tBox : Система Предотвращения Атак Нулевого Дня при Рисковой Активности Арнур Тохтабаев, CEO, T&T Security, 2014 г.
План Технологии Проблемы AV индустрии Проблемы пользователя Наши решения Продукт tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Состояние AV индустрии 140 миллионов вирусов на сегодняшний день tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Состояние AV индустрии До 80% обнаружения на уровне сигнатур, поведения и эвристики (60% в среднем) 125,000 Вирусов в день (0-day) (15 августа, 2013) tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Векторы атак Как к нам попадают зловредные коды ? Зловредные / взломанные сайты зловредные pdf, doc Флэшки, phones tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Атаки на пользователя Большинство атак происходит при прямом участии пользователя. Соучастие пользователя значительно упрощает атаку Используется психологический фактор: Spear Phishing ( направленный phishing ) Загрузка через браузер ( drive by download) Зловредные сайты Взломанные легитимные сайты Доверие социальным сетям Facebook и Twitter черви Доверие поисковым сервисам Отравленный SEO (google image search) Загрузка по воле пользователя Fake A/V, управление страхом
Проблема пользователя Главная уязвимость систем защиты - пользователь ! tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security Человеческий фактор : Непонимание угрозы Пренебрежение защитой Конфликт с вердиктом системы защиты Жертва мошенничества
Проблема Ответственность ложиться на пользователя Доверять ? ( Конфликт с вердиктом системы защиты )
Проблема пользователя Доверять ? ( Непонимание угрозы ) tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Решения проблемы пользователя Обучение правилам безопасности ? Постоянные расходы ( текучка кадров ) Устаревание знаний ( новые угрозы ) Ошибочные решения ( человеческий фактор ) Блокирование уязвимых ресурсов ? Страдает продуктивность (Internet, USB) Уязвимость нулевого дня tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Трансформировать ВСЕ уязвимые приложения (browser, PDF reader, USB explorer) в детекторы и анализаторы зловредной активности. Снять ответственность пользователя за принятие решений по безопасности. Ошибки пользователя больше не влияют на безопасность. Опасные ресурсы доступны для пользователя без последствий. Наша методология Цель : свобода пользователя и изоляция атаки
Каждая сессия безопасна 12 tBox – Изоляция и Самоконтроль Основной принцип и в безопасности Deploy ( Развернуть ) Detect ( Обнаружить ) Destroy ( Уничтожить )
Изоляция и Самоконтроль Изоляция Все операции пользователя с уязвимыми приложениями происходят только в текущем, изолированном, одноразовом контейнере. По окончании работы пользователя с приложением - контейнер уничтожается. Одной изоляции не достаточно для решения проблемы уязвимости поскольку зловред может нанести вред и во время одной сессии ( например шпионская программа ). Самоконтроль Непрерывный анализ поведения всех запущенных программ внутри каждого контейнера. Используется уникальная технология глубокого анализа функциональности программ ( может обнаружить сложную или скрытую зловредную активность ) Каждый контейнер имеет свою эксклюзивную систему обнаружения вторжения оптимизированную под приложение обслуживаемым данным контейнером. tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Demo Spyware tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Защита от самого большого класса атак (нулевого дня) Spear Phishing (направленный phishing) Загрузка через браузер (drive by download) Доверие социальным сетям Доверие поисковым сервисам Загрузка по воле пользователя Зловредные не исполняемых файлов (PDF, MS office) Практические задачи для продукта Блокирование (изолирование) всех трех главных каналов проникновения зловредов (векторы атаки) Интернет Скрипт USB Предотвращение утечки данных
Ценность для пользователя Для конечного пользователя продукт обеспечит безопасность в тех ситуациях (режимах), когда типичные антивирусы не могут гарантировать безопасную работу установка неизвестного драйвера, атака 0-дня через зловредный вебсайт (уязвимость 0-дня). Система альтернативной (второго уровня) защиты, дополняющая типичные антивирусные программы. Направлена на предотвращение утечек данных при любых сценариях активности/ошибок пользователя tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Ценность для пользователя Защита от атак нулевого дня на уровне клиента (уязвимости 0- дня) Почему так это важно? Актуальность уязвимости 0-дня? (время выпуска патча)
Изоляция уязвимого ресурса (приложения) Транспорентность Системы защиты Самоконтроль на предмет зловредной активности внутри каждого контейнера Оптимизация Детектора под каждое приложение tBox Comodo* Avast* VmWare VirtualBox Конкуренты Изоляция (features) Low High * AV производят изоляцию в виде песочницы для подозрительных программ ( внутри песочницы нет детектора )
Глубокий поведенческий анализ tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Количество бинарных сигнатур растет экспоненциально ( более 9 миллионов в 2011) Количество зловредных функциональностей не увеличивается Мотивация Сигнатуры и Функциональность
