APT & Advanced Threat Protection - i et dansk perspektiv Peter Sindt 28. august 2014
DAMAGE CAUSED Nye angreb nye tider 90 % af alle virksomheder har malware CRIMEWARE Intelligent Botnets Web Threats Targeted Attacks Worm Outbreaks Vulnerabilities Spam Mass Mailers Spyware Målrettede angreb APT Finansielt motiverede Zero day malware 3 nye malware varianter frigives hvert sekund 2001 2003 2004 2005 2007 Now
Angreb - aktuel status Malware søger målrettet efter informationer Formålet er tyveri af følsom information Som ofte simpel økonomisk berigelseskriminalitet Målrettede angreb - tyveri af intellektuelle værdier Angrebsmål og -metoder Angreb, der omgår perimeterforsvaret Angreb mod brugere Social engineering angreb f.eks. phishing Angreb målrettet sociale netværk Truslerne er blevet webbaserede Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Sårbarheder og avancerede dag-0 angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0
Malware - Udviklingsproces Sløring og kvalitetstestning Malware er vidt udbredt og kan fremstilles så det omgår det traditionelle perimeterforsvar o.a. beskyttelse Original Malware Indeholder grundlæggende ondsindede funktioner: DDoS, stjæle data, sprede infektionen,.. Permutationer Forvanskelse af malware. Danner adskillige varianter for at omgå detektion Kvalitetstestning Teste nye mutationer mod seneste opdaterede antivirus scanningsmønstre Deployering Kun malware som kommer igennem QA (dvs. ikke detekteret) bliver forsøgt udbredt Afvist hvis detekteret af anti-virus software Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb Kun varianter der kommer igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne August 2013 ca. 7.7 mio. nye malware = 3 i sekundet
Malware as a Service Malware offered for $249 with a Service Level Agreement and replacement warranty if the creation is detected by any anti-virus within 9 months Source: www.turkojan.com
Malware målrettet danske brugere
Hændelser Danmark 2013 / 2014 Politiets kørekortregister er blevet hacket Politiets kørekortregister med cpr-numre blev hacket i sommeren 2012, og der kan være lavet ændringer, oplyser Rigspolitiet. 06. Jun. 2013 kl. 11:02 Rigspolitichef Jens Henrik Højbjerg kalder sagen et alvorligt brud på politiets ITsikkerhed. Hackere: Det kostede 50 kroner at lægge NemID ned Fredag den 12. april 2013, 08:59 Det var let, billigt og svidende effektivt at cyberangribe hele Danmarks loginsystem, siger en gruppe, der tager ansvaret for gårsdagens angreb. Gruppen Torsdag har den offentliggjort 11. april 2013, et 10:16 brev til danskerne Danmark under massivt cyberangreb Hele NemID-systemet er tvunget i knæ, efter at Lidt IT-udstyr, systemet lidt know-how hele formiddagen og så flad har været under halvtredskroneseddel. angreb fra ukendte Så lidt skulle gerningsmænd. der til for at Flere banker er tvinge hele ved Danmarks at lave loginsystem nødindgange. ned Situationen i adskillige er ustabil. Der kan være lavet ændringer i politiets register for kørekort og efterlyste personer efter et hacker-angreb. Populært dansk webmedie spreder Rigspolitiet og it-firmaet CSC har konstateret, at politiets kørekortregister malwaremed efter CPR-numre, hackerangreb samt oplysninger om efterlyste 16. januar personer 2014 i Schengen-registrene - 15:28 er blevet hacket i sommeren 2012. En suspekt bannerannonce på Ekstra Bladets hjemmeside har spredt virus til sitets brugere. It-chef http://www.dr.dk/nyheder/indland/201 mener at have problemet under kontrol. 3/06/06/06105615.htm En virusinficeret bannerannonce på ekstrabladet.dk har i minimum ét døgn ramt brugere, der har bevæget sig ind på nyhedssitet. Det skriver Ekstra Bladet. It-direktør Per Palmkvist Knudsen oplyser, at man nu har problemet under kontrol, og at man mener at have fundet kildentil det.»vores bannere hostes eksternt og gennem tredjepartsaftaler, og det er i et led derimellem, de ondsindede bannere er gået igennem. Men de er naturligvis nu taget af, og vi mener at have problemet
Analysevirksomheder opfordrer til handling Adoption of Advanced Threat Detection "You need to know what's accessing the data, how the data's being used, and what's happening on your network." John Kindervag Principal Analyst Serving Security & Risk Professionals Forrester Research, Inc. "We must assume we will be compromised and must have better detection capabilities in place that provide visibility as to when this type of breach occurs." Neil MacDonald VP and Gartner Fellow Gartner, Inc. "Hardening existing security defenses... won't be enough to deal with the sophistication and perseverance of APTs." Jon Oltsik Senior Principal Analyst, Enterprise Strategy Group
Defending against targeted attacks
Today s Attacks: Social, Sophisticated, Stealthy! Gathers intelligence about organization and individuals Extracts data of interest can go undetected for months! Attacker $$$$ Targets individuals using social engineering Establishes Command & Control server Moves laterally across network seeking valuable data Employees
Overblik via Threat Intelligence Detect Analyze Adapt Respond Network-wide Detection Custom Sandboxes Threat Intelligence Advanced Threat Analysis Automated Security Updates Threat Tools and Services Custom Defense Network Admin Security
Indblik i dit netværk Hvilke maskiner på dit netværk er blevet inficeret? Hvilke maskiner på dit netværk sender data ud af virksomheden? Hvilke maskiner er blevet blokeret?
Sandbox analyse
Dubex POC hos dansk produktionsvirksomhed FireEye has identified call backs where malicious files and / or infected endpoints are trying to establish connections to command and control and control servers located in China, Hong Kong, U.S and Russia.
Dubex POC med FireEye. FEAuto.Binocolo (12 Registered Events) FEAuto.Binocolo is a revolutionary technology developed by FireEye that enables FireEye appliances to detect the presence of previously unknown malware like Botnets, Trojans, APT, etc. without any prior knowledge or need of a signature. If you are seeing this event it means the source host generating this communication is infected by malware and immediate measures should be taken in order to clean this host.
Dubex Threat Intelligence analyse og rapport Værdi: Rapport med anbefalinger vedr. fundne trusler Overblik over infektionskilder, der eksisterer i netværket Hvilke computere, der tilgår trusler på Internettet, f.eks. inficerede hjemmesider eller Botnet - C&C servere Sammenfatning af malware og mistænkelig kommunikation fundet i netværket Teknisk beskrivelse af malware på baggrund af sandbox analyse
TAK! For mere information kontakt Peter Sindt psi@dubex.dk