Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS Sebastian Mazurczyk Warszawa / 19, 06, 2015
TippingPoint: Źródła informacji 1. Cotygodniowe filtry Digital Vaccine chroniące przed nowymi exploitami 2. Bazy reputacyjne informacja o niebezpiecznych domenach oraz adresach IP 3. Filtry anti-malware wykrywanie komunikacja z C&C, komunikacji charakterystycznej dla malwaru Digital Vaccine Anti-Malware Reputacja
Produkty rodziny HP TippingPoint Next-Generation Intrusion Prevention (NGIPS) Inspekcja ruchu sieciowego w celu wykrycia ataków na znane podatności oraz zero-day Digital Vaccine Labs (DV-Labs) Leader w dostarczaniu informacji o wykrytych podatnościach Dostarcza ochronę przed zero-day Next-Generation Firewall (NGFW) NGIPS z funkcja firewalla kategorii enterpise Integrated Policy Security Management System (SMS) Centralny system zarządzania NGIPS oraz NGFW Pojedyncza konsola do konfigurowania polityk Advanced Threat Appliance (ATA) Stosowanie wielu technik w ponad 80 protokołach w celu wykrycia zagrożenia Rozszerzona ochrona umożliwiająca blokowanie rozprzestrzenianie się zagrożenia
Dlaczego HP ATA potrzebna jest w organizacji? ATA Znane i jeszcze nieznane Zero-Day Malware NGIPS/NGFW Znane i jeszcze nieznane Zero-Day Exploits
Carbanak
Cykl życia malwaru CARBANAK Punkty wejścia Rozpoznanie C&C Propagacja
Phishing Social Engineering Watering hole / drive-by download Punkty wejścia Punkty wejścia Rozpoznanie C&C Propagacja
Carbanak - punkty wejścia Zastosowana kampania phisingowa która zawierała exploity na różne wersje Microsoft Office Word 97, 2003 i 2007. CVE-2012-0158 CVE-2013-3906 CVE-2014-1761 Załącznik zawiera zainfekowany plik z rozszerzeniem.cpl który był spakowany za pomocą rar a Celem ataku były instytucje finansowe a motywem było pozyskanie pieniędzy
Jak temu zapobiec? CVE-2012-0158 HP TippingPoint Digital Vaccine 12232,12740 12232: Microsoft Windows Common Controls Buffer Overflow (RTF format) 12740: Microsoft Windows Common Controls Buffer Overflow (Word format) CVE-2013-3906 HP TippingPoint Digital Vaccine 13202,13408 13202: Microsoft Office TIFF Parsing Memory Corruption Vulnerability 13408: TIFF Parsing Memory Corruption Vulnerability CVE-2014-1761 HP TippingPoint Digital Vaccine 12683 12683: Malicious Rich Text File (RTF) Download
Rozpoznanie obiektu Wrażliwe dane Zebranie informacji o podatnościach Niezaktualizowane oprogramowanie Dostępne porty/aplikacje/usługi Punkty wejścia Rozpoznanie C&C Propagacja
Carbanak- rozpoznanie Po zainstalowaniu na maszynie dokonywane było sprawdzanie gdzie mogą znajdować się istotne cele Zbierane również były prinscreeny/video i przesyłane były do zdalnego serwera aby nauczyć się poznać nawyki użytkownika Używanie odpowiednich kont aby móc wykonać transakcje finansowe
Jak temu zapobiec? Filtry wykrywające skanowanie portów 290, 291, 292, 293, 302, 303, 304, 317, 321, 325, etc Filtry wykrywające używanie narzędzi 282, 283, 307, 308, 5149, 10711, 10714, 10767, 12618, 12875, etc
Punkty wejścia Rozpoznanie Komunikacja z zainfekowaną stacją Rozprzestrzenianie się za pomocą (SMB,SMTP,itd ) C&C Propagacja
Carbanak Infekowanie i rozprzestrzenianie się Atakujący używał wielu narzędzi zdalnej kontroli aby cały czas mieć kontrolę Ammyy Admin Secure Shell Telnet RDP VNC
Jak temu zapobiec? Ammyy Admin Remote Access Tool HP TippingPoint Digital Vaccine 11694 11694: Tunneling: Ammyy Remote Administration Tool Remote Desktop Protocol (RDP) HP TippingPoint Digital Vaccine 5683,5685,11659 5683: RDP: Windows Remote Desktop Access on Non-Standard Ports 5685: RDP: Windows Remote Desktop Access on Non-Standard Ports 11659: RDP: Windows Remote Desktop Administrator Connection Attempt Virtual Network Computing (VNC) HP TippingPoint Digital Vaccine 5948,9950 5948: RFB: VNC Connection Request 9950: SSH: SSH Login Attempt On VNC Port
