RANSOMWARE VERTEIDIGUNGSSTRATEGIEN - Wenn Offence auf Defence trifft Christian Nowitzki - Principal Consultant Cyber Security & Business Security ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
RANSOMWARE VERTEIDIGUNGSSTRATEGIEN Wenn Offence auf Defence trifft Christian Nowitzki - Principal Consultant Cyber Security & Business Security Strategy, 17. März 2021
Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 2
Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 3
IT and Consulting for the World.
85% #1
of the Fortune Service
100 Delivery Quality
are customers IT Outsourcing
109 #5
Bn $ IT Consultancy
in Germany
turnover
#1 Top
operator of Employer
Data Centres Germany
2020
NTT DATA Deutschland 4
IT Security Services im Detail
Strategie-Beratung
• Risikoanalysen
• Advisory Services
• Transformation Services
• Architecture Services
Managed Security Services
• Enterprise Security Program Services
• Enterprise Security Monitoring
• Security Device Management
• Vulnerability Management
• SecureCall
Technologie-Beratung
• Incident Response und Forensik
• Engineering
• Compliance
• Assessment
NTT DATA Deutschland 6IT Security – unsere Kompetenzen
Strategic Cybersecurity Consulting
Business Cloud & Enterprise
Cyber
Applications Virtual Security
Defense
& Big Data IT/DC Security Architecture
• ERP systems (SAP, JDE, • Identity Federation • Risk Assessments • SOC Consulting
Dynamics) • CASB • Incident Readiness • LogManagement / SIEM
• CRM systems (SAP, Oracle, • Encryption • ISO27001 Compliance • Vulnerability Management
Microsoft, Salesforce) • DevSecOps • Merger & Acquisitions • Config Management
• Collaboration systems • Enterprise Architecture Cons. • Incident Response
(Microsoft, Windchill) • Consulting for CIO/CTO
• Security Program Dev.
Identity Digital GRC &
Ethical
Hacking
& Key Workforce IIoT/ §
Management & Mobility OT
• Standardized, global • Authentication • Protecting Device & Data • Security Reporting/Scoring
Methodology • Identity Management outside classic security • DS-GVO (GDPR)
• Pentesting Management • Identity Governance perimeter • Tool based Realization
System • Focus on User-Experience • Seamless User-Experience • Securing Industrial Machines
• Agency Benchmarking • Passwordless, SSO at the desk and mobile • After Sales Processes
• Reduced Time To Market • Service Design
NTT DATA Deutschland 7Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 8
Attackers Toolbox – Review 2019/20
Emotet Trickbot Ryuk
Malware Typ Trojaner (banking) Trojaner Ransomware
Risiko Sehr hoch Sehr hoch Extrem hoch
Verbreitung Weltweit, alle Branchen Weltweit, alle Branchen Weltweit, alle Branchen
Verteilmechanismus E-Mail, Attachements, E-Mail-Attachement, Meistens nachgeladen
Links download grab von Emotet
Besonderheiten Polymorph Verwendet diverse C&C Löscht Backup Kopien
Erkennt Sandboxen Server, verwendet MS-
Inhaltserkennung (Mails) Task Scheduler
Besteht aus untersch. Malware Standards, Code wird
Programmen
öfter neu geschrieben
Gegenmaßnahmen Layered Defense Layered Defense Layered DefenseAgenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 10
Ofence – Die Theorie
Auskundschaften des Opfers
Verwischen von Spuren
Vorbereitende/ ablenkende Angriffe
und/oder Lösegelderpressung
VORGEHEN
Kontinuierliche Beobachtung BEI EINEM Erstinfektion
APT-ANGRIFF
Ausspähen von Daten/Sabotage
Ausspähen des Netzwerks
von Systemen
Übernahme weiterer RechteOfence – Ein beispielhafter Verlauf aus der Praxis
C&C
Emotet lädt
zusätzliche Tools,
z.B. Trickbot, nach
PowerShell
Reconnaissance / Download
Aufklärung Emotet
Nachladen
weiterer Tools
Deakt. AV
>_ Datensammlung
Zugangsdaten stehlen
Command line Emotet Trickbot Accounts übernehmen RYUK
Macro weaponized
Phishing oder document
Spear Phishing E-
Mail
Analyse des Opfers Datendiebstahl Daten-
verschlüsselung
Datenverkauf ErpressungDefence – Die Abwehrkette
Scan-Erkennung
Ereigniserkennung & -korrelation/ SIEM Perimeter
Foren- (Server & Perimeter) Sicherheit
Überwachung (Policy)
C&Cmit
Endpoint Security (EDR am IOC) Strikter URL Filter Anomalie-
Emotet grabs
Extern verfügbare additional Payload erkennung
User Access Controls high Effektives Firewall Ruleset
Informationen like Trickbot
überwachen PowerShell
EternalBlue patches
Download
Reconnaissance
Emotet
Ereigniserkennung & -korrelation/ SIEM Grabs additional
Perimeter
(Server & Perimeter) Payload(s)
Security mit Web-
Filter & ATP
Strikter URL Filter Event detection / SIEM Sandbox, strikte
E-Mail-AntiVirus
Endpoint Security
>_
Effektives Firewall Ruleset
No saved PW in Browser Disable AV
Separated Networks / MicroHarvest Data
Segmentation
policy und
Anomalie-
User Access / ESAE / MFA /Steals
Zero Trust Trickbot PAM Credentials erkennung
RYUK
E-Mail-Sandbox Command
Webfilter line
/ Sandbox Emotet
Controls
Macro high
weaponized Least Privilege
Phishing or Spear document
Aufmerksame Multi Factor Authentication /MFA
Phishing Mail Deaktivierung oder
Mitarbeiter Ereigniserkennung am Perimeter, inkl.
