Sandblast
•
1 like•379 views
Meet the Experts: Практический тренинг по Check Point Threat Prevention TS Solution и Бизнес-инкубатор "Ингрия"
![©2015 Check Point Software Technologies Ltd. 1©2015 Check Point Software Technologies Ltd. [Protected] Non-confidential content
Анатолий Виклов| Security Engineer, Check Point Россия
aviklov@checkpoint.com
МЕТОДЫ
ПРЕДОТВРАЩЕНИЯ
ДЕЙСТВИЯ
ВРЕДОНОСНОГО КОДА](https://image.slidesharecdn.com/sandblast-160217080911/85/Sandblast-1-320.jpg)
![©2015 Check Point Software Technologies Ltd. 2
The First Malware
[Protected] Non-confidential content
К истокам...](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (20)
Similar to Sandblast
Similar to Sandblast (20)
More from Ingria. Technopark St. Petersburg
More from Ingria. Technopark St. Petersburg (20)
Sandblast
- 1. ©2015 Check Point Software Technologies Ltd. 1©2015 Check Point Software Technologies Ltd. [Protected] Non-confidential content Анатолий Виклов| Security Engineer, Check Point Россия aviklov@checkpoint.com МЕТОДЫ ПРЕДОТВРАЩЕНИЯ ДЕЙСТВИЯ ВРЕДОНОСНОГО КОДА
- 2. ©2015 Check Point Software Technologies Ltd. 2 The First Malware [Protected] Non-confidential content К истокам...
- 3. ©2015 Check Point Software Technologies Ltd. 3 Полиморфизм [Protected] Non-confidential content
- 4. ©2015 Check Point Software Technologies Ltd. 4 Метаморфизм [Protected] Non-confidential content
- 5. ©2015 Check Point Software Technologies Ltd. 5 Пример 2015 года: Троян ‘EXPLOSIVE’ [Protected] Non-confidential content - Функционал - Цель – операционная система MS Windows - Предоставляет атакующему удаленный доступ - Автоматическое инфицирование съемных дисков USB - Динамически обновляемая информация о C&C серверах - Мониторинг CPU и оперативной памяти - Псевдо-Метаморфизм
- 6. ©2015 Check Point Software Technologies Ltd. 6 Временная шкала детектирования 0008065861f5b09195e51add72dacd3c4bbce6444711320ad349c7dab5bb97fb [Protected] Non-confidential content 0/47 0/49 0/55 0/57 8/57 27/57 36/57 40/57 43/57 0% 100% Детект на Virus Total– EXPLOSIVE
- 7. ©2015 Check Point Software Technologies Ltd. 7 Эволюционирование техник обхода вредоносным ПО [Protected] Non-confidential content Обфускация Полиморфизм Метаморфизм Таргетированное шифрование Неизвестное неизвестное
- 8. ©2015 Check Point Software Technologies Ltd. 8[Protected] Non-confidential content Сейчас наиболее эффективное решение - Песочница Безопасная среда для исследования ПО
- 9. ©2015 Check Point Software Technologies Ltd. 9[Protected] Non-confidential content Мониторинг: • Системный реестр • Сетевые соединения • Активность файловой системы • Системные процессы и сервисы Эмуляция запуска в защищенной среде Классическая песочница Принцип работы Отслеживание признаков,типичных для вредоносного ПО T H R E AT C O N T AI N E D
- 10. ©2015 Check Point Software Technologies Ltd. 10 Песочницу сложно обойти, НО... [Protected] Non-confidential content Злоумышленники разрабатывают техники обхода: • Детектирование вредоносным ПО виртуальных сред • Задержка атаки… по времени или действию пользователя • Проверка версии ОС и ПО • Использование защищенных каналов связи ©2015 Check Point Software Technologies Ltd.
- 11. ©2015 Check Point Software Technologies Ltd. 11 Спрячь на самом видном месте Пример ЗАО «Лаборатория Касперского» [Protected] Non-confidential content Source: Wired Magazine • Отсутствие вредоносного ПО на жестких дисках зараженных станций • Размещение кода ТОЛЬКО в оперативной памяти • После перезагрузки повторное инфицирование с других зараженных станций ЛВС
- 12. ©2015 Check Point Software Technologies Ltd. 12[Protected] Non-confidential content Оставаться на шаг впереди Представляем Эффективно Проактивно Управляемо
- 13. ©2015 Check Point Software Technologies Ltd. 13 Беспрецедентная защита в реальном времени от неизвестного вредоносного ПО, 0-day уязвимостей и таргетированных атак Что такое SANDBLAST? Песочница Устойчивое к попыткам обхода решение Threat Extraction Мгновенная доставка гарантированно безопасных вложений [Protected] Non-confidential content
- 14. ©2015 Check Point Software Technologies Ltd. 14 Цепочка атаки [Protected] Non-confidential content Атакующий использует непропатченные версии ПО или 0- day уязвимость Обход защитных механизмов CPU и ОС с использованием техник обхода Инжектирование эксплойтом с целью загрузки вредоносного ПО Запуск вредоносного ПО Уязвимость Эксплойт Shellcode (Запуск «полезной нагрузки») Запуск вредоносного ПО
- 15. ©2015 Check Point Software Technologies Ltd. 15 Идентификация на уровне эксплойта - мы на шаг впереди [Protected] Non-confidential content Уязвимость Эксплойт SHELLCODE Вредоносное ПО Тысячи их Миллионы Десятки Противодействие детекту Традиционная песочница
- 16. ©2015 Check Point Software Technologies Ltd. 16 Детектирование на уровне CPU Детект вредоноса до попытки обхода Оставаясь на шаг впереди Современные процессоры оснащены сложными механизмами мониторинга отладки и позволяют отслеживать операции [Protected] Non-confidential content
- 17. ©2015 Check Point Software Technologies Ltd. 17[Protected] Non-confidential content Детект эксплойтов на уровне CPU • Высочайший уровень детектирования • Устойчив к обходу • Эффективен и быстр • Только от Check Point!
