Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013
Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page 2 2011 Palo Alto Networks. Proprietary and Confidential.
Öffentliche Wahrnehmung - heute APT Spear Phishing Page 3 2011 Palo Alto Networks. Proprietary and Confidential.
Öffentliche (Nicht-)Wahrnehmung - heute MaaS Page 4 2011 Palo Alto Networks. Proprietary and Confidential.
Exploit kit und Malware Kontrolle S.1v.2 Interne virustotal.com Funktion. Die verteilte Malware kann geändert werden, wenn bereits zu viele Signaturen existieren. Page 5 2012 Palo Alto Networks. Proprietary and Confidential.
Exploit kit und Malware Kontrolle S.2v.2 Exploit kit Viele Exploits. Einer ist immer erfolgreich Verschiedene OSs infiziert Unterschiedliche Malware für unterschiedliche Besucher von unterschiedlichen infizierten Websites Selektive Malwareauslieferung (hiding oder not target) Page 6 2012 Palo Alto Networks. Proprietary and Confidential.
Malware Verteilung über legitime Webseiten - S.1v.2 Page 7 2012 Palo Alto Networks. Proprietary and Confidential.
Malware Verteilung über legitime Webseiten S.2v.2 Große niederländische Nachrichtenseite infiziert Besucher. Erste Untersuchungen zeigten eine gefälschte AV-Installation auf dem Server. Später wurde ein schwer zu beseitigender Virus gefunden, der 32- und 64-bit Betriebssysteme befallen konnte. Page 8 2012 Palo Alto Networks. Proprietary and Confidential.
Lebenszyklus von Netzwerk Angriffen 1 2 3 4 5 Ködern des Anwenders Infizieren/ Ausnutzen Download Backdoor Establish Back-Channel Explore & Steal zu einer gefährlichen Anwendung oder einer Webseite mit Schadcode Ausnutzung von Schwachstel len - unbemerkte Installation von Schadcode Download der Payload/des eigentlichen Schadcodes im Hintergrund Etablierung einer Verbindung nach außen zur Erlangung der Kontrolle durch den Angreifer Der Angreifer hat die Kontrolle innerhalb des Netzwerks und kann jederzeit agieren 9 2012, Palo Alto Networks. Confidential and Proprietary.
Versuchte Malware Infektionen Real-World Verteilung von 0-Day Malware 10000 9000 8000 7000 6000 5000 Analyse von 50 0-Day Malware-Funden 4000 3000 Durch Wildfire in realen Kundeninstallationen gefunden 2000 1000 Protokoll der Verteilung und der Anzahl der Infektionen. Erfassung der Stunden nach der erstmaligen Infektion 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 10 2012, Palo Alto Networks. Confidential and Proprietary. Stunden
Versuchte Malware Infektionen Verbreitung von 0-Day Malware 10000 9000 8000 WildFire Subscription 7000 6000 5000 4000 3000 2000 1000 95% der Infektionen erfolgen in den ersten 24 Stunden! 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 11 2012, Palo Alto Networks. Confidential and Proprietary. Stunden
Anzahl Malware Proben Tägliche Abdeckung durch Top AV Anbieter 100% 90% 80% Tägliche AV-Abdeckungsrate für neue Malware (50 Proben) 70% 60% 50% 40% 30% 5 vendors 4 vendors 3 vendors 2 vendors 1 vendor 0 vendors 20% 10% 0% Day-0 Day-1 Day-2 Day-3 Day-4 Day-5 Day-6 Abdeckungsrate neuer Malware durch die Top 5 AV Anbieter 12 2012, Palo Alto Networks. Confidential and Proprietary.
Und jetzt? Ostrichity? Page 13 2011 Palo Alto Networks. Proprietary and Confidential.
Threat License Koordinierte Gefahrenabwehr Ködern Ausnutzen Download Backdoor Rückkanal etablieren Auskundschaften &Stehlen App-ID Block high-risk apps Block C&C on non-standard ports URL Block known malware sites Block malware, fast-flux domains IPS Spyware AV Block the exploit Block malware Block spyware, C&C traffic Koordinierte Intelligenz: finden und blockieren von aktiven Attacken basierend auf Signaturen, Quellen und Verhalten Files Prevent drive-bydownloads WildFire Detect unknown malware Block new C&C traffic 14 2012, Palo Alto Networks. Confidential and Proprietary.
PAN-OS WildFire 15 2012, Palo Alto Networks. Confidential and Proprietary.
Ausweichende Kommunikation in Malware Neu erkannte Malware in produktiven Netzen (04.2012) - Häufigste Techniken: Nicht-Standard Ports, DynamicDNS, Proxies & individuelle Kommunikation 16.497 neu entdeckte Malware Beispiele (Dateien) 66 % 80 % 59 % Unerkannt von traditionellen AV Anbietern 13.256 Beispiele erzeugten Internet Verbindungen Davon 7.918 ausweichende Kommunikation 16 2012, Palo Alto Networks. Confidential and Proprietary.
Forensische Auflistung per Email From: report@wildfire.paloaltonetworks.com [mailto:report@wildfire.paloaltonetworks.com] Sent: Montag, 23. Januar 2012 19:59 Subject: Your Wildfire analysis report for file "FedEx-Shipment-Notification-Jan23-2012.exe" is ready The file "FedEx-Shipment-Notification-Jan23-2012.exe" is uploaded from firewall PA- 4050 at 2012-01-23 10:59:08. URL: unknown User: unknown Application: smtp Source IP/Port:201.216.228.109/45952 Destination IP/Port:133.6.1.61/25 Device S/N: 0001A100326 This sample is malware Here is the summary of the sample's behaviors: - Created or modified files - Spawned new processes - Modified Windows registries - Modified registries or system configuration to enable auto start capablity - Changed security settings of Internet Explorer - Used the POST method in HTTP - Visited a malware domain - Changed the Windows firewall policy - Created a file in the Windows folder - Created an executable file in a user document folder
WildFire Logs Links to report in WildFire web portal 18 PROPRIETARY AND CONFIDENTIAL