check point, держи марку! Серия №7
TRANSCRIPT
©2015 Check Point Software Technologies Ltd. 1©2015 Check Point Software Technologies Ltd.
Анатолий Виклов, Security Engineer, Check Point Россия
МЕТОДЫ
ПРЕДОТВРАЩЕНИЯ
ДЕЙСТВИЯ
ВРЕДОНОСНОГО КОДА
©2015 Check Point Software Technologies Ltd. 2
The First Malware
[Protected] Non-confidential content
К истокам...
©2015 Check Point Software Technologies Ltd. 11
Пример 2015 года:Троян ‘EXPLOSIVE’
- Функционал
- Цель – операционная система MS Windows
- Предоставляет атакующему удаленный доступ
- Автоматическое инфицирование съемных дисков USB
- Динамически обновляемая информация о C&C серверах
- Мониторинг CPU и оперативной памяти
- Псевдо-Метаморфизм
©2015 Check Point Software Technologies Ltd. 12
Временная шкала детектирования0008065861f5b09195e51add72dacd3c4bbce6444711320ad349c7dab5bb97fb
0/47 0/49 0/55 0/57
8/57
27/57
36/5740/57
43/57
0%
100%
Детект на Virus Total– EXPLOSIVE
©2015 Check Point Software Technologies Ltd. 13
Эволюционирование техник обхода вредоносным ПО
Обфускация
Полиморфизм
Метаморфизм
Таргетированное
шифрование
Неизвестное неизвестное
©2015 Check Point Software Technologies Ltd. 14
Сейчас наиболее эффективное решение -
Песочница Безопасная среда для исследования ПО
©2015 Check Point Software Technologies Ltd. 15
Мониторинг:
• Системный реестр
• Сетевые соединения
• Активность файловой
системы
• Системные процессы и
сервисы
Эмуляция запуска в защищенной среде
Классическая песочницаПринцип работы
Отслеживание признаков,типичных для вредоносного ПО
T H R E AT C O N T AI N E D
©2015 Check Point Software Technologies Ltd. 16
Песочницу сложно обойти, НО...
Злоумышленники разрабатывают техники обхода:
• Детектирование вредоносным ПО виртуальных сред
• Задержка атаки…по времени или действию пользователя
• Проверка версии ОС и ПО
• Использование защищенных каналов связи
©2015 Check Point Software Technologies Ltd.
©2015 Check Point Software Technologies Ltd. 17
Спрячь на самом видном местеПример ЗАО «Лаборатория Касперского»
Source: Wired Magazine
• Отсутствие вредоносного ПО на жестких дисках зараженных станций
• Размещение кода ТОЛЬКО в оперативной памяти
• После перезагрузки повторное инфицирование с других зараженных станций ЛВС
©2015 Check Point Software Technologies Ltd. 18
Оставаться на шаг впереди
Представляем
Эффективно Проактивно Управляемо
©2015 Check Point Software Technologies Ltd. 19
Беспрецедентная защита в реальном времени от
неизвестного вредоносного ПО, 0-day уязвимостей и
таргетированных атак
Что такое SANDBLAST?
Песочница
Устойчивое к
попыткам
обхода
решение
Threat Extraction
Мгновенная
доставка
гарантированно
безопасных
вложений
©2015 Check Point Software Technologies Ltd. 20
Цепочка атаки
Атакующий использует
непропатченные версии ПО или 0-
day уязвимость
Обход защитных механизмов CPU и
ОС с использованием техник обхода
Инжектирование эксплойтом с
целью загрузки вредоносного ПО
Запуск вредоносного ПО
Уязвимость
Эксплойт
Shellcode (Запуск
«полезной нагрузки»)
Запуск вредоносного
ПО
©2015 Check Point Software Technologies Ltd. 21
Идентификация на уровне эксплойта - мы на шаг впереди
Уязвимость
Эксплойт
SHELLCODE
Вредоносное ПО
Тысячи их
Миллионы
Десятки
Противодействие детекту
Традиционная песочница
©2015 Check Point Software Technologies Ltd. 22
Детектирование на уровне CPUДетект вредоноса до попытки обхода
Оставаясь на шаг впереди
Современные процессоры
оснащены сложными механизмами
мониторинга отладки и позволяют
отслеживать операции
©2015 Check Point Software Technologies Ltd. 23[Protected] Non-confidential content
Детект эксплойтов на уровне CPU
• Высочайший уровень детектирования
• Устойчив к обходу
• Эффективен и быстр
• Только от Check Point!
©2015 Check Point Software Technologies Ltd. 24
Традиционная песочница –традиционные задержки
• Как результат, во многих инсталляциях песочницы не используются в режиме блокировки
• Вредоносный файл может попасть к пользователю, пока находится в очереди для проверки
ПРОВЕРКА ЗАНИМАЕТ ВРЕМЯ
©2015 Check Point Software Technologies Ltd. 25
SANDBLAST THREAT EXTRACTION
Немедленный доступ
Не детект, но упреждающая защита
Попытки атаки очевидны
Упреждающая защита
©2015 Check Point Software Technologies Ltd. 26
Доставляем гарантированно безопасные файлы
Б е з н а с С н а м и
Инфекция Вредоносный код удален
©2015 Check Point Software Technologies Ltd. 27
Избавим от будущих
заражений уже сейчас!
