sandboxing virtualization modern tools for combating
play

Sandboxing & Virtualization: Modern Tools for Combating - PowerPoint PPT Presentation

Dec 12, 2022 •265 likes •479 views

Sandboxing & Virtualization: Modern Tools for Combating Malware Anup K. Ghosh, PhD Founder anup@invincea.com www.invincea.com Research Professor Center for Secure Information Systems George Mason University May 2010 The User IS the

  1. Sandboxing & Virtualization: Modern Tools for Combating Malware Anup K. Ghosh, PhD Founder anup@invincea.com www.invincea.com Research Professor Center for Secure Information Systems George Mason University May 2010

  2. The User IS the Target (and an Unwitting Accomplice) • Ubiquitous ¡usage ¡of ¡Internet ¡and ¡ PDFs ¡has ¡enabled ¡ ¡adversaries ¡to ¡shi8 ¡ tac:cs ¡ ¡ • Full ¡frontal ¡assaults ¡s:ll ¡exist ¡but ¡it ¡is ¡ far ¡easier ¡to ¡prey ¡on ¡the ¡psychology ¡ of ¡the ¡user ¡ ¡ • Trust ¡in ¡social ¡networks ¡ ¡ “I ¡don’t ¡know ¡security…but ¡I ¡know ¡what ¡I ¡like. ¡ ¡ Faith ¡in ¡Internet ¡search ¡engines ¡ • Click, ¡click, ¡click…” ¡ ¡ Trusted ¡sites ¡ ¡ • Stan ¡from ¡Accoun-ng| ¡December ¡2010 ¡ • Spear-­‑phishing ¡ ¡ Your ¡first ¡line ¡of ¡defense ¡is ¡also ¡your ¡weakest ¡ Fear ¡mongering ¡ ¡ • link…how ¡many ¡thousands ¡of ¡users ¡ vulnerabili-es ¡are ¡in ¡your ¡network? ¡

  3. Curiosity Not Only Kills the Cat… Malware ¡authors ¡use ¡Search ¡ • Engine ¡Op:miza:on ¡to ¡ poison ¡search ¡results ¡ ¡ 2 ¡month ¡study ¡finds ¡Google ¡ • serves ¡69% ¡of ¡total ¡malware ¡ by ¡search ¡engine ¡ (1) ¡ 60% ¡of ¡top ¡Google ¡search ¡ • terms ¡delivered ¡user ¡to ¡ malicious ¡sites ¡in ¡first ¡100 ¡ results ¡ (2) ¡ 10% ¡of ¡all ¡malware ¡analyzed ¡ • by ¡Cisco ¡in ¡Q3 ¡2010 ¡was ¡ User ¡psychology: ¡ ¡ encountered ¡through ¡the ¡ Google ¡= ¡Internet ¡ ¡ • search ¡engine (3) ¡ Google ¡= ¡Trust ¡ • • Internet ¡= ¡Trust ¡ ¡ (1) ¡Barracuda ¡Labs ¡Report ¡-­‑ ¡July ¡2010 ¡ (2) ¡ ¡ McAfee ¡threat ¡report ¡– ¡November ¡2010 ¡ ¡ ¡ (3) ¡Cisco ¡threat ¡report ¡– ¡November ¡2010 ¡ ¡

  4. A Massive Problem with Malware: Growing in Volume & Sophistication • 60,000 ¡new ¡pieces ¡of ¡ malware ¡released ¡on ¡a ¡daily ¡ basis ¡in ¡Q3 ¡2010 ¡– ¡4x ¡more ¡ than ¡2007 ¡ (1) ¡ PDF ¡exploits ¡were ¡the ¡ • leading ¡cause ¡of ¡infec:ons ¡ in ¡2009 (2) ¡ 99.4% ¡of ¡malicious ¡ • programs ¡aimed ¡at ¡ Windows (3) ¡ 20,000,000+ ¡unique ¡pieces ¡ • of ¡malware ¡ iden-fied ¡in ¡ 2010 ¡ (4) ¡ Very ¡important ¡note…these ¡are ¡just ¡the ¡pieces ¡that ¡ have ¡signatures…more ¡on ¡that ¡in ¡a ¡minute ¡ ¡ (1) McAfee ¡threat ¡report ¡– ¡November ¡ ¡ (2) Symantec ¡– ¡April ¡2010 ¡ ¡ (3) G ¡Data ¡Malware ¡Report ¡Jan-­‑Jun ¡2010 ¡ ( ¡ (4) PandaLabs ¡– ¡December ¡2010 ¡ ¡ ¡ 4 ¡

