SlideShare a Scribd company logo

Sandblast

Ingria. Technopark St. Petersburg, profile picture
Ingria. Technopark St. Petersburg

Документ обсуждает методы предотвращения вредоносного ПО, акцентируя внимание на эволюции техник обхода защиты, таких как полиморфизм и метаморфизм. Представлены современные решения, такие как песочницы и системы эмуляции, которые помогают в оперативном обнаружении и блокировке угроз. Также рассматриваются примеры целевых атак и новые уязвимости, требующие проактивного подхода к кибербезопасности.

Business
1 of 33
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
©2015 Check Point Software Technologies Ltd. 1©2015 Check Point Software Technologies Ltd. [Protected] Non-confidential content Анатолий Виклов| Security Engineer, Check Point Россия aviklov@checkpoint.com МЕТОДЫ ПРЕДОТВРАЩЕНИЯ ДЕЙСТВИЯ ВРЕДОНОСНОГО КОДА
©2015 Check Point Software Technologies Ltd. 2 The First Malware [Protected] Non-confidential content К истокам...
©2015 Check Point Software Technologies Ltd. 3 Полиморфизм [Protected] Non-confidential content
©2015 Check Point Software Technologies Ltd. 4 Метаморфизм [Protected] Non-confidential content
©2015 Check Point Software Technologies Ltd. 5 Пример 2015 года: Троян ‘EXPLOSIVE’ [Protected] Non-confidential content - Функционал - Цель – операционная система MS Windows - Предоставляет атакующему удаленный доступ - Автоматическое инфицирование съемных дисков USB - Динамически обновляемая информация о C&C серверах - Мониторинг CPU и оперативной памяти - Псевдо-Метаморфизм
©2015 Check Point Software Technologies Ltd. 6 Временная шкала детектирования 0008065861f5b09195e51add72dacd3c4bbce6444711320ad349c7dab5bb97fb [Protected] Non-confidential content 0/47 0/49 0/55 0/57 8/57 27/57 36/57 40/57 43/57 0% 100% Детект на Virus Total– EXPLOSIVE
©2015 Check Point Software Technologies Ltd. 7 Эволюционирование техник обхода вредоносным ПО [Protected] Non-confidential content Обфускация Полиморфизм Метаморфизм Таргетированное шифрование Неизвестное неизвестное
©2015 Check Point Software Technologies Ltd. 8[Protected] Non-confidential content Сейчас наиболее эффективное решение - Песочница Безопасная среда для исследования ПО
©2015 Check Point Software Technologies Ltd. 9[Protected] Non-confidential content Мониторинг: • Системный реестр • Сетевые соединения • Активность файловой системы • Системные процессы и сервисы Эмуляция запуска в защищенной среде Классическая песочница Принцип работы Отслеживание признаков,типичных для вредоносного ПО T H R E AT C O N T AI N E D
©2015 Check Point Software Technologies Ltd. 10 Песочницу сложно обойти, НО... [Protected] Non-confidential content Злоумышленники разрабатывают техники обхода: • Детектирование вредоносным ПО виртуальных сред • Задержка атаки… по времени или действию пользователя • Проверка версии ОС и ПО • Использование защищенных каналов связи ©2015 Check Point Software Technologies Ltd.
©2015 Check Point Software Technologies Ltd. 11 Спрячь на самом видном месте Пример ЗАО «Лаборатория Касперского» [Protected] Non-confidential content Source: Wired Magazine • Отсутствие вредоносного ПО на жестких дисках зараженных станций • Размещение кода ТОЛЬКО в оперативной памяти • После перезагрузки повторное инфицирование с других зараженных станций ЛВС
©2015 Check Point Software Technologies Ltd. 12[Protected] Non-confidential content Оставаться на шаг впереди Представляем Эффективно Проактивно Управляемо
©2015 Check Point Software Technologies Ltd. 13 Беспрецедентная защита в реальном времени от неизвестного вредоносного ПО, 0-day уязвимостей и таргетированных атак Что такое SANDBLAST? Песочница Устойчивое к попыткам обхода решение Threat Extraction Мгновенная доставка гарантированно безопасных вложений [Protected] Non-confidential content
©2015 Check Point Software Technologies Ltd. 14 Цепочка атаки [Protected] Non-confidential content Атакующий использует непропатченные версии ПО или 0- day уязвимость Обход защитных механизмов CPU и ОС с использованием техник обхода Инжектирование эксплойтом с целью загрузки вредоносного ПО Запуск вредоносного ПО Уязвимость Эксплойт Shellcode (Запуск «полезной нагрузки») Запуск вредоносного ПО
