APT & Advanced Threat Protection - i et dansk perspektiv Peter Sindt & Henrik Larsson Søborg, 7. november 2013 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2013 Nye angreb nye tider DAMAGE CAUSED 90 % af alle virksomheder har malware CRIMEWARE Intelligent Botnets Web Threats Targeted Attacks Spyware Spam Mass Mailers Worm Outbreaks Vulnerabilities 2001 2001 • • • • 2003 2004 2005 Målrettede angreb APT Finansielt motiverede Zero day malware 3 nye malware varianter frigives hvert sekund 2007 Now Angreb - aktuel status • • Malware søger målrettet efter informationer Formålet er tyveri af følsom information • Som ofte simpel økonomisk berigelseskriminalitet • Målrettede angreb - tyveri af intellektuelle værdier • Angrebsmål og -metoder • Angreb, der omgår perimeterforsvaret • Angreb mod brugere • • • Truslerne er blevet webbaserede • • • Social engineering angreb f.eks. phishing Angreb målrettet sociale netværk Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Sårbarheder og avancerede dag-0 angreb • • Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder – dag-0 Malware - Udviklingsproces Sløring og kvalitetstestning Malware er vidt udbredt og kan fremstilles så det omgår det traditionelle perimeterforsvar o.a. beskyttelse Original Malware Permutationer Kvalitetstestning Deployering • Indeholder grundlæggende ondsindede funktioner: DDoS, stjæle data, sprede infektionen, .. • Forvanskelse af malware. Danner adskillige varianter for at omgå detektion • Teste nye mutationer mod seneste opdaterede antivirus scanningsmønstre • Kun malware som kommer igennem QA (dvs. ikke detekteret) bliver forsøgt udbredt Afvist hvis detekteret af anti-virus software • Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb • Kun varianter der kommer igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet • De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne August 2013 – ca. 7.7 mio. nye malware = 3 i sekundet • Malware as a Service Malware offered for $249 with a Service Level Agreement and replacement warranty if the creation is detected by any anti-virus within 9 months Source: www.turkojan.com Malware målrettet danske brugere Hændelser Danmark - 2013 Politiets kørekortregister er blevet hacket Politiets kørekortregister med cpr-numre blev hacket i sommeren 2012, og der kan være lavet ændringer, oplyser Rigspolitiet. 06. Jun. 2013 kl. 11:02 Rigspolitichef Jens Henrik Højbjerg kalder sagen et alvorligt brud på politiets ITsikkerhed. Hackere: Det kostede 50 kroner at lægge NemID ned Fredag den 12. april 2013, 08:59 Det var let, billigt og svidende effektivt at cyberangribe hele Danmarks loginsystem, siger en gruppe, der tager ansvaret gårsdagens Danmark underfor massivt cyberangreb angreb. Gruppen har offentliggjort brev til Torsdag den 11. april 2013,et 10:16 danskerne Hele NemID-systemet er tvunget i knæ, efter at Lidt IT-udstyr, lidt know-how og så en flad systemet hele formiddagen har været under halvtredskroneseddel. Så lidt skulle der til for at Flere banker er angreb fra ukendte gerningsmænd. tvinge heleved Danmarks loginsystem ned i adskillige at lave nødindgange. Situationen er ustabil. Der kan være lavet ændringer i politiets register for kørekort og efterlyste personer efter et hacker-angreb. Populært dansk webmedie spreder Rigspolitiet og it-firmaet CSC har konstateret, at politiets malwaremed efter hackerangreb kørekortregister CPR-numre, samt oplysninger om 30. januar 2013i Schengen-registrene - 14:04 efterlyste personer er blevet Et hackerangreb har ramt de populære hjemmesider hacket i sommeren 2012. mobilsiden.dk og mobilpriser.dk, hvilket har fået ejeren til at lukke begge sider ned. Besøg kan resultere i, at http://www.dr.dk/Nyheder/Indland/201 brugernes computere inficeres med skadelig software. 3/06/06/06105615.htm Det danske webmedie Mobilsiden.dk er blevet hacket, og besøg på siden kan resultere i, at brugerens computer bliver smittet med skadelig software, også kaldet malware. Sitet er en populær nyheds- og prissammenligningstjeneste, der hver måned besøges af flere end 100.000 danskere. Analysevirksomheder opfordrer til handling Adoption of Advanced Threat Detection "You need to know what's accessing the data, how the data's being used, and what's happening on your network." John Kindervag Principal Analyst Serving Security & Risk Professionals Forrester Research, Inc. "We must assume we will be compromised and must have better detection capabilities in place that provide visibility as to when this type of breach occurs." Neil MacDonald VP and Gartner Fellow Gartner, Inc. "Hardening existing security defenses... won't be enough to deal with the sophistication and perseverance of APTs." Jon Oltsik Senior Principal Analyst, Enterprise Strategy Group Today’s Attacks: Social, Sophisticated, Stealthy! Extracts data of interest – can go undetected for months! Gathers intelligence about organization and individuals Attacker Targets individuals using social engineering $$$$ Establishes Command & Control server Moves laterally across network seeking valuable data Employees Overblik via Threat Intelligence Detect Network-wide Detection Analyze Custom Sandboxes Threat Intelligence Adapt Advanced Threat Analysis Respond Automated Security Updates Threat Tools and Services Custom Defense Network Admin Security Værdien af en inficeret computer The Scrap Value of a Hacked PC http://krebsonsecurity.com Phishing eller ej? Sender: Doha Bank Qatar Subject: IMPORTANT ANNOUNCMENT Doha Bank Qatar hereby notifies the below owners of unclaimed bank drafts or their representatives to visit the Doha Bank, Foreign Remittance Dept. during normal banking hours to collect the value of the unclaimed drafts due to them. http://www.dohabank.com.qa For futher clarifications please call 40155276 or 40155288 Indblik i dit netværk • • • Hvilke maskiner på dit netværk er blevet inficeret? Hvilke maskiner på dit netværk sender data ud af virksomheden? Hvilke maskiner er blevet blokeret? Analyse af filer på dit netværk Dybere indblik i analyserede filer Inficeret hjemmeside Indblik på den enkelte computer Information om trusler Information om trusler Dubex POC hos dansk produktionsvirksomhed, maj 2013 FireEye has identified call backs where malicious files and / or infected endpoints are trying to establish connections to command and control and control servers located in China, Hong Kong, U.S and Russia. Dubex POC med FireEye, maj 2013 • FEAuto.Binocolo (12 Registered Events) FEAuto.Binocolo is a revolutionary technology developed by FireEye that enables FireEye appliances to detect the presence of previously unknown malware like Botnets, Trojans, APT, etc. without any prior knowledge or need of a signature. If you are seeing this event it means the source host generating this communication is infected by malware and immediate measures should be taken in order to clean this host. Dubex POC med Deep Discovery hos dansk kommune, april 2013 Dubex POC med Deep Discovery hos dansk kommune, april 2013 Dubex Threat Intelligence analyse og rapport Værdi: • Rapport med anbefalinger vedr. fundne trusler • Overblik over infektionskilder, der eksisterer i netværket • Hvilke computere, der tilgår trusler på Internettet, f.eks. inficerede hjemmesider eller Botnet - C&C servere • Sammenfatning af malware og mistænkelig kommunikation fundet i netværket • Teknisk beskrivelse af malware på baggrund af sandbox analyse TAK! For mere information kontakt Henrik Larsson [email protected] Peter Sindt [email protected]
© Copyright 2024