Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Aktuelle IT Security Bedrohungen
17.10.-19.10.2017
|
Motive der Angreifer
Hacktivismus Legen Daten offen, um Botschaften zu verbreiten
Cyber Kriminalität Mehr als 300 Milliarden Euro Schaden jährlich in der EU¹
Spionage
Spionage von Geheimdiensten und Wirtschaftsspionage Shadow Brokers veröffentlicht Werkzeuge der NSA
2
1 Quelle: https://media.arbeiterkammer.at/noe/pdfs/Treffpunkt_0114_web.pdf
17.10.-19.10.2017 BITT17
|
Inhalt
Social Engineering
Crypto Ransomware / Erpressungstrojaner
Backup für den Heimbereich
CEO Fraud / Betrug mit Chef-Masche
3 17.10.-19.10.2017 BITT17
|
Social Engineering
4 17.10.-19.10.2017 BITT17
|
Social Engineering
5
Org
an
isati
on
Me
ns
ch
Tech
nik
heit Sicher
Org
an
isati
on
Te
ch
nik
Sicher
Org
an
isati
on
Te
ch
nik
17.10.-19.10.2017 BITT17
|
Social Engineering – Technisch
Informationen mit technischen Hilfsmitteln beschaffen
Automatisierte Angriffe Manipulierte Internetseiten ("Phishing")
Präparierte E-Mail-Anhänge
Scam Mails (Vorschuss-Betrug)
Anchatten via Skype, Soziale Netze
Versenden/"Vergessen" von präparierten USB Sticks
Gezielte Angriffe Individuell auf Opfer abgestimmt „Spear-Phishing“
6 17.10.-19.10.2017 BITT17
|
Social Engineering – Technisch
7
http://www.usbrubberducky.com
17.10.-19.10.2017 BITT17
|
Social Engineering – Physisch
Informationen werden über soziale Annäherung an Personen beschafft
Direkter "Angriff" über die "Schnittstelle Mensch" Ausgeben als andere Person
Durchstöbern von Müll
Passwort aushorchen
Ausdrucke bleiben im Drucker liegen Möglichkeit den Ausdruck mit PIN zu sperren
8 17.10.-19.10.2017 BITT17
|
Social Engineering – Physisch
9
Guten Tag, hier ist die Raiffeisen
Informatik. Aufgrund vermehrter Hacker-
Angriffe führen wir zu Ihrer Sicherheit
eine Überprüfung von Passwörtern
durch.
Ich muss die
Elektroinstallationen im
Serverraum kontrollieren
17.10.-19.10.2017 BITT17
|
Social Engineering – Reverse
Man verursacht ein Problem und ist dann zur Stelle,um es gleich zu lösen
Passive Interaktion Virus einschleusen und entfernen
Probleme vorspielen
Störung des WLAN, um dann als "zufällig anwesender" IT-Experte das Problem zu lösen – natürlich benötigt man das WLAN Passwort
10 17.10.-19.10.2017 BITT17
|
Social Engineering
Gibt es Regeln? Wer hat Zugriff auf welche Informationen?
Müssen z.B. Handwerker angemeldet sein?
Sind sich die Mitarbeiter der Gefahr bewusst? Vermeintliche Freunde sind nicht immer Freunde
Kleider machen keine Leute
Sind sich die Mitarbeiter des Werts von Informationen bewusst?
11 17.10.-19.10.2017 BITT17
|
Crypto Ransomware / Erpressungstrojaner
12 17.10.-19.10.2017 BITT17
|
Erpressungstrojaner verschlüsseln Daten
13
Quelle: http://wien.orf.at/news/stories/2794230/
https://www.heise.de/thema/Ransomware
http://arstechnica.com/security/2013/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/
17.10.-19.10.2017 BITT17
|
Crypto Ransomware
CryptoLocker, TorrentLocker, Cryptowall Locky, TeslaCrypt oder Cerber
Kriminelle infizieren den PC des Opfers, verschlüsseln alle Dateien und verlangen Lösegeld für Entschlüsselung
Kriminelle nutzen moderne Verschlüsselungsverfahren, die nicht entschlüsselt werden können
14 17.10.-19.10.2017 BITT17
|
Geschäftsmodell
Hoher Leidensdruck beim Opfer Kinderfotos oder Diplomarbeit verloren
Alle Kontakte weg
Unternehmensdaten nicht mehr verfügbar
Aufwand der Wiederherstellung größer als die Erpressersumme
Zahlungen mit Ist anonym und muss nicht „gewaschen“ werden
Kurios: Ransomware fordert Spiele Highscore
15 17.10.-19.10.2017 BITT17
|
Ransomware Werbevideo
16 17.10.-19.10.2017 BITT17
|
Infektionswege
Versenden von Spam E-Mails getarnt als Rechnung, Nachricht vom Paketdienst,
Anwaltsbriefe / Drohungen
mit Anhängen, die ausführbare Dateien enthalten
Links (URLs) um Schadsoftware herunter zu laden
Besuch einer kompromittierten Webseite
Ausnutzung von Sicherheitslücken im Web Browser oder der Browser Plug-ins (Drive-By-Infektionen)
Ungeschützte Fernwartungszugänge
17 17.10.-19.10.2017 BITT17
|
Maßnahmen im Vorfeld umsetzen!
