Lastline
advertisement
出神入化的APT規避手法 Lastline實現自動化動態分析 建構最後防線 Tyler Chen, 諶沛傑 CISSP, CEH tyler@lastline.com 關於Lastline • 由三位美國大學教授所 共同創辦 • 常年分析惡意程式 – 知名分析工具Anubis & Wepawet的原開發團隊 – 多年的惡意程式研究經 驗,有著許多的資安論 文作為產品基礎 http://tinyurl.com/ms-top-authors © Lastline Inc. Confidential APT的演化史 賽門鐵克:防毒已死 © Lastline Inc. Confidential 3 防毒軟體終究能夠抓到 但是要等多久時間? 單靠傳統防毒概念是不夠的 © Lastline Inc. Confidential 傳統惡意程式分析手法 © Lastline Inc. Confidential Lastline的新世代沙箱 掃描速度 Read Blog Posts • • 能見度 Next Generation Sandbox Offers Comprehensive Detection of Advanced Malware How to Build An Effective Sandbox © Lastline Inc. Confidential 6 Lastline的新世代沙箱 可有效偵測出惡意程式規 避行為以及手法 傳統技術無法深入分析 惡意程式 利用”Full system emulation”大幅提升能見 度(Lastline獨到技術) © Lastline Inc. Confidential 7 迴避式惡意程式 Zeus Citadel 1. 2. 3. 初步感染時收集主機資訊,並且嵌入至惡意程式 等待主機重開機後,重新收集主機資訊,並且比對初次感染時所收集的資 訊 如果兩者資訊不同,則不做出惡意動作 © Lastline Inc. Confidential 8 © Lastline Inc. Confidential Lastline可自動+快速分析 樣本資訊: MD5 cb8a849e9e4df6e9103063d6e67d4ab0 https://www.virustotal.com/en/file/2a6416fb876d4e8220a5514c7248dfa7546cefc00d87e77f075ce4fe7dabb739/analysis/ © Lastline Inc. Confidential 10 Lastline可自動+快速分析 樣本資訊: MD5 c9b2affe8a926d9b5ba3b0ba32d63807 https://www.virustotal.com/en/file/6d105610ff6297deb483962dba0286769ece3dba5f34984e3d02dceddfa4ae9b/analysis/ © Lastline Inc. Confidential 11 可清楚得知是否具備C&C行為 © Lastline Inc. Confidential 12 熱門話題:簡訊釣魚 • 以釣魚手法誘騙下載並安裝Android APK • 大部份皆為自動進行小額付款,且阻止user看到付費 通知的簡訊。 • 放置惡意主機的網站,有可能會偵測來訪的瀏覽器版 本,僅限制手機瀏覽器才能夠下載到惡意程式 • Live Demo © Lastline Inc. Confidential 13 多協定,多面向偵測 Lastline Enterprise Network Object Advanced Malware Protection Platform © Lastline Inc. Confidential 零售業POS系統被駭 The alert from FireEye labeled the threat with the generic name "malware.binary," according to Bloomberg Businessweek. Two security experts FireEye has aorganizations function thatinautomatically malicious but it had who advise responding todeletes cyber attacks andsoftware, both have 路透社報導 Shook and Strand said that the vast majority ofsecurity FireEye's customers turn off that Target事件省思 been turned off by Target's security team before the hackers' thefeeding. experience FireEye technology said"But that personnel don't http://www.reuters.com/article/2014/03/13/us-target-breach-idUSBREA2C14F20140313 "FireEye ... isusing cutting edge," Strand said. it takes love and attack, caretypically and functionality because itgeneric is known for incorrectly flagging data malware, which Bloomberg report said, citing two people who FireEye audited FireEye's role after the get alerts because does notasprovide much You excited have toabout watchsuch it and monitor it.” can halt email and those Web traffic for business users. breach. information about threats. 