cyPERMEtHRin Cyperb 100

APT & Advanced Threat Protection
- i et dansk perspektiv
Peter Sindt & Henrik Larsson
Søborg, 7. november 2013
DUBEX SECURITY &
RISK MANAGEMENT SUMMIT 2013
Nye angreb nye tider
DAMAGE CAUSED
90 % af alle virksomheder har malware
CRIMEWARE
Intelligent
Botnets
Web
Threats
Targeted
Attacks
Spyware
Spam
Mass
Mailers
Worm
Outbreaks
Vulnerabilities
2001
2001
•
•
•
•
2003
2004
2005
Målrettede angreb APT
Finansielt motiverede
Zero day malware
3 nye malware
varianter frigives hvert
sekund
2007
Now
Angreb - aktuel status
•
•
Malware søger målrettet efter informationer
Formålet er tyveri af følsom information
• Som ofte simpel økonomisk berigelseskriminalitet
• Målrettede angreb - tyveri af intellektuelle værdier
•
Angrebsmål og -metoder
• Angreb, der omgår perimeterforsvaret
• Angreb mod brugere
•
•
•
Truslerne er blevet webbaserede
•
•
•
Social engineering angreb f.eks. phishing
Angreb målrettet sociale netværk
Indirekte angreb rettet mod klienter
Indirekte angreb via betroede eksterne tredjeparter
Sårbarheder og avancerede dag-0 angreb
•
•
Hurtig udnyttelse af sårbarheder
Udnyttelse af ukendte sårbarheder – dag-0
Malware - Udviklingsproces
Sløring og kvalitetstestning
Malware er vidt udbredt og kan fremstilles så det omgår
det traditionelle perimeterforsvar o.a. beskyttelse
Original Malware
Permutationer
Kvalitetstestning
Deployering
• Indeholder grundlæggende
ondsindede funktioner:
DDoS, stjæle data, sprede
infektionen, ..
• Forvanskelse af malware.
Danner adskillige varianter for at
omgå detektion
• Teste nye mutationer mod
seneste opdaterede antivirus
scanningsmønstre
• Kun malware som kommer
igennem QA (dvs. ikke
detekteret) bliver forsøgt udbredt
Afvist hvis detekteret
af anti-virus software
•
Mange forskellige varianter af samme
malware fremstilles automatisk forud
for et angreb
• Kun varianter der kommer
igennem kvalitetstestningen
(=omgår antivirus) bruges i selve
angrebet
• De nye varianter frigives med
jævne mellemrum for konstant at
være foran antivirus mønster
opdateringerne
August 2013 – ca.
7.7 mio. nye malware
= 3 i sekundet
•
Malware as a Service
Malware offered for $249
with a Service Level
Agreement and replacement
warranty if the creation is
detected by any anti-virus
within 9 months
Source: www.turkojan.com
Malware målrettet danske brugere
Hændelser Danmark - 2013
Politiets kørekortregister
er blevet hacket
Politiets kørekortregister med cpr-numre blev hacket
i sommeren 2012, og der kan være lavet ændringer,
oplyser Rigspolitiet.
06. Jun. 2013 kl. 11:02
Rigspolitichef Jens
Henrik Højbjerg
kalder sagen et
alvorligt brud på
politiets ITsikkerhed.
Hackere: Det kostede 50 kroner at
lægge NemID ned
Fredag den 12. april 2013, 08:59
Det var let, billigt og svidende effektivt at
cyberangribe hele Danmarks loginsystem, siger
en gruppe,
der tager ansvaret
gårsdagens
Danmark
underfor
massivt
cyberangreb
angreb. Gruppen
har
offentliggjort
brev til
Torsdag den 11. april 2013,et
10:16
danskerne
Hele NemID-systemet er tvunget i knæ, efter at
Lidt IT-udstyr,
lidt know-how
og så en flad
systemet
hele formiddagen
har været under
halvtredskroneseddel.
Så
lidt
skulle
der
til
for at Flere banker er
angreb fra ukendte gerningsmænd.
tvinge heleved
Danmarks
loginsystem
ned
i
adskillige
at lave nødindgange. Situationen er ustabil.
Der kan være lavet ændringer i politiets register for
kørekort og efterlyste personer efter et hacker-angreb.
