Yeni Nesil Güvenlik Tehditleri ve Symantec

Yeni Nesil Güvenlik Tehditleri ve Symantec
Eren SÖNMEZ
Principal Technology Consultant, CISSP, CCSK
1
Tehditler gerçekte ne boyutta?
2
Resimdeki hatayı bulunuz
• Taşınabilir/USB medyalar – autorun.inf
3
Saldırganların gerçek niyeti???
Yoksa...
$
€
TL
P8.jpg
Hatta…
•
•
http://go.symantec.com/screensaver
7
Şubat 2011
8
Temmuz 2011
9
Nedir şu Conficker dedikleri?
• Conficker kodu, Downadup, Kido adlarıyla da bilinir...
• Microsoft, 23 Ekim 2008 tarihinde çok acil olduğunu bildirdiği bir güncelleme yayınladı; MS08‐067...
• Atağın yayınlandığı ilk 24 saatte bunu kullanan exploit’ler yazıldı...
• Bir ay sonra ilk ciddi, açığı kullanan “Conficker” adlı solucan tespit edildi...
• Soluncanın bir sonraki sürümü iki hafta geçmeden 3 milyonunun üzerinde bilgisayara bulaştı...
• Şu anda bu sayı 16 milyonun üzerinde olarak tahmin edilmekte... Ancak bu tahmin, kesin sayı bilinemiyor...
•AMACI HALA BİLİNMİYOR!!!
10
Ocak 2007: 250,000 zararlı kod
Aralık 2010: 286 milyon zararlı kod
11
Zararlı Kod Geliştirenler Taktik Değiştiriyor…
75% of malware infect less than 50 machines
Eskiden:
“mass distribution” – bir zararlı
kod milyonlarca PC ye
bulaşmakta.
 Massive worm lar hala var; ama dağıtım teknikleri değişmiş
durumda.
Günümüzde:
“micro distribution” model.  Web sayfalarındaki pop‐up
mesajları ile uygulamalar, fake AV
 Drive‐by‐download
 Ortalama Harakit varyantı 1.6
kullanıcıya dağıldı.
12
Türkiye’ de etkili olan güncel bir tehdit – Infostealer.Bancos
13
Son kullanıcılara gelen basit bir mail...
Symantec var... Sorun yok
14
Son kullanıcılara gelen basit bir mail...
Symantec var... Sorun yok
15
Video açıldığı anda...
16
Video açıldığı anda...
17
Video açıldığı anda...
18
Infostealer.Bancos Zararlı kod neler yapmakta?
• Keylogger dosyasına klavye hareketlerini logluyor.
• Banka sitesinde yapılan hareketlerin “sanal klavye dahil” ekran görüntülerini alıyor. • Topladığı tüm bilgileri klasor içerisinde sıkıştırıp bir ftp sitesine upload ediyor.
• Kullanıcın cep telefonuna gelen SMS mesajının bir kopyası da kötü
niyetli kişiye farklı bir zararlı kod tarafından kopyalanmakta...
19
Zararlı kod neler yapmakta?
20
Zararlı kod neler yapmakta?
21
Mobil Cihazların Güvenliği Önemli
22
Daha yetenekli bir şekilde geri dönüyorlar…
• MBR, BIOS  “BMW”
‐ BIOS
‐ MBR
‐ Windows sistem dosyaları
23
Saldırılar Nasıl Gerçekleşiyor?
24
Bir saldırının anatomisi
1
3
2
4
SİSTEME GİRME
KEŞİF
TOPLAMA
• Kötü niyetli kişi,
networke, kullandığı
şüpheli yazılımı açık bulunan sistemlere yükleyerek başlar.
•Girilen ağın yapısını
öğrenmeye çalışılır. Zayıf sistemler tespit edildikten sonra taarruz planı hazırlar.
•Asıl amaç olan ele geçirilmek istenen sistemlerden bilgi toplar.
DIŞARIYA ÇIKARMA
•Ele geçirilen bilgileri dışarıya çıkarır.
25
26
Bir saldırının anatomisi
27
Bir saldırının anatomisi
28
Bir saldırının anatomisi
29
Insight Teknolojisi Nedir?
• Ara katmanda bir çözüm mevcut değil
Today, both good and bad software obey a long‐tail distribution. Neither technique works well for the 10s of millions of files with low prevalence.
(But this is precisely where the majority of today’s malware falls)
Blacklisting works well for common malicious files
“Long Tail” files are harder to classify İyi Dosyalar
Prevalence
Kötü Dosyalar
White listing can identify common good files
30
Insight Nasıl Çalışmakta…
4
2
1
Rate nearly 2.5 billion every file on files
the internet
Check the DB during scans
175 million PCs
Is it new?
Bad reputation?
Prevalence
Age
5
Provide actionable data
3
• Using community‐based security ratings Look for associations
Source
Behavior
Associations
31
32
Symantec Protection Model
Defense in Depth
File
17b053e6352ad233
85c59efcbac2490b
Website/
Domain/
IP address
Network
 Network-based
Protection
Network
 File-based
Protection
File
Reputation
 Reputation-based
Protection
Behavioral
 Behavioral-based
Protection
Stops malware as it
travels over the network
and tries to take up
residence on a system
Looks for and
eradicates malware
that has already taken
up residence on a
system
Establishes information
about entities e.g.
websites, files, IP
addresses to be used in
effective security
Looks at processes as
they execute and uses
malicious behaviors to
indicate the presence
of malware
 Protocol aware IPS
 Browser Protection
 Antivirus Engine
 Auto Protect
 Malheur
 Insight
 Domain Reputation
 File Reputation
 SONAR
 Behavioral Signatures
33
Connection Reputation
• Provided from Symantec Global Intelligence Network
• Sources:
– 175M+ Users
– Symantec Honey pots
– Symantec Web Crawlers
– Symantec DeepSight
• Policy based blocking
– User/Group/IP
– Severity
– Category
34
Symantec Web Gateway ‐ Botnet Detection
Correlated Behavior
• Inspects all traffic in/out the network
• Detects patterns of typical Bot
traffic
– Command & Control Communications
– IP scanning
– Spamming
– Etc…
• Correlates Multiple Behaviors to determine Active Bot
– Single patterns are “Suspect” but may be false positives, so are not Blocked
– Active Bots are Blocked
– Dormant Bots are marked as “Inactive”
35
Infected Client Detection
Identify Installed Malware
• Malware Infection
Actionable Reporting
– Installed software (often without user’s notice or permission)
– Has a ‘Call Home’ component
– Can range in severity
• Network Signature Based
• Any Port/Protocol
• Proactive Blocking
• Quarantine
36
Symantec Çözümleri Kısaca...
BT politikaları kontrolü
Bilginin korunması
Kimlik doğrulama
Sistem yönetimi
Altyapının korunması
Control Compliance Suite
Data Loss Prevention Suite
and Encryption
VeriSign™ Identity and Authentication
IT Management Suite
Symantec Protection Suites
Teşekkürler
Eren SÖNMEZ
Symantec Teknoloji – [email protected]
38