Sandboxing & Virtualization: Modern Tools for Combating - PowerPoint PPT Presentation

Sandboxing & Virtualization: Modern Tools for Combating Malware Anup K. Ghosh, PhD Founder anup@invincea.com www.invincea.com Research Professor Center for Secure Information Systems George Mason University May 2010

The User IS the Target (and an Unwitting Accomplice) • Ubiquitous ¡usage ¡of ¡Internet ¡and ¡ PDFs ¡has ¡enabled ¡ ¡adversaries ¡to ¡shi8 ¡ tac:cs ¡ ¡ • Full ¡frontal ¡assaults ¡s:ll ¡exist ¡but ¡it ¡is ¡ far ¡easier ¡to ¡prey ¡on ¡the ¡psychology ¡ of ¡the ¡user ¡ ¡ • Trust ¡in ¡social ¡networks ¡ ¡ “I ¡don’t ¡know ¡security…but ¡I ¡know ¡what ¡I ¡like. ¡ ¡ Faith ¡in ¡Internet ¡search ¡engines ¡ • Click, ¡click, ¡click…” ¡ ¡ Trusted ¡sites ¡ ¡ • Stan ¡from ¡Accoun-ng| ¡December ¡2010 ¡ • Spear-‑phishing ¡ ¡ Your ¡first ¡line ¡of ¡defense ¡is ¡also ¡your ¡weakest ¡ Fear ¡mongering ¡ ¡ • link…how ¡many ¡thousands ¡of ¡users ¡ vulnerabili-es ¡are ¡in ¡your ¡network? ¡

Curiosity Not Only Kills the Cat… Malware ¡authors ¡use ¡Search ¡ • Engine ¡Op:miza:on ¡to ¡ poison ¡search ¡results ¡ ¡ 2 ¡month ¡study ¡finds ¡Google ¡ • serves ¡69% ¡of ¡total ¡malware ¡ by ¡search ¡engine ¡ (1) ¡ 60% ¡of ¡top ¡Google ¡search ¡ • terms ¡delivered ¡user ¡to ¡ malicious ¡sites ¡in ¡first ¡100 ¡ results ¡ (2) ¡ 10% ¡of ¡all ¡malware ¡analyzed ¡ • by ¡Cisco ¡in ¡Q3 ¡2010 ¡was ¡ User ¡psychology: ¡ ¡ encountered ¡through ¡the ¡ Google ¡= ¡Internet ¡ ¡ • search ¡engine (3) ¡ Google ¡= ¡Trust ¡ • • Internet ¡= ¡Trust ¡ ¡ (1) ¡Barracuda ¡Labs ¡Report ¡-‑ ¡July ¡2010 ¡ (2) ¡ ¡ McAfee ¡threat ¡report ¡– ¡November ¡2010 ¡ ¡ ¡ (3) ¡Cisco ¡threat ¡report ¡– ¡November ¡2010 ¡ ¡

A Massive Problem with Malware: Growing in Volume & Sophistication • 60,000 ¡new ¡pieces ¡of ¡ malware ¡released ¡on ¡a ¡daily ¡ basis ¡in ¡Q3 ¡2010 ¡– ¡4x ¡more ¡ than ¡2007 ¡ (1) ¡ PDF ¡exploits ¡were ¡the ¡ • leading ¡cause ¡of ¡infec:ons ¡ in ¡2009 (2) ¡ 99.4% ¡of ¡malicious ¡ • programs ¡aimed ¡at ¡ Windows (3) ¡ 20,000,000+ ¡unique ¡pieces ¡ • of ¡malware ¡ iden-fied ¡in ¡ 2010 ¡ (4) ¡ Very ¡important ¡note…these ¡are ¡just ¡the ¡pieces ¡that ¡ have ¡signatures…more ¡on ¡that ¡in ¡a ¡minute ¡ ¡ (1) McAfee ¡threat ¡report ¡– ¡November ¡ ¡ (2) Symantec ¡– ¡April ¡2010 ¡ ¡ (3) G ¡Data ¡Malware ¡Report ¡Jan-‑Jun ¡2010 ¡ ( ¡ (4) PandaLabs ¡– ¡December ¡2010 ¡ ¡ ¡ 4 ¡

A Core Belief… We Must Break the Security Insanity Cycle • Wash, ¡rinse, ¡repeat ¡ security ¡ Servicing ¡problems ¡ • not ¡solving ¡them ¡ ¡ Finding ¡out ¡Tuesday ¡ • that ¡we ¡were ¡pwned ¡ on ¡Monday ¡ ¡ • Whack-‑a-‑mole ¡ problem ¡resolu:on ¡ ¡

Large Enterprise Defense Strategy: Castle & Moat Approach 6 ¡

Existing Defenses are Inadequate Firewalls ¡ ¡ Internet ¡ Drive-‑bys ¡ Incoming ¡Threats ¡ • Perimeter ¡fencing ¡ Targeted ¡ Adacks ¡ • Only ¡stops ¡“known ¡bad” ¡url ¡requests ¡ APTs ¡ O-‑days ¡ Network ¡Gateways ¡ Zeus ¡Botnet ¡ • Requires ¡signatures ¡of ¡“known ¡bad” ¡ • Choke-‑point ¡for ¡Web ¡traffic ¡– ¡scale? ¡ Firewalls ¡ • Requires ¡successful ¡breaches ¡to ¡iden:fy ¡ new ¡malware ¡ IDS/IPS ¡ • Misses ¡malware ¡requiring ¡human ¡ interac:on ¡ Web ¡Gateway ¡ An:-‑virus ¡ An:-‑Virus ¡ • Requires ¡signatures ¡of ¡“known ¡bad” ¡ • Malware ¡built ¡to ¡avoid ¡AV ¡detec:on ¡ • Signature ¡updates ¡lag ¡by ¡days/weeks ¡ Network ¡ 7 ¡

Pull vs Push Attack Model IDS ¡ Firewall ¡ Endpoint ¡ Security ¡ Suite ¡ 8 ¡

Independent Studies Reveal The Gaps Left by Anti-Virus > “Day ¡1” ¡An9-‑Virus ¡Effec9veness ¡ Average ¡An9-‑virus ¡ detec9on ¡rate ¡* ¡ • ¡19% ¡“Day ¡1” ¡ • ¡62% ¡“Day ¡30” ¡ > “Day ¡30” ¡An9-‑Virus ¡Effec9veness ¡ * ¡Malware ¡Detec:on ¡Rates ¡for ¡Leading ¡AV ¡Solu:ons, ¡A ¡Cyveillance ¡Analysis, ¡August ¡2010 ¡ ¡ 9 ¡

Innovating for Today and Tomorrow… Making Prevention Possible Once Again 2010 ¡“The ¡Year ¡of ¡the ¡Sandbox” ¡ ¡ 2011 ¡“100% ¡Virtualized ¡Applica9ons” ¡ Move ¡high-‑risk ¡applica:ons ¡to ¡fully ¡virtualized ¡ • environment ¡ Provide ¡seamless ¡segrega:on ¡of ¡browser ¡and ¡ • PDF ¡reader ¡from ¡na:ve ¡opera:ng ¡system ¡ ¡ Automa:c, ¡behavioral ¡based ¡detec:on ¡and ¡ • restora:on ¡ • Forensic ¡data ¡capture ¡and ¡feed ¡to ¡larger ¡ infrastructure ¡ ¡ Commendable ¡efforts ¡-‑ ¡but ¡too ¡much ¡residual ¡ risk ¡is ¡leT ¡on ¡the ¡table… ¡

Solutions Exist – NSA Recommendations hdp://www.nsa.gov/ia/_files/factsheets/Best_Prac:ces_Datasheets.pdf ¡

Sandboxing Leaves Residual Risk

Application Virtualization Threat Protection Landscape 13 ¡

Application Sandboxing sandbox ¡ Applica9ons ¡ Rendering ¡ sandbox ¡ Vulnerable ¡ Vulnerable ¡ Engine ¡ Module ¡ Module ¡ Host ¡Opera9ng ¡System ¡ IPC ¡ (kernel) ¡ Physical ¡Hardware ¡ HTML, ¡JS, ¡ Rendered ¡ Browser ¡ Bitmap ¡ etc ¡ Sandboxing/Lightweight ¡Virtualiza:on ¡ Kernel ¡ Architecture ¡ Google ¡Chrome ¡Sandbox ¡Architecture ¡ > Applica:ons ¡share ¡the ¡same ¡kernel ¡in ¡sandboxing ¡solu:ons ¡ > Kernel-‑level ¡exploits ¡break ¡the ¡sandbox ¡ 14 ¡

Hardware Virtualization (Type II) Applica9on ¡ Applica9on ¡ Guest ¡Opera9ng ¡System ¡ Guest ¡Opera9ng ¡System ¡ ( kernel ¡a ) ¡ ( kernel ¡b ) ¡ Virtual ¡Machine ¡ Virtual ¡Machine ¡ Host ¡Opera9ng ¡System ¡ ( kernel ¡c ) ¡ Physical ¡Hardware ¡ > Kernel ¡for ¡target ¡applica:on ¡is ¡dis:nct ¡from ¡host ¡system ¡ > Infec:ons ¡of ¡applica:on ¡and ¡kernel ¡do ¡not ¡effect ¡Host ¡OS, ¡given ¡ secure ¡configura:on ¡ 15 ¡

Virtual Desktop Architecture User ¡A ¡ User ¡B ¡ User ¡C ¡ Virtual ¡Desktop ¡ Virtual ¡Desktop ¡ Virtual ¡Desktop ¡ Host ¡OS ¡(e.g., ¡MS ¡Server ¡2008 ¡with ¡Terminal ¡Services) ¡ Single, ¡Shared ¡Kernel ¡ Hypervisor ¡ (e.g., ¡VMware ¡ESX) ¡ Physical ¡Hardware ¡ > Virtual ¡Desktop ¡users ¡are ¡not ¡separated ¡by ¡any ¡virtualiza:on ¡ layer ¡ > Compromise ¡of ¡one ¡user ¡can ¡lead ¡to ¡compromise ¡of ¡several ¡ 16 ¡

Secure Hardware Virtualization > Process ¡confinement ¡ > File ¡system ¡confinement ¡ > Kernel ¡confinement ¡ > Network ¡confinement ¡ > Real-‑:me ¡detec:on ¡that ¡covers ¡previously ¡unseen ¡adacks ¡ > Fast ¡complete ¡recovery ¡to ¡a ¡known ¡clean ¡state ¡ > Forensics ¡for ¡root-‑cause ¡analysis ¡ > Integrity ¡monitoring ¡of ¡virtualiza:on ¡layer ¡ > Usability ¡ 17 ¡

Invincea Browser Protection • Type ¡II ¡ hardware ¡ virtualized ¡browser ¡environment ¡ • Signature-‑free ¡malware ¡detec:on ¡ • Generates ¡real-‑:me ¡forensic ¡threat ¡intelligence ¡ • Easy ¡to ¡use ¡& ¡deploy ¡ 18 ¡

Demo of an Infection

Anup K. Ghosh, PhD Founder & CEO anup@invincea.com www.invincea.com May 2010

Sandboxing & Virtualization: Modern Tools for Combating - PowerPoint PPT Presentation

Sandboxing & Virtualization: Modern Tools for Combating Malware Anup K. Ghosh, PhD Founder anup@invincea.com www.invincea.com Research Professor Center for Secure Information Systems George Mason University May 2010 The User IS the

Vx32: Lightweight User-Level Sandboxing on the x86 Bryan Ford and Russ Cox MIT CSAIL Presented

Virtualization Virtualization Memory virtualization Process feels like it has its own

secmodel_sandbox An application sandbox for NetBSD Stephen Herwig sandboxing Sandboxing:

Virtualization What is Virtualization? Virtualization is the simulation of the software and/

16 Networking, OS, and virtualization CS 2043: Unix Tools and Scripting, Spring 2019 [1]

AMD Pacifica Virtualization Technology AMD Unveils Virtualization Platform AMD Pacifica

Virtualization and SDN Applications 2 Virtualization Network Virtualization Sharing

4/22/2009 Virtualization Memory virtualization Process feels like it has its own address

Virtualization. A dream within a dream Type 1 Virtualization Hypervisor run on bare

Virtualization and Containerization What is Virtualization? What is Containerization? What does

MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise

Virtualization Technology Zhiming Shen Virtualization: rejuvenation 1960s: first track of

Hardware / Virtualization / Architectures Foundations of the cloud Implementing Virtualization

Linux Virtualization Kir Kolyshkin <kir@openvz.org> OpenVZ project manager What is

IO Virtualization Kedar & Ozzie Overview Benefits Challenges Full Virtualization

Virtualization of Science and Scholarship S. George Djorgovski Caltech MSR LATAM Summit,

Crowdsourced Conformance Testing via Remote Sandboxing Joe Gibbs Politz

Combating Friend Spam Using Social Rejections Michael Sirivianos Cyprus University of Technology

tools air tools air http://www.toolsonair.com ToolsOnAir is known for its Mac-based

Introduction to Virtual Machines Carl Waldspurger (SB SM 89 PhD 95) VMware R&D Overview

KVM MMU Virtualization Xiao Guangrong <xiaoguangrong@cn.fujitsu.com> Index What is MMU

The modern tools of quantum mechanics A tutorial on quantum states, measurements, and operations

Distributed Systems Virtualization Paul Krzyzanowski pxk@cs.rutgers.edu Except as otherwise

A Fault Tolerant Virtualization Server Based on Xen Jrgen Gro Virtualization Kernel

Sandboxing & Virtualization: Modern Tools for Combating - PowerPoint PPT Presentation

Sandboxing & Virtualization: Modern Tools for Combating Malware Anup K. Ghosh, PhD Founder anup@invincea.com www.invincea.com Research Professor Center for Secure Information Systems George Mason University May 2010 The User IS the

Vx32: Lightweight User-Level Sandboxing on the x86 Bryan Ford and Russ Cox MIT CSAIL Presented

Virtualization Virtualization Memory virtualization Process feels like it has its own

secmodel_sandbox An application sandbox for NetBSD Stephen Herwig sandboxing Sandboxing:

Virtualization What is Virtualization? Virtualization is the simulation of the software and/

16 Networking, OS, and virtualization CS 2043: Unix Tools and Scripting, Spring 2019 [1]

AMD Pacifica Virtualization Technology AMD Unveils Virtualization Platform AMD Pacifica

Virtualization and SDN Applications 2 Virtualization Network Virtualization Sharing

4/22/2009 Virtualization Memory virtualization Process feels like it has its own address

Virtualization. A dream within a dream Type 1 Virtualization Hypervisor run on bare

Virtualization and Containerization What is Virtualization? What is Containerization? What does

MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise

Virtualization Technology Zhiming Shen Virtualization: rejuvenation 1960s: first track of

Hardware / Virtualization / Architectures Foundations of the cloud Implementing Virtualization

Linux Virtualization Kir Kolyshkin &lt;kir@openvz.org&gt; OpenVZ project manager What is

IO Virtualization Kedar &amp; Ozzie Overview Benefits Challenges Full Virtualization

Virtualization of Science and Scholarship S. George Djorgovski Caltech MSR LATAM Summit,

Crowdsourced Conformance Testing via Remote Sandboxing Joe Gibbs Politz

Combating Friend Spam Using Social Rejections Michael Sirivianos Cyprus University of Technology

tools air tools air http://www.toolsonair.com ToolsOnAir is known for its Mac-based

Introduction to Virtual Machines Carl Waldspurger (SB SM 89 PhD 95) VMware R&amp;D Overview

KVM MMU Virtualization Xiao Guangrong &lt;xiaoguangrong@cn.fujitsu.com&gt; Index What is MMU

The modern tools of quantum mechanics A tutorial on quantum states, measurements, and operations

Distributed Systems Virtualization Paul Krzyzanowski pxk@cs.rutgers.edu Except as otherwise

A Fault Tolerant Virtualization Server Based on Xen Jrgen Gro Virtualization Kernel

Linux Virtualization Kir Kolyshkin <kir@openvz.org> OpenVZ project manager What is

IO Virtualization Kedar & Ozzie Overview Benefits Challenges Full Virtualization

Introduction to Virtual Machines Carl Waldspurger (SB SM 89 PhD 95) VMware R&D Overview

KVM MMU Virtualization Xiao Guangrong <xiaoguangrong@cn.fujitsu.com> Index What is MMU