- 18. ©2015 Check Point Software Technologies Ltd. 18 ЛВС Шлюз безопасности Эмуляция в облаке Эмуляция на устройстве Интернет
- 19. ©2015 Check Point Software Technologies Ltd. 19 INSPECT FILE PREVENTSHARE Защита от неизвестных атак с помощью Check Point Threat Emulation ПРОВЕРКА ЭМУЛЯЦИЯ ПРЕДОТВРАЩЕНИЕИНФОРМИРОВАНИЕ
- 20. ©2015 Check Point Software Technologies Ltd. 20 exe,pdf,MS Office, flash, jar etc… Определение файлов во вложениях и при скачивании с WEB Загрузка файлов в виртуальный ПАК (локально или в облаке) ПРОВЕРКА
- 21. ©2015 Check Point Software Technologies Ltd. 21 ЭМУЛЯЦИЯ Файл открывается и происходит анализ поведения Эмуляция файла в разных ОС Windows XP&7 Мониторинг поведения: • Файловая система • Системный реестр • Сетевые подключения • Системные процессы
- 22. ©2015 Check Point Software Technologies Ltd. 22 ПРЕДОТВРАЩЕНИЕ Шлюз безопасности Блокировка вредоносных файлов в реальном времени
- 23. ©2015 Check Point Software Technologies Ltd. 23 Обновление для всех шлюзов ИНФОРМИРОВАНИЕ
- 24. ©2015 Check Point Software Technologies Ltd. 24 INSPECT FILE PREVENTSHARE Защита от неизвестных атак с помощью Check Point Threat Emulation ПРОВЕРКА ЭМУЛЯЦИЯ ПРЕДОТВРАЩЕНИЕИНФОРМИРОВАНИЕ
- 25. ©2015 Check Point Software Technologies Ltd. 25 Выглядит как обычное резюме? Threat Emulation за работой
- 26. ©2015 Check Point Software Technologies Ltd. 27 Joseph_Nyee.pdf Файловая активность Системный реестр Системные процессы Сетевые соединения Некорректная файловая активность Операции с системным реестром Сетевая активность Операции с процессами Threat Emulation за работой
- 27. ©2015 Check Point Software Technologies Ltd. 28 Таргетированная атака 2014 года ЦЕЛИ: Российские и европейские организации E-mail От миссис Мира МЕТОД: Точечная фишинговая рассылка с эксплойтом в формате MS Word
- 28. ©2015 Check Point Software Technologies Ltd. 29 Использование новой уязвимости MS word (CVE-2012-0158) Вредоносный документ RETURN ORIENTED PROGRAMMING (ROP) EXPLOIT • Отсылал системную информацию в командный центр • Скачивал и устанавливал дополнительные модули для управления • Шифровал и отправлял конфиденциальные данные в командный центр
- 29. ©2015 Check Point Software Technologies Ltd. 30 Традиционная песочница – традиционные задержки [Protected] Non-confidential content • Как результат, во многих инсталляциях песочницы не используются в режиме блокировки • Вредоносный файл может попасть к пользователю, пока находится в очереди для проверки ПРОВЕРКА ЗАНИМАЕТ ВРЕМЯ
- 30. ©2015 Check Point Software Technologies Ltd. 31 SANDBLAST THREAT EXTRACTION [Protected] Non-confidential content Немедленный доступ Не детект, но упреждающая защита Попытки атаки очевидны Упреждающая защита
- 31. ©2015 Check Point Software Technologies Ltd. 32 Доставляем гарантированно безопасные файлы [Protected] Non-confidential content Б е з н а с С н а м и Инфекция Вредоносный код удален
- 32. ©2015 Check Point Software Technologies Ltd. 33 Избавим от будущих заражений уже сейчас! ВЫСОЧАЙШИЙ УРОВЕНЬ ДЕТЕКТА МГНОВЕННАЯ ДОСТАВКА БЕЗОПАСНОГО КОНТЕНТА [Protected] Non-confidential content
- 33. ©2015 Check Point Software Technologies Ltd. 34©2015 Check Point Software Technologies Ltd. СПАСИБО! [Protected] Non-confidential content