Aktuelle IT Security Bedrohungen

17.10.-19.10.2017

|

Motive der Angreifer

Hacktivismus Legen Daten offen, um Botschaften zu verbreiten

Cyber Kriminalität Mehr als 300 Milliarden Euro Schaden jährlich in der EU¹

Spionage

Spionage von Geheimdiensten und Wirtschaftsspionage Shadow Brokers veröffentlicht Werkzeuge der NSA

2

1 Quelle: https://media.arbeiterkammer.at/noe/pdfs/Treffpunkt_0114_web.pdf

17.10.-19.10.2017 BITT17

|

Inhalt

Social Engineering

Crypto Ransomware / Erpressungstrojaner

Backup für den Heimbereich

CEO Fraud / Betrug mit Chef-Masche

3 17.10.-19.10.2017 BITT17

|

Social Engineering

4 17.10.-19.10.2017 BITT17

|

Social Engineering

5

Org

an

isati

on

Me

ns

ch

Tech

nik

heit Sicher

Org

an

isati

on

Te

ch

nik

Sicher

Org

an

isati

on

Te

ch

nik

17.10.-19.10.2017 BITT17

|

Social Engineering – Technisch

Informationen mit technischen Hilfsmitteln beschaffen

Automatisierte Angriffe Manipulierte Internetseiten ("Phishing")

Präparierte E-Mail-Anhänge

Scam Mails (Vorschuss-Betrug)

Anchatten via Skype, Soziale Netze

Versenden/"Vergessen" von präparierten USB Sticks

Gezielte Angriffe Individuell auf Opfer abgestimmt „Spear-Phishing“

6 17.10.-19.10.2017 BITT17

|

Social Engineering – Technisch

7

http://www.usbrubberducky.com

17.10.-19.10.2017 BITT17

|

Social Engineering – Physisch

Informationen werden über soziale Annäherung an Personen beschafft

Direkter "Angriff" über die "Schnittstelle Mensch" Ausgeben als andere Person

Durchstöbern von Müll

Passwort aushorchen

Ausdrucke bleiben im Drucker liegen Möglichkeit den Ausdruck mit PIN zu sperren

8 17.10.-19.10.2017 BITT17

|

Social Engineering – Physisch

9

Guten Tag, hier ist die Raiffeisen

Informatik. Aufgrund vermehrter Hacker-

Angriffe führen wir zu Ihrer Sicherheit

eine Überprüfung von Passwörtern

durch.

Ich muss die

Elektroinstallationen im

Serverraum kontrollieren

17.10.-19.10.2017 BITT17

|

Social Engineering – Reverse

Man verursacht ein Problem und ist dann zur Stelle,um es gleich zu lösen

Passive Interaktion Virus einschleusen und entfernen

Probleme vorspielen

Störung des WLAN, um dann als "zufällig anwesender" IT-Experte das Problem zu lösen – natürlich benötigt man das WLAN Passwort

10 17.10.-19.10.2017 BITT17

|

Social Engineering

Gibt es Regeln? Wer hat Zugriff auf welche Informationen?

Müssen z.B. Handwerker angemeldet sein?

Sind sich die Mitarbeiter der Gefahr bewusst? Vermeintliche Freunde sind nicht immer Freunde

Kleider machen keine Leute

Sind sich die Mitarbeiter des Werts von Informationen bewusst?