©2015 Check Point Software Technologies Ltd. 15 Идентификация на уровне эксплойта - мы на шаг впереди [Protected] Non-confidential content Уязвимость Эксплойт SHELLCODE Вредоносное ПО Тысячи их Миллионы Десятки Противодействие детекту Традиционная песочница
©2015 Check Point Software Technologies Ltd. 16 Детектирование на уровне CPU Детект вредоноса до попытки обхода Оставаясь на шаг впереди Современные процессоры оснащены сложными механизмами мониторинга отладки и позволяют отслеживать операции [Protected] Non-confidential content
©2015 Check Point Software Technologies Ltd. 17[Protected] Non-confidential content Детект эксплойтов на уровне CPU • Высочайший уровень детектирования • Устойчив к обходу • Эффективен и быстр • Только от Check Point!
©2015 Check Point Software Technologies Ltd. 18 ЛВС Шлюз безопасности Эмуляция в облаке Эмуляция на устройстве Интернет
©2015 Check Point Software Technologies Ltd. 19 INSPECT FILE PREVENTSHARE Защита от неизвестных атак с помощью Check Point Threat Emulation ПРОВЕРКА ЭМУЛЯЦИЯ ПРЕДОТВРАЩЕНИЕИНФОРМИРОВАНИЕ
©2015 Check Point Software Technologies Ltd. 20 exe,pdf,MS Office, flash, jar etc… Определение файлов во вложениях и при скачивании с WEB Загрузка файлов в виртуальный ПАК (локально или в облаке) ПРОВЕРКА
©2015 Check Point Software Technologies Ltd. 21 ЭМУЛЯЦИЯ Файл открывается и происходит анализ поведения Эмуляция файла в разных ОС Windows XP&7 Мониторинг поведения: • Файловая система • Системный реестр • Сетевые подключения • Системные процессы
©2015 Check Point Software Technologies Ltd. 22 ПРЕДОТВРАЩЕНИЕ Шлюз безопасности Блокировка вредоносных файлов в реальном времени
©2015 Check Point Software Technologies Ltd. 23 Обновление для всех шлюзов ИНФОРМИРОВАНИЕ
©2015 Check Point Software Technologies Ltd. 24 INSPECT FILE PREVENTSHARE Защита от неизвестных атак с помощью Check Point Threat Emulation ПРОВЕРКА ЭМУЛЯЦИЯ ПРЕДОТВРАЩЕНИЕИНФОРМИРОВАНИЕ
©2015 Check Point Software Technologies Ltd. 25 Выглядит как обычное резюме? Threat Emulation за работой
©2015 Check Point Software Technologies Ltd. 27 Joseph_Nyee.pdf Файловая активность Системный реестр Системные процессы Сетевые соединения Некорректная файловая активность Операции с системным реестром Сетевая активность Операции с процессами Threat Emulation за работой
©2015 Check Point Software Technologies Ltd. 28 Таргетированная атака 2014 года ЦЕЛИ: Российские и европейские организации E-mail От миссис Мира МЕТОД: Точечная фишинговая рассылка с эксплойтом в формате MS Word
©2015 Check Point Software Technologies Ltd. 29 Использование новой уязвимости MS word (CVE-2012-0158) Вредоносный документ RETURN ORIENTED PROGRAMMING (ROP) EXPLOIT • Отсылал системную информацию в командный центр • Скачивал и устанавливал дополнительные модули для управления • Шифровал и отправлял конфиденциальные данные в командный центр
©2015 Check Point Software Technologies Ltd. 30 Традиционная песочница – традиционные задержки [Protected] Non-confidential content • Как результат, во многих инсталляциях песочницы не используются в режиме блокировки • Вредоносный файл может попасть к пользователю, пока находится в очереди для проверки ПРОВЕРКА ЗАНИМАЕТ ВРЕМЯ
©2015 Check Point Software Technologies Ltd. 31 SANDBLAST THREAT EXTRACTION [Protected] Non-confidential content Немедленный доступ Не детект, но упреждающая защита Попытки атаки очевидны Упреждающая защита
©2015 Check Point Software Technologies Ltd. 32 Доставляем гарантированно безопасные файлы [Protected] Non-confidential content Б е з н а с С н а м и Инфекция Вредоносный код удален
©2015 Check Point Software Technologies Ltd. 33 Избавим от будущих заражений уже сейчас! ВЫСОЧАЙШИЙ УРОВЕНЬ ДЕТЕКТА МГНОВЕННАЯ ДОСТАВКА БЕЗОПАСНОГО КОНТЕНТА [Protected] Non-confidential content
©2015 Check Point Software Technologies Ltd. 34©2015 Check Point Software Technologies Ltd. СПАСИБО! [Protected] Non-confidential content

