Trapsの
ベストプラクティスと
導入事例
本日の内容
2 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Tr
ap
s
の
ベ
ス
ト
プ
ラ
ク
テ
ィ
ス
と
導入事例
• Trapsの概要
• サイバー攻撃の手口から見た、Trapsのベストプラクティス
• 製品導入時における、Trapsのベストプラクティス
• 導入事例
Trapsの製品概要
増加するゼロデイ脆弱性を狙った攻撃
4 | © 2015, Palo Alto Networks. Confidential and Proprietary.
3
2
1
0
1
1
6
11
10
0
2
4
6
8
10
12
Jan-‐15 Feb-‐15 Mar-‐15 Apr-‐15 May-‐15 Jun-‐15 Jul-‐15 Aug-‐15 Sep-‐15
2015年に公開されたゼロデイ脆弱性
出典: Symantec Intelligence Report – Sept. 2015
2014年と比較し、約
170%
増加
高度な攻撃は、未公開の脆弱性を積極的に攻撃してきている
日付
概要
2015/01/23
Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐0310)
2015/01/28
Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐0311等)
2015/02/06
Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐0313等)
2015/04/15
Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐3043等)
2015/05/13
Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐3078等)
2015/06/10
Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐3096等)
2015/06/24
Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐3113)
2015/07/09
Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐5119等)
2015/07/15
Oracle Javaの脆弱性対策について(CVE-‐2015-‐2590等)
2015/07/15
Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐5122等)
2015/08/19
Internet Explorerの脆弱性対策について(CVE-‐2015-‐2502)
2015/10/15
Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐7645)
IPAが、2015年1月より、
緊急
で発表した
脆弱性は、
2014
年
1
年間を既に超えている
ウイルス対策では、発見できないマルウェアも当たり前になっている
5 | © 2015, Palo Alto Networks. Confidential and Proprietary.
8,839,258
11,223
47,714
290,562
850,260
未検出
1~2社
3~10社
11~30社
31社以上
Palo Alto Networks AutoFocusを使用した調査結果より
WildFireで、マルウェアと判定された実行ファイル
2015年7月~2015年9月までの、3ヶ月間で、
WildFireで、マルウェアと判定された実行ファイル(PE、PE64)の
約
88%
は、発見時に他社ウイルス対策ソフトウェアで
エンドポイントを何から守る必要があるのか?
エクスプロイト
(脆弱性を突く攻撃)
§ 細工されたデータファイルであり、
正規のアプリケーションによって
読み込まれ、処理される
§ 正規のアプリケーションにある、
悪意のあるプログラムを実行する
脆弱性を悪用する
§ 正規のアプリケーションをだまし、
攻撃者のプログラムを実行させる
§ 小さいプログラム
マルウェア
(悪意のある実行ファイル)
§ 実行形式のファイル(.exe)で
送られてくる攻撃用のプログラム
§ アプリケーションにある
脆弱性に依存しない
§ すぐに実行される -
コンピュータを乗っ取ることが目的
§ 大きいプログラム
未知の脆弱性を狙うエクスプロイトと、未知のマルウェアから守る必要がある
高度なサイバー攻撃のライフサイクル
被害を抑えるためには、起動前に攻撃を止めることが重要!
しかしながら、今までの対策では、止めることが難しい・・・
防止的なコントロール
反応的なコントロール
攻撃計画の
立案
情報収集
ユーザに
悟られずに感染
エクスプロイト
の悪用
マルウェアは
攻撃者と通信
制御チャネルの
確立
悪意のある
ファイルを実行
マルウェア
の実行
データ盗難、
妨害行為、
破壊活動
データの奪取
必要なのは、攻撃を「止める」エンドポイントプロテクション
8 | ©2014, Palo Alto Networks. Confidential and Proprietary.
脆弱性を突く攻撃を阻止!
未知のマルウェア実行を阻止!
