In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Sofortmaßnahmen gegen Krypto

Werbung 
Sofortmaßnahmen
gegen
Krypto-Trojaner
Michael Veit
Security Consultant
1
Agenda
• Aktuelle Bedrohungslage
• Wie läuft eine Infektion ab?
• Warum sind die Angriffe so erfolgreich?
• Prioritäten setzen
• Sofortmaßnahmen
• Mittel- bis langfristige Maßnahmen
2
Aktuelle Bedrohungslage
• Im Wochentakt neue Varianten von Krypto-Trojanern
• Locky
• CryptoWall
• TeslaCrypt
• Hohe Infektionsraten
• Verbreitungsmechnismen ändern sich schnell
• Office-Dokumente mit Makros
• CHM-Dateien
• JavaScript
• .bat-Dateien
3
Wie läuft eine Infektion ab?
Beispiel:
• E-Mail von bekanntem Unternehmen/Kopierer/Paketdienst
mit Anhang
• Anhang enthält Office-Dokument mit Makro
• Makro startet automatisch und
• fragt eine Liste von Einweg-Webadressen ab
• lädt von dort eigentlichen Trojaner herunter
• startet den Trojaner
• Trojaner kontaktiert Command&Control Server und
• sendet ID des lokalen Systems
• erhält öffentlichen Schlüssel für dieses System
• Trojaner verschlüsselt Dateien bestimmter Typen lokal
und auf Netzlaufwerken
• Trojaner löscht Schattenkopien des Betriebssystems
• Nachricht mit Lösegeldforderung wird eingeblendet
4
Lösegeldforderung
Quelle: heise online
5
Opfer zahlen häufig
Quelle: heise.de
6
Krypto-Trojaner für Macs: Keranger
7
Warum sind die Angriffe so erfolgreich? (1)
• Hochprofessionelle Angreifer
• Nutzung häufig zugelassener Technologien
• Technologisch fortgeschrittene Schädlinge
• Geschicktes Social Engineering
8
Social Engineering – Tarnung als Fax
9
Social Engineering – Tarnung als Fax
Quelle: heise online
10
Social Engineering – Als Warnung des BKA
Quelle: mimikama.at
11
Warum sind die Angriffe so erfolgreich? (2)
• Updates / Patches nicht (zeitnah) eingespielt
• Mangelhaftes Benutzer-/Rechtekonzept
• Mangelhafte Schulung der Benutzer
• Mangelhaftes Backupkonzept
• Administratoren keine IT-Security-Spezialisten
• Sicherheitssysteme nicht vorhanden
oder falsch konfiguriert
• Fehlende Netzwerksegmentierung
• Falsche Prioritäten
12
Prioritäten setzen!
„Wir wissen, dass die Vorgehensweise nicht sicher ist,
aber unsere Leute müssen doch arbeiten..“
Variante 1:
• Jeder Mitarbeiter darf Office-Makros ausführen
Variante 2:
• Nur wer Makros benötigt, bekommt die Berechtigung zu
Empfang und Ausführung von Office-Makros
• ..und eine Schulung, wie der Absender verifiziert wird, der ein
solches Dokument geschickt hat.
13
Was sollte ich sofort machen? (1)
• Backups offline/offsite
• Backups sind nicht nur Schutz gegen Hardwareausfall
• Patches/Updates zeitnah einspielen
• Zentrale Verteilung
• Benutzer ohne Mitspracherecht („später erinnern“)
• Keine unnötigen Benutzerrechte
• Nur die Rechte, die für die Aufgabe nötig sind
• Keine Adminrechte
• Keine unnötigen Dateirechte auf Netzlaufwerken
14
Was sollte ich sofort machen? (2)
• Office-Makros zentral deaktivieren
• Ausnahmen nur für bestimmte Benutzergruppen
• Bewusstsein/Schulung der Mitarbeiter
• „Welche E-Mails darf ich öffnen?“
• „Wie kann ich Office-Dokumente empfangen, die ich für meine
Arbeit benötige?“
• „Darf ich meinen USB-Stick oder
mein Smartphone am Arbeitsrechner
anschließen?