More Related Content

PPTX
CheckPoint Sandblast _Защита от угроз Нулевого дня
Alexander Kravchenko
 
PDF
2. checkpoint minsk_june_25_2015
trenders
 
PDF
Check point, держи марку! Серия №7
Компания УЦСБ
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PDF
Check point держи марку! Серия №1
Компания УЦСБ
 
PDF
Техники пентеста для активной защиты - Николай Овчарук
HackIT Ukraine
 
PPTX
PT ESC - кто полечит доктора?
Alexey Kachalin
 
PDF
Safe inspect. Средство контроля за действиями привилегированных пользователей
DialogueScience
 
CheckPoint Sandblast _Защита от угроз Нулевого дня
Alexander Kravchenko
 
2. checkpoint minsk_june_25_2015
trenders
 
Check point, держи марку! Серия №7
Компания УЦСБ
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check point держи марку! Серия №1
Компания УЦСБ
 
Техники пентеста для активной защиты - Николай Овчарук
HackIT Ukraine
 
PT ESC - кто полечит доктора?
Alexey Kachalin
 
Safe inspect. Средство контроля за действиями привилегированных пользователей
DialogueScience
 

What's hot (20)

PPTX
С чего начать свой путь этичного хакера? - Вадим Чакрян
HackIT Ukraine
 
PDF
MID_AppChangeContol_Andrey_Bezverkhiy_RU
Vladyslav Radetsky
 
PPTX
Free RvSIEM. Intro (Rus)
Olesya Shelestova
 
PDF
Победа над кибер вымогательством!
Альбина Минуллина
 
PPT
Positive Hack Days. Гуркин. Нулевой день для SCADA (0-day)
Positive Hack Days
 
PPTX
RuSIEM
Olesya Shelestova
 
PDF
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
Vladyslav Radetsky
 
PPTX
Опыт организации тестирования безопасности Web приложений в компании
SQALab
 
PPTX
Threads & LinkedClone. Как сократить время на развертывание продукта и подгот...
SQALab
 
PDF
Honeywell Industrial Cyber Security Lab & Services Center
Positive Hack Days
 
PDF
Типовые атаки на корпоративную информационную систему (КИС)
Альбина Минуллина
 
