APT & Advanced Threat Protection - i et dansk perspektiv

APT & Advanced Threat Protection - i et dansk perspektiv Peter Sindt og Henrik Larsson Aarhus, den 8. maj 2014

DAMAGE CAUSED Nye angreb nye tider 90 % af alle virksomheder har malware CRIMEWARE Intelligent Botnets Web Threats Targeted Attacks Worm Outbreaks Vulnerabilities Spam Mass Mailers Spyware Målrettede angreb APT Finansielt motiverede Zero day malware 3 nye malware varianter frigives hvert sekund 2001 2003 2004 2005 2007 Now

Angreb - aktuel status Malware søger målrettet efter informationer Formålet er tyveri af følsom information Som ofte simpel økonomisk berigelseskriminalitet Målrettede angreb - tyveri af intellektuelle værdier Angrebsmål og -metoder Angreb, der omgår perimeterforsvaret Angreb mod brugere Social engineering angreb f.eks. phishing Angreb målrettet sociale netværk Truslerne er blevet webbaserede Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Sårbarheder og avancerede dag-0 angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0

Malware - Udviklingsproces Sløring og kvalitetstestning Malware er vidt udbredt og kan fremstilles så det omgår det traditionelle perimeterforsvar og anden beskyttelse Original Malware Permutationer Kvalitetstestning Deployering Afvist hvis detekteret af anti-virus software Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb Kun varianter, der kommer igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne Januar 2014 ca. 9 mio. nye malware = 3½ i sekundet

Malware as a Service Malware offered for $249 with a Service Level Agreement and replacement warranty if the creation is detected by any anti-virus within 9 months Source: www.turkojan.com

Geografisk målrettet malware Større variation i hvilken malware, der observeres forskellige steder i verden Regionale sprog, arrangementer, hændelser m.m. anvendes i forbindelse med social engineering Stjæler specifik information, som er udbredt i forskellige regioner Fx er malware, der stjæler kontoinformation til brasilianske banker, udbredt i Sydamerika, mens logininformation til online spil stjæles i Fjernøsten

Malware målrettet danske brugere

Hændelser Danmark - 2013 Politiets kørekortregister er blevet hacket Politiets kørekortregister med cpr-numre blev hacket i sommeren 2012, og der kan være lavet ændringer, oplyser Rigspolitiet. 06. Jun. 2013 kl. 11:02 Rigspolitichef Jens Henrik Højbjerg kalder sagen et alvorligt brud på politiets ITsikkerhed. Hackere: Det kostede 50 kroner at lægge NemID ned Fredag den 12. april 2013, 08:59 Det var let, billigt og svidende effektivt at cyberangribe hele Danmarks loginsystem, siger en gruppe, der tager ansvaret for gårsdagens angreb. Gruppen Torsdag har den offentliggjort 11. april 2013, et 10:16 brev til danskerne Danmark under massivt cyberangreb Hele NemID-systemet er tvunget i knæ, efter at Lidt IT-udstyr, systemet lidt know-how hele formiddagen og så flad har været under halvtredskroneseddel. angreb fra ukendte Så lidt skulle gerningsmænd. der til for at Flere banker er tvinge hele ved Danmarks at lave loginsystem nødindgange. ned Situationen i adskillige er ustabil. Der kan være lavet ændringer i politiets register for kørekort og efterlyste personer efter et hacker-angreb. Populært dansk webmedie spreder Rigspolitiet og it-firmaet CSC har konstateret, at politiets kørekortregister malware med efter CPR-numre, hackerangreb samt oplysninger om efterlyste 30. januar personer 2013 i Schengen-registrene - 14:04 er blevet hacket Et hackerangreb i sommeren 2012. har ramt de populære hjemmesider mobilsiden.dk og mobilpriser.dk, hvilket har fået ejeren til at lukke begge sider ned. Besøg kan resultere i, at http://www.dr.dk/nyheder/indland/201 brugernes computere inficeres med skadelig software. 3/06/06/06105615.htm Det danske webmedie Mobilsiden.dk er blevet hacket, og besøg på siden kan resultere i, at brugerens computer bliver smittet med skadelig software, også kaldet malware. Sitet er en populær nyheds- og prissammenligningstjeneste, der hver måned besøges af flere end 100.000 danskere.

