Transcript
Sofortmaßnahmen gegen Krypto-Trojaner
Michael Veit Security Consultant 1
Agenda • Aktuelle Bedrohungslage
• Wie läuft eine Infektion ab? • Warum sind die Angriffe so erfolgreich?
• Prioritäten setzen • Sofortmaßnahmen • Mittel- bis langfristige Maßnahmen
2
Aktuelle Bedrohungslage • Im Wochentakt neue Varianten von Krypto-Trojanern • Locky • CryptoWall • TeslaCrypt
• Hohe Infektionsraten • Verbreitungsmechnismen ändern sich schnell • Office-Dokumente mit Makros • CHM-Dateien • JavaScript • .bat-Dateien 3
Wie läuft eine Infektion ab? Beispiel: • E-Mail von bekanntem Unternehmen/Kopierer/Paketdienst mit Anhang • Anhang enthält Office-Dokument mit Makro
• Makro startet automatisch und • fragt eine Liste von Einweg-Webadressen ab • lädt von dort eigentlichen Trojaner herunter • startet den Trojaner
• Trojaner kontaktiert Command&Control Server und • sendet ID des lokalen Systems • erhält öffentlichen Schlüssel für dieses System
• Trojaner verschlüsselt Dateien bestimmter Typen lokal und auf Netzlaufwerken • Trojaner löscht Schattenkopien des Betriebssystems • Nachricht mit Lösegeldforderung wird eingeblendet 4
Lösegeldforderung
Quelle: heise online 5
Opfer zahlen häufig
Quelle: heise.de 6
Krypto-Trojaner für Macs: Keranger
7
Warum sind die Angriffe so erfolgreich? (1) • Hochprofessionelle Angreifer • Nutzung häufig zugelassener Technologien • Technologisch fortgeschrittene Schädlinge • Geschicktes Social Engineering
8
Social Engineering – Tarnung als Fax
9
Social Engineering – Tarnung als Fax
Quelle: heise online 10
Social Engineering – Als Warnung des BKA
Quelle: mimikama.at
11
Warum sind die Angriffe so erfolgreich? (2) • Updates / Patches nicht (zeitnah) eingespielt • Mangelhaftes Benutzer-/Rechtekonzept • Mangelhafte Schulung der Benutzer • Mangelhaftes Backupkonzept • Administratoren keine IT-Security-Spezialisten • Sicherheitssysteme nicht vorhanden oder falsch konfiguriert • Fehlende Netzwerksegmentierung • Falsche Prioritäten 12
Prioritäten setzen! „Wir wissen, dass die Vorgehensweise nicht sicher ist, aber unsere Leute müssen doch arbeiten..“ Variante 1: • Jeder Mitarbeiter darf Office-Makros ausführen Variante 2: • Nur wer Makros benötigt, bekommt die Berechtigung zu Empfang und Ausführung von Office-Makros • ..und eine Schulung, wie der Absender verifiziert wird, der ein solches Dokument geschickt hat. 13
Was sollte ich sofort machen? (1) • Backups offline/offsite • Backups sind nicht nur Schutz gegen Hardwareausfall
• Patches/Updates zeitnah einspielen • Zentrale Verteilung • Benutzer ohne Mitspracherecht („später erinnern“)
• Keine unnötigen Benutzerrechte • Nur die Rechte, die für die Aufgabe nötig sind • Keine Adminrechte • Keine unnötigen Dateirechte auf Netzlaufwerken
14
Was sollte ich sofort machen? (2) • Office-Makros zentral deaktivieren • Ausnahmen nur für bestimmte Benutzergruppen
• Bewusstsein/Schulung der Mitarbeiter • „Welche E-Mails darf ich öffnen?“ • „Wie kann ich Office-Dokumente empfangen, die ich für meine Arbeit benötige?“ • „Darf ich meinen USB-Stick oder mein Smartphone am Arbeitsrechner anschließen?
