Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS. Sebastian Mazurczyk Warszawa / 19, 06, 2015

Transkrypt

1 Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS Sebastian Mazurczyk Warszawa / 19, 06, 2015

2 TippingPoint: Źródła informacji 1. Cotygodniowe filtry Digital Vaccine chroniące przed nowymi exploitami 2. Bazy reputacyjne informacja o niebezpiecznych domenach oraz adresach IP 3. Filtry anti-malware wykrywanie komunikacja z C&C, komunikacji charakterystycznej dla malwaru Digital Vaccine Anti-Malware Reputacja

3 Produkty rodziny HP TippingPoint Next-Generation Intrusion Prevention (NGIPS) Inspekcja ruchu sieciowego w celu wykrycia ataków na znane podatności oraz zero-day Digital Vaccine Labs (DV-Labs) Leader w dostarczaniu informacji o wykrytych podatnościach Dostarcza ochronę przed zero-day Next-Generation Firewall (NGFW) NGIPS z funkcja firewalla kategorii enterpise Integrated Policy Security Management System (SMS) Centralny system zarządzania NGIPS oraz NGFW Pojedyncza konsola do konfigurowania polityk Advanced Threat Appliance (ATA) Stosowanie wielu technik w ponad 80 protokołach w celu wykrycia zagrożenia Rozszerzona ochrona umożliwiająca blokowanie rozprzestrzenianie się zagrożenia

4 Dlaczego HP ATA potrzebna jest w organizacji? ATA Znane i jeszcze nieznane Zero-Day Malware NGIPS/NGFW Znane i jeszcze nieznane Zero-Day Exploits

5 Carbanak

6 Cykl życia malwaru CARBANAK Punkty wejścia Rozpoznanie C&C Propagacja

7 Phishing Social Engineering Watering hole / drive-by download Punkty wejścia Punkty wejścia Rozpoznanie C&C Propagacja

8 Carbanak - punkty wejścia Zastosowana kampania phisingowa która zawierała exploity na różne wersje Microsoft Office Word 97, 2003 i CVE CVE CVE Załącznik zawiera zainfekowany plik z rozszerzeniem.cpl który był spakowany za pomocą rar a Celem ataku były instytucje finansowe a motywem było pozyskanie pieniędzy

9 Jak temu zapobiec? CVE HP TippingPoint Digital Vaccine 12232, : Microsoft Windows Common Controls Buffer Overflow (RTF format) 12740: Microsoft Windows Common Controls Buffer Overflow (Word format) CVE HP TippingPoint Digital Vaccine 13202, : Microsoft Office TIFF Parsing Memory Corruption Vulnerability 13408: TIFF Parsing Memory Corruption Vulnerability CVE HP TippingPoint Digital Vaccine : Malicious Rich Text File (RTF) Download

10 Rozpoznanie obiektu Wrażliwe dane Zebranie informacji o podatnościach Niezaktualizowane oprogramowanie Dostępne porty/aplikacje/usługi Punkty wejścia Rozpoznanie C&C Propagacja

11 Carbanak- rozpoznanie Po zainstalowaniu na maszynie dokonywane było sprawdzanie gdzie mogą znajdować się istotne cele Zbierane również były prinscreeny/video i przesyłane były do zdalnego serwera aby nauczyć się poznać nawyki użytkownika Używanie odpowiednich kont aby móc wykonać transakcje finansowe

12 Jak temu zapobiec? Filtry wykrywające skanowanie portów 290, 291, 292, 293, 302, 303, 304, 317, 321, 325, etc Filtry wykrywające używanie narzędzi 282, 283, 307, 308, 5149, 10711, 10714, 10767, 12618, 12875, etc

13 Punkty wejścia Rozpoznanie Komunikacja z zainfekowaną stacją Rozprzestrzenianie się za pomocą (SMB,SMTP,itd ) C&C Propagacja

14 Carbanak Infekowanie i rozprzestrzenianie się Atakujący używał wielu narzędzi zdalnej kontroli aby cały czas mieć kontrolę Ammyy Admin Secure Shell Telnet RDP VNC

15 Jak temu zapobiec? Ammyy Admin Remote Access Tool HP TippingPoint Digital Vaccine : Tunneling: Ammyy Remote Administration Tool Remote Desktop Protocol (RDP) HP TippingPoint Digital Vaccine 5683,5685, : RDP: Windows Remote Desktop Access on Non-Standard Ports 5685: RDP: Windows Remote Desktop Access on Non-Standard Ports 11659: RDP: Windows Remote Desktop Administrator Connection Attempt Virtual Network Computing (VNC) HP TippingPoint Digital Vaccine 5948, : RFB: VNC Connection Request 9950: SSH: SSH Login Attempt On VNC Port

