More Related Content
Similar to Sandblast (20)
More from Ingria. Technopark St. Petersburg (20)
Sandblast
- 1. ©2015 Check Point Software Technologies Ltd. 1©2015 Check Point Software Technologies Ltd. [Protected] Non-confidential content
Анатолий Виклов| Security Engineer, Check Point Россия
aviklov@checkpoint.com
МЕТОДЫ
ПРЕДОТВРАЩЕНИЯ
ДЕЙСТВИЯ
ВРЕДОНОСНОГО КОДА
- 2. ©2015 Check Point Software Technologies Ltd. 2
The First Malware
[Protected] Non-confidential content
К истокам...
- 3. ©2015 Check Point Software Technologies Ltd. 3
Полиморфизм
[Protected] Non-confidential content
- 4. ©2015 Check Point Software Technologies Ltd. 4
Метаморфизм
[Protected] Non-confidential content
- 5. ©2015 Check Point Software Technologies Ltd. 5
Пример 2015 года:
Троян ‘EXPLOSIVE’
[Protected] Non-confidential content
- Функционал
- Цель – операционная система MS Windows
- Предоставляет атакующему удаленный доступ
- Автоматическое инфицирование съемных дисков
USB
- Динамически обновляемая информация о C&C
серверах
- Мониторинг CPU и оперативной памяти
- Псевдо-Метаморфизм
- 6. ©2015 Check Point Software Technologies Ltd. 6
Временная шкала детектирования
0008065861f5b09195e51add72dacd3c4bbce6444711320ad349c7dab5bb97fb
[Protected] Non-confidential content
0/47 0/49 0/55 0/57
8/57
27/57
36/57
40/57
43/57
0%
100%
Детект на Virus Total– EXPLOSIVE
- 7. ©2015 Check Point Software Technologies Ltd. 7
Эволюционирование техник обхода
вредоносным ПО
[Protected] Non-confidential content
Обфускация
Полиморфизм
Метаморфизм
Таргетированное
шифрование
Неизвестное
неизвестное
- 8. ©2015 Check Point Software Technologies Ltd. 8[Protected] Non-confidential content
Сейчас наиболее эффективное решение -
Песочница Безопасная среда для
исследования ПО
- 9. ©2015 Check Point Software Technologies Ltd. 9[Protected] Non-confidential content
Мониторинг:
• Системный реестр
• Сетевые соединения
• Активность файловой
системы
• Системные процессы и
сервисы
Эмуляция запуска в защищенной среде
Классическая песочница
Принцип работы
Отслеживание признаков,типичных для вредоносного ПО
T H R E AT C O N T AI N E D
- 10. ©2015 Check Point Software Technologies Ltd. 10
Песочницу сложно обойти, НО...
[Protected] Non-confidential content
Злоумышленники разрабатывают техники
обхода:
• Детектирование вредоносным ПО
виртуальных сред
• Задержка атаки…
по времени или действию пользователя
• Проверка версии ОС и ПО
• Использование защищенных каналов связи
©2015 Check Point Software Technologies Ltd.
- 11. ©2015 Check Point Software Technologies Ltd. 11
Спрячь на самом видном месте
Пример ЗАО «Лаборатория Касперского»
[Protected] Non-confidential content
Source: Wired Magazine
• Отсутствие вредоносного
ПО на жестких дисках
зараженных станций
• Размещение кода
ТОЛЬКО в оперативной
памяти
• После перезагрузки
повторное
инфицирование с других
зараженных станций ЛВС
- 12. ©2015 Check Point Software Technologies Ltd. 12[Protected] Non-confidential content
Оставаться на шаг впереди
Представляем
Эффективно Проактивно Управляемо
- 13. ©2015 Check Point Software Technologies Ltd. 13
Беспрецедентная защита в реальном времени от
неизвестного вредоносного ПО, 0-day уязвимостей и
таргетированных атак
Что такое SANDBLAST?
Песочница
Устойчивое к
попыткам
обхода
решение
Threat Extraction
Мгновенная
доставка
гарантированно
безопасных
вложений
[Protected] Non-confidential content
- 14. ©2015 Check Point Software Technologies Ltd. 14
Цепочка атаки
[Protected] Non-confidential content
Атакующий использует
непропатченные версии ПО или 0-
day уязвимость
Обход защитных механизмов CPU и
ОС с использованием техник обхода
Инжектирование эксплойтом с
целью загрузки вредоносного ПО
Запуск вредоносного ПО
Уязвимость
Эксплойт
Shellcode (Запуск
«полезной нагрузки»)
Запуск вредоносного
ПО
- 15. ©2015 Check Point Software Technologies Ltd. 15
Идентификация на уровне эксплойта - мы на
шаг впереди
[Protected] Non-confidential content
Уязвимость
Эксплойт
SHELLCODE
Вредоносное ПО
Тысячи их
Миллионы
Десятки
Противодействие детекту
Традиционная песочница
- 16. ©2015 Check Point Software Technologies Ltd. 16
Детектирование на уровне CPU
Детект вредоноса до попытки обхода
Оставаясь на шаг впереди
Современные процессоры
оснащены сложными механизмами
мониторинга отладки и позволяют
отслеживать операции
[Protected] Non-confidential content
- 17. ©2015 Check Point Software Technologies Ltd. 17[Protected] Non-confidential content
Детект
эксплойтов
на уровне
CPU
• Высочайший уровень
детектирования
• Устойчив к обходу
• Эффективен и быстр
• Только от Check Point!
