Tech Summit-Ikenaga-Trapsのベストプラクティスと導入事例（配布用）

Size: px

Start display at page:

Download "Tech Summit-Ikenaga-Trapsのベストプラクティスと導入事例（配布用）"

るるみさくいし
9 years ago
Views:

1 Traps のベストプラクティスと導入事例

2 Traps のベストプラクティスと導入事例本日の内容 Traps の概要サイバー攻撃の手口から見た Traps のベストプラクティス製品導入時における Traps のベストプラクティス導入事例 , Palo Alto Networks. Confidential and Proprietary.

3 Traps の製品概要 , Palo Alto Networks. Confidential and Proprietary.

4 増加するゼロデイ脆弱性を狙った攻撃高度な攻撃は未公開の脆弱性を積極的に攻撃してきている 2014 年と比較し約 170% 増加 IPA が 2015 年 1 月より緊急で発表した脆弱性は 2014 年 1 年間を既に超えている Microsoft 社がリリースする月例パッチ XSS DoS SQL Injection 等を除く日付概要 2015/01/23 Adobe Flash Playerの脆弱性対策について (CVE ) 2015/01/28 Adobe Flash Playerの脆弱性対策について (CVE 等 ) Jan- 15 Feb- 15 Mar- 15 Apr- 15 May- 15 Jun- 15 Jul- 15 Aug- 15 Sep 年に公開されたゼロデイ脆弱性 2015/02/06 Adobe Flash Playerの脆弱性対策について (CVE 等 ) 2015/04/15 Adobe Flash Playerの脆弱性対策について (CVE 等 ) 2015/05/13 Adobe Flash Playerの脆弱性対策について (CVE 等 ) 2015/06/10 Adobe Flash Playerの脆弱性対策について (CVE 等 ) 2015/06/24 Adobe Flash Playerの脆弱性対策について (CVE ) 2015/07/09 Adobe Flash Playerの脆弱性対策について (CVE 等 ) 2015/07/15 Oracle Javaの脆弱性対策について (CVE 等 ) 2015/07/15 Adobe Flash Playerの脆弱性対策について (CVE 等 ) 2015/08/19 Internet Explorerの脆弱性対策について (CVE ) 2015/10/15 Adobe Flash Playerの脆弱性対策について (CVE ) 出典 : Symantec Intelligence Report Sept , Palo Alto Networks. Confidential and Proprietary.

5 ウイルス対策では発見できないマルウェアも当たり前になっている WildFire でマルウェアと判定された実行ファイル 290,562 11,223 47, , 年 7 月 ~2015 年 9 月までの 3 ヶ月間で WildFire でマルウェアと判定された実行ファイル (PE PE64) の 8,839,258 約 88% は発見時に他社ウイルス対策ソフトウェアで未検出未検出 1~2 社 3~10 社 11~30 社 31 社以上 Palo Alto Networks AutoFocus を使用した調査結果より , Palo Alto Networks. Confidential and Proprietary.

6 エンドポイントを何から守る必要があるのか? 未知の脆弱性を狙うエクスプロイトと未知のマルウェアから守る必要があるエクスプロイト ( 脆弱性を突く攻撃 ) 細工されたデータファイルであり正規のアプリケーションによって読み込まれ処理される正規のアプリケーションにある悪意のあるプログラムを実行する脆弱性を悪用する正規のアプリケーションをだまし攻撃者のプログラムを実行させる小さいプログラムマルウェア ( 悪意のある実行ファイル ) 実行形式のファイル (.exe) で送られてくる攻撃用のプログラムアプリケーションにある脆弱性に依存しないすぐに実行される - コンピュータを乗っ取ることが目的大きいプログラム

7 高度なサイバー攻撃のライフサイクル情報収集エクスプロイトの悪用マルウェアの実行制御チャネルの確立データの奪取攻撃計画の立案ユーザに悟られずに感染悪意のあるファイルを実行マルウェアは攻撃者と通信データ盗難妨害行為破壊活動防止的なコントロール反応的なコントロール被害を抑えるためには起動前に攻撃を止めることが重要! しかしながら今までの対策では止めることが難しい

8 必要なのは攻撃を止めるエンドポイントプロテクション脆弱性を突く攻撃を阻止! 未知のマルウェア実行を阻止! Advanced Endpoint Protection 攻撃者が行う攻撃のための手法を阻害することで攻撃を失敗に終わらせるまったく新しい考え方のアドバンストエンドポイントプロテクションです , Palo Alto Networks. Confidential and Proprietary.

