![Page 1: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/1.jpg)
A sandboxing-on túli világ - hatékony malware analízis Ács György
IT biztonsági konzulens
2016. április 25.
![Page 2: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/2.jpg)
Cisco Public 2 ©2014 Cisco and/or its affiliates. All rights reserved.
György Ács
Security Consultant
C|EH, SFCP, SFCE
Global Security Sales Organization
![Page 3: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/3.jpg)
• Modern támadások
• Malware analízis technikák
• Mi a sandbox ?
• ThreatGrid sandbox
• Advanced Malware Protection
• A DNS csatorna
• Ajánlások
Tartalom
![Page 4: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/4.jpg)
Modern támadások
![Page 5: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/5.jpg)
Malware = Malicous software
Bármilyen kód, ami kárt okoz(hat)
Ismeretlen kód, ami érdekes lehet
Típusok rootkitek, backdoor-ok
botnet-ek, scareware-ek
férgek, vírusok,
Hogyan védekezzünk ellenük, ha nem értjük a működésüket?
Van erre eszközünk?
Mi az a malware ? Cisco Éves Biztonsági Jelentés 2015:
![Page 6: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/6.jpg)
... a támadó okosak és motiváltak
... a modern malware = egy iparág
zero day sérülékenység ára: $$$$$ -> $40,000 - $160,000
browser exploit pack ára : $$$$ -> BlackHole bérlése : $500-700/hónap, -> $450k
botnet ára : $$ botonként -> 10.000 zombi: $1000 (US)
bankkártya ára : $ kártyánként -> 9$ -35$
......
... célzott támadások, Advanced Persistent Threats, Cyber Security...
... Spear Phishing, Water Holing, trójaiak, Buffer Overflow ....
Amikről mindenki hallott már …
6
![Page 7: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/7.jpg)
• Zsarolóvírusok (ransomware-ek) olyan kártékony programok, amelyek egy számítógépre jutva elérhetetlenné tesznek bizonyos fájlokat vagy akár az egész rendszert
• Az első :1989-ből
• 2 csoport:
• Lockerek
• Cryptoware-ek
Zsaroló programokról ... Cryptowall
![Page 8: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/8.jpg)
• Gyakran fejlődnek és mutálódnak
• Leggyakrabban emailcsatolmányban, fertőzött weboldalakon terjednek
• akár megbízható weboldalakról is (ha az azokat reklámokkal ellátó hirdetéskiszolgáló fertőződik meg)
• Itthon a Locky (valamilyen számlának tűnő Word + macro) és a CryptoWall 4 nevű zsarolóvírus fordul elő leggyakrabban
Zsaroló programokról ...
![Page 9: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/9.jpg)
Egy érdekes cikk ...
![Page 10: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/10.jpg)
Cisco Talos és a zsaroló programok
![Page 11: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/11.jpg)
Angler infrastruktúra
![Page 12: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/12.jpg)
• ~40% of users being served exploits are compromised by Angler. ~62% of Angler infections delivered Ransomware and the average ransom is $300.
![Page 13: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/13.jpg)
http://www.malwaredomainlist.com/mdl.php
![Page 14: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/14.jpg)
The Kill Chain
Recon
Attack Delivery
Exploitation
Persistence
C&C
Lateral Movement
Steal Data
https://media.blackhat.com/bh-us-12/Briefings/Flynn/bh-us-12-Flynn-intrusion-along-the-kill-chain-WP.pdf
![Page 15: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/15.jpg)
Valamilyen csatornán, email, social media, telefon elérjük hogy az áldozat megnyissa a csatolmányt vagy klikkeljen egy linkre
... Futtatható malware indítása
.exe, .msi, .vbs, .ps1, .dmg , ....
... Sérülékeny alkalmazás/plugin kihasználása
Az áldozat megtámadása
Internet
Enterprise
FW
![Page 16: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/16.jpg)
Demonstráció
4 percben Flash alapú spearphising támadás
![Page 17: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/17.jpg)
![Page 18: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/18.jpg)
Támadás előtt: Az antivírus rendszeren átmenne?
• Online AV scanner: http://virustotal.com : megosztja a mintákat más AV vendorral
• Célzott támadások saját dedikált AV teszt rendszert használnak
1
8
Teszteljünk támadás előtt
Türelmes vagyok.
Nekem csak egyszer kell támadnom.
![Page 19: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/19.jpg)
av-check, virtest, scan4you
Más rendszerek nem osztják meg a mintákat
![Page 20: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/20.jpg)
Malware analízis technikák
![Page 21: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/21.jpg)
Mit csinál egy malware ?
• Megnézi a „környezetet” (antivírus, anti-spyware, ...)