Aktuelles, funktionierendes Backup Backup auf eigener Hardware und offline vom PC
Funktion des Backups überprüfen
Keine Schreibrechte auf Archiv
Application Whitelisting Nur bekannte Applikationen können ausgeführt werden Crypto Ransomware kann nicht starten
Organisatorischer Aufwand um benötigte Applikationen zu erheben
Advanced Persistent Threat (APT) Protection Download in einer „Sandbox“ analysieren und ggf. blocken
18 17.10.-19.10.2017 BITT17
|
Maßnahmen im Vorfeld umsetzen!
Blocken von ausführbaren Dateien Applikationen: .exe, .pif, .application, .gadget, .msi,
.msp, .com, .scr, .hta, .cpl, .msc, .jar
Potentiell gefährliche Dateien: .pdf, .doc, .rtf, .ppt, .xls, .odt
Office Makros: .docm, .dotm, .xlsm, .xltm, .xlam, .pptm, .potm, .ppam, .ppsm, .sldm
Containerformate: .zip, .rar, .tar, .7z, .z, .iso…
Skripte: .bat, .cmd, .vb, .vbs, .vbe, .js, .jse, .ws, .wsf, .wsc, .wsh, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml
Verknüpfungen und andere: .scf, .lnk, .inf, .reg, .dll
19 17.10.-19.10.2017 BITT17
|
Verhalten bei Infektion
Netzwerkkabel vom PC trennen, WLAN abschalten
Für forensischer Analyse „Memory Dump“ des Arbeitsspeichers und Sicherung der
Festplatte notwendig
Für ev. spätere Wiederherstellung der Dateien Kopie der verschlüsselten Festplatte aufheben,
z.B. TeslaCrypt
Neuinstallation Betriebssystem von „sauberen“ Datenträger
Überprüfung des Backups nach Schadprogrammen
Rückspielen des Backups
20 17.10.-19.10.2017 BITT17
|
Verhalten bei Infektion
Wiederherstellung in seltenen Fällen möglich z.B. gelöschte Dateien, schwacher Verschlüsselung oder Fehler in Ransomware
Decrypter verwenden https://id-ransomware.malwarehunterteam.com/ https://www.varonis.com/ransomware-identifier/ https://www.nomoreransom.org/de/index.html
21 17.10.-19.10.2017 BITT17
|
Lösegeld zahlen?
Es gibt kein Entschlüsselungsprogramm, kein funktionierendes Backup und die Daten werden dringend benötigt?
Ca. 20% bekommen keinen Schlüssel!
Kriminelle nicht kontaktieren
Kein Lösegeld zahlen
Anzeige erstatten
22 17.10.-19.10.2017 BITT17
|
Crypto Ransomware / Erpressungstrojaner – Checkliste
Aktuelles, funktionierendes Backup (keine Schreibrechte auf Archiv)
Laufende Softwareupdates
Anti Virus und Anti Spam
Getrennte Konten für jeden Nutzer und eigenes Admin Konto
Backup auf eigener Hardware und nicht dauerhaft mit PC verbinden
Awareness der User
Für Firmen:
Application Whitelisting
Blocken von speziellen Dateiendungen
Hardening der Systeme
Advanced Persistent Threat (APT) Protection
23 17.10.-19.10.2017 BITT17
|
Backup für den Heimberich
Beispiel BackUp Maker
24 17.10.-19.10.2017 BITT17
| 25
Backup erstellen
Expertenmodus für weitere Einstellungsmöglichkeiten
17.10.-19.10.2017 BITT17
| 26
Einfache Möglichkeit über Schnellauswahl
Erweiterte Möglichkeit mit selbst ausgewählten Dateien und Ordnern
17.10.-19.10.2017 BITT17
|
Sicherung zu einem bestimmten Zeitpunkt
Sicherung auf bestimmte Tage und Zeiten beschränken
Sicherung bei einem Systemereignis starten z.B. Windows Start, Festplatte anstecken
27 17.10.-19.10.2017 BITT17
|
Zielordner des Backups auswählen
28 17.10.-19.10.2017 BITT17
|
Name für Backup vergeben
Datum zum Dateinamen hinzu fügen
29 17.10.-19.10.2017 BITT17
|
Backup fertig eingerichtet
Backup wird nun automatisch am festgelegten Termin / Ereignis erstellt
30 17.10.-19.10.2017 BITT17
|
CEO Fraud / Betrug mit Chef-Masche
31 17.10.-19.10.2017 BITT17
|
CEO Fraud / Betrug mit Chef-Masche
32
Quelle: http://www.wallstreet-online.de/nachricht/8862132-ceo-fraud-enkeltrick-groesser-chef-masche-deutsche-unternehmen-110-millionen-euro-erleichtert
17.10.-19.10.2017 BITT17
|
E-Mails im Detail: Quelltext