PPTX
RuSIEM 2016
Olesya Shelestova
 
ODP
Security zap and selenium
Anton Shapin
 
PPT
Fuzzing - автоматическое тестирование безопасности
SQALab
 
PPTX
Symantec
Expolink
 
PPT
Ядро автоматизации под микро-сервисную архитектуру
SQALab
 
PDF
20% of investment and 80% of profit. How to implement security requirements a...
Igor Gots
 
PPTX
современная практика статического анализа безопасности кода веб приложений
Sergey Belov
 
PPT
IBM Proventia IPS
Петр Королев
 
PPT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Expolink
 
С чего начать свой путь этичного хакера? - Вадим Чакрян
HackIT Ukraine
 
MID_AppChangeContol_Andrey_Bezverkhiy_RU
Vladyslav Radetsky
 
Free RvSIEM. Intro (Rus)
Olesya Shelestova
 
Победа над кибер вымогательством!
Альбина Минуллина
 
Positive Hack Days. Гуркин. Нулевой день для SCADA (0-day)
Positive Hack Days
 
RuSIEM
Olesya Shelestova
 
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
Vladyslav Radetsky
 
Опыт организации тестирования безопасности Web приложений в компании
SQALab
 
Threads & LinkedClone. Как сократить время на развертывание продукта и подгот...
SQALab
 
Honeywell Industrial Cyber Security Lab & Services Center
Positive Hack Days
 
Типовые атаки на корпоративную информационную систему (КИС)
Альбина Минуллина
 
RuSIEM 2016
Olesya Shelestova
 
Security zap and selenium
Anton Shapin
 
Fuzzing - автоматическое тестирование безопасности
SQALab
 
Symantec
Expolink
 
Ядро автоматизации под микро-сервисную архитектуру
SQALab
 
20% of investment and 80% of profit. How to implement security requirements a...
Igor Gots
 
современная практика статического анализа безопасности кода веб приложений
Sergey Belov
 
IBM Proventia IPS
Петр Королев
 
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Expolink
 
Ad

Viewers also liked (20)

PPTX
Check Point Threat emulation 2013
Group of company MUK
 
PDF
The Voice: Inspiring Peer-to-Peer Participants to Take Action BBCon 2012
Charity Dynamics
 
PPSX
Bjorn Giesbrecht
Wassil Sarall
 
PPT
A Long Days Journey Into Business
David Rizzo
 
PDF
Информационный вестник октябрь 2011
Ingria. Technopark St. Petersburg
 
PPTX
How Not to Fail at Social Media
Liberty Digital Marketing
 
PPT
ERP initiatives
SalesQuest
 
PPTX
Advanced Content Strategies 3: Planning
Liberty Digital Marketing
 
PDF
NB - дайджест новостей
Ingria. Technopark St. Petersburg
 
PPTX
加入WTR變免費的3種方法
waytorich
 
PPTX
Никита Цуканов рассказал, как нужно учиться на чужих ошибках
Ingria. Technopark St. Petersburg
 
PPTX
Ariix奖励计划
waytorich
 
PPT
The gazelle
The Lower School
 
PDF
BPM Beyond Automation
Garry Gomersall
 
PPT
Leapin' Into Kindergarten
Laurel J. Rodriguez
 
PPTX
Advanced Content Strategies 1: Introduction
Liberty Digital Marketing
 
PDF
Информационный Вестник "Ингрии" июль 2014
Ingria. Technopark St. Petersburg
 
PDF
Visitor information
Messe München GmbH
 
PPTX
Zebra by Kiara
The Lower School
 
PDF
Productronica tageszeitung tag4
Messe München GmbH
 
Check Point Threat emulation 2013
Group of company MUK
 
The Voice: Inspiring Peer-to-Peer Participants to Take Action BBCon 2012
Charity Dynamics
 