• Megpróbálja megőrizni magát (registry)
• Kártékony kódot tölt le
• File-t hoz létre
• Hook (saját kódot regisztrál) -> keylogger
• Malware vagy CnC (Command and Control) állomással kommunikál
![Page 22: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/22.jpg)
Mi az a malware analízis? • A malware szétboncolása, viselkedés
elemzése, részek elemzése
• Ami Nem: • forensics elemzés
• Incident Response (IR)
• Macska- egér harc
• Ha jól csináljuk, vezeti az incident response munkálatokat • A malware analízis segítségével jóval magasabb
biztonsági szint érhető el
• Host alapú „nyomok” és hálózati szignatúrák
![Page 23: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/23.jpg)
Malware analízis lehetőségei • 1. Utána
• forensics analízis a gépeden ... ?
• Hoppá, a vállalati adatbázis kikerült !
• 2. Más gépén, előtte ?
• Nagyon célzott támadás ?
• Az egész gép tükrözése ?
• Agent szükséges?
![Page 24: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/24.jpg)
Malware analízis lehetőségei
• 1. Statikus
• Disassembler, pl. : IDA, OllyDbg
• Reverse engineering
• Komponensek vizsgálata lépésről lépésre
• Gépi kód-> assemply konverzió
• Memory dumper: LordPE, OllyDump
![Page 25: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/25.jpg)
Malware analízis lehetőségei
• 2. Dinamikus analízis
• Viselkedés naplózása
• Virtuális gép
• Sandboxing
• Debugger (GDB, WindDGB)
![Page 26: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/26.jpg)
Kód analízis manuálisan = sok munka nem automatizált eszközök
• Detect Autoruns: • Autoruns
• File system és registry monitoring: • Process Monitor és Capture BAT
• Process monitoring: • Process Explorer és Process
Hacker
• Network monitoring: • Wireshark és SmartSniff
• Change detection: • Regshot
![Page 27: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/27.jpg)
Mi az a sandboxing?
![Page 28: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/28.jpg)
Sandbox
• Virtuális gépben a kód futása
• Appliance (felhőben vagy lokális )
• Kimenet : a viselkedés leírása, “bizonyítékok”
• Időbe telik az analízis
• Többnyire automata Report
ArtifactsFile,
video
Report :
• network activity
• persistence
(registry writes,
service
creation)
• spreading
• anti-debugging
• reading
password files
• keylogging
![Page 29: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/29.jpg)
Nincs tökéletes megoldás
“Captive Portal”
“It matches the pattern”
“No false positives,
no false negatives.”
Application
Control
FW/VPN
IDS / IPS
UTM
NAC
AV
PKI
“Block or Allow”
“Fix the Firewall”
“No key, no access”
Sandboxing
“Detect the
Unknown”
![Page 30: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/30.jpg)
Malware sandbox detektálás
• Ha a malware detektálja a sandbox környezetet, nem csinál “rosszat”
• Nem működik a dinamikus analízis a továbbiakban
• Csak a statikus analízis marad
• Jó sandbox: úgy csinál, mint egy “buta” felhasználó, …
3
0
• Miért érdekes ez?
![Page 31: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/31.jpg)
Malware sandbox detektálás (piros-kék pirula)
• VM karekterisztikák ellenőrzése
• registry keys, MAC address, processes, services
• Kód végrehajtás különböző időzítéssel /eredménnyel
• Várj 10 reboot-ot, … 1000 egér kattintást ...
• Malware csak alszik X órát
• sandbox nem tudja végtelen ideig vizsgálni
• Ellenintézkedés : órafelgyorsítás a sandbox-ban
• Ellen-ellenintézkedés : ... <amit te gondolsz>
3
1
![Page 32: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/32.jpg)
Sandbox detekció
“Turing test” vagy felhasználó input - tevékenység
• Mozog az egér? A billentyűzetet használják?
• Megkérjük a felhasználót, hogy klikkeljen …
• CAPTCHA
3
2
Kérlek,
kattints ide -> o
![Page 33: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/33.jpg)
Sandboxing
3
3
• Antivírus a Malware ellen, csak fordítva…
• Sandboxing egy jó tool, de nem nyújt védelmet minden egyes támadással szemben, nem átverhetetlen
• Fejlett támadások ellen többrétegű védelmi rendszer kell
![Page 34: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/34.jpg)
ThreatGrid “a” sandbox
![Page 35: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/35.jpg)
Teljesítmény
• Gyors, automatizált analízis, állítható futásidő
• Láthatatlan a minta számára, sok viselkedés elemzés
Szolgáltatások
• Videó lejetszás, Glovebox : malware interakció
• Process Graph for visual representation of process lineage
• Threat Score & Behavioral Indicators
Kontext
• Keresés és korreláció minden adatrészletre (artifacts) a több milliárd
mintabázison (globális kontext)
• Az elemző részletes leírást kap, jobban megérti a malware működését
Integráció • API az első naptól, integráció a jelenlegi IT biztonsági megoldásokkal (
minta feladás, riport ), Cisco AMP
• Custom threat intelligence feed-ek támogatása
Cisco AMP Threat Grid – miben más?