  5. A Core Belief… We Must Break the Security Insanity Cycle • Wash, ¡rinse, ¡repeat ¡ security ¡ Servicing ¡problems ¡ • not ¡solving ¡them ¡ ¡ Finding ¡out ¡Tuesday ¡ • that ¡we ¡were ¡pwned ¡ on ¡Monday ¡ ¡ • Whack-­‑a-­‑mole ¡ problem ¡resolu:on ¡ ¡

  6. Large Enterprise Defense Strategy: Castle & Moat Approach 6 ¡

  7. Existing Defenses are Inadequate Firewalls ¡ ¡ Internet ¡ Drive-­‑bys ¡ Incoming ¡Threats ¡ • Perimeter ¡fencing ¡ Targeted ¡ Adacks ¡ • Only ¡stops ¡“known ¡bad” ¡url ¡requests ¡ APTs ¡ O-­‑days ¡ Network ¡Gateways ¡ Zeus ¡Botnet ¡ • Requires ¡signatures ¡of ¡“known ¡bad” ¡ • Choke-­‑point ¡for ¡Web ¡traffic ¡– ¡scale? ¡ Firewalls ¡ • Requires ¡successful ¡breaches ¡to ¡iden:fy ¡ new ¡malware ¡ IDS/IPS ¡ • Misses ¡malware ¡requiring ¡human ¡ interac:on ¡ Web ¡Gateway ¡ An:-­‑virus ¡ An:-­‑Virus ¡ • Requires ¡signatures ¡of ¡“known ¡bad” ¡ • Malware ¡built ¡to ¡avoid ¡AV ¡detec:on ¡ • Signature ¡updates ¡lag ¡by ¡days/weeks ¡ Network ¡ 7 ¡

  8. Pull vs Push Attack Model IDS ¡ Firewall ¡ Endpoint ¡ Security ¡ Suite ¡ 8 ¡

  9. Independent Studies Reveal The Gaps Left by Anti-Virus > “Day ¡1” ¡An9-­‑Virus ¡Effec9veness ¡ Average ¡An9-­‑virus ¡ detec9on ¡rate ¡* ¡ • ¡19% ¡“Day ¡1” ¡ • ¡62% ¡“Day ¡30” ¡ > “Day ¡30” ¡An9-­‑Virus ¡Effec9veness ¡ * ¡Malware ¡Detec:on ¡Rates ¡for ¡Leading ¡AV ¡Solu:ons, ¡A ¡Cyveillance ¡Analysis, ¡August ¡2010 ¡ ¡ 9 ¡

  10. Innovating for Today and Tomorrow… Making Prevention Possible Once Again 2010 ¡“The ¡Year ¡of ¡the ¡Sandbox” ¡ ¡ 2011 ¡“100% ¡Virtualized ¡Applica9ons” ¡ Move ¡high-­‑risk ¡applica:ons ¡to ¡fully ¡virtualized ¡ • environment ¡ Provide ¡seamless ¡segrega:on ¡of ¡browser ¡and ¡ • PDF ¡reader ¡from ¡na:ve ¡opera:ng ¡system ¡ ¡ Automa:c, ¡behavioral ¡based ¡detec:on ¡and ¡ • restora:on ¡ • Forensic ¡data ¡capture ¡and ¡feed ¡to ¡larger ¡ infrastructure ¡ ¡ Commendable ¡efforts ¡-­‑ ¡but ¡too ¡much ¡residual ¡ risk ¡is ¡leT ¡on ¡the ¡table… ¡

  11. Solutions Exist – NSA Recommendations hdp://www.nsa.gov/ia/_files/factsheets/Best_Prac:ces_Datasheets.pdf ¡

  12. Sandboxing Leaves Residual Risk

  13. Application Virtualization Threat Protection Landscape 13 ¡

  14. Application Sandboxing sandbox ¡ Applica9ons ¡ Rendering ¡ sandbox ¡ Vulnerable ¡ Vulnerable ¡ Engine ¡ Module ¡ Module ¡ Host ¡Opera9ng ¡System ¡ IPC ¡ (kernel) ¡ Physical ¡Hardware ¡ HTML, ¡JS, ¡ Rendered ¡ Browser ¡ Bitmap ¡ etc ¡ Sandboxing/Lightweight ¡Virtualiza:on ¡ Kernel ¡ Architecture ¡ Google ¡Chrome ¡Sandbox ¡Architecture ¡ > Applica:ons ¡share ¡the ¡same ¡kernel ¡in ¡sandboxing ¡solu:ons ¡ > Kernel-­‑level ¡exploits ¡break ¡the ¡sandbox ¡ 14 ¡