15
Was sollte ich sofort machen? (3) • Endpoint-Virenschutz richtig konfigurieren • „Best practices“ der Hersteller befolgen • Verhaltenserkennung / Heuristiken • Webfilterung • Host Intrusion Prevention System • Erkennung verdächtiger Kommunikation • Whitelisting-Lösungen
16
Was sollte ich sofort machen? (4) • E-Mail-Gateway richtig konfigurieren • Virenschutz, SPAM-Schutz, Sandboxing • Keine ausführbaren Attachments durchlassen: u.a. Office-Dokumente, JavaScript, VBScript, CHM • Mails mit diesen Attachments (auch in Archiven) in Quarantäne • Prozedur aufsetzen, wie berechtigte Empfänger bestimmte Anhänge empfangen können • Verifizierung des Absenders (Telefonat) • Admins oder Empfänger geben E-Mail frei • oder Absender und Empfänger vereinbaren Passwort in Telefonat und Absender schickt solche Dokumente zukünftig als passwortgeschütztes .zip, das als Dateityp zulässig ist 17
Was sollte ich sofort machen? (5) • Web-Gateway richtig konfigurieren • Virenschutz • Sandboxing verdächtiger Downloads • Command&Control-URLs blockieren • HTTPS Scanning
• Firewall/IPS richtig konfigurieren • Command&Control-Kommunikation blockieren • Nur notwendige Kommunikation zulassen
18
Was sollte ich langfristig machen? (1) • Bewusstsein/Schulung der Mitarbeiter • Regelmäßige IT-Sicherheitstrainings • Überprüfung des Erfolges dieser Maßnahmen
• Segmentierung des Firmennetzwerkes • Trennung von Client- und Servernetzen • Nur notwendige Dienste zulassen • Client Firewall auf Workstations und Servern
19
Was sollte ich langfristig machen? (2) • Verschlüsselung von Unternehmensdaten • Schützt vor Datendiebstahl
• Security-Analysewerkzeuge einsetzen • Infektionen können zukünftig nicht ausgeschlossen werden • Im Falle einer Infektion kann damit festgestellt werden • welches System die Quelle der Infektion war • auf welchem Weg die Quelle infiziert wurde • welche Rechner/Ziele im internen Netz infiziert/verschlüsselt/beeinträchtigt wurden
• Infektionen können schneller eingedämmt werden • Lücken in Sicherheitskonzepten können geschlossen werden 20
Was sollte ich langfristig machen? (3) • IT Security Best Practices • Regelmäßige IT Security Health Checks
• Security als System betrachten • Kommunikation und Interaktion von Security-Komponenten wie Firewall, IPS, Verschlüsselung, Endpoint, Web Security, EMail Security, Mobile) • Automatische Korrelation von Ereignissen • Automatische Reaktion bei Infektionen
-> Sophos Synchronized Security 21
Referenzen Sofortmaßnahmen gegen Krypto-Trojaner https://www.sophos.com/de-de/medialibrary/Gated%20Assets/white%20papers/Sophos-emergency-measures-againstcrypto-Trojan-wp.pdf?la=de-DE
Technisches Whitepaper zur Ransomware https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos-current-state-of-ransomware.pdf
Informationen zu Locky https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
Informationen zu aktueller Ransomware https://nakedsecurity.sophos.com/2016/01/11/ransomware-evolution-another-brick-in-the-cryptowall/
Best Practices gegen Trojaner Troj/DocDl https://www.sophos.com/en-us/support/knowledgebase/123373.aspx
IT Security DOs und DON'Ts https://www.sophos.com/de-de/medialibrary/PDFs/employeetraining/sophosdosanddontshandbook.pdf?la=de-DE.pdf
Schreckxikon https://www.sophos.com/de-de/medialibrary/PDFs/other/sophosthreatsaurusaz.pdf?la=de-DE.pdf https://nakedsecurity.sophos.com/ 23