![Page 36: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/36.jpg)
ThreatGrid platformok Felhő: adatközpont US (EU jön)
• Több millió analízis per nap
• 6 - 8 millió analízis hónaponta (és egyre nő …)
• ThreatGRID software és dedikált hardware
• Más felhő szolgáltatóra nincs szükség
• Több állomásos architektúra
On-premise Appliance: - helyi elemzés
• max 5,000 minta naponta (ThreatGRID 5500 Series)
• Kiemelt biztonságú szervezetek számára
• Azonos funkciókészlet / GUI, mint a ThreatGRID SaaS
• Az appliance frissítést kap => a teljes kontext látja az elemző
![Page 37: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/37.jpg)
Saját elemző rendszer - Proprietary Analysis
• Külső elemzés
• Nincs jelen a VM-ben, mint más sandbox-ok, pl.: Cuckoo
• Dinamikus analízis :
– External kernel monitor, zero-instrumentation
– Dynamic disk analysis showing modifications to the physical
disk such as changes to the Master Boot Record
– Full user interaction and emulation through ThreatGRID’s
Glovebox
– Full video capture, playback of all screen activity
– Detailed analysis of malware sample activities including
network traffic
• Statikus analízis :
– PDF, RTF, CDF, JavaScript, HTML and PE files
![Page 38: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/38.jpg)
Threat Score • 440+ viselkedés jelző : Behavioral indicators (and growing)
• Malware családok, káros viselkedések
• Részletes leírás, bizonyítékokkal
• Megbízhatóság alapú prioritás -> segít a SOC elemzésben és IR tudásban
![Page 39: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/39.jpg)
ThreatGrid Sandbox Demonstráció
![Page 40: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/40.jpg)
![Page 41: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/41.jpg)
Advanced Malware Protection
![Page 42: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/42.jpg)
• If you knew you were going to be compromised, would you do security differently?”
• Marty Roesch
• Chief Architect – Cisco Security Group
![Page 43: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/43.jpg)
Új megközelítés szükséges
![Page 44: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/44.jpg)
AMP: Advanced Malware Protection
Host-based AMP
• Kis méretű agent
• File hozzáféréseket figyeli (move/copy/execute)
• Jellemzőket gyűjt (fingerprint & attributes)
• Lekérdezi a file státuszát (tiszta, malware, ismeretlen)
Private Cloud / SaaS Manager
Sourcefire Sensor
FireSIGHT Management Center
Nincs
szükség
agent-re
AMP
Malware
license
#
✔ ✖
#
Detection
Services & Big
Data analytics
Network-based AMP AMP for hosts desktop
and mobile devices
![Page 45: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/45.jpg)
Cisco biztonsági model
BEFORE Control
Enforce
Harden
DURING AFTER Detect
Block
Defend
Scope
Contain
Remediate
Attack Continuum
Visibility and Context
Firewall
NGFW
NAC + Identity Services
VPN
UTM
NGIPS
Web Security
Email Security
Advanced Malware Protection
Network Behavior Analysis
Retrospective Services
![Page 46: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/46.jpg)
AMP : Point-in-Time + Retrospective Protection
Retrospective Security
Continuous Analysis
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110 1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Breadth and Control points:
File Fingerprint and Metadata
File and Network I/O
Process Information
Telemetry
Stream
Continuous feed
Web WWW
Endpoints
Network Email
Devices IPS
Point-in-Time Protection
File Reputation & Sandboxing
Dynamic
Analysis
Machine
Learning
Fuzzy
Finger-printing
Advanced
Analytics
One-to-One
Signature
![Page 47: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/47.jpg)
Protection Framework: Ethos Engine
• ETHOS = Fuzzy Fingerprinting statikus és passzív heurisztikát használva
• A malware-ek polimorf variánsaira
• Gyakran ugyanazok a struktúrális jellemzők
• Az eredeti és variánsok elfogása -> pontosabb döntés
• Döntési fát épít
4
7
![Page 48: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/48.jpg)
Protection Framework: Spero Engine
• SPERO = Machine Learning using active heuristics
Data
Data
Feature Vectors
Machine
Learning
Algorithm
Hypothesis
Labels
Predictive
Model
Decision
Trees
Customer
Data
Expected Label
[Disposition]
Featureprint
(file)
Performance
Monitoring
Clean
Unknown
Malware
Clean/
Dirty
sampl
es
![Page 49: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/49.jpg)
Protection Framework: IOCs
• IOC = Indicators of Compromise
• Speciális jellemző, nyom (artifacts) ami a támadás után ottmaradt
• XML alapú leíró nyelv, hogyan tudjuk azonosítani a malware-t
• Host vagy/és hálózat alapú nyom, host alapon kezdeményezett letapodatás
• OpenIOC 1.1 eredet
Wikipedia:
“in computer forensics is an artifact observed on a network or in operating system that with high confidence indicates a computer intrusion.”