11 17.10.-19.10.2017 BITT17

|

Crypto Ransomware / Erpressungstrojaner

12 17.10.-19.10.2017 BITT17

|

Erpressungstrojaner verschlüsseln Daten

13

Quelle: http://wien.orf.at/news/stories/2794230/

https://www.heise.de/thema/Ransomware

http://arstechnica.com/security/2013/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/

17.10.-19.10.2017 BITT17

|

Crypto Ransomware

CryptoLocker, TorrentLocker, Cryptowall Locky, TeslaCrypt oder Cerber

Kriminelle infizieren den PC des Opfers, verschlüsseln alle Dateien und verlangen Lösegeld für Entschlüsselung

Kriminelle nutzen moderne Verschlüsselungsverfahren, die nicht entschlüsselt werden können

14 17.10.-19.10.2017 BITT17

|

Geschäftsmodell

Hoher Leidensdruck beim Opfer Kinderfotos oder Diplomarbeit verloren

Alle Kontakte weg

Unternehmensdaten nicht mehr verfügbar

Aufwand der Wiederherstellung größer als die Erpressersumme

Zahlungen mit Ist anonym und muss nicht „gewaschen“ werden

Kurios: Ransomware fordert Spiele Highscore

15 17.10.-19.10.2017 BITT17

|

Ransomware Werbevideo

16 17.10.-19.10.2017 BITT17

|

Infektionswege

Versenden von Spam E-Mails getarnt als Rechnung, Nachricht vom Paketdienst,

Anwaltsbriefe / Drohungen

mit Anhängen, die ausführbare Dateien enthalten

Links (URLs) um Schadsoftware herunter zu laden

Besuch einer kompromittierten Webseite

Ausnutzung von Sicherheitslücken im Web Browser oder der Browser Plug-ins (Drive-By-Infektionen)

Ungeschützte Fernwartungszugänge

17 17.10.-19.10.2017 BITT17

|

Maßnahmen im Vorfeld umsetzen!

Aktuelles, funktionierendes Backup Backup auf eigener Hardware und offline vom PC

Funktion des Backups überprüfen

Keine Schreibrechte auf Archiv

Application Whitelisting Nur bekannte Applikationen können ausgeführt werden Crypto Ransomware kann nicht starten

Organisatorischer Aufwand um benötigte Applikationen zu erheben

Advanced Persistent Threat (APT) Protection Download in einer „Sandbox“ analysieren und ggf. blocken

18 17.10.-19.10.2017 BITT17

|

Maßnahmen im Vorfeld umsetzen!

Blocken von ausführbaren Dateien Applikationen: .exe, .pif, .application, .gadget, .msi,

.msp, .com, .scr, .hta, .cpl, .msc, .jar

Potentiell gefährliche Dateien: .pdf, .doc, .rtf, .ppt, .xls, .odt

Office Makros: .docm, .dotm, .xlsm, .xltm, .xlam, .pptm, .potm, .ppam, .ppsm, .sldm

Containerformate: .zip, .rar, .tar, .7z, .z, .iso…

Skripte: .bat, .cmd, .vb, .vbs, .vbe, .js, .jse, .ws, .wsf, .wsc, .wsh, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml

Verknüpfungen und andere: .scf, .lnk, .inf, .reg, .dll

19 17.10.-19.10.2017 BITT17

|

Verhalten bei Infektion

Netzwerkkabel vom PC trennen, WLAN abschalten

Für forensischer Analyse „Memory Dump“ des Arbeitsspeichers und Sicherung der

Festplatte notwendig

Für ev. spätere Wiederherstellung der Dateien Kopie der verschlüsselten Festplatte aufheben,

z.B. TeslaCrypt

Neuinstallation Betriebssystem von „sauberen“ Datenträger

Überprüfung des Backups nach Schadprogrammen

Rückspielen des Backups

20 17.10.-19.10.2017 BITT17

|

Verhalten bei Infektion

Wiederherstellung in seltenen Fällen möglich z.B. gelöschte Dateien, schwacher Verschlüsselung oder Fehler in Ransomware

Decrypter verwenden https://id-ransomware.malwarehunterteam.com/ https://www.varonis.com/ransomware-identifier/ https://www.nomoreransom.org/de/index.html

21 17.10.-19.10.2017 BITT17

|

Lösegeld zahlen?

Es gibt kein Entschlüsselungsprogramm, kein funktionierendes Backup und die Daten werden dringend benötigt?