Einschränkung von Event Detection
Office Macros source, target, data flow and quantity
Kombiniertes DLP & DRM
File integrity checks
Least privilege SIEM
EternalBlue Analyze the victim Stealing Data Encode Data
patches
Monitoring illegaler Daten-Handelsplätze Offline Backups
Emergency &
Recovery Plan
Marketing Plan
Selling Data Ransom
Crisis extortion
ManagementDefence in depth is layered Defence – Am Beispiel Hafnium
• Am 02.03. hat MS Patches bereit gestellt
• Am 03.03. hat das BSI eine Warnmeldung heraus gegeben
1. Patchen • Seit dem 03.03, werden die Schwachstellen massiv von min. 10 Hackergruppen
ausgenutzt
• Die meisten Systeme wurde erst ab dem 04.03. aktiv angegriffen!
• Bereits am 02.03. standen EndPoint- und IPS-Signaturen zur Verfügung
2. Absichern
• http/s Zugriff auf Exchange blockieren
• Seit dem 02.03. stehen IoCs für das Thread Hunting zur Verfügung
3. Prüfen • Überprüfen auf Webshells, unerlaubte Nutzung von Systemtools,
Anmeldeversuche, …
• Achtung: Keine Webshells zu finden, bedeutet nicht, dass sie nicht existierten!
• Solange ein manipulativer Eingriff (Backdoor, Privilege Escalation) nicht
4. Incident Response ausgeschlossen werden kann, bleiben Sie im Modus der „Incident Response!
• Kein Anmeldung mit Admin-Privilegien an einem potentiell infizierten System!
NTT DATA Deutschland 14Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 15
Tag 1 – Impact (Ryuk)
Einige Wochen nachdem Emotet implantiert wurde:
• Trickbot wurde im Unternehmensnetzwerk entdeckt, hat aber bereits Domänenadminrechte und
scant seit Wochen die internen Datenbestände ab, überträgt Daten an den Angreifer und infiziert
kritische Systeme
• Der Angreifer bemerkt seine bevorstehende Entdeckung und aktiviert die massive Reproduktion
von Emotet, z.B. mittels Mails aus allen infizierten Office-Systemen
• Der Firewall-Admin versucht die Kommunikation mit dem C&C-Server zu stoppen, kommt aber
nicht hinterher und trennt daraufhin die Internetverbindung
• Die MS Admins empfehlen einen kompletten Shutdown, das Management verlangt jedoch die
Bereinigung der Systeme im laufenden Betrieb, um die Produktion nicht zu gefährden
• Schon vor Tagen hat der Angreifer RYUK nachgeladen und über Nacht werden nun alle aktiv
verwendeten Daten verschlüsselt (automatisiert, in Reihenfolge der Wichtigkeit) und die seit
Tagen bereits verschlüsselten Backups sind plötzlich nicht mehr transparent
• Bis zum nächsten Morgen sind alle Datenbestände verschlüsselt und es wird Lösegeld gefordertTag 2 – Catch the headless chickens • Welche Daten und Systeme sind betroffen? • Von welchen Systemen und Daten existieren “saubere” Backups? • Zahlen oder nicht zahlen? Umgebung bereinigen oder alles neu aufbauen? • Neu aufbauen! Jedes einzelne System? Alles? Die Directory Services auch? • Welche Partner (Insitute, Lieferanten, Kunden, …) sind zu informieren? • Existieren behördliche Meldepflichten? Wer hat wen, wann zu informieren? • Warum sind wir schon in der Presse? Wer hat das bei Twitter gepostet?? • Wir haben einen Notfallplan! Haben wir einen Notfallplan? Ist der noch aktuell? 1. Regel: Ruhe bewahren! 2. Regel: Melden Sie sich niemals mit einem Admin-Account an einem infizierten System an, während es noch mit dem Netzwerk verbunden ist! 3. Wenn Sie nicht vorbereitet sind, holen Sie sich einen erfahrenen Partner an Ihre Seite!