Analysevirksomheder opfordrer til handling Adoption of Advanced Threat Detection "You need to know what's accessing the data, how the data's being used, and what's happening on your network." John Kindervag Principal Analyst Serving Security & Risk Professionals Forrester Research, Inc. "We must assume we will be compromised and must have better detection capabilities in place that provide visibility as to when this type of breach occurs." Neil MacDonald VP and Gartner Fellow Gartner, Inc. "Hardening existing security defenses... won't be enough to deal with the sophistication and perseverance of APTs." Jon Oltsik Senior Principal Analyst, Enterprise Strategy Group

Tidslinje - angreb Udfordringer - angreb og metoder 66% af kompromitteringerne opdages først efter flere måneder Selve angrebet tager typisk højst ganske få timer 36% af kompromitteringerne er først fjernet flere uger efter opdagelse

Today s Attacks: Social, Sophisticated, Stealthy! Gathers intelligence about organization and individuals Extracts data of interest can go undetected for months! Attacker $$$$ Targets individuals using social engineering Establishes Command & Control server Moves laterally across network seeking valuable data Employees

Angreb opdages langsomt og tilfældigt Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan 82% 66% af alle organisationer var flere måneder eller år om at opdage det initiale indbrud af alle hændelser blev opdaget af eksterne 12% af alle hændelser blev tilfældigt opdaget internt Percent of breaches that remain undiscovered for months or more Kun 6% af alle hændelser blev aktivt opdaget internt så det normale er at der efter nogle måneder kommer nogen eksterne og fortæller vi er blevet hacket

Overblik via Threat Intelligence Detect Analyze Adapt Respond Network-wide Detection Custom Sandboxes Threat Intelligence Advanced Threat Analysis Automated Security Updates Threat Tools and Services Custom Defense Network Admin Security

Værdien af en inficeret computer The Scrap Value of a Hacked PC http://krebsonsecurity.com

Indblik i dit netværk Hvilke maskiner på dit netværk er blevet inficeret? Hvilke maskiner på dit netværk sender data ud af virksomheden? Hvilke maskiner er blevet blokeret?

Identificer infektionskilder i netværket

Analyse af filer på dit netværk

Dybere indblik i analyserede filer Eksempel 1

Dybere indblik i analyserede filer Eksempel 2 Blue Coat Web Windows Protection Update Windows Microsoft Service Security Malware Windows Center Protection Defender

Inficeret hjemmeside

Indblik på den enkelte computer

Information om trusler

Dubex POC hos dansk produktionsvirksomhed, maj 2013 FireEye has identified call backs where malicious files and / or infected endpoints are trying to establish connections to command and control and control servers located in China, Hong Kong, U.S and Russia.

Dubex POC med FireEye, maj 2013 FEAuto.Binocolo (12 Registered Events) FEAuto.Binocolo is a revolutionary technology developed by FireEye that enables FireEye appliances to detect the presence of previously unknown malware like Botnets, Trojans, APT, etc. without any prior knowledge or need of a signature. If you are seeing this event it means the source host generating this communication is infected by malware and immediate measures should be taken in order to clean this host.

Dubex POC med Deep Discovery hos dansk kommune, april 2013

Dubex Threat Intelligence analyse og rapport Værdi: Rapport med anbefalinger vedr. fundne trusler Overblik over infektionskilder, der eksisterer i netværket Hvilke computere, der tilgår trusler på Internettet, f.eks. inficerede hjemmesider eller Botnet - C&C servere Sammenfatning af malware og mistænkelig kommunikation fundet i netværket Teknisk beskrivelse af malware på baggrund af sandbox analyse

TAK! For mere information kontakt Peter Sindt psi@dubex.dk