Yeni Nesil Güvenlik Tehditleri ve Symantec Eren SÖNMEZ Principal Technology Consultant, CISSP, CCSK 1
Tehditler gerçekte ne boyutta? 2
Resimdeki hatayı bulunuz Taşınabilir/USB medyalar autorun.inf 3
Saldırganların gerçek niyeti???
Yoksa... $ TL
P8.jpg Hatta
http://go.symantec.com/screensaver 7
Şubat 2011 8
Temmuz 2011 9
Nedir şu Conficker dedikleri? Conficker kodu, Downadup, Kido adlarıyla da bilinir... Microsoft, 23 Ekim 2008 tarihinde çok acil olduğunu bildirdiği bir güncelleme yayınladı;ms08 067... Atağın yayınlandığı ilk 24 saatte bunu kullanan exploit ler yazıldı... Bir ay sonra ilk ciddi, açığı kullanan Conficker adlı solucan tespit edildi... Soluncanın bir sonraki sürümü iki hafta geçmeden 3 milyonunun üzerinde bilgisayara bulaştı... Şu anda bu sayı 16 milyonun üzerinde olarak tahmin edilmekte... Ancak bu tahmin, kesin sayı bilinemiyor... AMACI HALA BİLİNMİYOR!!! 10
Ocak 2007: 250,000 zararlı kod Aralık 2010: 286 milyon zararlı kod 11
Zararlı Kod Geliştirenler Taktik Değiştiriyor Eskiden: mass distribution bir zararlı kod milyonlarca PC ye bulaşmakta. Massive worm lar hala var; ama dağıtım teknikleri değişmiş durumda. 75% of malware infect less than 50 machines Günümüzde: micro distribution model. Web sayfalarındaki pop up mesajları ile uygulamalar, fake AV Drive by download Ortalama Harakit varyantı 1.6 kullanıcıya dağıldı. 12
Türkiye de etkili olan güncel bir tehdit Infostealer.Bancos 13
Son kullanıcılara gelen basit bir mail... Symantec var... Sorun yok 14
Son kullanıcılara gelen basit bir mail... Symantec var... Sorun yok 15
Video açıldığı anda... 16
Video açıldığı anda... 17
Video açıldığı anda... 18
Infostealer.Bancos Zararlı kod neler yapmakta? Keylogger dosyasına klavye hareketlerini logluyor. Banka sitesinde yapılan hareketlerin sanal klavye dahil ekran görüntülerini alıyor. Topladığı tüm bilgileri klasor içerisinde sıkıştırıp bir ftp sitesine upload ediyor. Kullanıcın cep telefonuna gelen SMS mesajının bir kopyası da kötü niyetli kişiye farklı bir zararlı kod tarafından kopyalanmakta... 19
Zararlı kod neler yapmakta? 20
Zararlı kod neler yapmakta? 21
Mobil Cihazların Güvenliği Önemli 22
Daha yetenekli bir şekilde geri dönüyorlar MBR, BIOS BMW BIOS MBR Windows sistem dosyaları 23
Saldırılar Nasıl Gerçekleşiyor? 24
Bir saldırının anatomisi 1 2 3 4 SİSTEME GİRME Kötü niyetli kişi, networke, kullandığı şüpheli yazılımı açık bulunan sistemlere yükleyerek başlar. KEŞİF Girilen ağın yapısını öğrenmeye çalışılır. Zayıf sistemler tespit edildikten sonra taarruz planı hazırlar. TOPLAMA Asıl amaç olan ele geçirilmek istenen sistemlerden bilgi toplar. DIŞARIYA ÇIKARMA Ele geçirilen bilgileri dışarıya çıkarır. 25
26
Bir saldırının anatomisi 27
Bir saldırının anatomisi 28
Bir saldırının anatomisi 29
Insight Teknolojisi Nedir? Ara katmanda bir çözüm mevcut değil Today, both good and bad software obey a long tail distribution. KötüDosyalar Neither technique works well for the 10s of millions of files with low prevalence. (But this is precisely where the majority of today s malware falls) İyi Dosyalar Prevalence Blacklisting works well for common malicious files Long Tail files are harder to classify White listing can identify common good files 30
Insight Nasıl Çalışmakta 2 Rate nearly every 2.5 billion file on the files internet 4 Check the DB during scans 1 175 million PCs Is it new? Bad reputation? Prevalence Age 5 Provide actionable data Using community based security ratings 3 Look for associations Source Behavior Associations 31
32
Symantec Protection Model Defense in Depth File 17b053e6352ad233 85c59efcbac2490b Website/ Domain/ IP address Network Network File Reputation Behavioral Network-based Reputation-based Protection File-based Protection Protection Behavioral-based Protection Stops malware as it travels over the network and tries to take up residence on a system Looks for and eradicates malware that has already taken up residence on a system Establishes information about entities e.g. websites, files, IP addresses to be used in effective security Looks at processes as they execute and uses malicious behaviors to indicate the presence of malware Protocol aware IPS Browser Protection Antivirus Engine Auto Protect Malheur Insight Domain Reputation File Reputation SONAR Behavioral Signatures 33
Connection Reputation Provided from Symantec Global Intelligence Network Sources: 175M+ Users Symantec Honey pots Symantec Web Crawlers Symantec DeepSight Policy based blocking User/Group/IP Severity Category 34
Symantec Web Gateway Botnet Detection Correlated Behavior Inspects all traffic in/out the network Detects patterns of typical Bot traffic Command & Control Communications IP scanning Spamming Etc Correlates Multiple Behaviors to determine Active Bot Single patterns are Suspect but may be false positives, so are not Blocked Active Bots are Blocked Dormant Bots are marked as Inactive 35
Infected Client Detection Identify Installed Malware Malware Infection Installed software (often without user s notice or permission) Has a Call Home component Can range in severity Network Signature Based Any Port/Protocol Proactive Blocking Quarantine Actionable Reporting 36
Symantec Çözümleri Kısaca... BT politikaları kontrolü Control Compliance Suite Bilginin korunması Kimlik doğrulama Sistem yönetimi Data Loss Prevention Suite and Encryption VeriSign Identity and Authentication IT Management Suite Altyapının n korunması Symantec Protection Suites
Teşekkürler Eren SÖNMEZ Symantec Teknoloji teknoloji@symantec.com 38