ВЫСОЧАЙШИЙ УРОВЕНЬ ДЕТЕКТА
МГНОВЕННАЯ ДОСТАВКА БЕЗОПАСНОГО
КОНТЕНТА
©2015 Check Point Software Technologies Ltd. 28
Unprecedented real-time prevention against
unknown malware, zero-day and targeted attacks
WHAT IS SANDBLAST?
Threat Emulation with CPU-Level Detection
Evasion-
resistant
malware
detection
Threat Extraction
Prompt
Delivery of safe
reconstructed
files
©2015 Check Point Software Technologies Ltd. 29
TH
RE
AT
EX
TR
AC
TIO
N
CPU-Level DetectionCatches the most sophisticated malware
before evasion techniques deploy
O/S Level EmulationStops zero-day and unknown malware
in wide range of file formats
Malware Malware
Original Doc
Safe Doc
Threat ExtractionDeliver safe version of content quickly
SANDBLASTZERO-DAY PROTECTION
©2015 Check Point Software Technologies Ltd. 30
Threat ExtractionDocument Reconstruction
Original Document
Document Reconstructed
Safe Copy ofDocument
Reconstructed safe copy of documents
Delivered immediately
Customizable
Protection Level
©2015 Check Point Software Technologies Ltd. 31
Threat EmulationExploit Detection and Prevention
Original Document
Document is sent for sandboxing, where it
is opened and inspected
Original Document
If no infection found
Prevent Zero-Day Attacks
Constantly Update ThreatCloud
If infected with unknown Malware-Document is deleted,
-ThreatCloud is updated,
-Admin is notified
Attack is PREVENTED
©2015 Check Point Software Technologies Ltd. 32
Deployment OptionsCheck Point SandBlastZero-Day Protection
Deployment Highlights
• Two form factors: Cloud and On-Premises:o Sensitive to both privacy and industry specific regulatory requirements
• Emulation of e-Mail attachments on one applianceo Single appliance can emulate files from throughout the network
• MTA for true mail prevention (not just detection)o Emulate files before they enter the networko Check Point provides emulation in a timeframe that doesn’t disrupt the business
• Multiple deployment options
©2015 Check Point Software Technologies Ltd. 33
FAST, FLEXIBLE DEPLOYMENT
SANDBLAST
APPLIANCE
CHECK POINT GATEWAY
SANDBLAST
CLOUD
©2015 Check Point Software Technologies Ltd. 34
SandBlast CloudCheck Point SandBlastZero-Day Protection
Internet
Check Point SandBlast Cloud
Real-time security intelligence delivered from Check Point ThreatCloud. Turns zero-day attacks into known and preventable attacks.
No new hardware is neededRequires Check Point Security Gateway withR77 and above
Corporate Network (LAN)
Check Point Security Gateway
(Requires R77 and above)
Threat Emulation
O/S Level Sandboxing
and CPU-Level Detection
in Cloud
Threat Extraction
(Prompt delivery of
reconstructed clean files)
on Local Appliance
SANDBLAST
CLOUD
©2015 Check Point Software Technologies Ltd. 35
On Premise DeploymentCheck Point SandBlastZero-Day Protection
Internet
On-Premises Check Point SandBlast Appliance
Added to existing Check Point Security Gateway in two ways:Prevent: Inline – Emulate before allowing into network
Detect: Duplicate network traffic (via SPAN port)
Corporate Network (LAN)
Check Point Security Gateway
(Requires R77 and above)
Threat Emulation
(O/S Level Sandboxing with
CPU-Level Evasion detection)Check Point
SandBlast Appliance
Threat Extraction
(Prompt delivery of
reconstructed clean files)
Inline or SPAN Port
©2015 Check Point Software Technologies Ltd. 36
Standalone DeploymentCheck Point SandBlastZero-Day Protection
Internet
Standalone Check Point SandBlast Appliance on-premises Prevent: Inline – Emulate before allowing into network
Detect: Duplicate network traffic (via SPAN port)
One-box solution – Ideal for proof-of-concept (No Check Point Gateway)
Corporate Network (LAN)
Check Point SandBlast Appliance
Threat Emulation
(O/S Level Sandboxing with
CPU-Level Evasion detection)
Threat Extraction
(Prompt delivery of
reconstructed clean files)
©2015 Check Point Software Technologies Ltd. 37
Hybrid SolutionCheck Point SandBlastZero-Day Protection
Check Point SandBlast as a Hybrid SolutionFor both Single-site and Multi-site
Check Point Security Gateways with R77NGTP elements – AV, AB, Anti Spam etc. alongside Threat Extraction
SandBlast Appliance only required at Headquarters
Threat Emulation
O/S Level Sandboxing and CPU-Level Detection
in Cloud OR/AND On-Premise Appliance
Headquarters
Branch
Branch
Agent
SANDBLAST
CLOUD
©2015 Check Point Software Technologies Ltd. 38
Threat EmulationAdmin has comprehensive Attack Visibility
Summary
Details
©2015 Check Point Software Technologies Ltd. 39
Threat ExtractionEnd-user Experience
Threat Extraction – No delay in email delivery
Access to original files
– Download option if user trust the source
©2015 Check Point Software Technologies Ltd. 4040
Check Point SandBlastZero-Day ProtectionProvisioning Options in Threat Prevention
©2015 Check Point Software Technologies Ltd. 41
Check Point SandBlastZero-Day ProtectionIntroducing CPU-Level Detection
Advanced Malware use various techniques to evade traditional Sandboxes
Check Point’s Advanced deep CPU-Level inspection
Detects malware at exploitation stage - No chance to attempt evasion
Vulnerability
Exploit
Malware
Shellcode
Trigger an attack through an unpatched or zero-day vulnerability
Run malicious code
Activate an embedded payload to retrieve the malware
Bypass the CPU and OS security controls using exploitation methods
©2015 Check Point Software Technologies Ltd. 42
Exploit the vulnerability
How an OS deploys
Security Controls
DEP – Data Execution Prevention
“The Processor will only run the
code that was marked as
executable”
ASLR – Address Space Layout
Randomization
“Code is loaded to a random
location in memory”
How Attacker bypass
OS Security Controls
ROP – Return Oriented
Programming
“Use only pre-existing pieces of
code already loaded into
executable-approved memory”
Use clues to locate the useful
code in memory
“a small piece of code located
in known system DLLs and
vulnerable software, such as
browser and adobe reader”
Check Point SandBlastZero-Day ProtectionCPU-Level Detection: Anatomy of Zero-Day Attack
©2015 Check Point Software Technologies Ltd. 43
Check Point SandBlastZero-Day ProtectionCPU-Level Detection: Focus on Exploit
Detect the Exploit instead of the evasive malware – Evasion proof
Based on CPU execution flow – Independent of Operating System
CPU-Level Detection:
Activate the CPU debug mode
Examine the CPU code execution
Look for inconsistencies in the execution flow
CPU(Intel Haswell+)
Mac
OS
X 1
0.9
Cen
tOS
7
Win
do
ws
XP
Win
do
ws
7 (3
2b
it)
Win
do
ws
7 (
64
bit
)
Win
do
ws
Serv
er 2
01
2
Hypervisor
CPU-level Sandbox
Mac
OS
X 1
0.9
Cen
tOS
7
Win
do
ws
7 (6
4b
it)
Inspect CPU Flows
Look for inconsistencies in the execution flow
“Double Click”
Activate the file in its native applicationActivate CPU Debug
Mode
Collect CPU flow data
Type From To
Call from_addr_1 to_addr_1
Call from_addr_2 to_addr_2
Return from_addr_3 to_addr_3
Call from_addr_4 to_addr_4
… …
Windows 7 (64bit)
©2015 Check Point Software Technologies Ltd. 44
SUMMARYCheck Point SandBlast Zero-Day Protection Threat Extraction, Threat Emulation, and CPU-Level Detection
THREAT
EXTRACTION
Reconstructs incoming files
Promptly delivers safe reconstructed files
Ensures Business Continuity
THREAT
EMULATION
Safe access to original document
Visibility on attack attempts
Evasion-proof CPU-Level detection of unknown malware
©2015 Check Point Software Technologies Ltd. 45
Deployment OptionsCheck Point SandBlastZero-Day Protection
Deployment Highlights
• Two form factors: Cloud and On-Premises:o Sensitive to both privacy and industry specific regulatory requirements
• Emulation of Mail, Web and File Shares on one applianceo Single appliance can emulate files from throughout the network
• MTA for true mail prevention (not just detection)o Emulate files before they enter the networko Check Point provides emulation in a timeframe that doesn’t disrupt the business
• Multiple deployment options
Coming Soon …
©2015 Check Point Software Technologies Ltd. 46
For Cloud-based ApplicationsCheck Point SandBlast Zero-Day Protection
Check Point SandBlast Cloud for Cloud-based Applications Pure Cloud Service – No Hardware Required Two types of Security Policies
- Detect (using BCC mode)
- Prevent (using MTA)
Prevent (MTA)
Detect (Bcc)
Cloud-Based email (Office 365)
SANDBLAST
CLOUD
SANDBLAST
CLOUD
Coming Soon …
©2015 Check Point Software Technologies Ltd. 47©2015 Check Point Software Technologies Ltd.
СПАСИБО!
Анатолий Виклов,
Check Point – Россия[email protected]
+7 495 967 74 44
Илья Яблонко,
+7 912 607 55 66