http://en.wikipedia.org/wiki/Indicator_of_compromise
4
9
![Page 50: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/50.jpg)
Plan A: The Protection Framework
1-to-1 Signatures
Ethos
Spero
IOCs
Dynamic
Analysis
Advanced
Analytics
Device Flow
Correlation
All Methods < 100% Detection
![Page 51: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/51.jpg)
Plan B: Retrospection
Continuous Analysis
time
Initial
Disposition = CLEAN
file • When you can’t
detect 100%,
visibility is critical x
Retrospective Alert
sent later when
Disposition = BAD
Analysis
Continues
time
1-to-1, Fuzzy, Machine
Learning, Sandboxing, etc;
Disposition = CLEAN
file • Sleep techniques
• Unknown protocols
• Encryption
• Performance
x Actually…
Disposition = BAD
… too late!
Typical Analysis
Analysis Stops After
Initial Disposition
![Page 52: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/52.jpg)
Retrospection Framework: Trajectory
5
2
Firefox user connects to http://www.downloaders.com
Downloads an unknown .zip Two files are access when the .zip is opened, it creates a DLL, and a PDF.
PDF Reader application is opened to read the PDF.
Acrobat launches svchost.exe???
svchost.exe connects to http://192.168.1.12
3 files are downloaded. A/V triggers on two files, but #3 moves itself on disk and begins to connect to random IP addresses.
File #3, connects to 4 IP addresses, and creates another unknown file.
Our last unknown file opens a window saying “Download Completed”.
The last unknown file launches calc.exe, hollows the process and begins listening for remote connections.
![Page 53: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/53.jpg)
Nyomkövetés alkalmazás és hálózati szinten: trajectory
![Page 54: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/54.jpg)
Nyomkövetés alkalmazás és hálózati szinten: trajectory
![Page 55: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/55.jpg)
A DNS csatorna biztonsága :
OpenDNS
![Page 56: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/56.jpg)
+ 80M+ malicious requests
blocked/day
=
GLOBAL NETWORK
• 80B+ DNS
requests/day
• 65M+ biz & home users
• 100% uptime
• Any port, protocol, app
UNIQUE ANALYTICS
• security research team
• automated classification
• BGP peer relationships
• 3D visualization engine
Why OpenDNS? DNS Services Built for World’s Largest Security Platform
![Page 57: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/57.jpg)
A New Layer of Breach Protection
Threat Prevention Not just threat detection
Protects On & Off Network Not limited to devices forwarding traffic through on-prem appliances
Turn-Key & Custom API-Based Integrations Does not require professional services to setup
Block by Domains, IPs & URLs for All Ports Not just ports 80/443 or only IPs
Always Up to Date No need for device to VPN back to an on-prem server for updates
UMBRELLA Enforcement
![Page 58: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/58.jpg)
Ajánlások
![Page 59: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/59.jpg)
Mit tudunk mi tenni ? Közösségi együttműködés
• Snort : ingyenes, IDS/IPS rendszer
• ClamAV: ingyenes vírusírtó
• Immunet : ingyenes „advanced malware protection” rendszer
• OpenAppID : alkalmazás definiciók és azok megosztása
• OpenDNS : ingyenes, szabad DNS szolgáltatás
![Page 60: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/60.jpg)
Összefoglalás
• Modern malware tökéletesen át tud menni a ma alkalmazott “point-in-time” detekciós eljárásokon
• Detekció fontos, de szükség van másra is.
• A sandboxing egy hatásos detekciós módszer, de nem mindenható
• Retrospektív elemzés megmutatja, mit nem kaptunk el
• AMP Everywhere – mindenhol : teljes rálátást és kontrolt ad
![Page 61: A sandboxing-on túli világ - hatékony malware analízis · A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25](https://reader033.vdocument.in/reader033/viewer/2022060418/5f15717416c18c7bc07c9bc9/html5/thumbnails/61.jpg)