攻撃者が行う、攻撃のための手法を阻害することで、攻撃を失敗に終わらせる、
まったく新しい考え方の、アドバンスト エンドポイント プロテクションです。
Traps エクスプロイト防御
脆弱性を攻撃する際に使用される
テクニック(手法)を遮断
攻撃者が行う、攻撃手法の流れとTrapsによる遮断
攻撃の連鎖を、どこかで断ち切れれば、攻撃自体は失敗に終わる!
送付
脆弱性の悪用
ダウンロードと実行
悪意のある
活動
攻撃コードの
準備
プログラムの
問題を攻撃
セキュリティ
機構の回避
1
2
3
OSの権限を
奪取
4
マルウェア
本体の
ダウンロード
5
マルウェア本体の起動
6
他の起動プロセスを
悪用した活動
7
Traps マルウェア防御
実行ファイルの場所、
コード署名などを使い
プログラムの
起動を制御
クラウド上の
脅威インテリジェンス
と連携し
マルウェアの
起動を阻止
起動したプログラムの
動作を監視し、
悪意のある
活動を阻止
サイバー攻撃の手口から見た、
Traps
のベストプラクティス
実際にあった攻撃の手口(
Cyber Threat Alliance レポートより)
~
Cryptwall ver.3~
11 | © 2015, Palo Alto Networks. Confidential and Proprietary.
ZIP等で圧縮された
実行ファイル
(.exe / .scr)
ExploitKitで
脆弱性を悪用
ユーザの操作
により実行
マルウェアの
送付と自動実行
日本を主に狙った、
EMDIVIの感染までの手口
12 | © 2015, Palo Alto Networks. Confidential and Proprietary.
悪用されたゼロデイの脆弱性
- Internet Explorer (CVE-2013-3893)
- 一太郎 (CVE-2014-7247)
- Adobe Flash Player (CVE-2015-5119)
利用者をだます実行ファイル
(ドロッパーと呼ばれるダウンロードツール)
- 医療費通知
- セミナーの案内
- ニュースの案内
Emdivi本体の
ダウンロード
と実行
Emdivi: Flashの脆弱性を使った攻撃
13 | © 2015, Palo Alto Networks. Confidential and Proprietary.
•
Hacking Teamから漏えいした、
Flashの脆弱性を悪用した攻撃
(
CVE-2015-5119)
•
Flashファイル(SWF)の中に
入れてあった圧縮ファイルから、
実行ファイルを取り出し実行
•
最終的に、
EMDIVIの亜種を実行
Dropperといわれるプログラム
Flashの脆弱性を突くSWFを送付
改ざんされた日本国内のサイト
最終的に、EMDIVIの亜種を実行
Emdivi: 問題のないファイルを装った実行ファイルでの攻撃
14 | © 2015, Palo Alto Networks. Confidential and Proprietary.
•
実行ファイルは、
RARで作成された
自己解凍圧縮ファイル
•
Dropperとしての実行ファイルと、ダ
ミーの文書ファイルを、
Windowsの
テンポラリフォルダに展開し、両方の
ファイルをキック
•
文書ファイルは、通常のアプリケー
ションで開かれる
•
Dropperは、本体をダウンロードし
実行
ファイル名.exe
TEMP
ダミー.doc
Dropper.exe
文書を表示
マルウェアを実行
TEMP
WordやExcelのマクロを使った攻撃
15 | © 2015, Palo Alto Networks. Confidential and Proprietary.
•
ユーザがファイルを開くと、自動的に
マクロを開始しない限りは、マクロの
有効化を求める表示がでる
•
マクロを実行すると、マクロによって
テンポラリフォルダ等に、実行ファイ
ルがダウンロードされ、キック
•
実行されたプログラムが、さらにマル
ウェアの本体をダウンロードし、実行
Dropper.exe
マルウェアの実行
TRAPSを
どう設定すると
止まるのか?
