Ransomware Verteidigungsstrategien - HERDT...Architecture. Cyber Defense • ERP systems (SAP, JDE, Dynamics) • CRM systems (SAP, Oracle, Microsoft, Salesforce) • Collaboration

RANSOMWAREVERTEIDIGUNGSSTRATEGIENWenn Offence auf Defence trifft

Christian Nowitzki - Principal Consultant Cyber Security & Business Security Strategy, 17. März 2021

Agenda

2NTT DATA Deutschland

Kurzvorstellung IT-Security Services @ NTT Data1. 3

Attackers Toolbox - Review 2018/19/202. 4

Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen3. 5

Under Attack4. 6

Lessons learned5. 7

Agenda





Under Attack4. 6

Lessons learned5. 7

IT and Consulting for the World.

4

85% of the Fortune

100 are customers

#1operator of

Data Centres

109 Bn $ turnover

Top Employer

Germany2020

#5 IT Consultancy

in Germany

#1 Service

Delivery Quality IT Outsourcing

NTT DATA Deutschland

IT Security Services im Detail

6

Strategie-Beratung

• Risikoanalysen• Advisory Services• Transformation Services• Architecture Services

Managed Security Services

• Enterprise Security Program Services• Enterprise Security Monitoring• Security Device Management• Vulnerability Management• SecureCall

Technologie-Beratung

• Incident Response und Forensik• Engineering• Compliance• Assessment


IT Security – unsere Kompetenzen

7

Business Applications & Big Data

Cloud & Virtual IT/DC Security

Enterprise Security Architecture

Cyber Defense

• ERP systems (SAP, JDE, Dynamics)

• CRM systems (SAP, Oracle, Microsoft, Salesforce)

• Collaboration systems (Microsoft, Windchill)

• Identity Federation• CASB• Encryption• DevSecOps

• Risk Assessments• Incident Readiness• ISO27001 Compliance• Merger & Acquisitions• Enterprise Architecture Cons.• Consulting for CIO/CTO• Security Program Dev.

• SOC Consulting• LogManagement / SIEM• Vulnerability Management• Config Management• Incident Response

Ethical Hacking

Identity & Key Management

Digital Workforce & Mobility

GRC & IIoT/OT

• Standardized, global Methodology

• Pentesting Management System

• Agency Benchmarking• Reduced Time To Market

• Authentication• Identity Management• Identity Governance• Focus on User-Experience • Passwordless, SSO

• Protecting Device & Data outside classic security perimeter

• Seamless User-Experience at the desk and mobile

• Security Reporting/Scoring• DS-GVO (GDPR)• Tool based Realization • Securing Industrial Machines• After Sales Processes• Service Design

</> §


Strategic Cybersecurity Consulting

Agenda





Under Attack4. 6

Lessons learned5. 7

Attackers Toolbox – Review 2019/20

Emotet Trickbot Ryuk

Malware Typ Trojaner (banking) Trojaner Ransomware

Risiko Sehr hoch Sehr hoch Extrem hoch

Verbreitung Weltweit, alle Branchen Weltweit, alle Branchen Weltweit, alle Branchen

Verteilmechanismus E-Mail, Attachements, Links

E-Mail-Attachement, download grab

Meistens nachgeladen von Emotet

Besonderheiten PolymorphErkennt SandboxenInhaltserkennung (Mails)Besteht aus untersch. Malware Programmen

Verwendet diverse C&C Server, verwendet MS-Task Scheduler Standards, Code wird öfter neu geschrieben

Löscht Backup Kopien

Gegenmaßnahmen Layered Defense Layered Defense Layered Defense

Agenda





Under Attack4. 6

Lessons learned5. 7

Ofence – Die Theorie

Erstinfektion

Ausspähen von Daten/Sabotage von Systemen

Übernahme weiterer Rechte

Verwischen von Spurenund/oder Lösegelderpressung

Kontinuierliche Beobachtung

Vorbereitende/ ablenkende Angriffe

Auskundschaften des Opfers

Ausspähen des Netzwerks

VORGEHEN BEI EINEM

APT-ANGRIFF

Ofence – Ein beispielhafter Verlauf aus der Praxis

Phishing oder Spear Phishing E-Mail

Macro weaponizeddocument

>_Command line

PowerShellDownloadEmotet

Emotet Trickbot

Emotet lädt zusätzliche Tools, z.B. Trickbot, nach

Reconnaissance / Aufklärung

Analyse des Opfers

Deakt. AVDatensammlungZugangsdaten stehlenAccounts übernehmen RYUK

Nachladen weiterer Tools

Daten-verschlüsselung

Datendiebstahl

C&C

Datenverkauf Erpressung

Defence – Die Abwehrkette

Phishing or SpearPhishing Mail

Macro weaponizeddocument

>_Command line

PowerShellDownloadEmotet

Emotet Trickbot

Emotet grabsadditional Payload like Trickbot

Reconnaissance

Analyze the victim

Disable AVHarvest DataSteals Credentials RYUK

Grabs additional Payload(s)

