УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
1. Арефьев Андрей
Менеджер по развитию продуктов
компании InfoWatch
FACEBOOK Arefiev Andrey
PHONE +7 495 22 900 22 (1217)
Шахматный дебют в борьбе с APT. #FORUMBS
2. Stuxnet: Цели и Задачи
#FORUMBS
• Цели: Stuxnet был создан, чтобы сорвать
развитие ядерной программы Ирана:
• Контроль обогатительных центрифуг
• Сбор информации о проекте STEP 7
• Задачи решенные при распространении:
• Незаметное заражение цепочки компаний
(поставщиков оборудования)
• Проникновение в тщательно охраняемые
установки, не имеющие прямого подключения к
интернету.
• Установление контроля над центрифугами
3. ОСНОВНЫЕ ХАРАКТЕРИСТИКИ APT
#FORUMBS
Нацеленные:
• Рассчитаны на обход антивирусной защиты
используемой жертвой атаки.
• Атака начинается в одной точке, но постепенно
подбирается к цели.
Адаптивные:
• Анализ условий, в которых ПО запущено.
• Постоянная меняющиеся методы атаки.
• Управляется из командного центра.
Скрытые:
• Растянутые по времени с отложенной
активацией.
• Сокрытие взаимодействия с командным
центром.
• Уничтожение следов работы
4. СПОСОБЫ АТАК
#FORUMBS
Инсайдер. Сотрудник компании осознанно устанавливающий злонамеренное ПО в
сети компании.
Социальная инженерия. Задача этого подхода состоит в том, чтобы тем или
иным способом заставить пользователя запустить заражённый файл или открыть
ссылку на заражённый веб-сайт.
Технические приёмы:
• «Атака нулевого дня». Это использование ранее неизвестных уязвимостей
OS, Outlook, Web Browsers, Adobe Flash.
• Сокрытие присутствия: Так называемые руткит-технологии. Осуществляется
за счет подмены системных функций, благодаря которым зараженный файл не
виден штатными средствами операционной системы.
• Мутация/шифрование кода. В результате функционал ПО сохраняется, но
значительно меняется его цифровой отпечаток.
5. МЕТОДЫ ОБНАРУЖЕНИЯ –
СИГНАТУРНЫЙ АНАЛИЗ
#FORUMBS
Ход антивирусов
Сканируем содержимое файла, и если находится соответствие какого-
либо участка кода просматриваемого файла известной сигнатуре вируса
в словаре, то файл признается опасным.
Определение конкретной атаки с высокой точностью
Использование для сканирования содержимого дисков и сетевого
трафика.
Ответный ход зловредов
Вирусы меняющий свой бинарный год каждый раз при новом заражении.
Антивирусы без обновлённой сигнатурной базы не определяют
зловред. По данным Symantec, компания вынуждена обновлять
сигнатурную базу данных каждые 40 минут.
6. МЕТОДЫ ОБНАРУЖЕНИЯ –
ЭВРИСТИЧЕСКИЙ АНАЛИЗ
#FORUMBS
Ход антивирусов:
• Анализ кода и предположении о том, использование какого
функционала OS можно считать подозрительным.
• Выявление неизвестных ранее вирусов.
• Чрезмерная подозрительность эвристического анализатора –
много ложных срабатываний.
• Уровень обнаружения новых вредоносных программ
составляет не более 40-50 % от их числа.
Ответный ход зловредов:
• Шифрование кода – антивирус не может анализировать
бинарный код
• Использование методик обмана эвристического анализатора
7. МЕТОДЫ ОБНАРУЖЕНИЯ –
ПЕСОЧНИЦА
#FORUMBS
Ход антивирусов
Поведения приложения путем запуска приложения в
виртуальной среде. Можем определять неизвестное ранее
вредоносное ПО.
Ответный ход зловредов
•Детектируем что запушены в песочнице и ведем себя
примерно.
•Используя уязвимости виртуальной машины находим новые
технические приемы атак
8. МЕТОДЫ ОБНАРУЖЕНИЯ - NGFW
#FORUMBS
Ход антивирусов
NGFW – Firewall нового поколения. Возможности Firewall-ов
первых поколений с сигнатурным и эвристическим
анализом, песочницами и контролем SSL-соединений, а
также репутацией сайтов.
