Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
AUTOMATED ENDPOINT SECURITY
Daniel Döring
Technical Director
Security and Strategic [email protected]
Carsten Maceus
PreSales [email protected]
MALWARE DEFENSE – IM INNEREN DES BÖSENCyberkriminalität ist ein florierendes Geschäftsfeld!
Agenda
▪ „Bad USB“-Angriffe Teil I Primäre Funktionsweise und Auswirkungen
▪ „Bad USB“-Angriffe Teil II – Wie mit wenig Aufwand unerwünschte „Datenstaubsauger“ in Ihrem Unternehmensnetzwerk entstehen
▪ Malware der „Hidden Cobra Group“ –Funktionsweise, Besonderheiten und Bedrohungspotentiale
▪ Wie schütze ich mich? Wir zeigen Ihnen erfolgreiche Strategien, Tipps und Tricks aus der Praxis
„BAD USB” ANGRIFFE TEIL 1Primäre Funktionsweise und Auswirkungen
Autorun Exploit Teensy Mouse
2011 2014
Bad USB USB-LAN Adapter
2015
Multi-funktional
20172005
WiFi Hijacking
Die Evolution der Bad USB
Sie wurden gehackt!
Was ist ein Bad USB?
Bad USB =USB-Geräte, welchemöglichst unentdeckt IT-Systeme manipulieren
DigiSpark
< 1 EURUSB Rubber
Ducky
Ca. 45 EUR
USB ArmoryCa. 90 EUR
Wie sieht ein Bad USB aus?
Virtuelle Tastatur
Flash Speicher
Gigabit Ethernet Adapter
WiFi Adapter
...
Mein Bad USB „Liebling“
Lebenswichtige Organe von IT Systeme
werden „manipuliert“
Kein Nachweis eines Angriffes
Emulierte Tastatureingaben sind nicht unbedingt Bad
USB Angriffe(Yubikey‘s, Barcode
Scanner, Presenter, etc.)
Signaturbasierte AntiVirus
Engines schauen zu
Ihre Firewall muss nicht gehackt
werden
Was macht Bad USB so gefährlich?
JEDES USB GERÄT KANN MITTELS FIRMWARE ZUM BAD USB WERDEN
„BAD USB” ANGRIFFE TEIL 2Wie mit wenig Aufwand unerwünschte „Datenstaubsauger“ in Ihrem Unternehmensnetzwerk entstehen
Script erstellen / herunter laden
Datei auf Bad USB Speicher
ablegenScript wird ausgeführt
Ansteckendes Gerätes am Zielsytem
Wie funktioniert ein Bad USB Angriff?
“Ich habe hier eine wichtige Präsentation für Ihren CEO zu drucken!”
Menschliche Neugier
Mittagspause, Feierabend & Co.
Bad USB ohne Entwicklungsaufwand
Bad USB ohne Entwicklungsaufwand
Bad USB in wenigen Sekunden aktiv
Bad USB in wenigen Sekunden aktiv
Bad USB im Einsatz
MALWARE DER “HIDDEN COBRA GROUP”Funktionsweise, Besonderheiten und Bedrohungspotentiale
“HIDDEN COBRA GROUP”
Hidden Cobra ist eine bekannte Hackergruppe, die seit 2009 aktiv ist. Die Gruppe (auch bekannt als
"Lazarus Group" und "Dark Seoul") hat nach Angaben erfahrener Sicherheits- und
Bedrohungsforscher viele erfolgreiche Cyber-Angriffe durchgeführt.
Ende Mai 2018 wurde von US-CERT eine neue Malware entdeckt, von der angenommen wird, dass
Sie von Hidden Cobra stammt.
“HIDDEN COBRA GROUP”
Die Malware besteht aus zwei Hauptkomponenten:• Brambul (wmmvsvc.dll) - ein Tool, das entwickelt
wurde, um seitliche Bewegungen innerhalb des infizierten Netzwerks zu ermöglichen.
