Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Transkript

1 Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013

2 Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page Palo Alto Networks. Proprietary and Confidential.

3 Öffentliche Wahrnehmung - heute APT Spear Phishing Page Palo Alto Networks. Proprietary and Confidential.

4 Öffentliche (Nicht-)Wahrnehmung - heute MaaS Page Palo Alto Networks. Proprietary and Confidential.

5 Exploit kit und Malware Kontrolle S.1v.2 Interne virustotal.com Funktion. Die verteilte Malware kann geändert werden, wenn bereits zu viele Signaturen existieren. Page Palo Alto Networks. Proprietary and Confidential.

6 Exploit kit und Malware Kontrolle S.2v.2 Exploit kit Viele Exploits. Einer ist immer erfolgreich Verschiedene OSs infiziert Unterschiedliche Malware für unterschiedliche Besucher von unterschiedlichen infizierten Websites Selektive Malwareauslieferung (hiding oder not target) Page Palo Alto Networks. Proprietary and Confidential.

7 Malware Verteilung über legitime Webseiten - S.1v.2 Page Palo Alto Networks. Proprietary and Confidential.

8 Malware Verteilung über legitime Webseiten S.2v.2 Große niederländische Nachrichtenseite infiziert Besucher. Erste Untersuchungen zeigten eine gefälschte AV-Installation auf dem Server. Später wurde ein schwer zu beseitigender Virus gefunden, der 32- und 64-bit Betriebssysteme befallen konnte. Page Palo Alto Networks. Proprietary and Confidential.

9 Lebenszyklus von Netzwerk Angriffen Ködern des Anwenders Infizieren/ Ausnutzen Download Backdoor Establish Back-Channel Explore & Steal zu einer gefährlichen Anwendung oder einer Webseite mit Schadcode Ausnutzung von Schwachstel len - unbemerkte Installation von Schadcode Download der Payload/des eigentlichen Schadcodes im Hintergrund Etablierung einer Verbindung nach außen zur Erlangung der Kontrolle durch den Angreifer Der Angreifer hat die Kontrolle innerhalb des Netzwerks und kann jederzeit agieren , Palo Alto Networks. Confidential and Proprietary.

10 Versuchte Malware Infektionen Real-World Verteilung von 0-Day Malware Analyse von 50 0-Day Malware-Funden Durch Wildfire in realen Kundeninstallationen gefunden Protokoll der Verteilung und der Anzahl der Infektionen. Erfassung der Stunden nach der erstmaligen Infektion , Palo Alto Networks. Confidential and Proprietary. Stunden

11 Versuchte Malware Infektionen Verbreitung von 0-Day Malware WildFire Subscription % der Infektionen erfolgen in den ersten 24 Stunden! , Palo Alto Networks. Confidential and Proprietary. Stunden

12 Anzahl Malware Proben Tägliche Abdeckung durch Top AV Anbieter 100% 90% 80% Tägliche AV-Abdeckungsrate für neue Malware (50 Proben) 70% 60% 50% 40% 30% 5 vendors 4 vendors 3 vendors 2 vendors 1 vendor 0 vendors 20% 10% 0% Day-0 Day-1 Day-2 Day-3 Day-4 Day-5 Day-6 Abdeckungsrate neuer Malware durch die Top 5 AV Anbieter , Palo Alto Networks. Confidential and Proprietary.

13 Und jetzt? Ostrichity? Page Palo Alto Networks. Proprietary and Confidential.

14 Threat License Koordinierte Gefahrenabwehr Ködern Ausnutzen Download Backdoor Rückkanal etablieren Auskundschaften &Stehlen App-ID Block high-risk apps Block C&C on non-standard ports URL Block known malware sites Block malware, fast-flux domains IPS Spyware AV Block the exploit Block malware Block spyware, C&C traffic Koordinierte Intelligenz: finden und blockieren von aktiven Attacken basierend auf Signaturen, Quellen und Verhalten Files Prevent drive-bydownloads WildFire Detect unknown malware Block new C&C traffic , Palo Alto Networks. Confidential and Proprietary.

15 PAN-OS WildFire , Palo Alto Networks. Confidential and Proprietary.

16 Ausweichende Kommunikation in Malware Neu erkannte Malware in produktiven Netzen ( ) - Häufigste Techniken: Nicht-Standard Ports, DynamicDNS, Proxies & individuelle Kommunikation neu entdeckte Malware Beispiele (Dateien) 66 % 80 % 59 % Unerkannt von traditionellen AV Anbietern Beispiele erzeugten Internet Verbindungen Davon ausweichende Kommunikation , Palo Alto Networks. Confidential and Proprietary.

17 Forensische Auflistung per From: Sent: Montag, 23. Januar :59 Subject: Your Wildfire analysis report for file "FedEx-Shipment-Notification-Jan exe" is ready The file "FedEx-Shipment-Notification-Jan exe" is uploaded from firewall PA at :59:08. URL: unknown User: unknown Application: smtp Source IP/Port: /45952 Destination IP/Port: /25 Device S/N: 0001A This sample is malware Here is the summary of the sample's behaviors: - Created or modified files - Spawned new processes - Modified Windows registries - Modified registries or system configuration to enable auto start capablity - Changed security settings of Internet Explorer - Used the POST method in HTTP - Visited a malware domain - Changed the Windows firewall policy - Created a file in the Windows folder - Created an executable file in a user document folder

18 WildFire Logs Links to report in WildFire web portal 18 PROPRIETARY AND CONFIDENTIAL

19