9 攻撃者が行う攻撃手法の流れと Traps による遮断攻撃の連鎖をどこかで断ち切れれば攻撃自体は失敗に終わる! 送付脆弱性の悪用ダウンロードと実行悪意のある活動攻撃コードの準備プログラムの問題を攻撃セキュリティ機構の回避 OS の権限を奪取マルウェア本体のダウンロードマルウェア本体の起動他の起動プロセスを悪用した活動 Traps エクスプロイト防御 Traps マルウェア防御脆弱性を攻撃する際に使用されるテクニック ( 手法 ) を遮断実行ファイルの場所コード署名などを使いプログラムの起動を制御クラウド上の脅威インテリジェンスと連携しマルウェアの起動を阻止起動したプログラムの動作を監視し悪意のある活動を阻止

10 サイバー攻撃の手口から見た Traps のベストプラクティス , Palo Alto Networks. Confidential and Proprietary.

11 実際にあった攻撃の手口 (Cyber Threat Alliance レポートより ) ~Cryptwall ver.3~ ユーザの操作により実行 ZIP 等で圧縮された実行ファイル (.exe /.scr) ExploitKit で脆弱性を悪用マルウェアの送付と自動実行 , Palo Alto Networks. Confidential and Proprietary.

12 日本を主に狙った EMDIVI の感染までの手口悪用されたゼロデイの脆弱性 - Internet Explorer (CVE ) - 一太郎 (CVE ) - Adobe Flash Player (CVE ) 利用者をだます実行ファイル ( ドロッパーと呼ばれるダウンロードツール ) Emdivi 本体のダウンロードと実行 - 医療費通知 - セミナーの案内 - ニュースの案内 , Palo Alto Networks. Confidential and Proprietary.

13 Emdivi: Flash の脆弱性を使った攻撃 Hacking Team から漏えいした Flash の脆弱性を悪用した攻撃 (CVE ) Flash ファイル (SWF) の中に入れてあった圧縮ファイルから実行ファイルを取り出し実行改ざんされた日本国内のサイト Flash の脆弱性を突く SWF を送付最終的に EMDIVI の亜種を実行 Dropper といわれるプログラム最終的に EMDIVI の亜種を実行 , Palo Alto Networks. Confidential and Proprietary.

14 Emdivi: 問題のないファイルを装った実行ファイルでの攻撃実行ファイルは RAR で作成された自己解凍圧縮ファイル Dropper としての実行ファイルとダミーの文書ファイルを Windows のテンポラリフォルダに展開し両方のファイルをキックファイル名.exe TEMP ダミー.doc Dropper.exe 文書ファイルは通常のアプリケーションで開かれる Dropper は本体をダウンロードし実行マルウェアを実行文書を表示 , Palo Alto Networks. Confidential and Proprietary.

15 Word や Excel のマクロを使った攻撃ユーザがファイルを開くと自動的にマクロを開始しない限りはマクロの有効化を求める表示がでるマクロを実行するとマクロによってテンポラリフォルダ等に実行ファイルがダウンロードされキック TEMP 実行されたプログラムがさらにマルウェアの本体をダウンロードし実行 Dropper.exe マルウェアの実行 , Palo Alto Networks. Confidential and Proprietary.

16 TRAPS をどう設定すると止まるのか? , Palo Alto Networks. Confidential and Proprietary.

17 エクスプロイト防御のポリシー設定モジュール名有効動作モード CPL Protection Notify DEP X Terminate DLL Security X Terminate DLL- Hijacking Protection Notify Exception Heap Spray Check X Terminate Font Protection X Terminate Generic X n/a GS Cookie Heap Corruption Mitigation Terminate Terminate Hot Patch Protection X Terminate JIT Mitigation Terminate Library Preallocation X Terminate Master SHE X n/a Master VEH X n/a Memory Limit Heap Spray Check X Terminate Null Dereference Protection X Terminate Packed DLLs Periodic Heap Spray Check Terminate Terminate Random Preallocation X Terminate ROP Mitigation X Terminate SHE Protection X Terminate Shellcode Preallocation X Terminate ShellLink Protection X Terminate SysExit Terminate UASLR X Terminate URI Protection n/a デフォルトの EPM 設定で十分な保護が提供可能デフォルトで無効になっているモジュールは想定以上の過検知が発生する可能性があるため適用するプロセス等注意が必要ブラウザや Adobe Flash Player など Drive-by-Download の攻撃の大半はデフォルトの設定で十分に防御可能! , Palo Alto Networks. Confidential and Proprietary.