Ca. 20% bekommen keinen Schlüssel!

Kriminelle nicht kontaktieren

Kein Lösegeld zahlen

Anzeige erstatten

22 17.10.-19.10.2017 BITT17

|

Crypto Ransomware / Erpressungstrojaner – Checkliste

Aktuelles, funktionierendes Backup (keine Schreibrechte auf Archiv)

Laufende Softwareupdates

Anti Virus und Anti Spam

Getrennte Konten für jeden Nutzer und eigenes Admin Konto

Backup auf eigener Hardware und nicht dauerhaft mit PC verbinden

Awareness der User

Für Firmen:

Application Whitelisting

Blocken von speziellen Dateiendungen

Hardening der Systeme

Advanced Persistent Threat (APT) Protection

23 17.10.-19.10.2017 BITT17

|

Backup für den Heimberich

Beispiel BackUp Maker

24 17.10.-19.10.2017 BITT17

| 25

Backup erstellen

Expertenmodus für weitere Einstellungsmöglichkeiten

17.10.-19.10.2017 BITT17

| 26

Einfache Möglichkeit über Schnellauswahl

Erweiterte Möglichkeit mit selbst ausgewählten Dateien und Ordnern

17.10.-19.10.2017 BITT17

|

Sicherung zu einem bestimmten Zeitpunkt

Sicherung auf bestimmte Tage und Zeiten beschränken

Sicherung bei einem Systemereignis starten z.B. Windows Start, Festplatte anstecken

27 17.10.-19.10.2017 BITT17

|

Zielordner des Backups auswählen

28 17.10.-19.10.2017 BITT17

|

Name für Backup vergeben

Datum zum Dateinamen hinzu fügen

29 17.10.-19.10.2017 BITT17

|

Backup fertig eingerichtet

Backup wird nun automatisch am festgelegten Termin / Ereignis erstellt

30 17.10.-19.10.2017 BITT17

|

CEO Fraud / Betrug mit Chef-Masche

31 17.10.-19.10.2017 BITT17

|

CEO Fraud / Betrug mit Chef-Masche

32

Quelle: http://www.wallstreet-online.de/nachricht/8862132-ceo-fraud-enkeltrick-groesser-chef-masche-deutsche-unternehmen-110-millionen-euro-erleichtert

17.10.-19.10.2017 BITT17

|

Seitenquelltext im Lotus Notes

33

MisterX@example.net

17.10.-19.10.2017 BITT17

|

E-Mails im Detail: Quelltext

Received: from xlspam01-internal.wien.rbgat.net ([10.14.36.18]) by mx01.mdcs.at (Lotus Domino Release 8.5.3FP6) with ESMTP id 2015090822122811-231477 ; Tue, 8 Sep 2015 22:12:28 +0200 Received-SPF: None (xlspam01.mdcs.at: no sender authenticity information available from domain of postmaster@smtpout.aon.at) identity=helo; client-ip=195.3.96.112; receiver=xlspam01.mdcs.at; envelope-from="MisterX@a1.net"; x-sender="postmaster@smtpout.aon.at"; x-conformance=sidf_compatible.downgrade_pra X-IronPort-Anti-Spam-Filtered: true X-IronPort-Anti-Spam-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEB X-IPAS-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEB X-IronPort-AV: E=Sophos;i="5.17,492,1437429600"; d="scan'208,217";a="272481695" Received: from smtpout.aon.at ([195.3.96.112]) by xlspam01.mdcs.at with ESMTP/TLS/DHE-RSA-AES256-SHA; 08 Sep 2015 22:12:27 +0200 Received: (qmail 28981 invoked from network); 8 Sep 2015 20:12:27 -0000 X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on WARSBL507.highway.telekom.at X-Spam-Level: Received: from 178-190-254-83.adsl.highway.telekom.at (HELO [10.0.0.2]) ([178.190.254.83]) (envelope-sender <MisterX@a1.net>) by smarthub82.res.a1.net (qmail-ldap-1.03) with AES128-SHA encrypted SMTP for <wilhelm.raiffeisen@r-it.at>; 8 Sep 2015 20:12:26 -0000 X-A1Mail-Track-Id: 1441743143:28755:smarthub82:178.190.254.83:1