- 18. ©2015 Check Point Software Technologies Ltd. 18
ЛВС
Шлюз безопасности
Эмуляция в облаке Эмуляция на устройстве
Интернет
- 19. ©2015 Check Point Software Technologies Ltd. 19
INSPECT
FILE
PREVENTSHARE
Защита от неизвестных атак с помощью
Check Point Threat Emulation
ПРОВЕРКА ЭМУЛЯЦИЯ
ПРЕДОТВРАЩЕНИЕИНФОРМИРОВАНИЕ
- 20. ©2015 Check Point Software Technologies Ltd. 20
exe,pdf,MS Office,
flash, jar etc…
Определение
файлов во
вложениях и
при
скачивании с
WEB
Загрузка
файлов в
виртуальный
ПАК (локально
или в облаке)
ПРОВЕРКА
- 21. ©2015 Check Point Software Technologies Ltd. 21
ЭМУЛЯЦИЯ
Файл
открывается и
происходит
анализ
поведения
Эмуляция
файла в
разных ОС
Windows XP&7
Мониторинг
поведения:
• Файловая система
• Системный реестр
• Сетевые подключения
• Системные процессы
- 22. ©2015 Check Point Software Technologies Ltd. 22
ПРЕДОТВРАЩЕНИЕ
Шлюз
безопасности
Блокировка
вредоносных
файлов в
реальном
времени
- 23. ©2015 Check Point Software Technologies Ltd. 23
Обновление
для всех
шлюзов
ИНФОРМИРОВАНИЕ
- 24. ©2015 Check Point Software Technologies Ltd. 24
INSPECT
FILE
PREVENTSHARE
Защита от неизвестных атак с помощью
Check Point Threat Emulation
ПРОВЕРКА ЭМУЛЯЦИЯ
ПРЕДОТВРАЩЕНИЕИНФОРМИРОВАНИЕ
- 25. ©2015 Check Point Software Technologies Ltd. 25
Выглядит как
обычное резюме?
Threat Emulation за работой
- 26. ©2015 Check Point Software Technologies Ltd. 27
Joseph_Nyee.pdf
Файловая
активность
Системный
реестр
Системные
процессы
Сетевые
соединения
Некорректная файловая активность
Операции с системным реестром
Сетевая активность
Операции с процессами
Threat Emulation за работой
- 27. ©2015 Check Point Software Technologies Ltd. 28
Таргетированная атака 2014 года
ЦЕЛИ:
Российские и
европейские
организации
E-mail От миссис Мира
МЕТОД:
Точечная фишинговая
рассылка с эксплойтом
в формате MS Word
- 28. ©2015 Check Point Software Technologies Ltd. 29
Использование
новой уязвимости
MS word (CVE-2012-0158)
Вредоносный документ
RETURN ORIENTED PROGRAMMING (ROP)
EXPLOIT
• Отсылал системную
информацию в командный
центр
• Скачивал и устанавливал
дополнительные модули
для управления
• Шифровал и отправлял
конфиденциальные
данные в командный
центр
- 29. ©2015 Check Point Software Technologies Ltd. 30
Традиционная песочница –
традиционные задержки
[Protected] Non-confidential content
• Как результат, во многих инсталляциях песочницы не
используются в режиме блокировки
• Вредоносный файл может попасть к пользователю, пока
находится в очереди для проверки
ПРОВЕРКА ЗАНИМАЕТ ВРЕМЯ
- 30. ©2015 Check Point Software Technologies Ltd. 31
SANDBLAST THREAT EXTRACTION
[Protected] Non-confidential content
Немедленный доступ
Не детект, но упреждающая защита
Попытки атаки очевидны
Упреждающая
защита
- 31. ©2015 Check Point Software Technologies Ltd. 32
Доставляем гарантированно безопасные
файлы
[Protected] Non-confidential content
Б е з н а с С н а м и
Инфекция Вредоносный код
удален
- 32. ©2015 Check Point Software Technologies Ltd. 33
Избавим от будущих
заражений уже сейчас!
ВЫСОЧАЙШИЙ УРОВЕНЬ ДЕТЕКТА
МГНОВЕННАЯ ДОСТАВКА БЕЗОПАСНОГО
КОНТЕНТА
[Protected] Non-confidential content
- 33. ©2015 Check Point Software Technologies Ltd. 34©2015 Check Point Software Technologies Ltd.
СПАСИБО!
[Protected] Non-confidential content