Rozwój zagrożeń i ich mitygacja. Seweryn Jodłowski Senior Systems Engineer, CISSP, CNSE

Transkrypt

1 Rozwój zagrożeń i ich mitygacja Seweryn Jodłowski Senior Systems Engineer, CISSP, CNSE

2 Typowy cykl życia ataku Zwabienie użytkownika Wykorzystanie exploita Dogranie i uruchomienie złośliwego kodu Kanał kontrolny Eksploracja zasobów / kradzież danych Przynęta Cicha infekcja Uruchomienie złośliwego pliku Komunikacja zwrotna z atakującym Kradzież danych, sabotaż, uszkodzenie Kontrola prewencyjna Kontrola reakcyjna Unieruchomienie ataku na jak najwcześniejszym etapie jest bardzo istotne , Palo Alto Networks. Confidential and Proprietary.

3 W jaki sposób możemy zostać skompromitowani? 1. Cicha infekcja z wykorzystaniem Exploit Kits 2. Pliki w załącznikach Dokumenty Office / PDF Pliki wykonywalne (PE) Pliki.JS 3. Linki URL w dogrywające pliki prosto ze stron WWW

4 Co to są Exploit Kits (EKs)? Zaawansowane narzędzia wykorzystujące podatności aplikacji i systemów operacyjnych w celu cichej infekcji komputera ofiary w momencie wizyty na stronie WWW Możliwość instalacji RÓŻNEGO złośliwego oprogramowania np. Ransomware Złośliwa reklama (malvertisements) jest często źródłem infekcji

5 Schemat dostarczenia EK Game Over System zostaje zainfekowany Użytkownik odwiedza zainfekowaną stronę WWW Exploit Kit po cichu wykorzystuje podatność typu client-side Dogrywany jest złośliwy kod metodą Drive-bydownload

6 Anatomia dostarczenia EK Stwórz payload Dostarcz Stwórz payload i wykonaj obfuscacje kodu Sprawdź versus istniejące sygnatury AV Wypożycz slot w Exploit Kit, przygotuj sposób dostarczenia Wstaw przekierowania w skompromitowane strony lub skorzystaj z serwisów reklamowych Monitoruj skuteczność dostarczenia i poziom wykrywania AV/URL

7 Najbardziej niebezpieczna broń przeciwko przedsiębiorstwom

8 Czemu atakujący decydują się z tego skorzystać? Efektywne Nie można tych plików zablokować Proste Łatwe do stworzenia

9 Wektory ataku w złośliwych dokumentach Bazujące na makrach Wykorzystujących exploity

10 Anatomia ataku MsOffice (z wykorzystaniem makr) Stwórz payload Sformatuj plik Dostarcz Stwórz payload i wykonaj obfuscacje kodu Sprawdź versus istniejące sygnatury AV Stwórz makro Sprawdź versus istniejące sygnatury AV Stwórz plik z wykorzystaniem technik Social Engineering Dodaj makro do pliku MsOffice Stwórz z wykorzystaniem technik Social Engineering Dostarcz wykorzystując własną lub wynajętą infrastrukturę

11 Anatomia ataku MsOffice (z wykorzystaniem exploita) Stwórz payload Sformatuj plik Dostarcz Stwórz payload i wykonaj obfuscacje kodu Sprawdź versus istniejące sygnatury AV Dodaj payload do pliku MsOffice lub strony WWW: CVE CVE Stwórz z wykorzystaniem technik Social Engineering Dostarcz wykorzystując własną lub wynajętą infrastrukturę

12 Jak to się odbywa? typu Spear Phishing Atakujący Zdalny dostęp Backdoor Trojan Ofiara Dokument z exploitem Atrapa dokumentu (wabik)

13 Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu

14 Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL

15 Kontrola URL - rekomendacje Zablokuj niebezpieczne kategorię za pomocą PAN-DB: Malware, phishing, dynamic DNS, unknown, proxy-avoidance, questionable, parked Połącz blokowanie plików z URL filtering Blokuj pliki PE ze stron należących do niebezpiecznych kategorii: Malware, phishing, dynamic DNS, unknown, proxy-avoidance, questionable, parked Wykorzystuj przycisk Continue aby ostrzec pracowników o potencjalnych, niebezpiecznych stronach WWW

16 Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL Blokowanie znanych zagrożeń sygnatury IPS/AV

17 Przykładowe sygnatury IPS dla MsOffice CVE Microsoft Word RTF File Remote Code Execution Vulnerability (36403, 36414) Microsoft Word RTF File Potential Malformed Field (36415) CVE Microsoft Word TIFF Image Integer Overflow Vulnerability (36208, 36207) CVE Microsoft Windows MSCOMCTL OCX RCE Stack Buffer Overflow Vulnerability (34896, 35835, 35069, other signatures) CVE Microsoft Office RTF Parsing Stack Buffer Overflow Vulnerability (33566)

18 Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL Blokowanie znanych zagrożeń sygnatury IPS/AV Blokowanie niebezpiecznych typów plików

19 Kontrola plików - rekomendacje Blokuj: Blokuj wszystkie pliki PE (.EXE,.CPL,.DLL,.OCX,.SYS,.SCR,.DRV,.EFI,.FON,.PIF), Blokuj pliki.hlp i.lnk Blokuj pliki.chm,.bat i.vbs Zaszyfrowane typy plików: Blokuj lub Alarmuj o zaszyfrowanych plikach.zip i.rar rozważ to jako wskazówka o możliwości ataku Alarmuj o wszystkich innych typach plików przesyłanych w obu kierunkach Opcja: A co jeśli nie mogę blokować wszystkich plików.exe? Opcja1 Sprawdź pliki PE w WildFire Opcja 2 Włącz ochronę Drive-by-download

20 Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL Blokowanie znanych zagrożeń sygnatury IPS/AV Blokowanie niebezpiecznych typów plików Analiza plików nieznanych Sandbox

21 Analiza Sandbox plików nieznanych - rekomendacje Wysyłaj wszystkie pliki PE i URL-e do analizy Wysyłaj wszystkie pliki biurowe do analizy w prywatnym systemie lub wybrane w publicznym Aktualizuj system nowymi informacjami w czasie 5 minut (nawet gdy nie chcesz wysyłać swoich plików) Sygnatury AV Sygnatury C2/DNS Strony WWW (kategoria malware i phishing)

22 Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL Blokowanie znanych zagrożeń sygnatury IPS/AV Blokowanie niebezpiecznych typów plików Analiza plików nieznanych Sandbox Blokowanie ruchu C&C (DNS, URL)

23 Podmiana adresu IP DNS Sinkhole Zarażony host IP: Krok3: Zarażony host próbuje połączyć się ze złośliwą domeną używając adresu i zostaje zablokowany przez firewall Firewall Krok 1: Jaki adres IP ma strona Prywatny serwer DNS Krok 2: Firewall w odpowiedzi DNS podmienia adres IP ma IP zamiast Publiczny serwer DNS , Palo Alto Networks. Confidential and Proprietary.

24 Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL Blokowanie znanych zagrożeń sygnatury IPS/AV Blokowanie niebezpiecznych typów plików Analiza plików nieznanych Sandbox Blokowanie ruchu C&C (DNS, URL) Ochrona stacji końcowych

25 Ochrona stacji końcowych - rekomendacje Ochrona przed złośliwym oprogramowaniem (znanym / nowym, nieznanym) Ochrona przed próbami wykorzystania znanych i nieznanych podatności aplikacji i systemów operacyjnych bez wcześniejszej znajomości tych podatności (exploity dnia zerowego)

26