Sofortmaßnahmen gegen Krypto-Trojaner Michael Veit Security Consultant 1 Agenda • Aktuelle Bedrohungslage • Wie läuft eine Infektion ab? • Warum sind die Angriffe so erfolgreich? • Prioritäten setzen • Sofortmaßnahmen • Mittel- bis langfristige Maßnahmen 2 Aktuelle Bedrohungslage • Im Wochentakt neue Varianten von Krypto-Trojanern • Locky • CryptoWall • TeslaCrypt • Hohe Infektionsraten • Verbreitungsmechnismen ändern sich schnell • Office-Dokumente mit Makros • CHM-Dateien • JavaScript • .bat-Dateien 3 Wie läuft eine Infektion ab? Beispiel: • E-Mail von bekanntem Unternehmen/Kopierer/Paketdienst mit Anhang • Anhang enthält Office-Dokument mit Makro • Makro startet automatisch und • fragt eine Liste von Einweg-Webadressen ab • lädt von dort eigentlichen Trojaner herunter • startet den Trojaner • Trojaner kontaktiert Command&Control Server und • sendet ID des lokalen Systems • erhält öffentlichen Schlüssel für dieses System • Trojaner verschlüsselt Dateien bestimmter Typen lokal und auf Netzlaufwerken • Trojaner löscht Schattenkopien des Betriebssystems • Nachricht mit Lösegeldforderung wird eingeblendet 4 Lösegeldforderung Quelle: heise online 5 Opfer zahlen häufig Quelle: heise.de 6 Krypto-Trojaner für Macs: Keranger 7 Warum sind die Angriffe so erfolgreich? (1) • Hochprofessionelle Angreifer • Nutzung häufig zugelassener Technologien • Technologisch fortgeschrittene Schädlinge • Geschicktes Social Engineering 8 Social Engineering – Tarnung als Fax 9 Social Engineering – Tarnung als Fax Quelle: heise online 10 Social Engineering – Als Warnung des BKA Quelle: mimikama.at 11 Warum sind die Angriffe so erfolgreich? (2) • Updates / Patches nicht (zeitnah) eingespielt • Mangelhaftes Benutzer-/Rechtekonzept • Mangelhafte Schulung der Benutzer • Mangelhaftes Backupkonzept • Administratoren keine IT-Security-Spezialisten • Sicherheitssysteme nicht vorhanden oder falsch konfiguriert • Fehlende Netzwerksegmentierung • Falsche Prioritäten 12 Prioritäten setzen! „Wir wissen, dass die Vorgehensweise nicht sicher ist, aber unsere Leute müssen doch arbeiten..“ Variante 1: • Jeder Mitarbeiter darf Office-Makros ausführen Variante 2: • Nur wer Makros benötigt, bekommt die Berechtigung zu Empfang und Ausführung von Office-Makros • ..und eine Schulung, wie der Absender verifiziert wird, der ein solches Dokument geschickt hat. 13 Was sollte ich sofort machen? (1) • Backups offline/offsite • Backups sind nicht nur Schutz gegen Hardwareausfall • Patches/Updates zeitnah einspielen • Zentrale Verteilung • Benutzer ohne Mitspracherecht („später erinnern“) • Keine unnötigen Benutzerrechte • Nur die Rechte, die für die Aufgabe nötig sind • Keine Adminrechte • Keine unnötigen Dateirechte auf Netzlaufwerken 14 Was sollte ich sofort machen? (2) • Office-Makros zentral deaktivieren • Ausnahmen nur für bestimmte Benutzergruppen • Bewusstsein/Schulung der Mitarbeiter • „Welche E-Mails darf ich öffnen?“ • „Wie kann ich Office-Dokumente empfangen, die ich für meine Arbeit benötige?“ • „Darf ich meinen USB-Stick oder mein Smartphone am Arbeitsrechner anschließen? 