Rozwój zagrożeń i ich mitygacja. Seweryn Jodłowski Senior Systems Engineer, CISSP, CNSE

Podobne dokumenty
Ataki w środowiskach produkcyjnych. (Energetic bear / Dragon Fly / Still mill furnace)

Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS. Sebastian Mazurczyk Warszawa / 19, 06, 2015

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

WSTĘP CYKL ŻYCIA ATAKU

Technologia Automatyczne zapobieganie exploitom

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

OCHRONA PRZED RANSOMWARE

n6: otwarta wymiana danych

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Podstawy bezpieczeństwa

Analiza Trojana NotCompatible.C

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Palo Alto TRAPS 4.0 Co nowego?

Ransomware w 15 minut czyli jak zarobić na advanced malwarze, nie mając o nim pojęcia

Otwock dn r. Do wszystkich Wykonawców

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Agenda. Urządzenia mobilne w transakcjach elektronicznych. - szanse i zagrożenia. Artur Maj, Prevenity. Przegląd rynku urządzeń mobilnych

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Adaptive Defense PROAKTYWNE PRZECIWDZIAŁANIE ZAGROŻENIOM

Palo Alto firewall nowej generacji

Łowienie w morzu pakietów czyli jak ukrywają się serwery Comand and Control. Ireneusz Tarnowski czerwca 2017, WROCŁAW

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Malware: złośliwe oprogramowanie. Marek Zachara. 1/18

ArcaVir 2008 System Protection

Szczegółowy opis przedmiotu zamówienia

Webroot SecureAnywhere ROZWIĄZANIA DLA UŻYTKOWNIKÓW DOMOWYCH

Botnet Hamweq - analiza

Zagrożenia mobilne w maju

'Dajcie mi rząd dusz, a będę rządził światem...' Botnet z punktu widzenia administratora sieci. Borys Łącki

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Marek Krauze

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Wykrywanie i odpieranie ataków socjotechnicznych oraz cybernetycznych - jak zaatakować napastnika? Grzegorz Wróbel

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Analiza malware Keylogger ispy

GDPR wdrożenie krok po kroku. Jakub Manikowski Presales Engineer

Znak sprawy: KZp

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Kaspersky Anti-Virus 2013 Kaspersky Internet Security Lista nowych funkcji

Produkty. F-Secure Produkty

Netia Mobile Secure Netia Backup

Trojan bankowy Emotet w wersji DGA

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Wyższy poziom bezpieczeństwa

Analiza malware Remote Administration Tool (RAT) DarkComet

Przestępcze scenariusze wykorzystania a sposoby zabezpieczeń Warszawa, 21 czerwca Tomasz Zawicki CISSP

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Kaspersky Security Network

Agenda. Rys historyczny Mobilne systemy operacyjne

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Analiza aktywności złośliwego oprogramowania Njw0rm

Produkty. ca Produkty

Panda Internet Security 2017 przedłużenie licencji

Arkanet s.c. Produkty. Norman Produkty

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

Projektowanie bezpieczeństwa sieci i serwerów

BitDefender Total Security - 10PC kontynuacja

Exchange PEPUG

BEZPIECZEŃSTWO W SIECIACH

Specyfikacja techniczna przedmiotu zamówienia

Necurs analiza malware (1)

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Agenda. Quo vadis, security? Artur Maj, Prevenity

Network Forensic Co mówią złapane pakiety?

Innowacja Technologii ICT vs Człowiek

C)IHE - Certified Incident Handling Engineer

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

SMB protokół udostępniania plików i drukarek

Instrukcja instalacji aplikacji i konfiguracji wersji sieciowej. KomKOD

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Niektóre typowe cechy wiadomości typu phishing to:

Bezpieczeństwo w sieci Internet Rodzaje złośliwego oprogramowania

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

PARAMETRY TECHNICZNE I FUNKCJONALNE

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

1. Bezpieczne logowanie i przechowywanie hasła

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

BEZPLIKOW YMI PAŹDZIERNIK2017

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

Instrukcja konfiguracji funkcji skanowania

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Skuteczna kontrola aplikacji i działao użytkowników w sieci Rozwiązanie Palo Alto Networks. Agenda

