AUTOMATED ENDPOINT SECURITY

Daniel Döring

Technical Director

Security and Strategic Alliancesdaniel.doering@matrix42.com

Carsten Maceus

PreSales Consultantcarsten.maceus@matrix42.com

MALWARE DEFENSE – IM INNEREN DES BÖSENCyberkriminalität ist ein florierendes Geschäftsfeld!

Agenda

▪ „Bad USB“-Angriffe Teil I Primäre Funktionsweise und Auswirkungen

▪ „Bad USB“-Angriffe Teil II – Wie mit wenig Aufwand unerwünschte „Datenstaubsauger“ in Ihrem Unternehmensnetzwerk entstehen

▪ Malware der „Hidden Cobra Group“ –Funktionsweise, Besonderheiten und Bedrohungspotentiale

▪ Wie schütze ich mich? Wir zeigen Ihnen erfolgreiche Strategien, Tipps und Tricks aus der Praxis

„BAD USB” ANGRIFFE TEIL 1Primäre Funktionsweise und Auswirkungen

Autorun Exploit Teensy Mouse

2011 2014

Bad USB USB-LAN Adapter

2015

Multi-funktional

20172005

WiFi Hijacking

Die Evolution der Bad USB

Sie wurden gehackt!

Was ist ein Bad USB?

Bad USB =USB-Geräte, welchemöglichst unentdeckt IT-Systeme manipulieren

DigiSpark

< 1 EURUSB Rubber

Ducky

Ca. 45 EUR

USB ArmoryCa. 90 EUR

Wie sieht ein Bad USB aus?

Virtuelle Tastatur

Flash Speicher

Gigabit Ethernet Adapter

WiFi Adapter

...

Mein Bad USB „Liebling“

Lebenswichtige Organe von IT Systeme

werden „manipuliert“

Kein Nachweis eines Angriffes

Emulierte Tastatureingaben sind nicht unbedingt Bad

USB Angriffe(Yubikey‘s, Barcode

Scanner, Presenter, etc.)

Signaturbasierte AntiVirus

Engines schauen zu

Ihre Firewall muss nicht gehackt

werden

Was macht Bad USB so gefährlich?

JEDES USB GERÄT KANN MITTELS FIRMWARE ZUM BAD USB WERDEN

„BAD USB” ANGRIFFE TEIL 2Wie mit wenig Aufwand unerwünschte „Datenstaubsauger“ in Ihrem Unternehmensnetzwerk entstehen

Script erstellen / herunter laden

Datei auf Bad USB Speicher

ablegenScript wird ausgeführt

Ansteckendes Gerätes am Zielsytem

Wie funktioniert ein Bad USB Angriff?

“Ich habe hier eine wichtige Präsentation für Ihren CEO zu drucken!”

Menschliche Neugier

Mittagspause, Feierabend & Co.

Bad USB ohne Entwicklungsaufwand

Bad USB ohne Entwicklungsaufwand

Bad USB in wenigen Sekunden aktiv

Bad USB in wenigen Sekunden aktiv

Bad USB im Einsatz

MALWARE DER “HIDDEN COBRA GROUP”Funktionsweise, Besonderheiten und Bedrohungspotentiale

“HIDDEN COBRA GROUP”

Hidden Cobra ist eine bekannte Hackergruppe, die seit 2009 aktiv ist. Die Gruppe (auch bekannt als

"Lazarus Group" und "Dark Seoul") hat nach Angaben erfahrener Sicherheits- und

Bedrohungsforscher viele erfolgreiche Cyber-Angriffe durchgeführt.

Ende Mai 2018 wurde von US-CERT eine neue Malware entdeckt, von der angenommen wird, dass

Sie von Hidden Cobra stammt.

“HIDDEN COBRA GROUP”

Die Malware besteht aus zwei Hauptkomponenten:• Brambul (wmmvsvc.dll) - ein Tool, das entwickelt

wurde, um seitliche Bewegungen innerhalb des infizierten Netzwerks zu ermöglichen.

• Joanap (scardPrv.dll) - ein leistungsstarkes Fernzugriffstool (RAT) mit mehreren Funktionen zur Steuerung und Manipulation des betroffenen Computers.

Dropper:Die 32-Bit-Executable wurde entwickelt, um die

beiden Hauptkomponenten der Malware zu platzieren und zu installieren.

• Prüft ob das System bereits infiziert ist• Nutzt svchost.exe als Host-Prozess• Installiert sich als Dienst

“HIDDEN COBRA GROUP”

“HIDDEN COBRA GROUP”

BRAMBUL (WMMVSVC.DLL)

“HIDDEN COBRA GROUP”

BRAMBUL (WMMVSVC.DLL)

“HIDDEN COBRA GROUP”

BRAMBUL (WMMVSVC.DLL)

“HIDDEN COBRA GROUP”

JOANAP (SCARDPRV.DLL)

“HIDDEN COBRA GROUP”

Einige der interessanteren Features:• Suchen nach einer aktiven RDP-Sitzung sowie Sammeln

und Senden von Basisinformationen über das System.• Dateien hochladen / herunterladen• Herunterladen und Ausführen einer DLL mit rundll.exe• Rekursives Löschen aller Dateien und

Unterverzeichnisse in einem ausgewählten Ordner

JOANAP (SCARDPRV.DLL)

WIE SCHÜTZE ICH MICH? Wir zeigen Ihnen erfolgreiche Strategien, Tipps und Tricks aus der Praxis

Wie gelangt Malware in mein Unternehmen?

Wo und wie werden Daten im

Unternehmen verarbeitet?

Habe ich ein Risiko mit EU-DSGVO Compliance?

Gibt es Schnittstellen mit

überdurchschnittlichen Datenbewegungen?

Welche Anwendungen und Prozesse werden

gestartet?

Gefahren verstehen…

HABEN SIE AUF DIESE FRAGEN EINE ANTWORT?

Ausgeführte AnwendungenInternet Traffic

Cloud Nutzung

und vieles mehr…

Datenbewegungen

INSIGHT LIEFERT DIE RICHTIGEN ANTWORTEN!

Gefahren erkennen…

Vincent Valentine

Infrastructure

Manager

Maria Miller

Marketing Department

Paul Pott

Stranger

Unsere Demo User

Paul EgoSecure

Erkennt eine Bad USB Gefahr(Script per Tastatureingabe)

Maria

Erhält einePopup-Meldung

(Sperrung oder Selbstfreigabe)

Maria

Kennt das Gerät und möchte es verwenden

Bad USB Angriff scheitert!

Selbstfreigabe

Nach SperrungVincent

Prüft das Gerät und gibt dies ggf. frei

Maria

Darf das Gerät verwenden

Bad USB erkennen und sperren…

Maria EgoSecure

Entdeckt die Anomalie

Vincent

Erhält einenon-compliant

E-Mail Benachrichtigung

MariaErhält eine

Popup-Meldung

Maria

1 Stunde keinen Zugriffauf gefährdete Schnittstellen

Vincent

Nimmt weitereAnalysen und

Maßnahmen vor

NAC

Anomalien automatisiert beseitigen…

32

Maria

Öffnet in E-Mails Anhänge

Infrastructure

Leider ist der Anhangeine

Malware

enSilo

Findet die MalwareUnd führt

Workflows durch

Vincent

Erhält eineBenachrichtigung über die

Malware Infektion

enSilo

Startetweitere Aktionen

Vincent

Analytics andForensics

enSilo Post-Infection-Protection

Matrix42 AGElbinger Straße 760487 Frankfurt / Main

Fragen?

Carsten Maceus

PreSales Consultantcarsten.maceus@matrix42.com

Daniel Döring

Technical Director

Security and Strategic Alliancesdaniel.doering@matrix42.com

Registrieren Sie sich gleich für eine Testversion -www.matrix42.com

VIELENDANK