Bjorn Giesbrecht
Wassil Sarall
 
A Long Days Journey Into Business
David Rizzo
 
Информационный вестник октябрь 2011
Ingria. Technopark St. Petersburg
 
How Not to Fail at Social Media
Liberty Digital Marketing
 
ERP initiatives
SalesQuest
 
Advanced Content Strategies 3: Planning
Liberty Digital Marketing
 
NB - дайджест новостей
Ingria. Technopark St. Petersburg
 
加入WTR變免費的3種方法
waytorich
 
Никита Цуканов рассказал, как нужно учиться на чужих ошибках
Ingria. Technopark St. Petersburg
 
Ariix奖励计划
waytorich
 
The gazelle
The Lower School
 
BPM Beyond Automation
Garry Gomersall
 
Leapin' Into Kindergarten
Laurel J. Rodriguez
 
Advanced Content Strategies 1: Introduction
Liberty Digital Marketing
 
Информационный Вестник "Ингрии" июль 2014
Ingria. Technopark St. Petersburg
 
Visitor information
Messe München GmbH
 
Zebra by Kiara
The Lower School
 
Productronica tageszeitung tag4
Messe München GmbH
 
Ad

Similar to Sandblast (20)

PPTX
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Expolink
 
PPS
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PPS
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PPS
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PPS
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "На шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PPTX
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PDF
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Expolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
PDF
Будущее кибербезопасности
Альбина Минуллина
 
PDF
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Expolink
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Будущее кибербезопасности
Альбина Минуллина
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Expolink
 

More from Ingria. Technopark St. Petersburg (20)

PDF
Меры поддержки промышленных предприятий 2017
Ingria. Technopark St. Petersburg
 
PDF
Ключевые спикеры кластерной конференции 2017
Ingria. Technopark St. Petersburg
 
PDF
меры поддержки пром.предприятий спб в 2017г.
Ingria. Technopark St. Petersburg
 
PDF
Региональный инжиниринговый центр
Ingria. Technopark St. Petersburg
 
PDF
Услуги для МСП, оказываемые за счет федерального бюджета
Ingria. Technopark St. Petersburg
 
PDF
Мониторинг кластерной среды Санкт Петербурга 2016
Ingria. Technopark St. Petersburg
 
PDF
Меры поддержки промышленных предприятий 2016
Ingria. Technopark St. Petersburg
 
PPTX
Мастер-класс: «Отличайся или умри! Продажи в условиях высокой конкуренции»
Ingria. Technopark St. Petersburg
 
PPTX
25x10 mp spb_august_2016_vostrikov_mac (1)
Ingria. Technopark St. Petersburg
 
PDF
Управление удачей
Ingria. Technopark St. Petersburg
 
PDF
Терхи Янтунен, Вирма Лаппеенранта ЛТД - Лаппеенранта - город устойчивого разв...
Ingria. Technopark St. Petersburg
 
PDF
Игорь Рождественский - ИППТ – один из мировых лидеров
Ingria. Technopark St. Petersburg
 
PDF
Юлия Артамонова - Проблемы реализации кластерной политики центрами кластерног...
Ingria. Technopark St. Petersburg
 
PDF
Евгений Куценко - Нормативное регулирование в кластерной политике: текущая си...
Ingria. Technopark St. Petersburg
 
PDF
Подготовка кадров: опыт взаимодействия с системой дошкольного, среднего и выс...
Ingria. Technopark St. Petersburg
 
PDF
Владислав Тарасенко - О сетевой модели подготовки специалистов по развитию те...
Ingria. Technopark St. Petersburg
 
PDF
Антон Колошин - Формирование межрегионального Smart ЦОК ИТ
Ingria. Technopark St. Petersburg
 
PDF
Евгений Колганов - Подготовка рабочих кадров
Ingria. Technopark St. Petersburg
 
PDF
Валерия Агапова - Технопосхис «Новый звездный»
Ingria. Technopark St. Petersburg
 
PDF
Механизмы государственной поддержки экспортно-ориентированных субъектов малог...
Ingria. Technopark St. Petersburg
 