34

Start

Ziel

1. „Received-Header“:

IP-Adresse

des Absenders

„Zwischenstationen“

inklusive IP-Adressen

17.10.-19.10.2017 BITT17

|

E-Mails im Detail: Quelltext

From: MisterX@a1.net Subject: Herzliche Gratulation! To: wilhelm.raiffeisen@r-it.at Mime-Version: 1.0 (Mac OS X Mail 7.3 \(1878.6\)) X-Mailer: Apple Mail (2.1878.6) X-TNEFEvaluated: 1 Message-ID: <8F8EFCD5-E605-4D40-B088-0C61B4CC9C56@a1.net> Date: Tue, 8 Sep 2015 22:12:22 +0200 X-MIMETrack: Serialize by Notes Client on Wilhelm RAIFFEISEN/R-IT/RAIVIE/AT(Release 8.5.3FP6 SHF416|February 28, 2015) at 10.09.2015 15:47:20, Serialize complete at 10.09.2015 15:47:20 Content-Type: multipart/alternative; boundary="Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14" --Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14 Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=iso-8859-1 Sie haben gewonnen! Klicken Sie hier um Ihren Gewinn zu best=E4tigen. Mit freundlichen Gr=FC=DFen MisterX.= --Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14 Content-Transfer-Encoding: quoted-printable Content-Type: text/html; …

35

Diese Angaben können

vom Absender beliebig erfasst werden

und geben nicht unbedingt Auskunft

über den wirklichen Absender bzw.

das tatsächliche Sendedatum.

Auch Informationen über verwendete

Technologien und E-Mail-Programme

finden sich im Quelltext.

Hier beginnt der eigentliche Inhalt

der E-Mail bzw. die Nachricht.

Alles davor sind „Header“ bzw.

„Informationen am Briefumschlag“

17.10.-19.10.2017 BITT17

|

Wem gehört diese IP-Adresse?

https://apps.db.ripe.net/search/query.html

36 17.10.-19.10.2017 BITT17

|

Wird über diese IP-Adresse Spam verschickt?

http://www.senderbase.org/

37 17.10.-19.10.2017 BITT17

|

Analyse von Dateianhängen

https://www.virustotal.com/de/

38 17.10.-19.10.2017 BITT17

|

CEO Fraud / Betrug mit Chef-Masche – Checkliste

Prozess bei der Freigabe von Rechnungen (4-Augen Prinzip)

Nachfragen beim Vorgesetzten muss erlaubt sein!

Awareness der User

„Fake-Check“ (Anti Spoofing)

E-Mails mit internem Absender von Extern müssen abgelehnt werden

Hardening der E-Mail Infrastruktur mit technischen

Maßnahmen wie SPF, DMARC und DKIM

Anti Spam

39 17.10.-19.10.2017 BITT17

Ing. Michael Müller

Gruppenleiter Security Competence Center

Leiter R-IT CERT

Phone: +43 1 99 3 99-2525

Mobile: +43 664 88772525

E-Mail: michael.mueller@r-it.at

Web: www.r-it.at Schwerpunkte:

• „Legales Hacken“, Penetration Tests

• Schulungen, Workshops

• Bearbeitung von Sicherheitsvorfällen

(CERT)

Raiffeisen Informatik GmbH

Lilienbrunngasse 7-9

1020 Wien

T +43 1 99 3 99 0

E info@r-it.at

W www.r-it.at

|

Backup

42 17.10.-19.10.2017 BITT17

|

Sicherheitsvorfälle bei R-IT einmelden

43 17.10.-19.10.2017 BITT17