OCHRANA PŘED POKROČILÝMI FORMAMI MALWARE, PragoData, Libor Soška, Břetislav Moc

1. 1
OCHRANA PŘED POKROČILÝMI
FORMAMI MALWARE

2. 2
• PragoData je oficiálním členem bezpečnostní platformy KYBEZ
• KYBEZ je platforma pro efektivní spolupráci akademických institucí
a komerčních firem zabývajícími se osvětou, systematickým vzděláváním,
managementem, službami a technologiemi v oblasti bezpečnosti informací,
a to včetně kybernetické bezpečnosti a obrany.
• Bližší informace o platformě KYBEZ naleznete na stránkách
https://www.kybez.cz/
PRAGODATA A KYBEZ

3. 4
SKÝMAČÍMMÁMETU
ČEST?
MALWARE–RANSOMWARE-RAAS

4. 5
Jak se hrozby vyvíjely v čase?
2000
ILOVEYOU
2003
Slammer
& Blaster
2008
Conficker
worm
2013
CryptoLocker
2001
Anna
Kournikova
2007
Storm Worm
2011
ZeroAccess
1991
Michelangelo
1989
AIDS / PC
Cyborg Trojan
The Morris
Worm
1971
The Creeper
Virus

5. 6
Ale není tu jen CryptoLocker…

6. 7
Ukázka RaaS - DOT Ransomware
• Relativně nový typ (objeven 2017/02/19)
• Jako první jej popsal FortiGuard team
• Ukázkový příklad aktuální podoby RaaS
• princip dělení zisku mezi autorem a “klientem”
• tj. bez počáteční investice pro “klienta”
• Odkazy (TOR linky) dostupné na různých hacking fórech…
• … vedou na oficiální stránku projektu
• Profesionálně vytvořený a udržovaný ransomware
• Bez problémů prochází klasickou AV kontrolou
• Pravidelně aktualizovaný (včetně release notes)
• Detailní dokumentace
• Dostupný dokonce i ticketovací systém
• Plně customizovatelné řešení (výpalné podle země, typ souboru,
atd.)

7. 8
Ukázka RaaS - DOT Ransomware

8. 10
RaaS: shrnutí
• Profesionální ransomware může dnes šířit kdokoliv
• Nepotřebuje prakticky žádné IT znalosti
• Bez jakékoliv počáteční investice
• S minimálním rizikem
• Díky tomu se z ransomware stala jednoznačně
nejrozšířenější malware hrozba současnosti
• Dramaticky roste jak počet různých rodin ransomware, tak
mutací každého typu
• Jen za Q1/2017 přes 35 nových typů
• … a nic nenaznačuje, že by se na tom mělo něco změnit

9. 11
Aktuální zkušenosti z provozu FortiSandboxu
 Za Q1 - nárůst malware v office přílohách pdf, doc
 Dříve převažovala infikace převážně spustitelných exe, js atp.
» pdf a doc - před rokem byly minimálně kompromitovány
 Objevují se nové techniky
» kompromitované URL v PDF
» Malware umísťovaný na Dropbox
» Na sandboxu kontrola ve všech OS – XP až Win10
 Nejvetší šíření ransomware je přes E-maily
» Stále probíhá kombinace technik infikované přílohy a URL

10. 12
Příklad z praxe - zachyceno na FortiSandboxu
 Zachycený malware u konkrétního zákazníka - pouze “high risk”
» url 373
» js 367
» vbs 142
» pdf 119
» docm 89
» exe 46
» doc 15
» xls 10
(podobné poměry statistik vidíme i u dalších našich zákazníků)

11. 13
JAKSEMŮŽEME
BRÁNIT?

12. 14
Known
Good
Known
Bad
Probably
Good
Very
Suspicious
Somewhat
Suspicious
Might be
Good
Completely
Unknown
Whitelists Reputation:
File, IP, App, Email
App Signatures
Digitally signed files
Blacklists
Signatures
Heuristics
Reputation:
File, IP,
App, Email
Generic Signatures
Proč tradiční AV systém nestačí?
Sandboxing

13. 15
Klasická podoba útoku pomocí malware
Malicious
Email
Malicious
Web Site
Malware
C&C
spam
malicious link
exploit
malware
bot commands
stolen data

14. 16
… a klasická obrana před ním
App Control
IP Reputation
Antispam
Web Filtering
Intrusion
Prevention
Antivirus
Malicious
Email
Malicious
Web Site
Malware
C&C
spam
malicious link
exploit
malware
bot commands
stolen data

15. PŘEDSTAVENÍ
PLATFORMY
FORTISANDBOX

16. 18
FortiSandbox je řešení pro ochranu před
pokročilými typy hrozeb, založené na
analýze reálného chování podezřelého kódu
v reálném čase. Díky tomu je FSA schopen
detekovat I zcela nové, pro tradiční AV
systémy zcela neznámé typy malware.
Představení platformy FortiSandbox
 Kombinuje řadu různých anti-evasion technik
 Podezřelý kód spouští a analyzuje v reálném prostředí
» Vyhodnocuje reálné chování
» Testuje v různých verzích OS a aplikací
 Využívá všechny FortiGuard databáze
» URL filtrační DB
» Databáze IP adres
» …
 Využívá data z dalších FSA

17. 19
Podporované operační systémy
 Široká podpora populárních OS
» Windows XP/7/8/10
» Android
» MacOS (cloud)
» Možnost vytvořit vlastní konfiguraci OS
» Implementována řada technik z kategorie Anti-evasion
» Výsledkem je kromě samotného verdiktu také kompletní log, packet capture,
screenshoty atd.

18. 21
 Schopnost detekce malware
» Potvrzeno v nezávislých testech
 ICSA (99.6%)
 NSS Labs (97.3%)
 Možnost integrace do sítě
» celá řada způsobů integrace
» Otevřené API
» Žádné licenční omezení
 Výkonnost
» Architektura optimalizovaná pro maximální
výkonnost
» Potvrzeno v nezávislých testech (NSS Labs)
Proč FortiSandbox?
FWB
FGT
FML
FCL
Switch
TAP
API

19. PŘEDSTAVENÍ
ROZŠIŘUJÍCÍ APLIKACE
PRO FORTISANDBOX

20. 23
Portálová aplikace vyvinutá nad FortiSandbox API

21. 24
Ukázka rozhraní Portálové aplikace

22. 25
Ukázka rozhraní Portálové aplikace

23. UCELENÝ KONCEPT
ZABEZPEČENÍ

24. 28
FortiSandbox a ochrana E-mailové komunikace

25. 30
Best Practices ochrany proti ransomware
 E-maily - blokovat spustitelné přílohy (exe, js,..)
» Blokovat e-maily obsahující “file share” (Dropbox,..) nebo povolit pouze vyjmenované
servery
» Hloubková kontrola archivů (zip,..)
 E-maily - implementace sandboxingu pro přílohy a URL
 E-maily - implementace DMARC (SPF a DKIM)
» s politikou reject a monitoringem provozu
 Firewall - provádět inspekci SSL komunikace (HTTPS,..)
» většina nežádoucího provozu komunikuje přes SSL
 Firewall - blokovat komunikaci se sítěmi typu TOR
 Firewall - segmentace sítí pomocí VLAN
 Firewall - segmentační firewall provádí security inspekce mezi VLANy

26. DĚKUJEME ZA
POZORNOST
Libor Soška
Břetislav Moc
www.pragodata.cz