DLP i monitorowanie ataków on-line

11. Autoryzacja użytkowników

13. Konfiguracja proxy http, smtp, pop3, ftp, ssl

Snifery wbudowane w Microsoft Windows

DZIEŃ BEZPIECZNEGO KOMPUTERA

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

SIŁA PROSTOTY. Business Suite

Portal Security - ModSec Enterprise

Analiza malware'u SandroRAT_sec Kaspersky_Mobile_Security.apk

G DATA TechPaper Ransomware

Polityka ochrony danych osobowych w programie Norton Community Watch

Robaki sieciowe. + systemy IDS/IPS

Transkrypt:

Rozwój zagrożeń i ich mitygacja Seweryn Jodłowski Senior Systems Engineer, CISSP, CNSE

Typowy cykl życia ataku 1 2 3 4 5 Zwabienie użytkownika Wykorzystanie exploita Dogranie i uruchomienie złośliwego kodu Kanał kontrolny Eksploracja zasobów / kradzież danych Przynęta Cicha infekcja Uruchomienie złośliwego pliku Komunikacja zwrotna z atakującym Kradzież danych, sabotaż, uszkodzenie Kontrola prewencyjna Kontrola reakcyjna Unieruchomienie ataku na jak najwcześniejszym etapie jest bardzo istotne 2 2015, Palo Alto Networks. Confidential and Proprietary.

W jaki sposób możemy zostać skompromitowani? 1. Cicha infekcja z wykorzystaniem Exploit Kits 2. Pliki w załącznikach email Dokumenty Office / PDF Pliki wykonywalne (PE) Pliki.JS 3. Linki URL w email dogrywające pliki prosto ze stron WWW

Co to są Exploit Kits (EKs)? Zaawansowane narzędzia wykorzystujące podatności aplikacji i systemów operacyjnych w celu cichej infekcji komputera ofiary w momencie wizyty na stronie WWW Możliwość instalacji RÓŻNEGO złośliwego oprogramowania np. Ransomware Złośliwa reklama (malvertisements) jest często źródłem infekcji

Schemat dostarczenia EK Game Over System zostaje zainfekowany Użytkownik odwiedza zainfekowaną stronę WWW Exploit Kit po cichu wykorzystuje podatność typu client-side Dogrywany jest złośliwy kod metodą Drive-bydownload

Anatomia dostarczenia EK Stwórz payload Dostarcz Stwórz payload i wykonaj obfuscacje kodu Sprawdź versus istniejące sygnatury AV Wypożycz slot w Exploit Kit, przygotuj sposób dostarczenia Wstaw przekierowania w skompromitowane strony lub skorzystaj z serwisów reklamowych Monitoruj skuteczność dostarczenia i poziom wykrywania AV/URL

Najbardziej niebezpieczna broń przeciwko przedsiębiorstwom

Czemu atakujący decydują się z tego skorzystać? Efektywne Nie można tych plików zablokować Proste Łatwe do stworzenia

Wektory ataku w złośliwych dokumentach Bazujące na makrach Wykorzystujących exploity

Anatomia ataku MsOffice (z wykorzystaniem makr) Stwórz payload Sformatuj plik Dostarcz Stwórz payload i wykonaj obfuscacje kodu Sprawdź versus istniejące sygnatury AV Stwórz makro Sprawdź versus istniejące sygnatury AV Stwórz plik z wykorzystaniem technik Social Engineering Dodaj makro do pliku MsOffice Stwórz email z wykorzystaniem technik Social Engineering Dostarcz wykorzystując własną lub wynajętą infrastrukturę

Anatomia ataku MsOffice (z wykorzystaniem exploita) Stwórz payload Sformatuj plik Dostarcz Stwórz payload i wykonaj obfuscacje kodu Sprawdź versus istniejące sygnatury AV Dodaj payload do pliku MsOffice lub strony WWW: CVE-2013-3906 CVE-2014-1761 Stwórz email z wykorzystaniem technik Social Engineering Dostarcz wykorzystując własną lub wynajętą infrastrukturę

Jak to się odbywa? Email typu Spear Phishing Atakujący Zdalny dostęp Backdoor Trojan Ofiara Dokument z exploitem Atrapa dokumentu (wabik)

Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu

Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL

Kontrola URL - rekomendacje Zablokuj niebezpieczne kategorię za pomocą PAN-DB: Malware, phishing, dynamic DNS, unknown, proxy-avoidance, questionable, parked Połącz blokowanie plików z URL filtering Blokuj pliki PE ze stron należących do niebezpiecznych kategorii: Malware, phishing, dynamic DNS, unknown, proxy-avoidance, questionable, parked Wykorzystuj przycisk Continue aby ostrzec pracowników o potencjalnych, niebezpiecznych stronach WWW

Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL Blokowanie znanych zagrożeń sygnatury IPS/AV

Przykładowe sygnatury IPS dla MsOffice CVE-2014-1761 Microsoft Word RTF File Remote Code Execution Vulnerability (36403, 36414) Microsoft Word RTF File Potential Malformed Field (36415) CVE-2013-3906 Microsoft Word TIFF Image Integer Overflow Vulnerability (36208, 36207) CVE-2012-0158 Microsoft Windows MSCOMCTL OCX RCE Stack Buffer Overflow Vulnerability (34896, 35835, 35069, 36192 + 5 other signatures) CVE-2010-3333 Microsoft Office RTF Parsing Stack Buffer Overflow Vulnerability (33566)

Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL Blokowanie znanych zagrożeń sygnatury IPS/AV Blokowanie niebezpiecznych typów plików

Kontrola plików - rekomendacje Blokuj: Blokuj wszystkie pliki PE (.EXE,.CPL,.DLL,.OCX,.SYS,.SCR,.DRV,.EFI,.FON,.PIF), Blokuj pliki.hlp i.lnk Blokuj pliki.chm,.bat i.vbs Zaszyfrowane typy plików: Blokuj lub Alarmuj o zaszyfrowanych plikach.zip i.rar rozważ to jako wskazówka o możliwości ataku Alarmuj o wszystkich innych typach plików przesyłanych w obu kierunkach Opcja: A co jeśli nie mogę blokować wszystkich plików.exe? Opcja1 Sprawdź pliki PE w WildFire Opcja 2 Włącz ochronę Drive-by-download

Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL Blokowanie znanych zagrożeń sygnatury IPS/AV Blokowanie niebezpiecznych typów plików Analiza plików nieznanych Sandbox

Analiza Sandbox plików nieznanych - rekomendacje Wysyłaj wszystkie pliki PE i URL-e do analizy Wysyłaj wszystkie pliki biurowe do analizy w prywatnym systemie lub wybrane w publicznym Aktualizuj system nowymi informacjami w czasie 5 minut (nawet gdy nie chcesz wysyłać swoich plików) Sygnatury AV Sygnatury C2/DNS Strony WWW (kategoria malware i phishing)

Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL Blokowanie znanych zagrożeń sygnatury IPS/AV Blokowanie niebezpiecznych typów plików Analiza plików nieznanych Sandbox Blokowanie ruchu C&C (DNS, URL)

Podmiana adresu IP DNS Sinkhole Zarażony host Hacker @ www.badurl.com IP: 55.55.55.55 Krok3: Zarażony host próbuje połączyć się ze złośliwą domeną używając adresu 1.1.1.1 i zostaje zablokowany przez firewall Firewall Krok 1: Jaki adres IP ma strona www.badurl.com? Prywatny serwer DNS Krok 2: Firewall w odpowiedzi DNS podmienia adres IP www.badurl.com ma IP 1.1.1.1 zamiast 55.55.55.55 Publiczny serwer DNS 23 2016, Palo Alto Networks. Confidential and Proprietary.

Najlepsze praktyki ochrony Cel PREWENCJA Udostępnienie aplikacji istotnych z punktu widzenia biznesu Blokada nieznanych i złośliwych URL Blokowanie znanych zagrożeń sygnatury IPS/AV Blokowanie niebezpiecznych typów plików Analiza plików nieznanych Sandbox Blokowanie ruchu C&C (DNS, URL) Ochrona stacji końcowych

Ochrona stacji końcowych - rekomendacje Ochrona przed złośliwym oprogramowaniem (znanym / nowym, nieznanym) Ochrona przed próbami wykorzystania znanych i nieznanych podatności aplikacji i systemów operacyjnych bez wcześniejszej znajomości tych podatności (exploity dnia zerowego)

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres