UNA AVENTURA PELIGROSA–ATAQUES A NIVEL DE

HYPERVISOR

Horatiu BandoiuChannel Marketing Manager

Bitdefender SE & LATAM

Agenda Whoami

La nube y la virtualización

Ataques

Debilidades intrínsecas

APT

Memory Introspection – HVMI

Conclusiones

3

4

11

12

15

19

28

whoami > 15 años en la seguridad informatica

2000 – 2004 Bitdefender

2004 – 2009 Provision / iSEC / Zona IT :

ISO 27001 – implementaciones en bancos,

telecom, petroliferas

Promotor de CISA/CISM, ISO 27001 LA

Colaborador de (ISC)2 – CISSP, SSCP –

Microsoft MCT

Miembro de ISACA desde 2005

Varios proyectos de IoT

Presente:

Bitdefender Ch Mkt Manager

Divulgador de la tecnología moderna y sus

particularidades

Padre de familia

NEW ERA OF COMPUTING

THE

AHORROSEFFICIENCIAUBICUIDAD

ESENCIA DE LA NUBE

La

¿QUE ES LA NUBE?

Server Virtualization

Storage Virtualization

Network Virtualization

Desktop Virtualization

Device Virtualization

Autonomics

Grid Computing - DevOps

Cloud Computing

~ On-demand Computing

Utility Computing

Elastic Computing

Scalable Computing

Future Internet

Internet of Services

Green IT

Enterprise Cloud

Mass Market Clouds

Technologias

Consolidación en el Data Center

Public / Private /

Hybrid Clouds

Compute / Storage Clouds

Recursos en el Data Center

(servers, routers)

~ Computer Center

Hosting Facility,

Server Farm, Data Farm

Desktops / Laptops

Other Devices

(mobile,

network equipments)

Visiones

Usos

Mercados/

Modelos

Infraestructuras

físicas

SaaS (Service, Apps)

PaaS (Platform)

IaaS (Infrastructure)RaaS (Resource)

FaaS (Facility)

Tipos de virtualización – Tipo 1

Instruction Set

VM Exits / Entries

System Calls

Tipos de virtualización – Tipo 2

Virtualized

System Calls

VM Exits / Entries

System Calls

Instruction Set

Tipos de virtualización – Tipo 3 (micro – virtualización)

Instruction Set

VM Exits / Entries

System Calls

SMM & STM

Instruction Set

VM Exits / Entries

System Calls

Tipos de ataques:

Hypervisor

vSwitch

Hardware

VM VM VM VM

STORAGE

VNIC

CPU MEMORY NETWORK

PNIC

Virtual Network Layer

MAC spoofing/snooping

Ataques a nivel de IP

VLAN hopping

Máquinas virtuales

Hyper spacing

Hyperthreading

Buffer overflows

Cache Poisoning

A nivel del Hypervisor

Hyperjacking:

High attack surfaces

Blue Pill

A nivel de storage

Violaciones de la

autenticación, intercepción de

las llaves de encriptación

Ransomware

A nivel de memoria

Memory overcommit,

optimized page sharing,

balloon drivers…

Prioridades de ejecución

¿Cual es la principal debilidad de las infraestructuras en la nube?

¿LA COMPLEXIDAD?

SI Y NO =

La que nos falla es la

MEMORIA

Transicion entre las

direcciones en memoria

física (RAM) y las

direcciones adresables

… porque tenemos segmentación y paging… y no solo estos

ADVANCEDPERSISTENT THREATS

APT – El flujo del ataque – 5 steps kill chain

El malware avanzado

UNFOLLOW THE TRADITIONALBITDEFENDER

Reforzando el hipervisor – MEMORY INTROSPECTION

MEMORY INTROSPECTION

?QUE ES?

Seguridad desde fuera del Sistema Operativo

Elimina la superficie de los ataques a nivel del OS y del kernel del

OS

Pero puede tener un problema con el malware moderno que se

aprovecha de la complexidad de las arquitecturas y del trabajo

con la memoria, de las debilidades intrínsecas de la virtualización

La respuesta de Bitdefender:

Análisis de las imágenes en memoria básica de los SO

huéspedes y sus procesos/apps

Interceptamos y marcamos las paginas extendidas de asignación

de memoria (EPT) como non-Writeable y non-Xecutable

Auditamos los accesos a esas zonas por el código que se ejecuta

“inside VM” – especialmente los de W y X - y los permitimos o no

cortocircuitar el Semantic Gap – correlación entre las paginas de la

memoria básica y los SOs y sus procesos

¿Qué operaciones se han de ejecutar y porque?

¿Qué procesos se ejecutan y porque?

Asegurar un impacto de funcionamiento mínimo

los eventos que se envían tienen una carga mínima

interceptamos solo eventos “con sentido”

gestionar rapidamente los eventos (análisis, re-ejecución / emulation,

renvío etc.)

RETOS DE LA HVMI

¿Que protegemos y porque?

CONCLUSIONES:

Cloud is a dangerous place…

La virtualización tiene sus debilidades…

La memoria – añade complexidad y posibilidades de abusos

Los ataques modernos se ejecutan con privilegios iguales que el

antimalware o aun más altos

Una solución potencial es la introspección en memoria

Bitdefender les ofrece la posibilidad de enfrentarse al reto pero

tienen que pensar “out-of-the box”

START YOUR SECURE JOURNEYBITDEFENDER