Populært dansk webmedie spreder
Rigspolitiet og it-firmaet CSC har konstateret, at politiets
malwaremed
efter
hackerangreb
kørekortregister
CPR-numre,
samt oplysninger om
30. januar
2013i Schengen-registrene
- 14:04
efterlyste
personer
er blevet
Et hackerangreb
har ramt de populære hjemmesider
hacket
i sommeren 2012.
mobilsiden.dk og mobilpriser.dk, hvilket har fået ejeren til
at lukke begge sider ned. Besøg kan resultere i, at
http://www.dr.dk/Nyheder/Indland/201
brugernes computere inficeres med skadelig software.
3/06/06/06105615.htm
Det danske webmedie Mobilsiden.dk er blevet hacket,
og besøg på siden kan resultere i, at brugerens
computer bliver smittet med skadelig software, også
kaldet malware.
Sitet er en populær nyheds- og
prissammenligningstjeneste, der hver måned besøges
af flere end 100.000 danskere.
Analysevirksomheder opfordrer til handling
Adoption of Advanced Threat Detection
"You need to know
what's accessing the
data, how the data's
being used, and what's
happening on your
network."
John Kindervag
Principal Analyst Serving Security &
Risk Professionals
Forrester Research, Inc.
"We must assume we
will be compromised
and must have better
detection capabilities in
place that provide
visibility as to when this
type of breach occurs."
Neil MacDonald
VP and Gartner Fellow
Gartner, Inc.
"Hardening existing
security defenses... won't
be enough to deal with
the sophistication and
perseverance of APTs."
Jon Oltsik
Senior Principal Analyst,
Enterprise Strategy Group
Today’s Attacks: Social, Sophisticated, Stealthy!
Extracts data of interest – can go
undetected for months!
Gathers intelligence about
organization and individuals
Attacker
Targets individuals
using social engineering
$$$$
Establishes Command
& Control server
Moves laterally across network
seeking valuable data
Employees
Overblik via Threat Intelligence
Detect
Network-wide
Detection
Analyze
Custom
Sandboxes
Threat
Intelligence
Adapt
Advanced
Threat Analysis
Respond
Automated
Security Updates
Threat Tools
and Services
Custom Defense
Network Admin
Security
Værdien af en inficeret computer
The Scrap Value of a Hacked PC
http://krebsonsecurity.com
Phishing eller ej?
Sender: Doha Bank Qatar
Subject: IMPORTANT ANNOUNCMENT
Doha Bank Qatar hereby notifies the below owners of
unclaimed bank drafts or
their representatives to visit the Doha Bank, Foreign
Remittance Dept. during
normal banking hours to collect the value of the unclaimed
drafts due to them.
http://www.dohabank.com.qa
For futher clarifications please call 40155276 or 40155288
Indblik i dit netværk
•
•
•
Hvilke maskiner på dit netværk er blevet inficeret?
Hvilke maskiner på dit netværk sender data ud af virksomheden?
Hvilke maskiner er blevet blokeret?
Analyse af filer på dit netværk
Dybere indblik i analyserede filer
Inficeret hjemmeside
Indblik på den enkelte computer
Information om trusler
Information om trusler
Dubex POC hos dansk produktionsvirksomhed, maj 2013
FireEye has identified call backs where malicious files and / or infected
endpoints are trying to establish connections to command and control
and control servers located in China, Hong Kong, U.S and Russia.
Dubex POC med FireEye, maj 2013
•
FEAuto.Binocolo (12 Registered Events)
FEAuto.Binocolo is a revolutionary technology developed by FireEye
that enables FireEye appliances to detect the presence of previously
unknown malware like Botnets, Trojans, APT, etc. without any prior
knowledge or need of a signature. If you are seeing this event it
means the source host generating this communication is infected by
malware and immediate measures should be taken in order to clean
this host.
Dubex POC med Deep Discovery hos dansk kommune, april 2013
Dubex POC med Deep Discovery hos dansk kommune, april 2013
Dubex Threat Intelligence analyse og rapport
Værdi:
• Rapport med anbefalinger vedr. fundne trusler
• Overblik over infektionskilder, der eksisterer i netværket
• Hvilke computere, der tilgår trusler på Internettet, f.eks. inficerede
hjemmesider eller Botnet - C&C servere
• Sammenfatning af malware og mistænkelig kommunikation fundet i netværket
• Teknisk beskrivelse af malware på baggrund af sandbox analyse
TAK!
For mere information kontakt
Henrik Larsson
[email protected]
Peter Sindt
[email protected]