Advanced Malware:

Bedrohungslage und

konkrete Schutzstrategien

26. Juni 2017

Christian Schwarzer, Co-CEO

schwarzer@avantec.ch

Arten von Malware:

Ein Klassifizierungsversuch

«Klassische» Malware

Viren, Würmer, Spyware, Trojaner und allgemein

Malware mit «Signatur»

Generisch und weit verbreitet

Anti-Virus (AV) Software ist effektiver Schutz

Beispiele:

Melissa

I LOVE YOU

Generische Malware, die von AV nicht erkannt wird

(«signaturlos»)

Intelligente Features und Evasions-Techniken

Zunehmende Verbreitung infolge Exploit-Kits

Beispiele:

Zero-Day Exploits

Bot-Netze

Ransomware

Generische

Advanced Malware

Gezielte

Advanced Malware

Hoch-spezifische Malware speziell entwickelt für

Angriff auf bestimmtes Ziel (Advanced Persistent

Threat: APT)

Professionelle Angreifer

Entwickelt sich typisch entlang einer «Kill-Chain»

Beispiele:

Gezielte Angriffe auf Industrien wie

Finanz, Energie / Infrastruktur und

Behörden

“Kill-Chain”:

Typischer Verlauf eines gezielten Angriffs (APT)

UNBEFUGTE VERWENDUNG VON ACCOUNTS

BEKANNTE & UNBEKANNTE MALWARE COMMAND & CONTROL AKTIVITÄTEN VERDÄCHTIGER NETZWERK-VERKEHR DATEI-ZUGRIFF DURCH ANGREIFER MISSBRAUCH VON TOOLS/ PROGRAMMEN LOG-FILES

INITIALE KOMPROMIT-TIERUNG BRÜCKENKOPF ERRICHTEN PRIVILEGIEN AUSWEITEN INTERNE RECONNAIS-SANCE MISSIONSZIEL ERREICHEN

LATERALE

BEWEGUNG

PRÄSENZ

ERHALTEN

ANZEICHEN EINER KOMPROMITTIERUNG

Quelle: FireEye

Malware-Aktoren: Klassische Sicht mit Unterscheidung nach Motivation und Zielen

Quelle: FireEye

Crimeware Aktoren

(Cybercrime Gruppen)

Hacktivists

(Anonymous, LulzSec)

APT Aktoren

(Nation-State)

Malware-Aktoren

In Realität schwierig zuordenbar

Hacktivists

APT Aktoren

(Nation-State)

CrimewareAktoren

(Cybercrime Gruppen)

Quelle: FireEye

Advanced Malware:

Einzigartig, intelligent und ohne «Signatur»

Neue Threats

pro MinuteThreat-Industrie und breit verfügbare Malware-Kits

Catch-rate mit

Antivirus

Polymorphe und signaturlose Malware

45%

327

Intelligente Malware (Timer, Evasion, Sandbox

Detection)Firmen denken, dass sie versteckte

Malware haben89%

Malware spezifisch nur in einer FirmaGezielt entwickelte Malware

70%

Quellen: McAfee, WSJ, Sans.org, Avecto

Angriffskanäle und Angriffsvektoren

USBWebMail

87% 12% 1%

Quelle: Unit 42, Bromium

Phishing

Spear-PhishingDrive-By Downloads

Watering-Hole Attacks

Kanäle

Vektoren

Vulnerabilities

1. Regelmässiges Patching

2. Minimales System (Komplexität vermeiden)

3. «Least privileges» (Keine Admin-Rechte)

4. Mehrschichtige Security

5. Den schwächsten Link absichern

6. Starke Authentisierung

7. Segregation of Duties (Funktionstrennung)

Security Prinzipien:

Grundsteine der Malware-Bekämpfung

Mehrschichtige Security

Firewall & Netzwerk

Web-GatewayMail-

Gateway

Endpoint

User

Server

1

2 3

4 5

6

1

Firewall

Traffic-Control, Segmentierung, IPS

Traffic-Analyse

6

2

3

4

5

Web-Gateway

URL-Filter, Webreputation

Content-Filter, AV, Anti-Malware

Mail-Gateway

Anti-Spam

Content-Filter, AV, Anti-Malware

Endpoint

AV, Anti-Malware

Authentisierung, Remote Access

«Mobile» ist auch ein Endpoint

Server

Data- und Application-Security

AV, Advanced Malware Security

User

Awareness (z.B. Phishing)

Policies / «Kultur»

Endpoint Security: Schutz über den ganzen Lebenszyklus eines Angriffs

Prevention

• Verhinderung der Ausführung von Schadcode basierend auf : (a)Analyse, (b) Prediction oder (c) Isolation

Detection

• Schädlichen Code zu Laufzeit erkennen (z.B. durch Verhaltens-Analyse)

Response

• Unmittelbar oder nach-gelagert auf eine Bedrohung oder deren Impact reagieren (z.B. befallenen Client isolieren)

Investi-gation

• Identifikation von kompromit-tierten Assets

• Analyse von Angriffsmustern und Angreifer-Verhalten

Remedi-ation

• Wiederherstel-lung des Ursprungs-zustands und Bereinigung (z.B. Rollback des Clients)

Pre-Execution

Execution

Post-Execution

Endpoint Security Market Overview

Quelle: Momentum Partners

Gartner: Endpoint Protection Quadrant

NSS – Labs

AVANTEC Endpoint-Security Vergleich (Auszug)

Kategorie Prevention Prevention Prevention Detection/ Remediation

Detection/Investigation

Prevention /Investigation

Kern-Technologie

Isolation durch Micro-VM

• App. Control• Privilege Mgmt• Content

Isolation

Pre-ExecutionAnalyse von Files

mit AI

Behaviour-Analyse und Roll-Back

Analyse (Korrelationen)

und Forensik

Real Time EDR

OS Windows / Mac (nur Web)

Windows / Mac Windows / Mac Windows / Mac Windows / Mac Windows / Mac

Mgmt.-Konsole

On premise On premise Cloud Cloud On premise Cloud / On premise (CbDefense nur

Cloud)

Citrix VDI (Terminal Services

under investigation)

Ja Ja Ja Ja Ja

AV-Ersatz Nein Nein Nein Nein Ja* (mit HX ab Ende

2017)

Cb DEFENSE: jaCb RESPONSE:

nein

Offline-Schutz

Ja Ja Ja Partiell Ja Partiell

Usability Hoch Hoch (für eine White-Listing

Lösung)

Hoch Hoch Hoch Hoch

Investigation-Funktionen

Threat Summary, Attack story,BEM Filter,

IOC Search (Hash)

Audit-TrailApplikationsverwe

ndung und Privilegien

Cylance Optics Attack Story Line Analytics und Forensics

Cb Response: Umfangreichste

Logging, Filter und Such-Tools für IR

und Hunting

Get the basics right:

Security-Prinzipien umsetzen

Generell: So viel Prevention wie möglich

Kein “one size fits all” bei Anti-Malware Lösungen:

Zusammenspiel der verschiedenen Layer

Risiko-basierter-Ansatz: Kosten vs. Nutzen und akzeptable Rest-Risiken

Organisatorische und kulturelle Voraussetzungen (Impact auf Endbenutzer)

Malware Protection “ganzheitlich” angehen

Advanced Malware Protection:

Schlussfolgerungen und Empfehlungen

BACKUP SLIDES

Referenzen

Dienstleistungszyklus

Optimale Beratung gemäss Ihren Bedürfnissen

Überzeugende Konzepte dank Erfahrung und Kompetenz

Effiziente Evaluation im Rahmen einer Teststellung

Erfolgreiche Projekt-realisierung inkl. Know-how Transfer

Hochwertiger Support

Kontinuierliche Betreuung seitens Verkauf und Technik