Sofortmaßnahmen gegen Krypto

Sofortmaßnahmen
gegen
Krypto-Trojaner
Michael Veit
Security Consultant
1
Agenda
• Aktuelle Bedrohungslage
• Wie läuft eine Infektion ab?
• Warum sind die Angriffe so erfolgreich?
• Prioritäten setzen
• Sofortmaßnahmen
• Mittel- bis langfristige Maßnahmen
2
Aktuelle Bedrohungslage
• Im Wochentakt neue Varianten von Krypto-Trojanern
• Locky
• CryptoWall
• TeslaCrypt
• Hohe Infektionsraten
• Verbreitungsmechnismen ändern sich schnell
• Office-Dokumente mit Makros
• CHM-Dateien
• JavaScript
• .bat-Dateien
3
Wie läuft eine Infektion ab?
Beispiel:
• E-Mail von bekanntem Unternehmen/Kopierer/Paketdienst
mit Anhang
• Anhang enthält Office-Dokument mit Makro
• Makro startet automatisch und
• fragt eine Liste von Einweg-Webadressen ab
• lädt von dort eigentlichen Trojaner herunter
• startet den Trojaner
• Trojaner kontaktiert Command&Control Server und
• sendet ID des lokalen Systems
• erhält öffentlichen Schlüssel für dieses System
• Trojaner verschlüsselt Dateien bestimmter Typen lokal
und auf Netzlaufwerken
• Trojaner löscht Schattenkopien des Betriebssystems
• Nachricht mit Lösegeldforderung wird eingeblendet
4
Lösegeldforderung
Quelle: heise online
5
Opfer zahlen häufig
Quelle: heise.de
6
Krypto-Trojaner für Macs: Keranger
7
Warum sind die Angriffe so erfolgreich? (1)
• Hochprofessionelle Angreifer
• Nutzung häufig zugelassener Technologien
• Technologisch fortgeschrittene Schädlinge
• Geschicktes Social Engineering
8
Social Engineering – Tarnung als Fax
9
Social Engineering – Tarnung als Fax
Quelle: heise online
10
Social Engineering – Als Warnung des BKA
Quelle: mimikama.at
11
Warum sind die Angriffe so erfolgreich? (2)
• Updates / Patches nicht (zeitnah) eingespielt
• Mangelhaftes Benutzer-/Rechtekonzept
• Mangelhafte Schulung der Benutzer
• Mangelhaftes Backupkonzept
• Administratoren keine IT-Security-Spezialisten
• Sicherheitssysteme nicht vorhanden
oder falsch konfiguriert
• Fehlende Netzwerksegmentierung
• Falsche Prioritäten
12
Prioritäten setzen!
„Wir wissen, dass die Vorgehensweise nicht sicher ist,
aber unsere Leute müssen doch arbeiten..“
Variante 1:
• Jeder Mitarbeiter darf Office-Makros ausführen
Variante 2:
• Nur wer Makros benötigt, bekommt die Berechtigung zu
Empfang und Ausführung von Office-Makros
• ..und eine Schulung, wie der Absender verifiziert wird, der ein
solches Dokument geschickt hat.
13
Was sollte ich sofort machen? (1)
• Backups offline/offsite
• Backups sind nicht nur Schutz gegen Hardwareausfall
• Patches/Updates zeitnah einspielen
• Zentrale Verteilung
• Benutzer ohne Mitspracherecht („später erinnern“)
• Keine unnötigen Benutzerrechte
• Nur die Rechte, die für die Aufgabe nötig sind
• Keine Adminrechte
• Keine unnötigen Dateirechte auf Netzlaufwerken
14
Was sollte ich sofort machen? (2)
• Office-Makros zentral deaktivieren
• Ausnahmen nur für bestimmte Benutzergruppen
• Bewusstsein/Schulung der Mitarbeiter
• „Welche E-Mails darf ich öffnen?“
• „Wie kann ich Office-Dokumente empfangen, die ich für meine
Arbeit benötige?“
• „Darf ich meinen USB-Stick oder
mein Smartphone am Arbeitsrechner
anschließen?