海量的log會讓事件處理更為複雜 Strand指出,FireEye有技術能力,但是你需要不停地關愛以及照料它,以及 Shook以及Strand這兩位專家指出,大部分FireEye的客戶都會把阻擋功能關閉, 兩位稽核FireEye產品的人員提到,FireEye提供自動刪除惡意軟體的功能(也就 根據美國商業周刊指出,FireEye告警事件中將該惡意程式標注為一個通用性 不停地觀察並且監控他。 因為常常誤判,導致企業用戶的email以及Web流量受到影響。 是我們常說的inline阻擋功能),但是此功能在被駭客攻擊前就被Target的資安 的名稱: "malware.binary" (惡意程式) 誤判率太高反而也無法開啟阻擋功能 團隊所關閉不使用。 兩位熟悉於使用FireEye技術的資安事件調查專家指出,通常資安人員對於收 到如此一般性敘述的告警都不會有特別的感覺。因為FireEye並不會針對這樣 的威脅資訊,提供太多的訊息做參考。 © Lastline Inc. Confidential 自動關聯化,群組化 降低誤判率,提高可讀性 Becoming a Network Infection ^^^ Correlated into Incidents ^^^ Raw Network Events © Lastline Inc. Confidential 關聯化分析實際案例 © Lastline Inc. Confidential 關聯化分析實際案例 感染3: 產生C&C 連 線 底層事件整合為 Incident 感染2: 下載惡意程 式 提供底層事件以供drill-down查找 感染1: 連線到driveby URL © Lastline Inc. Confidential 多節點防禦 + 高度擴充性 © Lastline Inc. Confidential 雲端代管方案更具備彈性 © Lastline Inc. Confidential 多層次區域聯防 Lastline + HP ArcSight 整合應用 • ArcSight ESM 的用戶可無 縫整合 Lastline Manager 觸發的告警事件(如惡意 程式下載或異常的C&C連 線行為) 至整體性安全性報 告,提升安全防護縱深。 Read Blog Post • © Lastline Inc. Confidential Lastline Enterprise Certified for Integration with HP ArcSight SIEM 22 整合範例:Lastline + HP TippingPoint Use Case •Lastline 透過網路智能共享機制與 HP TippingPoint SMS緊密整合以阻 止外來APT攻擊威脅 方案說明: Read Blog Post • Lastline Interoperates with HP TippingPoint for Robust Advanced Malware Protection •透過 Lastline Manager 共享網路流 量與物件分析情報 •交叉引用來自 Lastline Sensor 分析 網路流量的結果 •Lastline Manager 透過 HP TippingPoint API 及時發送通知給HP TippingPoint SMS •及時阻擋外來攻擊威脅與資料外洩 © Lastline Inc. Confidential 23 APT 威脅整合防禦應用 internet LastLine NGFW Perimeter Core LAN IPS IPS API client © Lastline Inc. Confidential APT 威脅整合防禦應用 1: Lastline Sensor 檢測到感染威脅 internet 1 NGFW Perimeter Core LAN 1 IPS IPS API client © Lastline Inc. Confidential APT 威脅整合防禦應用 2: Lastline Manager 立即觸發告警至API主機 internet LastLine 1 NGFW Perimeter Core LAN 1 2 IPS IPS API client © Lastline Inc. Confidential APT 威脅整合防禦應用 2: Lastline 告警內容包含感染主機IP、嚴重層級以及感染行為等資訊 Source: Sensor 1 internet LastLine 1 Perimeter 192.168.56.105 NGFW Core LAN 1 2 Lastline Impact: 90 IPS IPS Lastline Malware SMS Class: Command & Control © Lastline Inc. Confidential APT 威脅整合防禦應用 3: API主機自動更新安全政策,以隔離受感染的主機降低風險 internet 1 LastLine Perimeter NGFW Core LAN 1 2 IPS 3 IPS 3 3 API client © Lastline Inc. Confidential © Lastline Inc. Confidential 29 © Lastline Inc. Confidential 30 建構最後防線的四大重點 •高偵測率 •彈性的佈建架構 •方便管理 •高度整合性 © Lastline Inc. Confidential 31 Q&A
