McAfee Advanced Threat Defense 説明資料 マカフィー株式会社 Rev8
増加・進化する脅威 69 60秒毎に出現する新種のマルウェア数 16% 2013年における悪質なURLの増加率 (現在、トータル約7500万の悪質なURLが存在) 60% 難読化(パッキング)が施されているマルウェアの割合 320,000 2013年Q2における新種のランサムウェアのサンプル数 600,000+ 2013年Q1におけるMBR攻撃関連のサンプル数 1,200,000 2013年Q2における署名付きの悪意あるバイナリ数 140,000,000+ マカフィーが保有している固有のマルウェアのサンプル数
マルウェアへの包括的なアプローチに必要な3つのF FINDS McAfeeは複数の検出エンジン(静的解析エンジン(パターン、振る舞い、レピュテーション)+動的解析エンジン)を用いて高精度でマルウェアを検出 包括的 マルウェア プロテクション FREEZES McAfeeはNetwork製品との連携により、検出したマルウェアをリアルタイムで防御、マルウェアをダウンロードした端末を隔離 FIXES McAfeeはEndpoint製品との連携により、感染が疑われる端末の識別、ダメージを修復 注: FIXES機能を実施するための Real Time ePO は現状日本では未サポート。
McAfee Comprehensive Malware Protection ~ソリューション概要~ Global Threat Intelligence FREEZE NSP Gateways GTI/LTI FIND McAfee Web Gateway Email Gateway Network IPS ローカルBL / WL AVシグネチャ ファイルレピュテーション FIX Emulationエンジン 静的コード分析エンジン 感染端末への対策適用 ターゲット端末に合った Sandboxing McAfee Advanced Threat Defense 感染端末の洗い出し McAfee ePO
“Advanced Malware 対策” に対する市場の認識 シグネチャベースのテクノロジーは未知の脅威に対しては効果がない マッチングではなく解析 振る舞いアプローチ サンドボックスが有効 安全な仮想環境で怪しいファイルを実行 未知のファイルの実際の挙動を 解析 ファイルの意図を見極め (悪質かどうか) UNKNOWN ? SANDBOXING SAFE MALWARE
サンドボックスだけでは不十分 サンドボックスは、全てのマルウェアに有効なわけではない。 実行を遅らせることでサンド ボックスは回避可能 特定の日時まで実行を延 ばすことで、サンドボック ス解析ではクリーンにみ せる 何度かのクリックを経て初 めて実行 実行環境を認識することで サンドボックスを回避 サンドボックス環境を検知 すると実行しない 特定のOSやアプリケーシ ョンがインストールされた 環境でのみ実行 あるAPT攻撃では、 “マルウェアが実行された環境のIPアドレスが標的にしている地域に属しているかどうかをチェックしており、仮に、サンドボックスのIPアドレスが該当しない場合は実行されなかった。”
“Advanced Malware” 市場を変革 ~ATDの強み~ スケーラビリティ 1日で25万オブジェクトを解析 リアルタイムダウンセレクターにより既知マルウェアを迅速に特定 カスタムイメージによる標的型解析 企業環境の“Gold” イメージを使用したサンドボックス解析が可能 ⇒64bit OS, サーバOSのサポート ⇒実環境に近いOSイメージで解析することにより、誤検知・未検知のリスクを軽減 マルウェア詳細解析 静的コード解析および動的解析エンジンの両方を搭載 マルウェアファイルを ‘アンパッキング’ したうえで詳細にコード解析 インタラクティブモードで、動的解析を行う環境へ接続して、実行に必要なユーザ動作を実施 Security Connected – McAfee既存Solutionとの統合により実現 McAfee NSP、McAfee E-mail/Web Gateway 経由でのファイル取得 ⇒各検査対象ポイントへのアプライアンス導入が不要。 ⇒導入が容易 - スイッチ/ルーターの構成変更は不要でファイル解析用のATDのみ追加 ⇒ATDが検知した不正ファイルを「リアルタイム」でブロック Real Time for ePO による感染端末の特定・修復(将来的に実装)
McAfee Advanced Threat Defense アーキテクチャー ユーザ定義のサンドボックスイメージ 幅広いOS(クライアント・サーバ・Android)サポート リアルタイムダウン セレクター Admin VM Linux 64bit: Administration Scheduler Task manager File input / Server Results output Communication HTTP/HTTPS FTP/SFTP Restful API Socket Local B/W list GAM engine GTI reputation MFE AV Windows XP SP2/SP3 Server 2003 SP1/SP2 Server 2008 64bit Windows 7 32bit/64bit Android Type-I Hypervisor Intel-based Hardware Platform
動的解析用に幅広いOSをサポート ターゲット環境での動的解析: 実際に使用しているのと同じ端末環境 (OSバージョン、サービスパック/パッチレ ベル、使用アプリ等)で動的解析を実施 ターゲットの特定環境でしか動作しな いように作成されている標的型マルウ ェアの検知率向上 一つのファイルを動的解析するために 使用するOS数の削減=解析結果の 高速化 ユーザ定義型の動的解析用イメー ジ(Custom image)のサポート クライアント、サーバ、Androidを含 めた幅広いOSのサポート
複数の検知エンジン リアルタイムダウンセレクター 先進型サンドボックス 先進型サンドボックス 静的コード解析と動的解析のセット エミュレーション McAfee Gateway Anti-Malware ファイルレピュテーションMcAfee GTI アンチウイルスシグネチャ McAfee Anti Virus 定義ファイル ローカルブラック・ホワイト リスト 良性・悪性ファイルのリスト
ダウンセレクターとは ダウンセレクターは、負荷が高く・解析に時間が掛かる動的解析エンジンの 手前で動作し、動的解析が必要なファイルの選択(セレクション)を行います。 ローカルブラックリスト ATDが解析を実施したファイルの内、不審と判断されたファイルがブラックリストDBに追加されていく。そのブラックリストDBを活用。 ローカルホワイトリスト 既知で「良性」と判断されたファイルのハッシュ値が登録されているローカルの ホワイトリストDBを活用。 McAfee AV シグネチャ McAfee Anti-Virs 定義ファイルを活用。 GTI ファイルレピュテーション クラウドに存在するレピュテーションデータベースであるGTI(Global Threat Intelligence)の情報を活用。 エミュレーション McAfee Gateway Anti-Malware エンジンを活用
エンジンの解析順番 ローカル ブラックリスト ローカル ホワイトリスト MFE AV シグネチャ GTI ファイルレピュテーション ローカル ブラックリスト ローカル ホワイトリスト MFE AV シグネチャ GTI ファイルレピュテーション (GAM) エミュレーション 動的解析 & 静的 コード解析 * Patch Release 基本的には、ダウンセレクターエンジンで検知出来なかったファイルを「先進型サンドボックスエンジン(動的解析&静的コード解析)」で解析 ※ローカル BL/WL に登録されているファイルの解析を他ダウンセレクターエンジンで実施しない設定も可能
実績あるエンジンがATDのベース 2013 McAfee Advanced Threat Defense 2008 2004 Freespace Internet Security 2008 LynuxWorks buys ValidEdge 2013 McAfee Advanced Threat Defense
動的解析 - 従来のアプローチ 動的解析 実行動作をベースに分類、レポーティング Adobe Reader 動的解析 - 従来のアプローチ Adobe Reader Windows Executable Java Microsoft Office Archives 動的解析 レジストリ変更 ネットワーク通信 プロセスアクティビティ ファイルシステム変更 実行動作をベースに分類、レポーティング 14
先進型サンドボックス ~静的コード解析を組み合わせた包括的アプローチ~ Adobe Reader / Flash* Windows Executable Java Archives Microsoft Office 動的解析 静的コード解析 レジストリ変更 ネットワーク通信 プロセスアクティビティ ファイルシステム変更 アンパッキング 静的コード詳細解析 隠されたコード解析 隠されたロジック解析 解析コードと既存マルウェアの関連付け 実行動作及び静的コード解析をベースに分類、レポーティング [動的解析によるアウトプット] レジストリ変更結果 発生したネットワーク通信 プロセスアクティビティ ファイルシステム変更結果 “User API Log” 生成 [静的コード解析によるアウトプット] Family Classification 結果 コードの実行率 “Disassembly Results”生成 “Logic Path Graph” 生成 15
静的コード解析の必要性 標的型攻撃の多くでパッキング技術が 悪用されています。 パッキング技術により、「コード」の構成 変更や難読化が行われて、アンチウイル スソフトの検知や解析の為のリバースエ ンジニアリング作業を困難にします。 オリジナルコードに到達し解析するため には、アンパック技術(能力)が必要。 パッキングされたマルウェアは、 実行遅延の仕組み 代替のExecution paths 等の存在を隠蔽します。 Packed Malware in 2012 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 Q1 2012 Q2 2012 Q3 2012 Q4 2012 Source: McAfee Q4 2012 Quarterly Threat Report
静的コード解析とは Advanced Threat Defenseの静的コード解析エンジンは、オリジナルコードに到達するためのアンパックやリバースエンジニアリングを独自技術で実施。 オリジナルコードに到達できたら、既知のマルウェアコードとの類似性チェックを実施。 アンパック&既知マルウェアとの類似性対比 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (パッキング) 既知のマルウェアファミリーと70%以上の類似性 ABCDEFGH (オリジナルコード) ATD
静的コード解析活用例 Quarian グループによって実施された標的型攻撃で使用されたファイルをATDで解析したところ、動的解析(サンドボックス)よりも高い精度で、マルウェアを検出。 出典:http://blogs.mcafee.com/mcafee-labs/quarian-group-targets-victims-with-spearphishing-attacks ATDの解析結果 感染させるために使用された不正ファイル 動的分析(サンドボックス)ではSeverity3であったが、静的コード分析により既存マルウェアとの類似性が高いと判断されたため、「最終的な危険度は5」 ⇒動的分析(サンドボックス)では解析し切れないファイルを静的コード分析が補完。 類似性100%
インタラクティブモード 「インタラクティブモード」では、セキュリティソフトに見せかけてインストールを促すマルウェア(Fake AV系)を実際に動的解析環境で動作させるために、ライセンスへの同意やクリックといったユーザの動作を仮想環境へ接続して、実行することを可能にします。 仮想環境へ接続して、各種動作を実施。
解析動作モード 1.スタンドアロン ATD GUIにWebアクセスして、解析対象のファイルを手動アップロード 2.ゲートウェイ製品連携 McAfee のゲートウェイ製品(NSP, MWG)と連携して、解析対象のファイルを送信 3.FTP/SFTP FTP/SFTPクライアントを使用して、解析対象のファイルをアップロード ※解析結果を指定のFTP/SFTPサーバへATDから自動アップロードさせることも可能です。
複数種類の解析結果レポート Analysis Summary(HTML) Analysis Summary(PDF) Dropped Files Disassembly Results Logic Path Graph User API Log Complete Results
解析結果サンプル(Analysis Summary) 解析対象ファイル名、ハッシュ値、ファイルサイズ リアルタイムダウンセレクター、静的コード分析、 動的分析後の最終的な危険度 ⇒最終的には、既存マルウェアとの類似性の高さから、Severity 5 と判定 静的コード解析により判明した既存マルウェアとの類似性 解析に使用した仮想環境
解析結果サンプル(Analysis Summary) マルウェアが実施した特徴的な 「悪い行動」を明示
解析結果サンプル(Analysis Summary) サンプルの実行、ファイルオープンでCallされたDLL
解析結果サンプル(Analysis Summary) サンプルの実行中に作成、オープン、削除、修正、readされたファイル
解析結果サンプル(Analysis Summary) サンプル実行中のプロセス動作
解析結果サンプル(Analysis Summary) サンプル実行中のNetwork活動をSimulation
解析結果サンプル(Analysis Summary) サンプル実行中にポップアップが表示されて、解析が正常に行えなかったことを明示 ⇒「インタラクティブモード」を有効にした再解析を推奨
解析結果サンプル(Dropped Files) 動的解析中に作成されたファイルを更なる解析用に保存。
解析結果サンプル(Disassembly Results) 静的コード分析エンジンによりアンパック後、分解(Disassemble)された結果を表示 コードが何を行っているかの解説を付与
解析結果サンプル(Logic Path Graph) 動的分析中に実行された/されなかったファンクションを明示 ズームアップ 赤色ライン:存在はするが未実行のファンクション 青色ライン:実行されたファンクション
競合比較 カテゴリ 項目 McAfee A社 B社 C社 Find ○ (自社) (他社OEM) △ × (オプション) Freeze AVシグネチャ ○ (自社) (他社OEM) レピュテーション (複数製品情報活用) △ (単体製品情報のみ) リアルタイムエミュレーション × ローカルサンドボックス (オプション) 静的コード分析 サンドボックス解析レポート インタラクティブモード カスタムOSイメージ Freeze “初回検知”のマルウェアの リアルタイムブロック (ユーザ通知機能 未実装) 検知マルウェア情報を活用した不審ファイル・通信のブロック Fix (注) 現状未実装 感染端末検索 感染端末修復
ハードウェア仕様 解析能力:150,000ファイル/日 解析能力:250,000ファイル/日 Chassis ATD-3000 Low end (GP) 16 cores ATD-6000 High end (LHP) 32 Cores Chassis Form Factor 1U 2U Cores 16 32 Memory 128GB 256GB Disk Controller equivalent to a Intel Part Number RMS25PB040 SAS 6g Raid 10 interface; 1GB Cache Common Disk space HDD 2 x 2TB 4 x 2TB SSD (VM Image repository) 400GB 600GB Power Supplies AC Redundant, Hot Swappable AC Redundant Hot Swappable Network Interfaces On Board 10/100/1000 mbps RJ45 4 ports RMM Yes Regulatory Compliance for Safety and EMI Worldwide Scanning Capacity 150,000 ファイル/日(トータル) 250,000 ファイル/日(トータル) 解析能力:150,000ファイル/日 解析能力:250,000ファイル/日
動作概要(NSP)
McAfee Advanced Threat Defense 連携概要: McAfee Network Security Platform ファイルダウンロード McAfee Network Security Manager McAfee ePO ポリシー更新、 エンフォースメント ホスト情報 MD5クエリー Network Security Platform McAfee Advanced Threat Defense MD5, 攻撃情報を共有 ファイルを送信
解析可能ファイルタイプ、解析可能ファイル数 エンジン別解析可能ファイルタイプ・ファイル数 解析エンジン 解析可能ファイルタイプ Custom Fingerprint Executable, MS Office Files, PDF, Compressed Files, Android APK, Java Archive GTI File Reputation Executable, PDF, Android APK PDF Emulation PDF NTBA GAM Executable, MS Office Files, PDF, Compressed Files, Java Archive ATD モデル別解析(転送)可能ファイル数 ※NTBA, MATDと連携して解析(転送)可能なファイル数 モデル パフォーマンス 同時解析(転送)可能ファイル数 NSMファイル保存無 NSMファイル保存有 NS-9300 40Gbps ? ? NS-9200 20Gbps NS-9100 10Gbps M-8000 1024 50 M-6050 5Gbps M-4050 3Gbps M-3050 1.5Gbps M-2950 1Gbps M-2850 600Mbps M-1450 200Mbps 255 16 M-1250 100Mbps
NSP / NSM / ATD ワークフロー NSPローカルのFingerprintリスト(Whitelist/Blacklist)との照合 OS情報(もしあれば)も同時送信 6秒間ファイルの最終パケットを保持し、返答を待つ 解析結果をNSMへ送信 NSMが最終解析結果を定期的にATDへポーリング (動的解析に回された場合) 不正と判断されたファイルをBlacklistへ自動登録(もし設定されていれば) ※WhitelistとBlacklistを合わせて、最大100,000まで登録可能
検知結果(Real-Time Threat Analyzer) ATDでスキャンした結果、不正と判断された場合はアラートが上がります。 ※ダウンセレクタエンジン(AVシグネチャ、GTI、GAM)で不正と判断できた場合は、リアルタイムでブロック。
検知結果(Real-Time Threat Analyzer) ダウンセレクタエンジンで不正と判断できなかった場合は、サンドボックス分析が実施される旨のInformationalアラート(MALWARE: Unknown File Download Detected and Submitted to ATD for Analysis)を表示がされ、ファイルダウンロード保留は解除(ファイルはホストへ到達) =動的解析エンジンを使用したリアルタイムブロックは不可。 動的解析終了後に不審と判断された場合は、Highアラート (MALWARE: Malicious File Detected by ATD)に置き換わります。
検知結果(Malware Dashboard) “Unknown”はサンドボックス分析結果からを待っている状態。解析結果が得られ次第、反映。
検知結果(Malware Dashboard) Click! ATDで解析した結果をまとめた“簡易レポート”を表示。フルレポート(静的コード解析のレポート含む)の取得や、ATD画面へのアクセスもこの画面から可能。 November 8, 2018
Blacklistの自動追加 Malware検知ポリシーでBlacklistへの自動追加を有効にしていた場合、検知後に不正ファイルのハッシュ値が自動的に登録されます。(反映のために、センサへのConfigアップデートは不要)
Passive Device profiling NSPのPassive Device Profilingの機能で識別できたOS情報は、ファイル送信時にATDへ送信され、Analyzer Profile選定のために活用されます。 注1:送信された情報は、ePO連携が有効になっていない場合に活用されます。 注2:ePO情報(第1優先)、NSPからの識別情報(第2優先ん)共に無い場合は、 デフォルトで指定されている「Analyzer Profile」が使用されます。
動作概要(MWG)
McAfee Advanced Threat Defense 連携概要: McAfee Web Gateway Integration ファイルダウンロード McAfee Advanced Threat Defense 静的/動的解析 ファイルアップロード REST API レポート結果を返送 McAfee Web Gateway ホスト情報 クエリ McAfee ePO 45
McAfee Advanced Threat Defense MWG・ATD連携ワークフロー McAfee Advanced Threat Defense Internet 6 4 1 2 5 3 7 McAfee Web Gateway ユーザがファイルダウンロードのためにURLをクリック MWGがリクエストをインターネットへ送信 MWGがダウンロードされてきたファイルを受信 MWGがローカルのダウンセレクター(AV、GTI、GAM)で検知されなかったファイルを更なる詳細解析のためにATDへ送信 MWGがユーザにATDで解析中である旨のステータスページを表示 MWGが定期的にATDへ解析状況を確認. ATDの解析終了後、ファイルが問題無ければユーザへ渡し、問題があればブロック(問題があるファイルがユーザへ到達しない) 46
ATD Web Gateway 連携 ファイルをATDに送信するかどうかの閾値はMWG側で設定可能 =ダウンセレクションをMWGで実施(例:GAMで60%以上の危険度と判断されたら) サンドボックス解析が終了するまでファイルダウンロードを保留することが可能 =動的解析エンジンを使用したリアルタイムブロックが可能
ATD によるブロックされた場合の画面