Презентация описывает частые ошибки, которые встречаются в дизайне сетей на периметре и в ЦОД. В слайдах содержится 20% информации. Лучше заказать вебинар на эту тему у автора.
3. АТАКА ANUNAK
Элементы атаки
Поддельные
письма с
вредоносными
вложениями от
имени ЦБ РФ
Использование
существующих
ботнетов для
распространени
я нового кода
Инфицирование
через drive-by-
download:
Andromeda и
Pony трояны
через Neutrino
Exploit Kit
Доступ к
банкоматам из
специализи-
рованных
сегментов,
которые должны
быть
изолированными,
и инфицирование
ОС
Снятие денег из
банкоматов и
через Интернет-
кошельки, напр.
Yandex Money
Подтверждено,
что было
захвачено 52
банкомата. Кража
более 1 млрд.
рублей.
http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html
http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
Успешно получен доступ внутрь корпоративных сетей более чем 50 банков.
Украдено более 1 млрд. рублей с 2013 по 2014 год из банков в России
4. У взломанных сетей была защита
Классический «портовый» межсетевой экран L4
Статический IPS (или IDS)
Прокси сервера для проверки HTTP доступа в Интернет
Классический антивирус на ПК (лучший из top10)
5. Ошибка: Нет сегментации внутри сети
• Принцип «доверяй но проверяй!» как
никогда актуален при взаимодействии
сетевых устройств друг с другом внутри
«защищенного» периметра.
• Безопасников учат защищать периметр.
А нужно еще защищать площадь и
объем.
Что может сделать преступник попав внутрь хранилища
Любой хакер, вошедший во внутреннюю сеть может делать что угодно дальше
8. Изменились приложения
Приложения ≠ порт TCP/UDP
18,5% используют динамические TCP/UPD порты
18% могут туннелировать другие приложения
37% используют шифрование для сокрытия контента
11% вредоносных сессий бот-сетей идентифицируются в
трафике как tcp/udp трафик с непонятным содержимым
Список приложений в сети: applipedia.paloaltonetworks.com
9. Межсетевые экраны не изменились
Политики межсетевых экранов базируются на контроле:
• Протоколов 4 уровня модели OSI ISO (TCP/UDP/ICMP)
• Портов TCP/UDP
• IP адресов
10. Разрешая одно приложение
вы автоматически разрешаете другие
Разрешить MS Lync/Skype for business? Запросто!
MS Technet:
1434(UDP), 5060, 5061, 444, 135, 5062, 8057, 8058, 5063, 57501-65535, 80,
443, 8080, 4443, 8060, 8061, 5086, 5087, 5064, 5072, 5070, 5067, 5068,
5081, 5082, 5065, 49152-57500(TCP/UDP), 5073, 5075, 5076, 5066, 5071,
8404, 5080, 448, 445, 881, 5041
11. Программы используют техники обхода IPS/IDS и Firewall
1. Распространение
вредоносного ПО или
нелегитимного трафика через
открытые порты
• нестандартное
использование
стандартных портов
• создание новых
специализированных
протоколов для атаки
2. Использование стандартных
протоколов на нестандартных
портах – уклонение от
сигнатурного сканирования
signatures
Port
10000
HTTP
Port
80
12. Пример обхода защиты:
туннелирование поверх DNS
Примеры утилит
• tcp-over-dns
• dns2tcp
• Iodine
• Heyoka
• OzymanDNS
• NSTX
Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS
серверу и ответах клиенту
13. Пакет
Source
Address
TCP Port 80Данные
приложения
Destination
Address
Source
Address
TCP Port 80
Destination
AddressПакет
Какую часть сетевого трафика теперь надо проверять?
Традиционно:
Приложение = номер порта (напр., HTTP = 80)
Новое определение:
Приложение = Специфические передаваемые данные
flash = данные для анимации Adobe Player внутри браузера
Данные
приложения
14. Ваш межсетевой экран должен измениться
Новый межсетевой экран должен восстановить контроль
Новые критерии пропуска для трафика в сети
• Приложения
• Пользователи
• Содержимое (данные, файлы)
15. file-sharing
URL category
PowerPoint
file type
“Confidential and
Proprietary”
content
rivanov
user
marketing
group
canada
destination country
172.16.1.10
source IP
64.81.2.23
destination IP
TCP/443
destination port
SSL
protocol
HTTP
protocol
slideshare
application
slideshare-uploading
application function
Разница между межсетевым экраном L4 и L7
19. Отчет SLR позволяет
показать приложения,
вирусы, атаки, бот-сети
Отчет по приложениям и угрозам Security Lifecycle Report (SLR)
20. Ошибка: Все 200-300 приложений – никто не проверяет!
Пример: полагаются только на прокси-сервер –
контролируют только web трафик.