Меры поддержки промышленных предприятий 2017
Ingria. Technopark St. Petersburg
 
Ключевые спикеры кластерной конференции 2017
Ingria. Technopark St. Petersburg
 
меры поддержки пром.предприятий спб в 2017г.
Ingria. Technopark St. Petersburg
 
Региональный инжиниринговый центр
Ingria. Technopark St. Petersburg
 
Услуги для МСП, оказываемые за счет федерального бюджета
Ingria. Technopark St. Petersburg
 
Мониторинг кластерной среды Санкт Петербурга 2016
Ingria. Technopark St. Petersburg
 
Меры поддержки промышленных предприятий 2016
Ingria. Technopark St. Petersburg
 
Мастер-класс: «Отличайся или умри! Продажи в условиях высокой конкуренции»
Ingria. Technopark St. Petersburg
 
25x10 mp spb_august_2016_vostrikov_mac (1)
Ingria. Technopark St. Petersburg
 
Управление удачей
Ingria. Technopark St. Petersburg
 
Терхи Янтунен, Вирма Лаппеенранта ЛТД - Лаппеенранта - город устойчивого разв...
Ingria. Technopark St. Petersburg
 
Игорь Рождественский - ИППТ – один из мировых лидеров
Ingria. Technopark St. Petersburg
 
Юлия Артамонова - Проблемы реализации кластерной политики центрами кластерног...
Ingria. Technopark St. Petersburg
 
Евгений Куценко - Нормативное регулирование в кластерной политике: текущая си...
Ingria. Technopark St. Petersburg
 
Подготовка кадров: опыт взаимодействия с системой дошкольного, среднего и выс...
Ingria. Technopark St. Petersburg
 
Владислав Тарасенко - О сетевой модели подготовки специалистов по развитию те...
Ingria. Technopark St. Petersburg
 
Антон Колошин - Формирование межрегионального Smart ЦОК ИТ
Ingria. Technopark St. Petersburg
 
Евгений Колганов - Подготовка рабочих кадров
Ingria. Technopark St. Petersburg
 
Валерия Агапова - Технопосхис «Новый звездный»
Ingria. Technopark St. Petersburg
 
Механизмы государственной поддержки экспортно-ориентированных субъектов малог...
Ingria. Technopark St. Petersburg
 