18 EPM によって保護されるアプリケーションのカバレッジデフォルトでは 110 プロセスが保護対象日本だけで使用されるようなソフトウェアのプロセスは入っていないプロセスの追加は下記の基準で Process Management から組織で利用数の多いプロセス攻撃に利用がされ易そうなプロセス ( 自社開発ではなくパッケージ製品など ) , Palo Alto Networks. Confidential and Proprietary.

19 WildFire との連携についてランサムウェア等多数の標的に送られるものは防御できる可能性は高いハッシュ値の問合せを行い Malware と判断された実行ファイルは遮断未知の実行ファイルは積極的にアップロード未知の実行ファイルは遮断せずに実行実行させてしまった未知の実行ファイルは後述の実行制御で補完 , Palo Alto Networks. Confidential and Proprietary.

20 補完的に利用する実行制御 LocalFolderBehavior TEMP フォルダブラウザのキャッシュ等からの起動を禁止 Child Processes Word Excel Power Point Adobe Reader 等の文書作成閲覧ソフトからの子プロセス起動を禁止 Restriction Setting Local Folder Behavior は署名されている実行ファイルは除外するよう設定 Child Processes は署名されている実行ファイル及びファイル作成後 30~60 分以上経過している実行ファイルを除外するよう設定 UnsignedExecutable Local Folder Behavior で指定した場所以外でファイル作成後 1 分以内の実行ファイルは起動を禁止 , Palo Alto Networks. Confidential and Proprietary.

21 実行制御も止めることができなかった場合は? WildFire にアップロードされた未知のファイルが Malware と判定され且つ端末で実行された履歴があれば Malware Post Detection としてイベントが作成される , Palo Alto Networks. Confidential and Proprietary.

22 導入時のベストプラクティス , Palo Alto Networks. Confidential and Proprietary.

23 製品導入チューニングの流れグループ A 初期ポリシーチューニング本番運用開始第二段階第三段階最終段階グループ B 初期ポリシー第二段階チューニング第三段階最終段階グループ C 前のグループでチューニングされたポリシーを展開初期ポリシーチューニング第二段階第三段階最終段階チューニングが進みノウハウがたまることでチューニング期間が短縮化 , Palo Alto Networks. Confidential and Proprietary.

24 導入時のポリシー設定最終的には攻撃を止めることを目標に進めていくことが重要初期段階第二段階第三段階最終段階デフォルトの EPM 設定 WildFire Learning モード実行制御なしデフォルトの EPM 設定 WildFire Prevent モード実行制御なしデフォルトの EPM 設定 WildFire Prevent モード実行制御 Notify モードユーザ通知無効デフォルトの EPM 設定 WildFire Prevent モード実行制御 Prevent モードユーザ通知あり Unknown のアップロード有効 Unknown のアップロード有効 Unknown のアップロード有効 Unknown のアップロード有効ユーザへの通知なしユーザへの通知ありユーザへの通知ありユーザへの通知あり , Palo Alto Networks. Confidential and Proprietary.

25 過検知互換性チューニングの判断基準 ( 例 ) 発生契機トリガー発生頻度 1 回 or 複数回 (1 台の頻度 ) 発生端末単一 or 複数影響範囲影響度緊急 > 大 > 中 > 小対応優先度 1>2>3> 4 対処方針単一個別 PC1 台小 4 静観 ( 遮断維持 ) ログアラート確認 ( 遮断検知 ) 1 回 (1 台当たり ) 複数単一部門的過去 3 日間少数の端末全体的過去 3 日間多数の端末個別 PC1 台中 3 大 2 中 3 経過観察再発有無対処 ( 継続監視対象 ) 即対処全端末該当プロセス除外サポートへ問合せ経過観察再発有無対処 ( 継続監視対象 ) 複数回 (1 台当たり ) 複数部門的過去 1 日間少数の端末全体的過去 1 日間多数の端末大 2 緊急 1 状況判断 / 暫定対処対象端末のプロセスの除外サポートへ問合せ即対処全端末該当プロセス除外サポートへ問合せ

26 導入事例 , Palo Alto Networks. Confidential and Proprietary.

27 , Palo Alto Networks. Confidential and Proprietary. ご清聴ありがとうございました!

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで 1. Exploit.PDF.CVE-2010-2883 一般向け情報 1.1 Exploit.PDF.CVE-2010-2883 の流行情報 2011 年 12 月 17 日朝鮮民主主義人民共和国 ( 北朝鮮 ) の金正日氏の訃報に便乗して発生したウイルスである今回解析する Exploit.PDF.CVE-2010-2883 は PDF 形式のウイルスでありメールや Web サイトに掲載されることで被害が拡大したと想定される