HTTP – Port 80
HTTPS – Port 443
???
???
???
???
???
???
Фокус на HTTP и HTTPS
оставляет злоумышленнику
доступным большой арсенал
атак по другим приложениям
21. Ошибка: Все 200-300 приложений – никто не проверяет!
Пример: проверяют только SMTP – контролируют только
один канал почты.
SMTP– Port 25
SMTPS – Port 465
???
???
???
???
???
???
Фокус на SMTP и SMTPS, и
упускают личную почту,
которую человек принимает по
HTTPS или POP3 или IMAP
23. Ошибка: разрешаем небезопасные приложения
Приложения сами могут быть “угрозами”
• P2P file sharing, туннельные приложения,
анонимайзеры, мультимедиа, TOR, Bitcoin
Приложения могут способствовать
распространению угроз
• Основные угрозы – это угрозы уровня
приложений
Приложения и угрозы уровня приложений создают бреши в системе безопасности
24. Ошибка: доверие только IPS
- Они показывают вам только известные им атаки
- Они работают в режиме мониторинга (IDS)
- Мы можем проигнорировать сообщение IDS
25. Атаки через SSL
Botnet Herder
Clients
Data exfiltration over
SSLchannels Command
and Control
Servers
HTTPS
Malicious file in
instant messaging
Drive-by download
from an HTTPS site
Malicious attachment
sent over SMTPS
• Encryption obscures:
– Bot installation
– C&C communication
– Data exfiltration
26. Что сотрудники передают
через зашифрованные
каналы?
Применение шифрования:
• SSL
• Специальные протоколы
шифрования
Ошибка: игнорируем зашифрованные каналы
29. Антивирусы не справляются со скоростью
появления новых видов вредоносного ПО
Антивирусы не могут заблокировать эксплойты
Что делать: при нажатии на ссылку,
каждому новому
нажавшему генерируется новый
совершенно код вируса?
32. Сколько вирусов не знает ваш антивирус?
Wildfire = 5 минут на определение
Проверка файлов в песочнице
33. TOP 10 приложений доставляющие неизвестное вредоносное ПО
(по количеству сессий)
http-proxy 0.9%
web
browsing
18.201%
flash 0.036%
imap .256%
SMTP
78.291%
webdav 0.017%
soap 0.014%
ftp 0.129%
yunpan 0.014%
pop3 2.895%
34. URL
фильтр
DNS
Sinkholing
Динамиче
ские DNS
Detect and
Block
Threat Intelligence эффективен: блокировка
центров управления и скачивания malware
URL категория – malware и CnC,
Индикаторы: DNS и IP,
Сигнатуры Anti-Spyware
Сразу
блокируем
ненужные для
работы URL
Сразу видим
DNS запросы
к вредоносным
ресурсам.
Сразу
блокируем
сайты на
динамических
DNS
Сигнатуры
популярных
систем
удаленного
управления
37. UTM – это несколько разрозненных движков в одном корпусе
App
Signatures
IPS
Signatures
Virus
Signature
s
URL
Signatures
Application
Policy
Application
Inspection
IPS
Policy
Threat
Inspection
Anti-Virus
Proxy
AV
Inspection
Web Filtering
Policy
URL
Inspection
PacketInspectionFlow
Stateful FW
policy
Port-based
session
Inspection
L4 Session
Table
• Использование UTM - отдельных функциональных модулей в одном устройстве делает его ОЧЕНЬ
медленным
38. Повышаем безопасность = хуже производительность
Традиционная безопасность
• Каждая новая функция безопасности
снижает производительность
• Идут трения между ИТ и
безопасностью
Лучшая
производительность
Firewall
Anti-Malware
IPS
39. Снижение производительности при
включении функций безопасности
0%
25%
50%
75%
100%
Fortinet Juniper Check Point Palo Alto Networks
13% 15% 18%
83%
NGFW Rate Advertised Max
Источник: datasheet с сайта для Palo Alto Networks PA-7050, Check Point 61000, Juniper SRX 5800 и Fortinet 5140B
40. Ошибка: неверный сайзинг устройства
• В тендер требуется производительность при включенной одной функции
• В тендер требуется включить подписки на весь функционал, например,
IPS, антивирус, URL
• Оценивается число сессий L4 вместо L7
• Оценивается скорость Firewall, вместо скорости
Firewall+IPS+антивирус+URL+песочница
meThoDs of mAlwAre DisTribuTion
At the very beginning of their activity in 2013 due to lack of the target Trojan the attackers began to distribute Andromeda and Pony. They distributed these malware using Driveby through a bunch of Neutrino Exploit Kit exploits.
Parallel to this technique they also use another infection method, which was one of the principal methods. The main method of distribution is sending emails with malicious attachments on behalf of the Central Bank of the Russian Federation.