15
Was sollte ich sofort machen? (3)
• Endpoint-Virenschutz richtig konfigurieren
• „Best practices“ der Hersteller befolgen
• Verhaltenserkennung / Heuristiken
• Webfilterung
• Host Intrusion Prevention System
• Erkennung verdächtiger Kommunikation
• Whitelisting-Lösungen
16
Was sollte ich sofort machen? (4)
• E-Mail-Gateway richtig konfigurieren
• Virenschutz, SPAM-Schutz, Sandboxing
• Keine ausführbaren Attachments durchlassen:
u.a. Office-Dokumente, JavaScript, VBScript, CHM
• Mails mit diesen Attachments (auch in Archiven) in Quarantäne
• Prozedur aufsetzen, wie berechtigte Empfänger bestimmte
Anhänge empfangen können
• Verifizierung des Absenders (Telefonat)
• Admins oder Empfänger geben E-Mail frei
• oder Absender und Empfänger vereinbaren Passwort in
Telefonat und Absender schickt solche Dokumente zukünftig
als passwortgeschütztes .zip, das als Dateityp zulässig ist
17
Was sollte ich sofort machen? (5)
• Web-Gateway richtig konfigurieren
• Virenschutz
• Sandboxing verdächtiger Downloads
• Command&Control-URLs blockieren
• HTTPS Scanning
• Firewall/IPS richtig konfigurieren
• Command&Control-Kommunikation blockieren
• Nur notwendige Kommunikation zulassen
18
Was sollte ich langfristig machen? (1)
• Bewusstsein/Schulung der Mitarbeiter
• Regelmäßige IT-Sicherheitstrainings
• Überprüfung des Erfolges dieser Maßnahmen
• Segmentierung des Firmennetzwerkes
• Trennung von Client- und Servernetzen
• Nur notwendige Dienste zulassen
• Client Firewall auf Workstations und Servern
19
Was sollte ich langfristig machen? (2)
• Verschlüsselung von Unternehmensdaten
• Schützt vor Datendiebstahl
• Security-Analysewerkzeuge einsetzen
• Infektionen können zukünftig nicht ausgeschlossen werden
• Im Falle einer Infektion kann damit festgestellt werden
• welches System die Quelle der Infektion war
• auf welchem Weg die Quelle infiziert wurde
• welche Rechner/Ziele im internen Netz
infiziert/verschlüsselt/beeinträchtigt wurden
• Infektionen können schneller eingedämmt werden
• Lücken in Sicherheitskonzepten können geschlossen werden
20
Was sollte ich langfristig machen? (3)
• IT Security Best Practices
• Regelmäßige IT Security Health Checks
• Security als System betrachten
• Kommunikation und Interaktion von Security-Komponenten
wie Firewall, IPS, Verschlüsselung, Endpoint, Web Security, EMail Security, Mobile)
• Automatische Korrelation von Ereignissen
• Automatische Reaktion bei Infektionen
-> Sophos Synchronized Security
21
Referenzen
Sofortmaßnahmen gegen Krypto-Trojaner
https://www.sophos.com/de-de/medialibrary/Gated%20Assets/white%20papers/Sophos-emergency-measures-againstcrypto-Trojan-wp.pdf?la=de-DE
Technisches Whitepaper zur Ransomware
https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos-current-state-of-ransomware.pdf
Informationen zu Locky
https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
Informationen zu aktueller Ransomware
https://nakedsecurity.sophos.com/2016/01/11/ransomware-evolution-another-brick-in-the-cryptowall/
Best Practices gegen Trojaner Troj/DocDl
https://www.sophos.com/en-us/support/knowledgebase/123373.aspx
IT Security DOs und DON'Ts
https://www.sophos.com/de-de/medialibrary/PDFs/employeetraining/sophosdosanddontshandbook.pdf?la=de-DE.pdf
Schreckxikon
https://www.sophos.com/de-de/medialibrary/PDFs/other/sophosthreatsaurusaz.pdf?la=de-DE.pdf
https://nakedsecurity.sophos.com/
23