Tag 3 – Start (der Wiederherstellung) nach Plan (falls es einen gibt)
Egal ob Lösegeld gezahlt wurde oder nicht:
• Das Netzwerk, alle Systeme, alle Accounts sind als infiziert einzustufen und nicht
vertrauenswürdig
• Ob neben dem laufenden Betrieb oder harter Schnitt:
Alle Systeme müssen neu installiert und alle Accounts neu erstellt werden.
Alle Daten müssen entschlüsselt oder aus Backups wieder hergestellt werden.
Dabei ist sicher zu stellen, dass nur saubere Backups wieder hergestellt werden.
Einige Schutz-Systeme werden ausgetauscht werden müssen
Wiederholen Sie in der Wiederherstellungsphase keine Fehler:
Nutzen Sie die Gelegenheit und implementieren Sie ein Zero trust Model
Segmentieren Sie das Netzwerk und prüfen Sie den Einsatz von Microsegmentierung
Erhöhen Sie die Überwachungsfunktionen auf Ihre kritischen Systemen
Überprüfen Sie Ihre Backup-StrategieDay X – Welcome back (or not)
• Herzlichen Glückwunsch, Sie sind zurück aus der Hölle!
• Jetzt ist Zeit für einen Review im Rahmen eines Lessons learned
• Analysieren Sie was geschehen ist und alle Fehler die Sie gemacht haben
• Zeigen Sie nicht mit dem Finger auf Kollegen die Fehler gemacht haben! Sie haben Ihnen nur
Ihre Schwächen (fehlende Trainings, Planung, Übungen, Technologien, …)
• Aber am wichtigsten von allem: Ergreifen Sie die Chance und holen Sie Ihr Management an Bord.
Optimieren Sie Ihre Cybersecurity-Fähigkeiten. Reduzieren Sie die Wiederherstellungszeiten.
Erstellen Sie mit dem gelernten einen besseren Notfallplan. Etablieren Sie ein Cybersecurity
Mindeststandard in Ihrem Unternehmen, Behörde, Institut, …
• Holen Sie Ihr Management an Bord!Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 20
Erwarten Sie das schlimmste und seien Sie vorbereitet
• Seien Sie kein Opfer. Bereiten Sie sich vor!
• Optimieren Sie Ihre cyber resilience (technologisch, organisatorisch und prozessual)
• Sensibilisieren und trainieren Sie Ihre Administratoren
• Erstellen Sie Notfallpläne, für den Notbetrieb und die Wiederherstellung
• Installieren Sie Software-Updates
• Verwenden Sie Multi-Factor-Authentication
• Trennen Sie (mindestens) Ihr Office- und Admin-/Technik-Netz
• Beschäftigen Sie sich mit Zero-Trust und Layered Defense
• Spielen Sie Angriffe & Datenflüsse am Infrastrukturschaubild oder am Whiteboard durch
• Setzen Sie SIEM- und PAM-Systeme ein
• Halten Sie Notfallrufnummern bereit
• Beziehen Sie Ihr Management ein!
• Bereiten Sie sich auf die nächste Angriffswelle vor!Bleiben Sie vorbereitet
• Überprüfen und aktualisieren Sie regelmäßig die Sicherheitskonzepte, (für alle Systeme und Netzwerke in
Ihrem Unternehmen in Zusammenarbeit mit dem IT-Betrieb.)
• Lassen Sie regelmäßig Netzwerkprüfungen und Penetrationstests durchführen, (um potenzielle
Schwachstellen in Ihrem Netzwerk zu ermitteln.)
• Hinterfragen Sie Ihre Backup-Strategie (offline backups!),
• Erstellen Sie Notfallpläne und halten Sie diese aktuell,
• sensibilisieren Sie Ihre Mitarbeiter regelmäßig (insbesondere für den sorgfältigen Umgang mit
Dateianhängen und Links in E-Mails - auch von vermeintlich bekannten Absendern - sowie für die
möglichen Gefahren von Makros in Bürodokumenten)
• und üben Sie den Notfall.Vielen Dank für Ihre Aufmerksamkeit! • NTT Data Incident Response & Forensics: dfir@nttdata.com • Strategic Cybersecurity Consulting: christian.nowitzki@nttdata.com
Sie können auch lesen
