сразу блокируем сайты на динамических DNS Сигнатуры популярных систем удаленного управления
  5. 5. TRAPS предотвращает атаки на хостах Документ открывает пользователь, ничего не ожидая Traps незаметно интегрируется в процесс Техника эксплуатации блокируется до начала вредоносной активности Когда происходит попытка взлома, то эксплойт вызывает ловушку и останавливается до того как вредоносная активность начинается Traps Traps оповещает о событии и собирает данные для анализа UserAdmin is Notified PDF P D F P D F Process is Terminated Forensic Data is Collected R R R
  6. 6. Kill Chain на практике Использовать уязвимость Скрипты (Wscript, Jscript) Макросы(VBA) Dropper (Executables, DLLs, powershell WMI, ..) Downloader (Executable, DLL, WMI, etc.) Выполнение вредоносного функционала Anti Exploit Эскалация привилегий (после эксплуатации) Child Objects Local Analysis WildFire У нас есть ловушки TRAPS
  7. 7. Kill Chain на практике Использовать уязвимость Скрипты (Wscript, Jscript) Макросы(VBA) Dropper (Ejecutables, DLLs, powershell WMI, ..) Downloader (Ejecutable, DLL, WMI, etc.) Выполнение вредоносного функционала Anti Exploit Эскалация привилегий (после эксплуатации) Child Objects Local Analysis WildFire Anti Exploit Anti Exploit Anti Exploit* Child Objects Anti Exploit* Local Analysis WildFire Anti Exploit* Local Analysis WildFire Local Analysis WildFire У нас есть ловушки TRAPS
  8. 8. Демонстрация защиты от криптолокера Locky
  9. 9. Анализируем что происходило Доставка Эксплуатация Удаленное управление Инсталляция X X X X X X X DNS сигнатуры AppID DefPort URL фильтр AV сигнатуры. IPS сигн. AV сигн. SSL Decrypt FileBlock AppID unknown X HTTPS : locky.exe
  10. 10. Как защищает Palo Alto Networks IP Feeds. Динамически обновляемые фиды плохих и рискованных IP-адресов, используемых в атаках. Threat Prevention (TP). Антивирус получает сигнатуры WannaCry вместе с обновлениями каждые 15 минут. IPS блокирует попытки эксплуатации MS17-010 URL Filtering. Блокирует URL-адреса, используемые в атаке. Обновления сразу же. DNS Sinkholing. Функция DNS Sinkholing позволяет идентифицировать зараженные хосты в сети. Traps Traps предотвращает запуск известных и неизвестных вариантов WanaCrypt0r на хостах. Моментально. Aperture Сервис защиты SaaS-приложений обнаруживает вредоносы и помещает их в карантин, использует Wildfire и DLP контролирует контент. AutoFocus Сервис AutoFocus предоставляет данные об используемых семплах, тактиках, техниках и процедурах для аналитиков SOC/IRP и охоты за угрозами в сети. Например поиск по тегу WanaCrypt0r WildFire WildFire автоматически анализирует все новые семплы, например от WanaCrypt0r, сразу создает защиту и аналитику, и рассылает их на NGFW, Traps, Aperture и AutoFocus. Всё в течение 5 минут.
  11. 11. Как самому попробовать? Легко! 11 | © 2017 Palo Alto Networks, Inc. Confidential and Proprietary. • Все уже установлено на виртуальных машинах – осталось запустить TRAPS Лучше антивируса Migration Tool Firewall -> NGFW Panorama Управление NGFW NGFW URL,AV,IPS,APP, … NGFW+TRAPS NSX, vCenter, ESXi Защита виртуализации
  12. 12. Платформа Palo Alto Networks Мы работаем для вашей защиты Обеспечиваем заданную производительность при всех включенных сервисах безопасности Email офиса в России: Russia@paloaltonetworks.com
  13. 13. Видеозапись демонстрации расположена тут https://youtu.be/Z2jmzzZniMo Email офиса в России: Russia@paloaltonetworks.com

×