16 Punkty wejścia Rozpoznanie C&C Otrzymywanie instrukcji z C2 Instalowanie następnych malwarów Wykradanie Propagacja informacji z instytucji

17 Carbanak C&C Carbanak komunikuje się z C&C poprzez HTTP z szyfracją RC2+Base64 Zbiera dane (logi, video, hasła, dokumenty) i przesyła je do serwera C&C Carbanak może akceptować około 30 różnych komend z C&C aby zainstalować dodatkowy software, uruchomić/zatrzymać procesy, tunelowa ruch, aktualizować się

18 Analiza plików w HP ATA Advanced Threat Appliance Urządzenie TippingPoint Advanced Threat Detection może wykryć malware Carbank jak również inne rodzaje malwaru używane podczas tego ataku. BKDR_CARBANAK.B TSPY_CHEPRO.JTJ TROJ_ZUSY.KEK TROJ_MBRKILL.A TROJ_CARBERP.KE TROJ_ARTIEF.NCK PE_VIRLOCK.F-O

19 Inet 1. HP TippingPoint ATA sprawdza przesyłany plik czy nie jest zagrożeniem- DMZ wykrywa potencjalną ofiarę w sieci LAN 2. HP TippingPoint ATA wysyła informacje uzyskane z analizy do systemu Core ATA MIRROR Ports SMS Branch HP TippingPoint SMS 3. TippingPoint s SMS dystrybuuje otrzymane informacje do wszystkich urządzeń (HP TipingPoint NGFW / NGIPS) Strefy bezpieczeństwa NGIPS/NGFW Distri. ATA SMS HP TippingPoint NGIPS/NGFW HP TippingPoint Advanced Threat Appliance HP TippingPoint Security Management System (SMS)

20 Jak działa ATA? 1) Hash MD5 pliku porównywany jest z bazą hashy aby uzyskać czy nie jest już znany 2) Wykonywana jest analiza heurystyczna 3) Uruchomienie podejrzanego pliku w sandboxie 4) Przyspieszanie czasu i analiza zachowania 5) Użycie informacji z sandboxa do zaimportowania do innych systemów np. RepDV Baza danych informacji o plikach Network Content Inspection Engine Advanced Threat Security Engine Reputacja IP & URL Sandbox Network Content Correlation Engine

21 Advanced Threat Appliance Network Dostosowany sandbox do środowiska klienta Sandbox odwzorowujący aplikacje i systemy stosowane w organizacji ATA - Network 250 ATA - Network 500 ATA - Network 1000 ATA - Network 4000 Wydajność 250 Mb/ss 500 Mb/s 1 Gb/s 4 Gb/s Liczba portów 4x1G 4x1G 4x1G 4x1G, 2x10G Liczba maszyn - sandbox Wykrywanie zagrożeń w całym ruchu Wykrywanie malwaru, C&C, różnych aktywności dla ponad 80 protokołów na dowolnych portach Technika zapobiegania wykrycia przez malware Emulacja Klawiatury, ruchu myszki, wpisywania na klawiaturze, blokowanie wykrycia wirtualnych urządzeń Wysokość platformy 1U Rack-Mount 2U Rack-Mount

22 Advanced Threat Appliance Mail Załączniki chronione hasłem Możliwość próby rozszyfrowania załącznika przy pomocy hasła które może znajdować się w u lub haseł z listy zaimportowanej do systemu. Podejmowane akcje Kwarantanna, usunięcie, przesłanie z odpowiednią adnotacją Analiza załączników Pliki Office, PDF, Zip oraz wiele innych sprawdzane w celu wykrycia zagrożenia ATA - Mail 6000 Wydajność Liczba portów 400,000 i/dzień 4x1G Liczba maszyn - sandbox 24 Wysokość platformy 1U Rack-Mount

23 HP TippingPoint ATA Pojedyncze urządzenie Sandboxy = środowisko klienta Wersja OS oraz service pack Język systemu oraz klawiatura Model Sandboxe s Throughput ATA Mbps ATA Mbps ATA Gbps ATA Gbps Programy używany w firmie ATA Appliance day ~ s a Ponad 80 protokołów skanownych przez jedno urządzenie Wydajność urządzeń 250Mb/s 4 Gb/s Integracja z HP TippingPoint s NGIPS oraz NGFW ATA

24 Dziękuje