NEUE BEDROHUNGEN AM ENDPUNKT WAPPNEN SIE SICH JETZT MIT TRAPS 4.1

Transkript

1 NEUE BEDROHUNGEN AM ENDPUNKT WAPPNEN SIE SICH JETZT MIT TRAPS 4.1 Bastian Schwittay System Engineer Specialist Endpoint

2 Warum Prävention auf mehreren Methoden basieren muss INFORMATIONS- SAMMLUNG MALWARE AUSFÜHREN ANGRIFFSPHASEN ENDPUNKT KOMPROMITTIEREN KOMMUNIKATIONS- KANAL ETABLIEREN EXPLOITS VON SOFTWARE- SCHWACHSTELLEN SCHNELLE MUTATION DER MALWARE DATEI-LOSE ANGRIFFE GEZIELTE MALWARE EIGENTLICHES ZIEL VERFOLGEN MAKROS, SKRIPTE, ETC.

3 Mehrere Methoden zum Schutz vor Malware EXPLOITS VON SOFTWARE- SCHWACHSTELLEN DATEI-LOSE ANGRIFFE MALWARE MUTATION GEZIELT ANGRIFFSFLÄCHE REDUZIEREN Admin-Richtlinien, Unterprozess-Kontrolle, Restriktionen VERHINDERUNG BEKANNTER MALWARE WildFire Threat Intelligence VERHINDERUNG UNBEKANNTER MALWARE Lokale Analyse durch maschinen-basiertes Lernen NEUE ANGRIFFE ERKENNEN WildFire Prüfung & Analyse MAKROS / SKRIPTE

4 Mehrere Methoden zum Schutz vor Exploits VERHINDERUNG VON FINGERPRINTING MALWARE VERHINDERUNG VON SPEICHER- MANIPULATION EXPLOITS VON SOFTWARE- SCHWACHSTELLEN MUTATION VERHINDERUNG VON CODE- AUSFÜHRUNG SCHUTZ DES KERNELS DATEI-LOSE ANGRIFFE GEZIELT MAKROS / SKRIPTE

5 Schlägt ein Baustein fehl, schlägt der ganze Angriff fehl Schwachstelle ausnutzen Malware ausführen Informationssammlung Kommunikationskanal etablieren Erpressung, Datendiebstahl Angriff planen Unbemerkt infizieren Bösartige Datei ausgeführen Mit Angreifer kommunizieren Sabotage, Zerstörung, Datendiebstahl Traps kann Angriffe an mehreren Punkten stoppen, bevor bösartige Aktivität zustande kommt.

6 Traps vs. NotPetya Master Boot Record verschlüsselt Benutzer klickt Upgrade und startet Malware, die weitere bösartige Prozesse startet DLL aus Exploitet Microsoft SMB Schwachstelle Erlangt Kernel-level Rechte durch direkte OS-Manipulation Lädt DoublePulsar Tool zur Injektion und Ausführung von Schadcode durch legitime Dienste EXE aus DLL aus EXE aus um Credentials zu sammeln, falls System nicht für SMB Exploit verwundbar ist. Erlangt mit gestohlenen Credentials Zugang EXE aus DLL aus

7 Traps vs. NotPetya Child Process Protection Benutzer klickt Upgrade und startet Malware, die weitere bösartige Prozesse startet Geblockt durch Skript- Kontrollen, Bösartige entweder bestehende oder nach automatischem DLL Update DLL aus Master Boot Record verschlüsselt Kernel Exploit Prevention Child Process Protection Bösartige DLL Exploitet Microsoft SMB Schwachstelle Bösartige EXE Lokale Analyse WildFire Analyse WildFire Threat Intelligence EXE aus um Credentials zu sammeln, falls System nicht für SMB Exploit verwundbar ist. Erlangt Kernel-level Rechte durch direkte OS-Manipulation Erlangt mit gestohlenen Credentials Zugang Lädt DoublePulsar Tool zur Injektion und Ausführung von Schadcode durch Hindert legitime Prozesse Diensteam Zugriff auf bösartigen Code EXE aus Child Process Protection EXE aus DLL aus Bösartige DLL DLL aus

8 Traps vs. WannaCry Exploitet Microsoft SMB Schwachstelle Erlangt Kernel-level Rechte durch direkte OS- Manipulation Lädt DoublePulsar Tool zur Injektion und Ausführung von Schadcode durch legitime Dienste Scannt internes Netzwerk nach anderen Endpunkten mit SMB-Schwachstelle und kopiert sich dorthin Führt WannaCry Ransomware aus und verschlüsselt den Rechner

9 Traps vs. WannaCry Exploitet Microsoft SMB Schwachstelle Bösartige EXE geblockt Lokale Analyse Erlangt Kernel-level Rechte durch direkte OS- Manipulation WildFire Threat Intelligence Verhaltensbasierte WildFire Ransomware Analyse Führt WannaCry Ransomware Protection aus und verschlüsselt den Rechner Kernel Exploit Prevention Lädt DoublePulsar Tool zur Injektion und Ausführung von Schadcode durch legitime Dienste Hindert Prozesse am Zugriff auf bösartigen Code Bekannte Malware verhindert Ransomware Verhalten erkannt und geblockt Child Process Protection Scannt internes Netzwerk nach anderen Endpunkten mit SMB-Schwachstelle und kopiert sich dorthin Verhindert Starten bösartiger Unterprozesse für die Weiterverbreitung

10 Wichtige Neuerungen in Traps 4.1 ERWEITERTER KERNELEXPLOIT SCHUTZ VERHALTENSBASIERTER RANSOMWARE SCHUTZ SCHUTZ VOR BÖSARTIGEN DLLS GRANULARE CHILD PROCESS PROTECTION

11 Erweiterter Kernelexploit-Schutz Schützt gegen neue Exploittools & techniken (DoublePulsar) Shellcode wird vom Kernel aus in nicht zugewiesenen Speicher eines Prozesses injiziert Legitime Prozesse werden aufgerufen, um bösartigen Code auszuführen Hindert Prozesse am Zugriff auf den bösartigen Shellcode Stoppt den Angriff früh im Angriffszyklus Kommt nicht mit systemkritischen Prozessen auf Kernelebene in Konflikt

12 Verhaltensbasierter Ransomware-Schutz Anti Ransomware Modul für Traps Zusätzliche Schutzschicht neben bestehenden, wirksamen Antimalware und Antiexploit Funktionen Nicht abhängig von Signaturen oder bekannten Samples Erkennt typisches Ransomware Verhalten und verhindert bösartige Verschlüsselung von Daten Whitelisting für legitime Verschlüsselungssoftware

13 Schutz vor bösartigen DLLs Hinzufügen von DLL Analyse zur Antimalware Routine Verhindert das Laden bösartiger DLLs durch Systemprozesse (z.b.locky or NotPetya von RunDLL32.exe geladen) Blockt sowohl den aufrufenden Prozess als auch die DLL selbst DLL Abdeckung beinhaltet: Vertrauenswürdige Herausgeber Lokale Analyse mittels Machine Learning WildFire Prüfung & Analyse

14 Granulare Child Process Protection Richtlinie kommt out of the box Automatische Updates basierend auf neuen Bedrohungen keine Interaktion notwendig. Vordefinierte Einstellungen für Auswertung der Kommandozeilenparameter bestimmter Prozesse Erhöhte Granularität für höhere Genauigkeit Analysiert den Kontext der Kommandozeilenparameter um bösartige Unterprozesse zu blockieren

15 NEU: AV-TEST August % Erkennung von Real world Samples (signaturlos) Maximaler Performance Score (Keine Verlangsamung)

16