15 Was sollte ich sofort machen? (3) • Endpoint-Virenschutz richtig konfigurieren • „Best practices“ der Hersteller befolgen • Verhaltenserkennung / Heuristiken • Webfilterung • Host Intrusion Prevention System • Erkennung verdächtiger Kommunikation • Whitelisting-Lösungen 16 Was sollte ich sofort machen? (4) • E-Mail-Gateway richtig konfigurieren • Virenschutz, SPAM-Schutz, Sandboxing • Keine ausführbaren Attachments durchlassen: u.a. Office-Dokumente, JavaScript, VBScript, CHM • Mails mit diesen Attachments (auch in Archiven) in Quarantäne • Prozedur aufsetzen, wie berechtigte Empfänger bestimmte Anhänge empfangen können • Verifizierung des Absenders (Telefonat) • Admins oder Empfänger geben E-Mail frei • oder Absender und Empfänger vereinbaren Passwort in Telefonat und Absender schickt solche Dokumente zukünftig als passwortgeschütztes .zip, das als Dateityp zulässig ist 17 Was sollte ich sofort machen? (5) • Web-Gateway richtig konfigurieren • Virenschutz • Sandboxing verdächtiger Downloads • Command&Control-URLs blockieren • HTTPS Scanning • Firewall/IPS richtig konfigurieren • Command&Control-Kommunikation blockieren • Nur notwendige Kommunikation zulassen 18 Was sollte ich langfristig machen? (1) • Bewusstsein/Schulung der Mitarbeiter • Regelmäßige IT-Sicherheitstrainings • Überprüfung des Erfolges dieser Maßnahmen • Segmentierung des Firmennetzwerkes • Trennung von Client- und Servernetzen • Nur notwendige Dienste zulassen • Client Firewall auf Workstations und Servern 19 Was sollte ich langfristig machen? (2) • Verschlüsselung von Unternehmensdaten • Schützt vor Datendiebstahl • Security-Analysewerkzeuge einsetzen • Infektionen können zukünftig nicht ausgeschlossen werden • Im Falle einer Infektion kann damit festgestellt werden • welches System die Quelle der Infektion war • auf welchem Weg die Quelle infiziert wurde • welche Rechner/Ziele im internen Netz infiziert/verschlüsselt/beeinträchtigt wurden • Infektionen können schneller eingedämmt werden • Lücken in Sicherheitskonzepten können geschlossen werden 20 Was sollte ich langfristig machen? (3) • IT Security Best Practices • Regelmäßige IT Security Health Checks • Security als System betrachten • Kommunikation und Interaktion von Security-Komponenten wie Firewall, IPS, Verschlüsselung, Endpoint, Web Security, EMail Security, Mobile) • Automatische Korrelation von Ereignissen • Automatische Reaktion bei Infektionen -> Sophos Synchronized Security 21 Referenzen Sofortmaßnahmen gegen Krypto-Trojaner https://www.sophos.com/de-de/medialibrary/Gated%20Assets/white%20papers/Sophos-emergency-measures-againstcrypto-Trojan-wp.pdf?la=de-DE Technisches Whitepaper zur Ransomware https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos-current-state-of-ransomware.pdf Informationen zu Locky https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/ Informationen zu aktueller Ransomware https://nakedsecurity.sophos.com/2016/01/11/ransomware-evolution-another-brick-in-the-cryptowall/ Best Practices gegen Trojaner Troj/DocDl https://www.sophos.com/en-us/support/knowledgebase/123373.aspx IT Security DOs und DON'Ts https://www.sophos.com/de-de/medialibrary/PDFs/employeetraining/sophosdosanddontshandbook.pdf?la=de-DE.pdf Schreckxikon https://www.sophos.com/de-de/medialibrary/PDFs/other/sophosthreatsaurusaz.pdf?la=de-DE.pdf https://nakedsecurity.sophos.com/ 23
© Copyright 2024 ExpyDoc