Received: from xlspam01-internal.wien.rbgat.net ([10.14.36.18]) by mx01.mdcs.at (Lotus Domino Release 8.5.3FP6) with ESMTP id 2015090822122811-231477 ; Tue, 8 Sep 2015 22:12:28 +0200 Received-SPF: None (xlspam01.mdcs.at: no sender authenticity information available from domain of [email protected]) identity=helo; client-ip=195.3.96.112; receiver=xlspam01.mdcs.at; envelope-from="[email protected]"; x-sender="[email protected]"; x-conformance=sidf_compatible.downgrade_pra X-IronPort-Anti-Spam-Filtered: true X-IronPort-Anti-Spam-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEB X-IPAS-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEB X-IronPort-AV: E=Sophos;i="5.17,492,1437429600"; d="scan'208,217";a="272481695" Received: from smtpout.aon.at ([195.3.96.112]) by xlspam01.mdcs.at with ESMTP/TLS/DHE-RSA-AES256-SHA; 08 Sep 2015 22:12:27 +0200 Received: (qmail 28981 invoked from network); 8 Sep 2015 20:12:27 -0000 X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on WARSBL507.highway.telekom.at X-Spam-Level: Received: from 178-190-254-83.adsl.highway.telekom.at (HELO [10.0.0.2]) ([178.190.254.83]) (envelope-sender <[email protected]>) by smarthub82.res.a1.net (qmail-ldap-1.03) with AES128-SHA encrypted SMTP for <[email protected]>; 8 Sep 2015 20:12:26 -0000 X-A1Mail-Track-Id: 1441743143:28755:smarthub82:178.190.254.83:1
34
Start
Ziel
1. „Received-Header“:
IP-Adresse
des Absenders
„Zwischenstationen“
inklusive IP-Adressen
17.10.-19.10.2017 BITT17
|
E-Mails im Detail: Quelltext
From: [email protected] Subject: Herzliche Gratulation! To: [email protected] Mime-Version: 1.0 (Mac OS X Mail 7.3 \(1878.6\)) X-Mailer: Apple Mail (2.1878.6) X-TNEFEvaluated: 1 Message-ID: <[email protected]> Date: Tue, 8 Sep 2015 22:12:22 +0200 X-MIMETrack: Serialize by Notes Client on Wilhelm RAIFFEISEN/R-IT/RAIVIE/AT(Release 8.5.3FP6 SHF416|February 28, 2015) at 10.09.2015 15:47:20, Serialize complete at 10.09.2015 15:47:20 Content-Type: multipart/alternative; boundary="Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14" --Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14 Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=iso-8859-1 Sie haben gewonnen! Klicken Sie hier um Ihren Gewinn zu best=E4tigen. Mit freundlichen Gr=FC=DFen MisterX.= --Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14 Content-Transfer-Encoding: quoted-printable Content-Type: text/html; …
35
Diese Angaben können
vom Absender beliebig erfasst werden
und geben nicht unbedingt Auskunft
über den wirklichen Absender bzw.
das tatsächliche Sendedatum.
Auch Informationen über verwendete
Technologien und E-Mail-Programme
finden sich im Quelltext.
Hier beginnt der eigentliche Inhalt
der E-Mail bzw. die Nachricht.
Alles davor sind „Header“ bzw.
„Informationen am Briefumschlag“
17.10.-19.10.2017 BITT17
|
Wem gehört diese IP-Adresse?
https://apps.db.ripe.net/search/query.html
36 17.10.-19.10.2017 BITT17
|
Wird über diese IP-Adresse Spam verschickt?
http://www.senderbase.org/
37 17.10.-19.10.2017 BITT17
|
Analyse von Dateianhängen
https://www.virustotal.com/de/
38 17.10.-19.10.2017 BITT17
|
CEO Fraud / Betrug mit Chef-Masche – Checkliste
Prozess bei der Freigabe von Rechnungen (4-Augen Prinzip)
Nachfragen beim Vorgesetzten muss erlaubt sein!
Awareness der User
„Fake-Check“ (Anti Spoofing)
E-Mails mit internem Absender von Extern müssen abgelehnt werden
Hardening der E-Mail Infrastruktur mit technischen
Maßnahmen wie SPF, DMARC und DKIM
Anti Spam
39 17.10.-19.10.2017 BITT17
Ing. Michael Müller
Gruppenleiter Security Competence Center
Leiter R-IT CERT
Phone: +43 1 99 3 99-2525
Mobile: +43 664 88772525
E-Mail: [email protected]
Web: www.r-it.at Schwerpunkte:
• „Legales Hacken“, Penetration Tests
• Schulungen, Workshops
• Bearbeitung von Sicherheitsvorfällen
(CERT)
Raiffeisen Informatik GmbH
Lilienbrunngasse 7-9
1020 Wien
T +43 1 99 3 99 0
W www.r-it.at
|
Backup
42 17.10.-19.10.2017 BITT17
|
Sicherheitsvorfälle bei R-IT einmelden
43 17.10.-19.10.2017 BITT17