Encode DataStealing Data

C&C

Selling Data Ransom extortion

Scan-Erkennung

Foren-Überwachung

Extern verfügbare Informationen überwachen

E-Mail-AntiVirus

E-Mail-Sandbox

Aufmerksame Mitarbeiter

Endpoint Security

User Access Controls high

Deaktivierung oder Einschränkung von Office Macros

Least privilege

EternalBluepatches

Endpoint Security (EDR am IOC)

User Access Controls high

EternalBlue patches

Ereigniserkennung & -korrelation/ SIEM(Server & Perimeter)

Strikter URL Filter

Effektives Firewall Ruleset

Webfilter / Sandbox

Multi Factor Authentication /MFA

Ereigniserkennung & -korrelation/ SIEM(Server & Perimeter)

Strikter URL Filter

Effektives Firewall Ruleset

Event detection / SIEMNo saved PW in BrowserSeparated Networks / Micro SegmentationZero Trust / ESAE / MFA / PAMLeast Privilege

Ereigniserkennung am Perimeter, inkl. source, target, data flow and quantityKombiniertes DLP & DRM SIEM

Monitoring illegaler Daten-Handelsplätze

Perimeter Sicherheit (Policy) mit Anomalie-erkennung

Perimeter Security mit Web-Filter & ATP Sandbox, strikte policy und Anomalie-erkennung

Event Detection

File integrity checks

Offline BackupsEmergency & Recovery PlanMarketing PlanCrisis Management

Defence in depth is layered Defence – Am Beispiel Hafnium

NTT DATA Deutschland 14

1. Patchen

• Am 02.03. hat MS Patches bereit gestellt• Am 03.03. hat das BSI eine Warnmeldung heraus gegeben• Seit dem 03.03, werden die Schwachstellen massiv von min. 10 Hackergruppen

ausgenutzt• Die meisten Systeme wurde erst ab dem 04.03. aktiv angegriffen!

2. Absichern• Bereits am 02.03. standen EndPoint- und IPS-Signaturen zur Verfügung• http/s Zugriff auf Exchange blockieren

3. Prüfen

• Seit dem 02.03. stehen IoCs für das Thread Hunting zur Verfügung• Überprüfen auf Webshells, unerlaubte Nutzung von Systemtools,

Anmeldeversuche, …• Achtung: Keine Webshells zu finden, bedeutet nicht, dass sie nicht existierten!

4. Incident Response• Solange ein manipulativer Eingriff (Backdoor, Privilege Escalation) nicht

ausgeschlossen werden kann, bleiben Sie im Modus der „Incident Response!• Kein Anmeldung mit Admin-Privilegien an einem potentiell infizierten System!

Agenda





Under Attack4. 6

Lessons learned5. 7

Tag 1 – Impact (Ryuk)Einige Wochen nachdem Emotet implantiert wurde:• Trickbot wurde im Unternehmensnetzwerk entdeckt, hat aber bereits Domänenadminrechte und

scant seit Wochen die internen Datenbestände ab, überträgt Daten an den Angreifer und infiziertkritische Systeme

• Der Angreifer bemerkt seine bevorstehende Entdeckung und aktiviert die massive Reproduktionvon Emotet, z.B. mittels Mails aus allen infizierten Office-Systemen

• Der Firewall-Admin versucht die Kommunikation mit dem C&C-Server zu stoppen, kommt abernicht hinterher und trennt daraufhin die Internetverbindung

• Die MS Admins empfehlen einen kompletten Shutdown, das Management verlangt jedoch die Bereinigung der Systeme im laufenden Betrieb, um die Produktion nicht zu gefährden

• Schon vor Tagen hat der Angreifer RYUK nachgeladen und über Nacht werden nun alle aktivverwendeten Daten verschlüsselt (automatisiert, in Reihenfolge der Wichtigkeit) und die seitTagen bereits verschlüsselten Backups sind plötzlich nicht mehr transparent

• Bis zum nächsten Morgen sind alle Datenbestände verschlüsselt und es wird Lösegeld gefordert

Tag 2 – Catch the headless chickens

• Welche Daten und Systeme sind betroffen?• Von welchen Systemen und Daten existieren “saubere” Backups?• Zahlen oder nicht zahlen? Umgebung bereinigen oder alles neu aufbauen?• Neu aufbauen! Jedes einzelne System? Alles? Die Directory Services auch?• Welche Partner (Insitute, Lieferanten, Kunden, …) sind zu informieren?• Existieren behördliche Meldepflichten? Wer hat wen, wann zu informieren?• Warum sind wir schon in der Presse? Wer hat das bei Twitter gepostet??• Wir haben einen Notfallplan! Haben wir einen Notfallplan? Ist der noch aktuell?