エクスプロイト防御のポリシー設定
•
デフォルトの
EPM設定で、十分な保護が提供可能
•
デフォルトで無効になっているモジュールは、
想定以上の過検知が発生する可能性があるため、
適用するプロセス等注意が必要
17 | © 2015, Palo Alto Networks. Confidential and Proprietary.
モジュール名
有効
動作モード
CPL Protection
Notify
DEP
X
Terminate
DLL Security
X
Terminate
DLL-‐Hijacking Protection
Notify
Exception Heap Spray Check
X
Terminate
Font Protection
X
Terminate
Generic
X
n/a
GS Cookie
Terminate
Heap Corruption Mitigation
Terminate
Hot Patch Protection
X
Terminate
JIT Mitigation
Terminate
Library Preallocation
X
Terminate
Master SHE
X
n/a
Master VEH
X
n/a
Memory Limit Heap Spray Check
X
Terminate
Null Dereference Protection
X
Terminate
Packed DLLs
Terminate
Periodic Heap Spray Check
Terminate
Random Preallocation
X
Terminate
ROP Mitigation
X
Terminate
SHE Protection
X
Terminate
Shellcode Preallocation
X
Terminate
ShellLink Protection
X
Terminate
SysExit
Terminate
UASLR
X
Terminate
URI Protection
n/a
ブラウザや、
Adobe Flash Playerなど、
Drive-by-Downloadの攻撃の大半は、
デフォルトの設定で十分に防御可能!
EPMによって保護されるアプリケーションのカバレッジ
•
デフォルトでは、
110プロセスが保護対象
•
日本だけで使用されるようなソフトウェアの
プロセスは、入っていない
•
プロセスの追加は、下記の基準で
•
Process Managementから、組織で利用
数の多いプロセス
•
攻撃に利用がされ易そうなプロセス
(自社開発ではなく、パッケージ製品など)
WildFireとの連携について
•
ハッシュ値の問合せを行い、
Malwareと判断された
実行ファイルは、遮断
•
未知の実行ファイルは、積極的にアップロード
•
未知の実行ファイルは、
遮断せずに実行
19 | © 2015, Palo Alto Networks. Confidential and Proprietary.
ランサムウェア等、
多数の標的に送られ
るものは、防御できる
可能性は高い
実行させてしまった
未知の実行ファイル
は、後述の実行制御
で補完
補完的に利用する実行制御
20 | © 2015, Palo Alto Networks. Confidential and Proprietary.
•
Local Folder Behavior
•
TEMPフォルダ、ブラウザのキャッシュ等からの起動
を禁止
•
Child Processes
•
Word、Excel、Power Point、Adobe Reader等の文
書作成、閲覧ソフトからの子プロセス起動を禁止
•
Restriction Setting
•
Local Folder Behaviorは、署名されている実行ファ
イルは、除外するよう設定
•
Child Processesは、署名されている実行ファイル及
び、ファイル作成後
30~60分以上経過している実行
ファイルを除外するよう設定
•
Unsigned Executable
•
Local Folder Behaviorで指定した場所以外で、ファ
イル作成後
1分以内の実行ファイルは起動を禁止
実行制御も、止めることができなかった場合は?
21 | © 2015, Palo Alto Networks. Confidential and Proprietary.
WildFireにアップロードされた未知のファイルが、Malwareと判定され、且つ端末で実行された履歴があれば
導入時のベストプラクティス
製品導入、チューニングの流れ
23 | © 2015, Palo Alto Networks. Confidential and Proprietary.
グループ
A
グループ
B
グループ
C
初期ポリシー
初期ポリシー
第二段階
初期ポリシー
チューニング
第二段階
第三段階
最終段階
第三段階
最終段階
第二段階
第三段階
最終段階
チューニング
チューニング
本番運用開始
前のグループで
チューニングされた
ポリシーを展開
チューニングが進み、
ノウハウがたまることで、
チューニング期間が短縮化
導入時のポリシー設定
最終的には、攻撃を「止める」ことを目標に進めていくことが重要
24 | © 2015, Palo Alto Networks. Confidential and Proprietary.