  15. Hardware Virtualization (Type II) Applica9on ¡ Applica9on ¡ Guest ¡Opera9ng ¡System ¡ Guest ¡Opera9ng ¡System ¡ ( kernel ¡a ) ¡ ( kernel ¡b ) ¡ Virtual ¡Machine ¡ Virtual ¡Machine ¡ Host ¡Opera9ng ¡System ¡ ( kernel ¡c ) ¡ Physical ¡Hardware ¡ > Kernel ¡for ¡target ¡applica:on ¡is ¡dis:nct ¡from ¡host ¡system ¡ > Infec:ons ¡of ¡applica:on ¡and ¡kernel ¡do ¡not ¡effect ¡Host ¡OS, ¡given ¡ secure ¡configura:on ¡ 15 ¡

  16. Virtual Desktop Architecture User ¡A ¡ User ¡B ¡ User ¡C ¡ Virtual ¡Desktop ¡ Virtual ¡Desktop ¡ Virtual ¡Desktop ¡ Host ¡OS ¡(e.g., ¡MS ¡Server ¡2008 ¡with ¡Terminal ¡Services) ¡ Single, ¡Shared ¡Kernel ¡ Hypervisor ¡ (e.g., ¡VMware ¡ESX) ¡ Physical ¡Hardware ¡ > Virtual ¡Desktop ¡users ¡are ¡not ¡separated ¡by ¡any ¡virtualiza:on ¡ layer ¡ > Compromise ¡of ¡one ¡user ¡can ¡lead ¡to ¡compromise ¡of ¡several ¡ 16 ¡

  17. Secure Hardware Virtualization > Process ¡confinement ¡ > File ¡system ¡confinement ¡ > Kernel ¡confinement ¡ > Network ¡confinement ¡ > Real-­‑:me ¡detec:on ¡that ¡covers ¡previously ¡unseen ¡adacks ¡ > Fast ¡complete ¡recovery ¡to ¡a ¡known ¡clean ¡state ¡ > Forensics ¡for ¡root-­‑cause ¡analysis ¡ > Integrity ¡monitoring ¡of ¡virtualiza:on ¡layer ¡ > Usability ¡ 17 ¡

  18. Invincea Browser Protection • Type ¡II ¡ hardware ¡ virtualized ¡browser ¡environment ¡ • Signature-­‑free ¡malware ¡detec:on ¡ • Generates ¡real-­‑:me ¡forensic ¡threat ¡intelligence ¡ • Easy ¡to ¡use ¡& ¡deploy ¡ 18 ¡

  19. Demo of an Infection

  20. Anup K. Ghosh, PhD Founder & CEO anup@invincea.com www.invincea.com May 2010

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Vx32: Lightweight User-Level Sandboxing on the x86 Bryan Ford and Russ Cox MIT CSAIL Presented

Vx32: Lightweight User-Level Sandboxing on the x86 Bryan Ford and Russ Cox MIT CSAIL Presented

Vx32: Lightweight User-Level Sandboxing on the x86 Bryan Ford and Russ Cox MIT CSAIL Presented by: Ashwin Chaugule 26th Sept 2008 Area Systems security: Application Virtualization USENIX 08 - Best Student Paper Source code:

427 views • 28 slides
Virtualization Virtualization Memory virtualization Process feels like it has its own

Virtualization Virtualization Memory virtualization Process feels like it has its own

4/25/08 Virtualization Virtualization Memory virtualization Process feels like it has its own address space Created by MMU, configured by OS Storage virtualization Logical view of disks connected to a machine External

441 views • 8 slides
secmodel_sandbox An application sandbox for NetBSD Stephen Herwig sandboxing Sandboxing:

secmodel_sandbox An application sandbox for NetBSD Stephen Herwig sandboxing Sandboxing:

secmodel_sandbox An application sandbox for NetBSD Stephen Herwig sandboxing Sandboxing: limiting the privileges of a process Two motivations - Running untrusted code in a restricted environment - Dropping privileges in trusted code so as to

1.09k views • 58 slides
Virtualization What is Virtualization? Virtualization is the simulation of the software and/

Virtualization What is Virtualization? Virtualization is the simulation of the software and/

Virtualization What is Virtualization? Virtualization is the simulation of the software and/ or hardware upon which other software runs. This simulated environment is called a virtual machine --Wikipedia 2 Computer Systems Arch.