Another used method is to install a special malware to carry out targeted attacks via another malware that might appear in the local network by accident. To find such malicious programs the criminal group keeps in touch with several owners of large botnets that massively distributes their malware. The attackers buy from these botnet owners the information about IP-addresses of computers where the botnet owners have installed malware and then check whether the IP-address belongs to the financial and government institutions. If the malware is in the subnet of interest, the attackers pay the large botnet owner for installation of their target malware. Such partner relations were established with owners of botnets Zeus, Shiz Ranbyus. All of these trojans are bank Trojans, their usage is explained by the previously established relationships.
Availability of access to bank internal networks opens great opportunities for the hackers. One of these opportunities is access to ATMs from special network segments that had to be isolated. It is confirmed that this criminal group gained access to 52 ATMs.
Having access, the attackers downloaded malicious scripts and changed denominations of issued banknotes in the ATM operating system registry. As a result, for query to get 10 notes with denomination of 100 rubles the attackers received 10 banknotes with denomination of 5,000 rubles.
When the attackers had obtained control of ATM management service (attacker purpose), money were withdrawn directly from the ATM by the attacker command. In this case the whole cashout process consisted in that a drop person had to be near the ATM at the specified time with a bag to empty the dispenser
In addition to all the above methods, cash sending channels were also employed through the settlements systems, electronic wallets and payment systems, such as web money, Yandex Money.
The average time from the moment of penetration into the financial institutions internal network till successful theft is 42 days.
---------------------------------------------------------
Facts & Credits
http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
You can only see what you are looking for.
With a Palo Alto Networks Next Generation Firewall, its like walking into a dark room and turning on the light. <CLICK> Complete visibility and control.
You can only see what you are looking for.
With a Palo Alto Networks Next Generation Firewall, its like walking into a dark room and turning on the light. <CLICK> Complete visibility and control.
The list of applications and protocols supported by most proxies is limited to a handful of applications, such as web-based clients and media streaming. It is also limited to specific protocols, such as HTTP (port 80), HTTPS (port 443), and FTP (port 21).
While many applications are web-based by design, and are using ports 80 or 443, some very common applications, like Skype, BitTorrent, or Lync are capable of dynamically seeking out and utilizing any available port on the network. We have to remember there are more than 65,000 ports available on any network.
These port-hopping capabilities allow these applications to scale, be responsive, service the needs of the user… and bypass the limited visibility and security technologies of proxy-based devices.
Along the same lines, proxies are limited in their ability to protect against evasive techniques used by tools such as open proxy servers such as PHProxy or CGIproxy, or anonymizers such as Tor.
The list of applications and protocols supported by most proxies is limited to a handful of applications, such as web-based clients and media streaming. It is also limited to specific protocols, such as HTTP (port 80), HTTPS (port 443), and FTP (port 21).
While many applications are web-based by design, and are using ports 80 or 443, some very common applications, like Skype, BitTorrent, or Lync are capable of dynamically seeking out and utilizing any available port on the network. We have to remember there are more than 65,000 ports available on any network.
These port-hopping capabilities allow these applications to scale, be responsive, service the needs of the user… and bypass the limited visibility and security technologies of proxy-based devices.
Along the same lines, proxies are limited in their ability to protect against evasive techniques used by tools such as open proxy servers such as PHProxy or CGIproxy, or anonymizers such as Tor.
Abstract: The growth of SSL Internet traffic is almost at 70% - 80% and for some organizations it is 100%. Their are many drivers for the use of SSL encryption such as privacy laws and regulatory compliance and cloud based applications and websites are forcing the use of SSL just for those reasons. The use of SSL encryption provides an element of great security hygiene and best practices. The adversaries are well aware of this fact and will take advantage of using this as a vector of attack as they know they will go undetected and bypass your network security controls. Additionally, this also increases the risk of insider attacks. There also needs to be a fine balance between end-point and network security controls and the risk of solely relying on end-point security controls as the threat surface is becoming exponential harder to cover with BYOD, mobile and IoT. In this presentation we will cover the statistics around the rapid growth of SSL encryption, various attack vectors, use cases and why offloading SSL Decryption is necessary, complimentary and increases the efficiency of your existing network security controls.
The most dangerous emailings are those that are sent on behalf of partners with whom financial and government institutions communicates permanently by email. An example of such emailing occurred on September 25, 2014, at 14:11, from the e-mail address “Elina Shchekina <e.shekina@rbkmoney.com>” with the subject “Updated agreement version”. The attachment “agreement.doc” exploits the vulnerability CVE-2012-2539 and CVE-2012-0158. The emailing was conducted for more than 70 addresses of various companies (where multiple recipient addresses may be within one company).
---------------------------------------------------------
Facts & Credits
http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf