panda adaptive defense - la evolución del malware

Evolución del Malware y la

Próxima Generación Endpoint

Protection contra los Ataques

Dirigidos

02/07/2015Malware Evolution 2

Contenidos

1. Volumen de muestras de Malware

2. Épocas del Malware

3. Panda Adaptive Defense

a. Qué es

b. Características y Beneficios

c. Cómo funciona

d. Historia de éxito


Volumen de Muestras de

Malware

Evolución del

volumen de muestras

de Malware

100 nuevas

muestras

diarias

1.369 nuevas

muestras

diarias

Más de 200.000

nuevas muestras

diarias

VIRUS

SPYWARES

BOTS

TROJANS

TARGETED ATTACKS

ZERO-DAY ATTACKS

DYNAMIC TROJANS



Épocas del Malware

1ª Época

• Muy pocas muestras y familias de

Malware

• Virus hechos por diversión, algunos

muy dañinos, otros inocuos, pero no

buscan nada más que eso.

• Propagación lenta (meses, años) ya

que era a través de disquetes.

Algunos nombres de virus pertenecen

a la localidad donde se creó o

descubrió.

• Análisis de todas las muestras por

técnicos.

• Análisis estático de las muestras y

desensamblado de las mismas

(Reversing).



W32.Kriz Jerusalem

2ª Época

• Comienza a aumentar el número de

muestras

• Internet comienza a popularizarse

tímidamente, comienzan a los virus de

macro, gusanos de correo, etc..

• En general poca complejidad, utilizan

ataques de ingeniería social por email

pero su distribución es limitada, no se

envían de forma masiva

• Tecnologías heurísticas

• Aumento frecuencia actualizaciones



Melissa Happy 99

3ª Época• Aparición de los gusanos de masivos que

saturaban internet

• Via mail: I Love You

• Via exploits: Blaster, Sasser, SqlSlammer

• Tecnologías proactivas

• Dinámicas: Proteus

• Estáticas: KRE y Heurísticos de Machine

Learning

• Identificación de procesos malware por sus

acciones

• Un proceso en el equipo

• Accede a lista de contactos de email

• Abre una conexión a internet por un puerto

no estándar

• Abre múltiples conexiones usando puerto 25

• Se añade en una clave de autorun

• Hookea navegadores



I love you Blaster

Sasser


Tecnologías

proactivas estáticas

Reducción tiempos respuesta a 0

detectando el malware desconocido

Algoritmos Machine Learning aplicados

en los problemas clásicos de

clasificación.

El nuestro TAMBIÉN es un problema de

“clases”: malware vs goodware.


4ª Época

• Los hackers cambiaron de perfil:

Principal motivación del Malware es el

beneficio económico mediante

troyanos bancarios y ataques de

phishing.

• Se generalizan los

droppers/downloaders/EK

• El salto a la Inteligencia Colectiva.

• Clasificación masiva de ficheros.

• Entrega de conocimiento desde la

nube.



Banbra Tinba

El salto a la

Inteligencia Colectiva

La entrega del conocimiento desde la

nube como alternativa al fichero de

firmas.

Escalabilidad de los servicios de

entrega de firmas de malware a los

clientes mediante la automatización

completa de todos los procesos de

backend (procesado, clasificación y

detección).


La llegada de Big

Data

Working set actual de 12 TB

400K millones de registros

600 GB de muestras/día

400 millones de muestras

almacenadas

Innovación: hacer viable el

procesamiento de datos derivado de la

estrategia de IC aplicando tecnologías

de Big Data.


5º Época• Primer ciberataque masivo contra un país,

Estonia, por parte de Rusia.

• Anonymous empieza una campaña contra

organismos como la RIAA, la MPAA o la SGAE, entre

otras, etc.).

• Profesionalización del Malware

• Uso de técnicas de marketing en campañas de

spam.

• Distribución de diferentes variantes en función

de horario/país

• Ransomware

• APTs

• Detección por contexto

• No se analiza solo que hace un proceso, sino

que se tiene en cuenta en qué contexto se está

ejecutando...


Reveton


Ransomware

APTs…



- Noviembre / Diciembre 2013

- 40 millones de tarjetas de

crédito/debito robadas

- Ataque a través de la empresa de

mantenimiento de A/C

- TPVs

- Autoría incierta

- Borrado de información

- Robo de TB de información


Carbanak

- Año 2013/2014

- 100 entidades afectadas

- Países afectados: Rusia, Ucrania, EEUU, Alemania, China

- Cajeros: 7.300.000 US$

- Transferencias: 10.000.000 US$

- Total estimado: 1.000.000.000 US$

¿Qué es Panda Adaptive Defense?


02/07/2015Adaptive Defense 25

Panda Adaptive Defense es un nuevo modelo

de seguridad capaz de ofrecer protección

completa para dispositivos y servidores

mediante la clasificación del 100% de los

procesos ejecutados en cada puesto y cada

servidor de tu parque informático,

supervisando y controlando su

comportamiento.

Más de 1.200 millones de aplicaciones ya

clasificadas.

La nueva versión de Adaptive Defense

(1.5) incluye el motor AV, añadiendo la

capacidad de desinfección, y posibilitando el

reemplazo del antivirus de la empresa.

RESPUESTA… e

información

forense para

investigar en

profundidad

cada intento

de ataque

VISIBILIDAD… y

trazabilidad de cada

acción realizada por las

aplicaciones en

ejecución

PREVENCIÓN… y bloqueo

en tiempo real y sin

necesidad de ficheros de

firmas de todos los ataques

Zero-day y dirigidos

DETECCIÓN… y

bloqueo de

aplicaciones,

aislando los

sistemas para

prevenir futuros

ataques


Características y Beneficios


Informes diarios e inmediatos.

Gestión sencilla y centralizada en una consola web

Mayor servicio, menor gestión

Control preciso y configurable de las

aplicaciones en ejecución

Protección de sistemas vulnerables

Protección ante ataques dirigidos

hacia tu capital intelectual

Información forense.

Protección

ProductividadIdentificación y bloqueo de programas

no autorizados por la empresa

Solución ligera y fácil de desplegar

Gestión


Diferencias Clave

Categorizes all running processes on the endpoint

minimizing risk of unknown malware: Continuous monitoring

and attestation of all processes fills the detection gap of AV

products

Automated investigation of events significantly reduces

manual intervention by the security team: Machine learning

and collective intelligence in the cloud definitively identifies

goodware & blocks malware

Integrated remediation of identified malware: Instant access

to real time and historical data provides full visibility into the

timeline of malicious endpoint activity

Minimal endpoint performance impact (<3%)

Contra fabricantes

de AV

Contra fabricantes

de WL*

Contra nuevos fabricantes

de ATDs

Gap en la detección, no

clasifican todos los ejecutables

Requieren creación y gestión

de las listas blancas

Las soluciones perimetrales

no cubren todos los vectores de

infección

No son transparentes para los

usuarios finales y administradores

(gestión falsos positivos,

cuarentenas, …)

El despliegue es

laborioso y complejo

Supervidar entornos virtuales

(sandboxing) no es tan efectivo

como supervisar entornos reales

Los sistemas WL suponen

una costosa sobrecarga

para el administrador

Otros ATDs previenen/bloquean

los ataques, solo los detectan

02/07/2015Panda Adaptive Defense 29

¿Qué diferencia a Adaptive Defense?

* WL=Whitelisting. Bit9, Lumension, etc

** ATD= Advanced Threat Defense. FireEye, Palo Alto, Sourcefire, etc

02/07/2015Panda Adaptive Defense 30

Capacidad de detección de nuevo malware*Antivirus

Tradicional (25)

Modelo Standard Modelo Extendido

Nuevo malware detectado en las primeras 24 horas 82% 98,8% 100%

Nuevo malware detectado en los primeros 7 días 93% 100% 100%

Nuevo malware detectado en los primeros 3 meses 98% 100% 100%

% detecciones de PAPS no detectadas por ningún antivirus 3,30%

Detección de Sospechosos SI NO (no hay incertidumbre)

Clasificación de ficherosAgente

Universal **

Ficheros clasificados automáticamente 60,25% 99,56%

Nivel de confianza de la clasificación 99,928%99,9991%

< 1 error / 100.000 ficheros

* Viruses, Trojans, spyware y ransomware recibido en nuestra plataforma de Inteligencia Colectiva. Hacking tools, PUPS y

cookies no han sido incluidos en este estudio.

Adaptive Defense vs Antivirus Tradicionales

** La tecnología del Agente Universal se incluye como protección para el endpoint en todas las soluciones de Panda

Security


Como funciona Adaptive

Defense?


Un nuevo modelo de seguridad cloud en

tres fases

1ª Fase: Monitorización

minuciosa de cada una de

las acciones que

desencadenan los

programas en los equipos.

2ª Fase: Análisis y correlación

de todas las acciones

monitorizadas en todos los

clientes gracias a técnicas de

inteligencia basadas en Data

Mining y Big Data.

3ª Fase: Fortificación y

securización de los equipos,

impidiendo la ejecución de

cualquier proceso sospechoso o

peligroso y alertando al

administrador de la red.


Arquitectura Panda Adaptive Defense


Historia de Éxito


+1,2 mil millones de aplicaciones ya categorizadas

+100 despliegues. Malware detectado en 100% de los escenarios

+100,000 endpoints y servidores

protegidos

+200,000 brechas de seguridad mitigadas en el último año

+230,000 horas de recursos IT

ahorrados reducción de coste estimado de 14,2M€

Veamos un ejemplo…

Adaptive Defense

en números


Escenario

Concepto Valor

Duraciónd el PoC 60 días

Máquinas monitorizadas +/- 690

Máquinas con malware 73

Máquinas con malware ejecutado 15

Máquinas con PUP 91

Archivos PUP ejecutados 13

Archivos ejecutablesclasificados

27.942

Concepto Valor

Malware bloquedo 160

PUP bloqueado 623

TOTAL amenazasmitigadas

783


Distribución del software por fabricante

sobre 100% de archivos ejecutados


Skillbrains Igor Pavilov


Sandboxie

Holdings LLCEolsoft


Opera SoftwareDropbox Inc.


Aplicaciones

Vulnerables

Actividad aplicaciones

vulnerables:

- …

- (22 aplicaciones vulnerables en TODOS los puestos = 2074)

Inventario aplicaciones vulnerables:

- Excel v14.0.7 - v15.0 (279)

- Firefox v34.0 - v36 (178)

- Java v6 – v7 (80)


Top Malware


PUP (Spigot)


PUP (Spigot)

Potentially confidential information

extraction


Panda Endpoint Protection + Adaptive

Defense

Muchas gracias