Bitdefender_HVMI_Secure_IT_Event

UNA AVENTURA PELIGROSA–
ATAQUES A NIVEL DE
HYPERVISOR
Horatiu Bandoiu
Channel Marketing Manager
Bitdefender SE & LATAM
Agenda
Whoami
3
La nube y la virtualización
4
Ataques
11
Debilidades intrínsecas
12
APT
15
Memory Introspection – HVMI
19
Conclusiones
28
whoami
 > 15 años en la seguridad informatica
 2000 – 2004 Bitdefender
 2004 – 2009 Provision / iSEC / Zona IT :
 ISO 27001 – implementaciones en bancos,
telecom, petroliferas
 Promotor de CISA/CISM, ISO 27001 LA
 Colaborador de (ISC)2 – CISSP, SSCP –
Microsoft MCT
 Miembro de ISACA desde 2005
 Varios proyectos de IoT
Presente:
Bitdefender Ch Mkt Manager
Divulgador de la tecnología moderna y sus
particularidades
Padre de familia
THE
NEW ERA OF
COMPUTING
UBICUIDAD
EFFICIENCIA
AHORROS
La
ESENCIA DE LA
NUBE
¿QUE ES LA NUBE?
Server Virtualization
Storage Virtualization
Network Virtualization
Desktop Virtualization
Device Virtualization
Enterprise Cloud
Mass Market Clouds
Mercados/
Modelos
Technologias
SaaS (Service, Apps)
PaaS (Platform)
IaaS (Infrastructure)
RaaS (Resource)
FaaS (Facility)
Autonomics
Usos
Grid Computing - DevOps
Consolidación en el Data Center
Public / Private /
Hybrid Clouds
Compute / Storage Clouds
Cloud Computing
~ On-demand Computing
Utility Computing
Elastic Computing
Scalable Computing
Future Internet
Internet of Services
Green IT
Recursos en el Data Center
(servers, routers)
~ Computer Center
Hosting Facility,
Server Farm, Data Farm
Visiones
Infraestructuras
físicas
Desktops / Laptops
Other Devices
(mobile,
network equipments)
Tipos de virtualización – Tipo 1
System Calls
VM Exits / Entries
Instruction Set
Tipos de virtualización – Tipo 2
Virtualized
System Calls
VM Exits / Entries
System Calls
Instruction Set
Tipos de virtualización – Tipo 3 (micro – virtualización)
System Calls
VM Exits / Entries
Instruction Set
SMM & STM
System Calls
VM Exits / Entries
Instruction Set
Tipos de ataques:
Máquinas virtuales
Virtual Network Layer
Hyper spacing
A nivel del Hypervisor
MAC spoofing/snooping
Hyperthreading
Hyperjacking:
 High attack surfaces
Ataques a nivel de IP
Buffer overflows
 Blue Pill
VLAN hopping
Cache Poisoning
VM
VM
VM
VM
A nivel de storage
A nivel de memoria
Memory overcommit,
optimized page sharing,
balloon drivers…
Prioridades de ejecución
VNIC
Violaciones de la
autenticación, intercepción de
las llaves de encriptación
Hypervisor
vSwitch
Ransomware
PNIC
Hardware
CPU
MEMORY
STORAGE
NETWORK
¿Cual es la principal debilidad de las infraestructuras en la nube?
¿LA COMPLEXIDAD?
SI Y NO =
La que nos falla es la
MEMORIA 
Transicion entre las
direcciones en memoria
física (RAM) y las
direcciones adresables
… porque tenemos segmentación y paging… y no solo estos
ADVANCED
PERSISTENT THREATS
APT – El flujo del ataque – 5 steps kill chain
El malware avanzado
BITDEFENDER
UNFOLLOW THE TRADITIONAL
Reforzando el hipervisor – MEMORY INTROSPECTION
?QUE ES?
MEMORY
INTROSPECTION
Seguridad desde fuera del Sistema Operativo
Elimina la superficie de los ataques a nivel del OS y del kernel del
OS
Pero puede tener un problema con el malware moderno que se
aprovecha de la complexidad de las arquitecturas y del trabajo
con la memoria, de las debilidades intrínsecas de la virtualización
La respuesta de Bitdefender:
Análisis de las imágenes en memoria básica de los SO
huéspedes y sus procesos/apps
Interceptamos y marcamos las paginas extendidas de asignación
de memoria (EPT) como non-Writeable y non-Xecutable
Auditamos los accesos a esas zonas por el código que se ejecuta
“inside VM” – especialmente los de W y X - y los permitimos o no
RETOS DE LA HVMI
 cortocircuitar el Semantic Gap – correlación entre las paginas de la
memoria básica y los SOs y sus procesos
¿Qué operaciones se han de ejecutar y porque?
¿Qué procesos se ejecutan y porque?
Asegurar un impacto de funcionamiento mínimo
 los eventos que se envían tienen una carga mínima
 interceptamos solo eventos “con sentido”
 gestionar rapidamente los eventos (análisis, re-ejecución / emulation,
renvío etc.)
¿Que protegemos y porque?
CONCLUSIONES:
 Cloud is a dangerous place…
 La virtualización tiene sus debilidades…
 La memoria – añade complexidad y posibilidades de abusos
 Los ataques modernos se ejecutan con privilegios iguales que el
antimalware o aun más altos
 Una solución potencial es la introspección en memoria
 Bitdefender les ofrece la posibilidad de enfrentarse al reto pero
tienen que pensar “out-of-the box”
BITDEFENDER
START YOUR SECURE JOURNEY