Ответный ход зловредов
•Шифрование трафика/бинарного когда зловредов
•Маскировка сетевого трафика под служебный (репликация
DNS,…)
•Использование Cooke для загрузки вредоносов и
управления….
•…..
9. 300 тысяч уникальных версий
ежедневно
#FORUMBS
• По данным антивирусных лабораторий ежедневно
появляется 300 тысяч уникальных версий вредоносного
ПО.
• Более чем 100 миллионов ежегодно.
• Количество полезного ПО созданного за последние 10 лет,
на порядки меньше чем зловредного ПО обнаруженного за
год.
Вывод: Нужно изучать отклонения от полезного ПО.
10. Что говорит Gartner
#FORUMBS
• Серебряной пули не существует.
• Защита должна состоять из нескольких эшелонов.
• Ваша задача все это купить и настроить.
Результат из жизни: Купили но не настроили…..
70 миллионов имен, адресов электронной почты и телефонных номеров
клиентов американского ритейлера Target (Target Corp. TGT:US)
скомпрометированы в ходе атаки на инфраструктуру компании.
Компьютерные системы безопасности американского ритейлера Target
отреагировали на хакерское нападение и выдавали предупреждение об
атаке, однако компания была не в состоянии оперативно отреагировать на
сигнал тревоги.
11. Доктор ставит диагноз
#FORUMBS
• Доктор не разбирает вас на атомы
в поисках вирусов.
• Доктор спрашивает: на что
жалуетесь. Он ищет отклонения
от вашей нормы – аномалии.
• Если по обнаруженным аномалиям
диагноз не может быть поставлен,
то доктор просит сдать анализы, и
смотрит, как аномалии ведут себя
во времени.
12. В поисках решения
#FORUMBS
• По аналогии с доктором нужно изучать
отклонения от нормы и поведение отклонений
во времени.
• Анализ должен осуществляться на
недоступных для злоумышленников серверах.
Например, в облачном сервисе.
• Система обнаружения целенаправленных атак
должна самообучаться. Автоматически
совершенствуя навыки распознавания
признаков целенаправленных атак.
13. Девиз InfoWatch Targeted Attack
Detector
#FORUMBS
• Девиз продукта: предупреждён – значит вооружен.
• В отличии от антивирусов, решение InfoWatch Targeted Attack
Detector предназначено для обнаружения признаков атаки а не ее
предотвращения.
• Основным результатом работы решения является отчет.
• Решение TAD/TAM можно сравнить с радаром ПВО.
14. Архитектура Решения
#FORUMBS
Агент
Периодически собирает и передает в Экспертную Облачную систему
продукта информацию о состоянии компьютеров корпоративной сети
(данные обезличиваются).
Экспертная Облачная система
•Система облачного хранения и анализа Big Data, предназначена для
классификации ПО, поиска вредоносного ПО и выявления
целенаправленных атак.
Личный кабинет пользователя
•Информация о работе решения с возможностью формирования
отчетов по итогам анализа.
16. Примеры аномалий
#FORUMBS
• Появился файл от драйвера NVideo но при этом ПК не
оборудован картой NVIdeo.
• Исполняемый файл подписан просроченным
сертификатом или подписан сертификатом от другого
вендора.
• Файл подписан корректно, но расположен в
нетипичном месте.
• Дата создания файла – это будущая дата
• Данные читаемые с диска двумя разными способами
различаются
• …..
17. Динамический анализ как революция
#FORUMBS
• Целенаправленная атака растянута по времени и может
начинаться на рабочей станции секретаря, а заканчиваться
на рабочей станции бухгалтера
• Атака в рамках одной рабочей станции имеет вполне
определенные фазы, каждая из которых меняет состояние
системы (отразиться на слайсе)
• В рамках динамического анализа производиться сравнение
слайсов, прогнозирование ожидаемых изменений и
сравнение их с происшедшими изменениями.
18. Личный кабинет пользователя
#FORUMBS
• Доступна по адресу: https://apt-monitor.infowatch.com/
• Предназначена для:
• Загрузка дистрибутива агента.
• Контроля агентов и их статуса
• Получения сводной статистики и загрузки отчетов.
• Управление оповещениями
• Управление исключениями
19. СПАСИБО ЗА ВНИМАНИЕ!
Арефьев Андрей
FACEBOOK
PHONE
#FORUMBS
Менеджер по развитию продуктов
компании InfoWatch
Arefiev AndreyT
+7 495 22 900 22 (1217)