воскресенье, 9 июля 2017 г.

Запись с PHD: Демонстрация блокировки криптолокеров на примере locky и wanacrypt0r

Практическая демонстрация блокировки криптолокеров. Видеозапись с конференции Positive Hack Days 2017.



В процессе демонстрации я использовал криптолокер locky и wanacrypt0r. Защита их блокировала. Чтобы показать, что защита многоэшелонированая, я выключал поочередно функции многоэшелонированной защиты и показывал, что тогда срабатывает следующая техника защиты. В итоге у меня заняло больше часа времени отключение всех имеющихся техник защиты у межсетевого экрана нового поколения и у хостовой защиты нового поколения.
То есть техник защиты у компании Palo Alto Networks достаточно.  Для защиты вам нужно, чтобы хотя бы одна сработала и блокировала криптолокер в вашей компании. А мы вам предлагаем целую пачку техник защиты.

Введение - что будет показано

4:15 показываю слайд какие технологии Threat Intelligence работают в Palo Alto Networks
4:45 рассказываю про функционал и принципы работы хостовой защиты TRAPS
6:10 показываю слайд с описанием техник kill chain, которые мы будем блокировать
8:20 показ настроек TRAPS
9:10 показ настроек NGFW
9:55 показ успешной атаки через почту, используя вредоносный JavaScript
13:20 показ успешной атаки через почту, используя эксплойт PDF

Включаем защиту

14:40 показ как включить защиту TRAPS
15:00 показ как включить защиту на NGFW

Защита работает

17:00 пробуем запустить вредоносный JavaScript уже с включенной защитой TRAPS и NGFW - срабатывает защита TRAPS от запуска скриптов
18:00 пробуем запусть эксплойт в PDF - срабатывает защита ROP
18:50 отключаем защиту от ROP в TRAPS
20:00 пробуем запустить эксплойт в PDF - он сам по себе не срабатывает. Иногда эксплойты не срабатывают просто сами по себе - они ведь тоже программа, которая не идеальна.
20:30 пробуем запустить эксплойт в PDF - срабатывает DLL Security
32:20 я еще раз запускаю PDF и блокируется скачивание из Интернет - срабатывает блокировка категории malware и NTVDM ругается, что нечего ему запускать
33:40 я помещаю портал с которого скачивается locky.exe в белый список URL профиля
34:50 повторяю запуск PDF и опять NTVDM не сработал потому что locky.exe был заблокирован профилем File Blocking, который проверяет типы файлов и запрещает всем сотрудникам скачивать exe файлы браузером.
36:20 мы решили разрешить скачивание EXE только для группы программистов компании. Здесь я решил показать функционал USER-ID, чтобы в правиле использовать группу пользователей, а не IP адрес. Я добавляю правила и группу пользователей. Использую API команды для этого.
40:00 показываю, что теперь блокировка произошла снова: сработала обычная сигнатура антивируса, потому что вредоносный код locky достаточно старый и известный
40:50 показываю как исключить данную сигнатуру антивируса в профиле защиты
41:25 запускаю PDF снова и срабатывает Child Process в TRAPS
42:10 добавляю исключение чтобы Child Process можно было
43:10 песочница Wildfire уже проверила этот файл и присвоила ему статус "вредоносный" и поэтому файл locky.exe заблокирован снова: сработала защита песочницей Wildfire на хосте с TRAPS. Я, кстати, неправильно объясняю причину блокировки во время презентации -  не туда посмотрел.
44:10 показывают весь зал. Народ еще держится )
45:00 настраиваем Wildfire правило в TRAPS 4.0
48:20 выключаем вообще компонент Wildfire, чтобы дать возможность locky.exe запуститься 49:30 обнаруживаем, что NGFW заблокировал канал управления locky модулем anti-spyware 50:10 добавляем исключение на сигнатуру Locky C2C chanel, эмалируем что мы не знаем как работает обратный канал подключения locky.
51:20 обнаруживаем, что сработала еще одна сигнатура anti-spyware NGFW сработала и сразу выключаем и ее
51:55 locky смог запуститься и начать работать после всех выключений всех движков защиты

Другие варианты атаки

54:10 рассказываю про туннели tcp-over-dns
56:00 запускаем атаку через xls - срабатывает защита от макросов
56:35 пробуем запустить эксплойт в flash ролике и обнаруживаем что срабатывает детект эксплойта в NGFW
57:00 отключаем spyware сигнатуру
57:13 пробуем запустить эксплойт в flash через HTTPS, но срабатывает URL фильтрация

Защита от wanacrypt0r

58:21 отключаем защиту чтобы попробовать wanacrypt0r
1:01:45 запускаем wanacryptor и он все шифрует как и должен - защиты ведь нет
1:04:07 запускаем программу для замены хеша, чтобы смоделировать что это еще неизвестный вредоносный код
1:08:15 показываю как скачать TRAPS с портала support.paloaltonetworks.com, качаю и ставлю его на свою виртуальную машину с Windows Server
1:10:00 запускаем wanacrypt0r - он блокируется TRAPS

Подведение итогов

1:10:35 вердикт Wildfire неизвестен, поэтому неизвестный exe файл был заблокирован
1:12:10 подведение итогов: мы продемонстрировали многоэшелонированную защиту
1:12:45 перечисляем все компоненты защиты которые есть у PAN
1:13:30 обсуждаем как защищать облачные компоненты, Aperture, Autofocus
1:15:00 Cloudshare UTD - варианты лабораторных работ
1:17:00 ссылка на другую запись этой же презентации
1:17:25 отвечаю на вопрос про функционал DLP в Aperture
1:18:20 отвечаю на вопрос по политикам на основе IoC из Autofocus, и External Block List и корреляция TI из разных источников
1:22:00 раздача футболок

Другая версия этой же презентации


Настройка защиты от запуска JavaScript:

Включение правила FIREWALL-BYPASS для игнорирования атак:

Модули защиты, которые работают в NGFW: определение что за приложение передает контент, проверка URL в HTTP, HTTPS, SMTP, движок IPS, anti-spyware, антивирус, проверка формата файлов и блокировка exe, песочница Wildfire, база плохих DNS, URL, IP:

Какие конкретно методы будет блокировать защита:
ё

Список техник Threat Intelligence внутри Palo Alto Networks NGFW

Виртуальные демо-стенды с готовыми конфигурациями на основе CloudShare для тестирования любого продукта: NGFW, TRAPS, Panorama, Migration Tool