Punkty wejścia Rozpoznanie C&C Otrzymywanie instrukcji z C2 Instalowanie następnych malwarów Wykradanie Propagacja informacji z instytucji
Carbanak C&C Carbanak komunikuje się z C&C poprzez HTTP z szyfracją RC2+Base64 Zbiera dane (logi, video, hasła, dokumenty) i przesyła je do serwera C&C Carbanak może akceptować około 30 różnych komend z C&C aby zainstalować dodatkowy software, uruchomić/zatrzymać procesy, tunelowa ruch, aktualizować się
Analiza plików w HP ATA Advanced Threat Appliance Urządzenie TippingPoint Advanced Threat Detection może wykryć malware Carbank jak również inne rodzaje malwaru używane podczas tego ataku. BKDR_CARBANAK.B TSPY_CHEPRO.JTJ TROJ_ZUSY.KEK TROJ_MBRKILL.A TROJ_CARBERP.KE TROJ_ARTIEF.NCK PE_VIRLOCK.F-O
Inet 1. HP TippingPoint ATA sprawdza przesyłany plik czy nie jest zagrożeniem- DMZ wykrywa potencjalną ofiarę w sieci LAN 2. HP TippingPoint ATA wysyła informacje uzyskane z analizy do systemu Core ATA MIRROR Ports SMS Branch HP TippingPoint SMS 3. TippingPoint s SMS dystrybuuje otrzymane informacje do wszystkich urządzeń (HP TipingPoint NGFW / NGIPS) Strefy bezpieczeństwa NGIPS/NGFW Distri. ATA SMS HP TippingPoint NGIPS/NGFW HP TippingPoint Advanced Threat Appliance HP TippingPoint Security Management System (SMS)
Jak działa ATA? 1) Hash MD5 pliku porównywany jest z bazą hashy aby uzyskać czy nie jest już znany 2) Wykonywana jest analiza heurystyczna 3) Uruchomienie podejrzanego pliku w sandboxie 4) Przyspieszanie czasu i analiza zachowania 5) Użycie informacji z sandboxa do zaimportowania do innych systemów np. RepDV Baza danych informacji o plikach Network Content Inspection Engine Advanced Threat Security Engine Reputacja IP & URL Sandbox Network Content Correlation Engine
Advanced Threat Appliance Network Dostosowany sandbox do środowiska klienta Sandbox odwzorowujący aplikacje i systemy stosowane w organizacji ATA - Network 250 ATA - Network 500 ATA - Network 1000 ATA - Network 4000 Wydajność 250 Mb/ss 500 Mb/s 1 Gb/s 4 Gb/s Liczba portów 4x1G 4x1G 4x1G 4x1G, 2x10G Liczba maszyn - sandbox Wykrywanie zagrożeń w całym ruchu Wykrywanie malwaru, C&C, różnych aktywności dla ponad 80 protokołów na dowolnych portach Technika zapobiegania wykrycia przez malware Emulacja Klawiatury, ruchu myszki, wpisywania na klawiaturze, blokowanie wykrycia wirtualnych urządzeń. 1 2 4 20 Wysokość platformy 1U Rack-Mount 2U Rack-Mount
Advanced Threat Appliance Mail Załączniki chronione hasłem Możliwość próby rozszyfrowania załącznika przy pomocy hasła które może znajdować się w emailu lub haseł z listy zaimportowanej do systemu. Podejmowane akcje Kwarantanna, usunięcie, przesłanie z odpowiednią adnotacją Analiza załączników Pliki Office, PDF, Zip oraz wiele innych sprawdzane w celu wykrycia zagrożenia ATA - Mail 6000 Wydajność Liczba portów 400,000 emaili/dzień 4x1G Liczba maszyn - sandbox 24 Wysokość platformy 1U Rack-Mount
HP TippingPoint ATA Pojedyncze urządzenie Sandboxy = środowisko klienta Wersja OS oraz service pack Język systemu oraz klawiatura Model Sandboxe s Throughput ATA 250 1 250 Mbps ATA 500 4 500 Mbps ATA 1000 4 1 Gbps ATA 4000 20 4 Gbps Programy używany w firmie ATA Email Appliance day ~400 000 emails a Ponad 80 protokołów skanownych przez jedno urządzenie Wydajność urządzeń 250Mb/s 4 Gb/s Integracja z HP TippingPoint s NGIPS oraz NGFW ATA
Dziękuje