Sandblast

  • 1. ©2015 Check Point Software Technologies Ltd. 1©2015 Check Point Software Technologies Ltd. [Protected] Non-confidential content Анатолий Виклов| Security Engineer, Check Point Россия aviklov@checkpoint.com МЕТОДЫ ПРЕДОТВРАЩЕНИЯ ДЕЙСТВИЯ ВРЕДОНОСНОГО КОДА
  • 2. ©2015 Check Point Software Technologies Ltd. 2 The First Malware [Protected] Non-confidential content К истокам...
  • 3. ©2015 Check Point Software Technologies Ltd. 3 Полиморфизм [Protected] Non-confidential content
  • 4. ©2015 Check Point Software Technologies Ltd. 4 Метаморфизм [Protected] Non-confidential content
  • 5. ©2015 Check Point Software Technologies Ltd. 5 Пример 2015 года: Троян ‘EXPLOSIVE’ [Protected] Non-confidential content - Функционал - Цель – операционная система MS Windows - Предоставляет атакующему удаленный доступ - Автоматическое инфицирование съемных дисков USB - Динамически обновляемая информация о C&C серверах - Мониторинг CPU и оперативной памяти - Псевдо-Метаморфизм
  • 6. ©2015 Check Point Software Technologies Ltd. 6 Временная шкала детектирования 0008065861f5b09195e51add72dacd3c4bbce6444711320ad349c7dab5bb97fb [Protected] Non-confidential content 0/47 0/49 0/55 0/57 8/57 27/57 36/57 40/57 43/57 0% 100% Детект на Virus Total– EXPLOSIVE
  • 7. ©2015 Check Point Software Technologies Ltd. 7 Эволюционирование техник обхода вредоносным ПО [Protected] Non-confidential content Обфускация Полиморфизм Метаморфизм Таргетированное шифрование Неизвестное неизвестное
  • 8. ©2015 Check Point Software Technologies Ltd. 8[Protected] Non-confidential content Сейчас наиболее эффективное решение - Песочница Безопасная среда для исследования ПО
  • 9. ©2015 Check Point Software Technologies Ltd. 9[Protected] Non-confidential content Мониторинг: • Системный реестр • Сетевые соединения • Активность файловой системы • Системные процессы и сервисы Эмуляция запуска в защищенной среде Классическая песочница Принцип работы Отслеживание признаков,типичных для вредоносного ПО T H R E AT C O N T AI N E D
  • 10. ©2015 Check Point Software Technologies Ltd. 10 Песочницу сложно обойти, НО... [Protected] Non-confidential content Злоумышленники разрабатывают техники обхода: • Детектирование вредоносным ПО виртуальных сред • Задержка атаки… по времени или действию пользователя • Проверка версии ОС и ПО • Использование защищенных каналов связи ©2015 Check Point Software Technologies Ltd.
  • 11. ©2015 Check Point Software Technologies Ltd. 11 Спрячь на самом видном месте Пример ЗАО «Лаборатория Касперского» [Protected] Non-confidential content Source: Wired Magazine • Отсутствие вредоносного ПО на жестких дисках зараженных станций • Размещение кода ТОЛЬКО в оперативной памяти • После перезагрузки повторное инфицирование с других зараженных станций ЛВС
  • 12. ©2015 Check Point Software Technologies Ltd. 12[Protected] Non-confidential content Оставаться на шаг впереди Представляем Эффективно Проактивно Управляемо
  • 13. ©2015 Check Point Software Technologies Ltd. 13 Беспрецедентная защита в реальном времени от неизвестного вредоносного ПО, 0-day уязвимостей и таргетированных атак Что такое SANDBLAST? Песочница Устойчивое к попыткам обхода решение Threat Extraction Мгновенная доставка гарантированно безопасных вложений [Protected] Non-confidential content
  • 14. ©2015 Check Point Software Technologies Ltd. 14 Цепочка атаки [Protected] Non-confidential content Атакующий использует непропатченные версии ПО или 0- day уязвимость Обход защитных механизмов CPU и ОС с использованием техник обхода Инжектирование эксплойтом с целью загрузки вредоносного ПО Запуск вредоносного ПО Уязвимость Эксплойт Shellcode (Запуск «полезной нагрузки») Запуск вредоносного ПО
  • 15. ©2015 Check Point Software Technologies Ltd. 15 Идентификация на уровне эксплойта - мы на шаг впереди [Protected] Non-confidential content Уязвимость Эксплойт SHELLCODE Вредоносное ПО Тысячи их Миллионы Десятки Противодействие детекту Традиционная песочница
