APT & Advanced Threat Protection - i et dansk perspektiv Peter Sindt & Henrik Larsson Søborg, 7. november 2013 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2013
Nye angreb nye tider 90 % af alle virksomheder har malware DAMAGE CAUSED Worm Outbreaks Vulnerabilities CRIMEWARE Spam Mass Mailers Spyware Intelligent Botnets Web Threats Targeted Attacks Målrettede angreb APT Finansielt motiverede Zero day malware 3 nye malware varianter frigives hvert sekund 2001 2003 2004 2005 2007 Now
Angreb - aktuel status Malware søger målrettet efter informationer Formålet er tyveri af følsom information Som ofte simpel økonomisk berigelseskriminalitet Målrettede angreb - tyveri af intellektuelle værdier Angrebsmål og -metoder Angreb, der omgår perimeterforsvaret Angreb mod brugere Social engineering angreb f.eks. phishing Angreb målrettet sociale netværk Truslerne er blevet webbaserede Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Sårbarheder og avancerede dag-0 angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0
Malware - Udviklingsproces Sløring og kvalitetstestning Malware er vidt udbredt og kan fremstilles så det omgår det traditionelle perimeterforsvar o.a. beskyttelse Original Malware Indeholder grundlæggende ondsindede funktioner: DDoS, stjæle data, sprede infektionen,.. Permutationer Forvanskelse af malware. Danner adskillige varianter for at omgå detektion Kvalitetstestning Teste nye mutationer mod seneste opdaterede antivirus scanningsmønstre Deployering Kun malware som kommer igennem QA (dvs. ikke detekteret) bliver forsøgt udbredt Afvist hvis detekteret af anti-virus software Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb Kun varianter der kommer igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne August 2013 ca. 7.7 mio. nye malware = 3 i sekundet
Malware as a Service Malware offered for $249 with a Service Level Agreement and replacement warranty if the creation is detected by any anti-virus within 9 months Source: www.turkojan.com
Malware målrettet danske brugere
Hændelser Danmark - 2013 Politiets kørekortregister er blevet hacket Politiets kørekortregister med cpr-numre blev hacket i sommeren 2012, og der kan være lavet ændringer, oplyser Rigspolitiet. 06. Jun. 2013 kl. 11:02 Rigspolitichef Jens Henrik Højbjerg kalder sagen et alvorligt brud på politiets ITsikkerhed. Hackere: Det kostede 50 kroner at lægge NemID ned Fredag den 12. april 2013, 08:59 Det var let, billigt og svidende effektivt at cyberangribe hele Danmarks loginsystem, siger en gruppe, Danmark der tager ansvaret under for massivt gårsdagens cyberangreb angreb. Gruppen Torsdag har den offentliggjort 11. april 2013, et 10:16 brev til danskerne Hele NemID-systemet er tvunget i knæ, efter at Lidt IT-udstyr, systemet lidt know-how hele formiddagen og så flad har været under halvtredskroneseddel. angreb fra ukendte Så lidt skulle gerningsmænd. der til for at Flere banker er tvinge hele ved Danmarks at lave loginsystem nødindgange. ned Situationen i adskillige er ustabil. Der kan være lavet ændringer i politiets register for kørekort og efterlyste personer efter et hacker-angreb. Populært dansk webmedie spreder Rigspolitiet og it-firmaet CSC har konstateret, at politiets kørekortregister malware med efter CPR-numre, hackerangreb samt oplysninger om efterlyste 30. januar personer 2013 i Schengen-registrene - 14:04 er blevet hacket Et hackerangreb i sommeren 2012. har ramt de populære hjemmesider mobilsiden.dk og mobilpriser.dk, hvilket har fået ejeren til at lukke begge sider ned. Besøg kan resultere i, at http://www.dr.dk/nyheder/indland/201 brugernes computere inficeres med skadelig software. 3/06/06/06105615.htm Det danske webmedie Mobilsiden.dk er blevet hacket, og besøg på siden kan resultere i, at brugerens computer bliver smittet med skadelig software, også kaldet malware. Sitet er en populær nyheds- og prissammenligningstjeneste, der hver måned besøges af flere end 100.000 danskere.
Analysevirksomheder opfordrer til handling Adoption of Advanced Threat Detection "You need to know what's accessing the data, how the data's being used, and what's happening on your network." John Kindervag Principal Analyst Serving Security & Risk Professionals Forrester Research, Inc. "We must assume we will be compromised and must have better detection capabilities in place that provide visibility as to when this type of breach occurs." Neil MacDonald VP and Gartner Fellow Gartner, Inc. "Hardening existing security defenses... won't be enough to deal with the sophistication and perseverance of APTs." Jon Oltsik Senior Principal Analyst, Enterprise Strategy Group
Today s Attacks: Social, Sophisticated, Stealthy! Gathers intelligence about organization and individuals Extracts data of interest can go undetected for months! Attacker $$$$ Targets individuals using social engineering Establishes Command & Control server Moves laterally across network seeking valuable data Employees
Overblik via Threat Intelligence Detect Analyze Adapt Respond Network-wide Detection Custom Sandboxes Threat Intelligence Advanced Threat Analysis Automated Security Updates Threat Tools and Services Custom Defense Network Admin Security
Værdien af en inficeret computer The Scrap Value of a Hacked PC http://krebsonsecurity.com
Phishing eller ej? Sender: Doha Bank Qatar Subject: IMPORTANT ANNOUNCMENT Doha Bank Qatar hereby notifies the below owners of unclaimed bank drafts or their representatives to visit the Doha Bank, Foreign Remittance Dept. during normal banking hours to collect the value of the unclaimed drafts due to them. http://www.dohabank.com.qa For futher clarifications please call 40155276 or 40155288
Indblik i dit netværk Hvilke maskiner på dit netværk er blevet inficeret? Hvilke maskiner på dit netværk sender data ud af virksomheden? Hvilke maskiner er blevet blokeret?
Analyse af filer på dit netværk
Dybere indblik i analyserede filer
Inficeret hjemmeside
Indblik på den enkelte computer
Information om trusler
Information om trusler
Dubex POC hos dansk produktionsvirksomhed, maj 2013 FireEye has identified call backs where malicious files and / or infected endpoints are trying to establish connections to command and control and control servers located in China, Hong Kong, U.S and Russia.
Dubex POC med FireEye, maj 2013 FEAuto.Binocolo (12 Registered Events) FEAuto.Binocolo is a revolutionary technology developed by FireEye that enables FireEye appliances to detect the presence of previously unknown malware like Botnets, Trojans, APT, etc. without any prior knowledge or need of a signature. If you are seeing this event it means the source host generating this communication is infected by malware and immediate measures should be taken in order to clean this host.
Dubex POC med Deep Discovery hos dansk kommune, april 2013
Dubex POC med Deep Discovery hos dansk kommune, april 2013
Dubex Threat Intelligence analyse og rapport Værdi: Rapport med anbefalinger vedr. fundne trusler Overblik over infektionskilder, der eksisterer i netværket Hvilke computere, der tilgår trusler på Internettet, f.eks. inficerede hjemmesider eller Botnet - C&C servere Sammenfatning af malware og mistænkelig kommunikation fundet i netværket Teknisk beskrivelse af malware på baggrund af sandbox analyse
TAK! For mere information kontakt Henrik Larsson hla@dubex.dk Peter Sindt psi@dubex.dk