Проблема пользователя 1 Поведенческий анализ : Неуверенность в вердикте Поведенческий анализ : Уверенность при решении при тревоге Нет достоверности детекта ( ложное срабатывание ) Как определить это вирус или нормальная программа ? Низкая / нулевая информативность пользователя Док - во того, что это именно вирус ? В чем именно заключается зловредность ? Тревога ! Обнаружена подозрительная программа ( может быть вирус, а может и нет )
Необнаруженные вирусы ( а также pdf, web codes) Причины : Вирус не запустился ( нет пока условий для запуска ). Вирус не отработал ( ждет активности пользователя, например spyware) Поведение вируса близко к нормальному ( скрытая зловредность ) Сработала только часть вирусной активности ( например только загрузчик ) Проблема пользователя 2 Поведенческий анализ : необнаруженные вирусы tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Проблемы пользователя Неуверенность в вердикте Необнаруженные вирусы Наши решения для пользователя Анализ целей поведения ( полная картина ) Наши решения tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Предлагаемые решения ( технологии ) Проблема : Неуверенность в вердикте ( нет достоверности ) Решение : Анализ функциональности ( обнаружение цели ) Системная активность Защищенный код (бинарный уровень) Поведение (API) Цель ПО (Вердикт) Функциональность Потенциал нынешних антивирусов Потенциал данной технологии tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Анализ целей программы Пример logger.exe *.txt Обычный AV: Подозрительная программа – logger.exe Перехват клавиатуры. Разрешить ? Да / Нет hotkey, cursor monitoring, launch manager (ICQ, Skype, Mail Agent PuntoSwitcher) tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Анализ целей программы Пример logger.exe Обычный AV: Подозрительная программа – logger.exe Перехват клавиатуры. Разрешить ? Да / Нет IDS: Обнаружен Spyware – logger.exe Утечка данных в файл Отправка файла в сеть (IP …) Logger был скрытно загружен с … Запретить отправку данных ? Да / Нет downloader.exe *.txt tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
File Objects Memory Sections Process Objects System Service Executive Kernel mode User mode Objects API1 API3 API2 API5 API6 API7 API calls Virus MSExcel OS Architecture (system view) System Calls Open/readCmd /c dirOpen/write Library Functions (.Net, c++) h=open(reg.exe) h=CreateFile(reg.exe) Handle 1Handle 2 Handle 1Handle 5Handle 1 h= h=NtCreateFile(reg.exe)
Functionality Recognition Challenge File Objects Memory Sections Process Objects Handle 1Handle 2 Handle 1Handle 5Handle 1 System Service Executive Kernel mode User mode Operations System Calls API1 API3 API2 API5 API6 API7 API calls Open/readCmd /c dirOpen/write Functionality level VirusMSExcel setonToingorothen nhaIbeotvebe seen To or to nothing not I be have be Bernardo: I have seen nothing Hamlet: To be or not to be I have seen nothing In natural language:
Original and Generalized AD for File Upload
System call domain (kernel level)API domain (user level)
Call #8 Chain 5,11 Call #22 Functionality Call #11 Call #5 Functionality: How CPN works
Полная картина активности Глубокий анализ поведения Дело на каждую программу ( профайл активности ) Отслеживание истории поведения Предыстория Пост - история Корреляция поведения разных программ Анализ поведения программ взаимодействующих с подозрительной Информативность отчета при обнаружении Наша система выдаст полную картину поведения, укажет где именно зловредность. Обнаружение не как подозрительного, а как зловредного с доказательный базой – отчет Минимизация ложных тревог Достоверность детекта Уверенность пользователя в вердикте Анализ целей программы Методология tBox – Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security
Principle of System Operation
Идентификация подозрительного события (API) Анализ зловредного действия ( одного ) Отслеживание пост / пред истории поведения Корреляция поведения разных программ Пример (Spyware) Установить перехват клавиатуры После перехвата записать данные в файл Перехват, запись данных в файл и отправка фала в интернет ( утечка ) Программа A: Перехват и запись в файл Программа B: Оправить файл в интернет US ThreatFire Symantec Kaspersky ESET Others Конкуренты Поведенческий анализ (features) Low High Цель поведения
[1] A. Tokhtabayev, V. Skormin and A Dolgikh, Expressive, Efficient and Obfuscation Resilient Behavior Based IDS in Proc. 15th European Symposium on Research in Computer Security (ESORICS 2010), September, 2010 Athens, Greece. *Top computer security conference in Europe [2] C. Yavvari, A. Tokhtabayev, H. Rangwala, and A. Stavrou, Malware Characterization using Behavioral Components in Proc. 6th International Conference on Mathematical Methods, Models, and Architectures for Computer Network Security, St. Petersburg, Russia, October 17-20, [3] D. Fleck, A. Tokhtabayev, T. Nikodym, A. Alarif and A. Stavrou, PyTrigger: A System to Trigger & Extract User-Activated Malware Behavior in Proc. 8th International Conference on Availability, Reliability and Security (ARES 2013), September, 2013, Regensburg, Germany References