  • 16. ©2015 Check Point Software Technologies Ltd. 16 Детектирование на уровне CPU Детект вредоноса до попытки обхода Оставаясь на шаг впереди Современные процессоры оснащены сложными механизмами мониторинга отладки и позволяют отслеживать операции [Protected] Non-confidential content
  • 17. ©2015 Check Point Software Technologies Ltd. 17[Protected] Non-confidential content Детект эксплойтов на уровне CPU • Высочайший уровень детектирования • Устойчив к обходу • Эффективен и быстр • Только от Check Point!
  • 18. ©2015 Check Point Software Technologies Ltd. 18 ЛВС Шлюз безопасности Эмуляция в облаке Эмуляция на устройстве Интернет
  • 19. ©2015 Check Point Software Technologies Ltd. 19 INSPECT FILE PREVENTSHARE Защита от неизвестных атак с помощью Check Point Threat Emulation ПРОВЕРКА ЭМУЛЯЦИЯ ПРЕДОТВРАЩЕНИЕИНФОРМИРОВАНИЕ
  • 20. ©2015 Check Point Software Technologies Ltd. 20 exe,pdf,MS Office, flash, jar etc… Определение файлов во вложениях и при скачивании с WEB Загрузка файлов в виртуальный ПАК (локально или в облаке) ПРОВЕРКА
  • 21. ©2015 Check Point Software Technologies Ltd. 21 ЭМУЛЯЦИЯ Файл открывается и происходит анализ поведения Эмуляция файла в разных ОС Windows XP&7 Мониторинг поведения: • Файловая система • Системный реестр • Сетевые подключения • Системные процессы
  • 22. ©2015 Check Point Software Technologies Ltd. 22 ПРЕДОТВРАЩЕНИЕ Шлюз безопасности Блокировка вредоносных файлов в реальном времени
  • 23. ©2015 Check Point Software Technologies Ltd. 23 Обновление для всех шлюзов ИНФОРМИРОВАНИЕ
  • 24. ©2015 Check Point Software Technologies Ltd. 24 INSPECT FILE PREVENTSHARE Защита от неизвестных атак с помощью Check Point Threat Emulation ПРОВЕРКА ЭМУЛЯЦИЯ ПРЕДОТВРАЩЕНИЕИНФОРМИРОВАНИЕ
  • 25. ©2015 Check Point Software Technologies Ltd. 25 Выглядит как обычное резюме? Threat Emulation за работой
  • 26. ©2015 Check Point Software Technologies Ltd. 27 Joseph_Nyee.pdf Файловая активность Системный реестр Системные процессы Сетевые соединения Некорректная файловая активность Операции с системным реестром Сетевая активность Операции с процессами Threat Emulation за работой
  • 27. ©2015 Check Point Software Technologies Ltd. 28 Таргетированная атака 2014 года ЦЕЛИ: Российские и европейские организации E-mail От миссис Мира МЕТОД: Точечная фишинговая рассылка с эксплойтом в формате MS Word
  • 28. ©2015 Check Point Software Technologies Ltd. 29 Использование новой уязвимости MS word (CVE-2012-0158) Вредоносный документ RETURN ORIENTED PROGRAMMING (ROP) EXPLOIT • Отсылал системную информацию в командный центр • Скачивал и устанавливал дополнительные модули для управления • Шифровал и отправлял конфиденциальные данные в командный центр
  • 29. ©2015 Check Point Software Technologies Ltd. 30 Традиционная песочница – традиционные задержки [Protected] Non-confidential content • Как результат, во многих инсталляциях песочницы не используются в режиме блокировки • Вредоносный файл может попасть к пользователю, пока находится в очереди для проверки ПРОВЕРКА ЗАНИМАЕТ ВРЕМЯ
  • 30. ©2015 Check Point Software Technologies Ltd. 31 SANDBLAST THREAT EXTRACTION [Protected] Non-confidential content Немедленный доступ Не детект, но упреждающая защита Попытки атаки очевидны Упреждающая защита
  • 31. ©2015 Check Point Software Technologies Ltd. 32 Доставляем гарантированно безопасные файлы [Protected] Non-confidential content Б е з н а с С н а м и Инфекция Вредоносный код удален
  • 32. ©2015 Check Point Software Technologies Ltd. 33 Избавим от будущих заражений уже сейчас! ВЫСОЧАЙШИЙ УРОВЕНЬ ДЕТЕКТА МГНОВЕННАЯ ДОСТАВКА БЕЗОПАСНОГО КОНТЕНТА [Protected] Non-confidential content
  • 33. ©2015 Check Point Software Technologies Ltd. 34©2015 Check Point Software Technologies Ltd. СПАСИБО! [Protected] Non-confidential content