• Joanap (scardPrv.dll) - ein leistungsstarkes Fernzugriffstool (RAT) mit mehreren Funktionen zur Steuerung und Manipulation des betroffenen Computers.
Dropper:Die 32-Bit-Executable wurde entwickelt, um die
beiden Hauptkomponenten der Malware zu platzieren und zu installieren.
• Prüft ob das System bereits infiziert ist• Nutzt svchost.exe als Host-Prozess• Installiert sich als Dienst
“HIDDEN COBRA GROUP”
“HIDDEN COBRA GROUP”
BRAMBUL (WMMVSVC.DLL)
“HIDDEN COBRA GROUP”
BRAMBUL (WMMVSVC.DLL)
“HIDDEN COBRA GROUP”
BRAMBUL (WMMVSVC.DLL)
“HIDDEN COBRA GROUP”
JOANAP (SCARDPRV.DLL)
“HIDDEN COBRA GROUP”
Einige der interessanteren Features:• Suchen nach einer aktiven RDP-Sitzung sowie Sammeln
und Senden von Basisinformationen über das System.• Dateien hochladen / herunterladen• Herunterladen und Ausführen einer DLL mit rundll.exe• Rekursives Löschen aller Dateien und
Unterverzeichnisse in einem ausgewählten Ordner
JOANAP (SCARDPRV.DLL)
WIE SCHÜTZE ICH MICH? Wir zeigen Ihnen erfolgreiche Strategien, Tipps und Tricks aus der Praxis
Wie gelangt Malware in mein Unternehmen?
Wo und wie werden Daten im
Unternehmen verarbeitet?
Habe ich ein Risiko mit EU-DSGVO Compliance?
Gibt es Schnittstellen mit
überdurchschnittlichen Datenbewegungen?
Welche Anwendungen und Prozesse werden
gestartet?
Gefahren verstehen…
HABEN SIE AUF DIESE FRAGEN EINE ANTWORT?
Ausgeführte AnwendungenInternet Traffic
Cloud Nutzung
und vieles mehr…
Datenbewegungen
INSIGHT LIEFERT DIE RICHTIGEN ANTWORTEN!
Gefahren erkennen…
Vincent Valentine
Infrastructure
Manager
Maria Miller
Marketing Department
Paul Pott
Stranger
Unsere Demo User
Paul EgoSecure
Erkennt eine Bad USB Gefahr(Script per Tastatureingabe)
Maria
Erhält einePopup-Meldung
(Sperrung oder Selbstfreigabe)
Maria
Kennt das Gerät und möchte es verwenden
Bad USB Angriff scheitert!
Selbstfreigabe
Nach SperrungVincent
Prüft das Gerät und gibt dies ggf. frei
Maria
Darf das Gerät verwenden
Bad USB erkennen und sperren…
Maria EgoSecure
Entdeckt die Anomalie
Vincent
Erhält einenon-compliant
E-Mail Benachrichtigung
MariaErhält eine
Popup-Meldung
Maria
1 Stunde keinen Zugriffauf gefährdete Schnittstellen
Vincent
Nimmt weitereAnalysen und
Maßnahmen vor
NAC
Anomalien automatisiert beseitigen…
32
Maria
Öffnet in E-Mails Anhänge
Infrastructure
Leider ist der Anhangeine
Malware
enSilo
Findet die MalwareUnd führt
Workflows durch
Vincent
Erhält eineBenachrichtigung über die
Malware Infektion
enSilo
Startetweitere Aktionen
Vincent
Analytics andForensics
enSilo Post-Infection-Protection
Matrix42 AGElbinger Straße 760487 Frankfurt / Main
Fragen?
Carsten Maceus
PreSales [email protected]
Daniel Döring
Technical Director
Security and Strategic [email protected]
Registrieren Sie sich gleich für eine Testversion -www.matrix42.com
VIELENDANK