1. Regel: Ruhe bewahren!2. Regel: Melden Sie sich niemals mit einem Admin-Account an einem infizierten System an,

während es noch mit dem Netzwerk verbunden ist!3. Wenn Sie nicht vorbereitet sind, holen Sie sich einen erfahrenen Partner an Ihre Seite!

Tag 3 – Start (der Wiederherstellung) nach Plan (falls es einen gibt)

Egal ob Lösegeld gezahlt wurde oder nicht:

• Das Netzwerk, alle Systeme, alle Accounts sind als infiziert einzustufen und nichtvertrauenswürdig

• Ob neben dem laufenden Betrieb oder harter Schnitt: Alle Systeme müssen neu installiert und alle Accounts neu erstellt werden. Alle Daten müssen entschlüsselt oder aus Backups wieder hergestellt werden. Dabei ist sicher zu stellen, dass nur saubere Backups wieder hergestellt werden. Einige Schutz-Systeme werden ausgetauscht werden müssen Wiederholen Sie in der Wiederherstellungsphase keine Fehler: Nutzen Sie die Gelegenheit und implementieren Sie ein Zero trust Model Segmentieren Sie das Netzwerk und prüfen Sie den Einsatz von Microsegmentierung Erhöhen Sie die Überwachungsfunktionen auf Ihre kritischen Systemen Überprüfen Sie Ihre Backup-Strategie

Day X – Welcome back (or not)

• Herzlichen Glückwunsch, Sie sind zurück aus der Hölle!• Jetzt ist Zeit für einen Review im Rahmen eines Lessons learned• Analysieren Sie was geschehen ist und alle Fehler die Sie gemacht haben• Zeigen Sie nicht mit dem Finger auf Kollegen die Fehler gemacht haben! Sie haben Ihnen nur

Ihre Schwächen (fehlende Trainings, Planung, Übungen, Technologien, …)• Aber am wichtigsten von allem: Ergreifen Sie die Chance und holen Sie Ihr Management an Bord.

Optimieren Sie Ihre Cybersecurity-Fähigkeiten. Reduzieren Sie die Wiederherstellungszeiten. Erstellen Sie mit dem gelernten einen besseren Notfallplan. Etablieren Sie ein CybersecurityMindeststandard in Ihrem Unternehmen, Behörde, Institut, …

• Holen Sie Ihr Management an Bord!

Agenda





Under Attack4. 6

Lessons learned5. 7

Erwarten Sie das schlimmste und seien Sie vorbereitet

• Seien Sie kein Opfer. Bereiten Sie sich vor!• Optimieren Sie Ihre cyber resilience (technologisch, organisatorisch und prozessual)• Sensibilisieren und trainieren Sie Ihre Administratoren• Erstellen Sie Notfallpläne, für den Notbetrieb und die Wiederherstellung• Installieren Sie Software-Updates• Verwenden Sie Multi-Factor-Authentication• Trennen Sie (mindestens) Ihr Office- und Admin-/Technik-Netz• Beschäftigen Sie sich mit Zero-Trust und Layered Defense

• Spielen Sie Angriffe & Datenflüsse am Infrastrukturschaubild oder am Whiteboard durch• Setzen Sie SIEM- und PAM-Systeme ein• Halten Sie Notfallrufnummern bereit• Beziehen Sie Ihr Management ein!• Bereiten Sie sich auf die nächste Angriffswelle vor!

Bleiben Sie vorbereitet

• Überprüfen und aktualisieren Sie regelmäßig die Sicherheitskonzepte, (für alle Systeme und Netzwerke in Ihrem Unternehmen in Zusammenarbeit mit dem IT-Betrieb.)

• Lassen Sie regelmäßig Netzwerkprüfungen und Penetrationstests durchführen, (um potenzielle Schwachstellen in Ihrem Netzwerk zu ermitteln.)

• Hinterfragen Sie Ihre Backup-Strategie (offline backups!),• Erstellen Sie Notfallpläne und halten Sie diese aktuell,• sensibilisieren Sie Ihre Mitarbeiter regelmäßig (insbesondere für den sorgfältigen Umgang mit

Dateianhängen und Links in E-Mails - auch von vermeintlich bekannten Absendern - sowie für die möglichen Gefahren von Makros in Bürodokumenten)

• und üben Sie den Notfall.

Vielen Dank für Ihre Aufmerksamkeit!

• NTT Data Incident Response & Forensics: [email protected]

• Strategic Cybersecurity Consulting: [email protected]

mailto:[email protected]

mailto:[email protected]

Documents

Ransomware Verteidigungsstrategien - HERDT...Architecture. Cyber Defense • ERP systems (SAP, JDE, Dynamics) • CRM systems (SAP, Oracle, Microsoft, Salesforce) • Collaboration