1.26k views • 26 slides
16 Networking, OS, and virtualization CS 2043: Unix Tools and Scripting, Spring 2019 [1]

16 Networking, OS, and virtualization CS 2043: Unix Tools and Scripting, Spring 2019 [1]

16 Networking, OS, and virtualization CS 2043: Unix Tools and Scripting, Spring 2019 [1] Matthew Milano March 1, 2019 Cornell University 1 Table of Contents 1. Firewalls 2. Operating systems, and what they do. 3. Containers, and how

214 views • 18 slides
AMD Pacifica Virtualization Technology AMD Unveils Virtualization Platform AMD Pacifica

AMD Pacifica Virtualization Technology AMD Unveils Virtualization Platform AMD Pacifica

AMD Pacifica Virtualization Technology AMD Unveils Virtualization Platform AMD Pacifica Tutorial 2 Virtual Machine Approaches Carve a Server into Many Virtual Machines Hosted Hypervisor-based Virtualization Virtualization App App

539 views • 18 slides
Virtualization and SDN Applications 2 Virtualization Network Virtualization Sharing

Virtualization and SDN Applications 2 Virtualization Network Virtualization Sharing

4/1/2013 Virtualization and SDN Applications 2 Virtualization Network Virtualization Sharing physical hardware or software resources by Share physical network resources to form multiple multiple users and/or use cases diverse virtual

511 views • 5 slides
4/22/2009 Virtualization Memory virtualization Process feels like it has its own address

4/22/2009 Virtualization Memory virtualization Process feels like it has its own address

4/22/2009 Virtualization Memory virtualization Process feels like it has its own address space Created by MMU, configured by OS Distributed Systems Storage virtualization Logical view of disks connected to a machine

407 views • 3 slides
Virtualization. A dream within a dream Type 1 Virtualization Hypervisor run on bare

Virtualization. A dream within a dream Type 1 Virtualization Hypervisor run on bare

Virtualization. A dream within a dream Type 1 Virtualization Hypervisor run on bare metal. Dedicated virtualization machine. Higher performance. Typical for servers. Type 2 Virtualization Hypervisor sits on

571 views • 17 slides
Virtualization and Containerization What is Virtualization? What is Containerization? What does

Virtualization and Containerization What is Virtualization? What is Containerization? What does

Virtualization and Containerization What is Virtualization? What is Containerization? What does this do for us? Virtual Machines: Terminology Types of Hypervisors VirtualBox and VMWare

2.8k views • 30 slides
MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise

MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise

MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise and purify our thoughts like a strain picture, or a passage from the grander poets. It always does one good. 5 MODERN 6 MODERN 7 MODERN 8

524 views • 24 slides
Virtualization Technology Zhiming Shen Virtualization: rejuvenation 1960s: first track of

Virtualization Technology Zhiming Shen Virtualization: rejuvenation 1960s: first track of

Virtualization Technology Zhiming Shen Virtualization: rejuvenation 1960s: first track of virtualization Time and resource sharing on expensive mainframes IBM VM/370 Late 1970s and early 1980s: became unpopular Cheap

924 views • 34 slides
Hardware / Virtualization / Architectures Foundations of the cloud Implementing Virtualization

Hardware / Virtualization / Architectures Foundations of the cloud Implementing Virtualization

Hardware / Virtualization / Architectures Foundations of the cloud Implementing Virtualization Technologies Cloud Computing relies heavily on the concept of virtualization In fact not possible without it. But they are separate

835 views • 32 slides
Linux Virtualization Kir Kolyshkin <kir@openvz.org> OpenVZ project manager What is

Linux Virtualization Kir Kolyshkin <kir@openvz.org> OpenVZ project manager What is

Linux Virtualization Kir Kolyshkin <kir@openvz.org> OpenVZ project manager What is virtualization? Virtualization is a technique for deploying technologies. Virtualization creates a level of indirection or an abstraction layer between a

388 views • 27 slides
IO Virtualization Kedar & Ozzie Overview Benefits Challenges Full Virtualization

IO Virtualization Kedar & Ozzie Overview Benefits Challenges Full Virtualization

IO Virtualization Kedar & Ozzie Overview Benefits Challenges Full Virtualization Paravirtualization Front-ends, Back-ends Pass through mode Virtualization : Review Create a Virtual machine that can emulate

327 views • 20 slides
Virtualization of Science and Scholarship S. George Djorgovski Caltech MSR LATAM Summit,

Virtualization of Science and Scholarship S. George Djorgovski Caltech MSR LATAM Summit,

Virtualization of Science and Scholarship S. George Djorgovski Caltech MSR LATAM Summit, Guaruja, Brasil, May 2010 Djorgovski MSR LATAM Summit, May 2010 Definition: By Virtualization , I mean a migration of the scholarly work, data, tools,

635 views • 35 slides
BLOCK MANAGEMENT IN SOLID-STATE DEVICES Abhishek Rajimwale (University of Wisconsin-Madison)

BLOCK MANAGEMENT IN SOLID-STATE DEVICES Abhishek Rajimwale (University of Wisconsin-Madison)

BLOCK MANAGEMENT IN SOLID-STATE DEVICES Abhishek Rajimwale (University of Wisconsin-Madison) Vijayan Prabhakaran (Microsoft Research) John D Davis (Microsoft Research) Existing storage stack Storage stack has remained static Mechanical

592 views • 30 slides
{ avg. latency) Actuator Cylinder 7.4/8.2 ms avg. seek Track Arm Platter Head Buffer

{ avg. latency) Actuator Cylinder 7.4/8.2 ms avg. seek Track Arm Platter Head Buffer

I/O Systems interrupts interrupts Processor Cache Lecture 21: Storage Systems Memory - I/O Bus Disk insides, characteristics, performance, reliability, technology Main I/O I/O I/O Memory Controller Controller Controller trends, RAID

705 views • 4 slides
Simple Optimizations for Applicative Array Programs for Graphics Processors Bradford Larsen

Simple Optimizations for Applicative Array Programs for Graphics Processors Bradford Larsen

Simple Optimizations for Applicative Array Programs for Graphics Processors Bradford Larsen Tufts University blarsen@cs.tufts.edu This work was supported in part by the NASA Space Grant Graduate Fellowship and NSF grants IIS-0082577 and

267 views • 23 slides
Genetic Improvement of GPU Software W. B. Langdon Computer Science, University College London GI

Genetic Improvement of GPU Software W. B. Langdon Computer Science, University College London GI

CREST Open Workshop on Genetic Improvement 30-31 Jan 2017 Genetic Improvement of GPU Software W. B. Langdon Computer Science, University College London GI 2017, Berlin, 15/16 July 2017 GECCO workshop Based on GI special issue forthcoming

742 views • 24 slides
Learning MySQL 5.7 Jervin Real Percona Live 2017 1 / 21 Agenda 1. Background 2. New Features

Learning MySQL 5.7 Jervin Real Percona Live 2017 1 / 21 Agenda 1. Background 2. New Features

Learning MySQL 5.7 Jervin Real Percona Live 2017 1 / 21 Agenda 1. Background 2. New Features 3. Upgrading to 5.7 2 / 21 Background and Current State 3 / 21 Background and Current State In Comparison, MySQL 5.7 is: Percona Server 5.7

329 views • 21 slides
New TRIUMF Director Nigel Lockyer May 2007 - May 2012 From Penn State, A former head of CDF

New TRIUMF Director Nigel Lockyer May 2007 - May 2012 From Penn State, A former head of CDF

New TRIUMF Director Nigel Lockyer May 2007 - May 2012 From Penn State, A former head of CDF Network & Computing Services Corrie Kost - retirement June 30th Kelvin Raywood - Corries replacement Scienti fi c Computing Support Chris

514 views • 27 slides
Newton never dies It only gets new hardware Paul Guyot Worldwide Newton Conference 2004

Newton never dies It only gets new hardware Paul Guyot Worldwide Newton Conference 2004

Newton never dies It only gets new hardware Paul Guyot Worldwide Newton Conference 2004 Introduction Introduction (i) Decreasing, limited supply of hardware What is so great about the Newton cannot be found in other PDAs and Operating

448 views • 29 slides
Fault Tolerant Service Function Chaining M. GHAZNAVI, E. JALALPOUR, B. WONG, R. BOUTABA, A.

Fault Tolerant Service Function Chaining M. GHAZNAVI, E. JALALPOUR, B. WONG, R. BOUTABA, A.

Fault Tolerant Service Function Chaining M. GHAZNAVI, E. JALALPOUR, B. WONG, R. BOUTABA, A. MASHTIZADEH UN UNIV IVERSITY ITY OF F WATE TERLOO Middleboxes and Service Function Chains Firewall IDS NAT Internet 1 Middlebox Failures 100

408 views • 25 slides

More recommend