15
Was sollte ich sofort machen? (3)
• Endpoint-Virenschutz richtig konfigurieren
• „Best practices“ der Hersteller befolgen
• Verhaltenserkennung / Heuristiken
• Webfilterung
• Host Intrusion Prevention System
• Erkennung verdächtiger Kommunikation
• Whitelisting-Lösungen
16
Was sollte ich sofort machen? (4)
• E-Mail-Gateway richtig konfigurieren
• Virenschutz, SPAM-Schutz, Sandboxing
• Keine ausführbaren Attachments durchlassen:
u.a. Office-Dokumente, JavaScript, VBScript, CHM
• Mails mit diesen Attachments (auch in Archiven) in Quarantäne
• Prozedur aufsetzen, wie berechtigte Empfänger bestimmte
Anhänge empfangen können
• Verifizierung des Absenders (Telefonat)
• Admins oder Empfänger geben E-Mail frei
• oder Absender und Empfänger vereinbaren Passwort in
Telefonat und Absender schickt solche Dokumente zukünftig
als passwortgeschütztes .zip, das als Dateityp zulässig ist
17
Was sollte ich sofort machen? (5)
• Web-Gateway richtig konfigurieren
• Virenschutz
• Sandboxing verdächtiger Downloads
• Command&Control-URLs blockieren
• HTTPS Scanning
• Firewall/IPS richtig konfigurieren
• Command&Control-Kommunikation blockieren
• Nur notwendige Kommunikation zulassen
18
Was sollte ich langfristig machen? (1)
• Bewusstsein/Schulung der Mitarbeiter
• Regelmäßige IT-Sicherheitstrainings
• Überprüfung des Erfolges dieser Maßnahmen
• Segmentierung des Firmennetzwerkes
• Trennung von Client- und Servernetzen
• Nur notwendige Dienste zulassen
• Client Firewall auf Workstations und Servern
19
Was sollte ich langfristig machen? (2)
• Verschlüsselung von Unternehmensdaten
• Schützt vor Datendiebstahl
• Security-Analysewerkzeuge einsetzen
• Infektionen können zukünftig nicht ausgeschlossen werden
• Im Falle einer Infektion kann damit festgestellt werden
• welches System die Quelle der Infektion war
• auf welchem Weg die Quelle infiziert wurde
• welche Rechner/Ziele im internen Netz
infiziert/verschlüsselt/beeinträchtigt wurden
• Infektionen können schneller eingedämmt werden
• Lücken in Sicherheitskonzepten können geschlossen werden
20
Was sollte ich langfristig machen? (3)
• IT Security Best Practices
• Regelmäßige IT Security Health Checks
• Security als System betrachten
• Kommunikation und Interaktion von Security-Komponenten
wie Firewall, IPS, Verschlüsselung, Endpoint, Web Security, EMail Security, Mobile)
• Automatische Korrelation von Ereignissen
• Automatische Reaktion bei Infektionen
-> Sophos Synchronized Security
21
Referenzen
Sofortmaßnahmen gegen Krypto-Trojaner
https://www.sophos.com/de-de/medialibrary/Gated%20Assets/white%20papers/Sophos-emergency-measures-againstcrypto-Trojan-wp.pdf?la=de-DE
Technisches Whitepaper zur Ransomware
https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos-current-state-of-ransomware.pdf
Informationen zu Locky
https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
Informationen zu aktueller Ransomware
https://nakedsecurity.sophos.com/2016/01/11/ransomware-evolution-another-brick-in-the-cryptowall/
Best Practices gegen Trojaner Troj/DocDl
https://www.sophos.com/en-us/support/knowledgebase/123373.aspx
IT Security DOs und DON'Ts
https://www.sophos.com/de-de/medialibrary/PDFs/employeetraining/sophosdosanddontshandbook.pdf?la=de-DE.pdf
Schreckxikon
https://www.sophos.com/de-de/medialibrary/PDFs/other/sophosthreatsaurusaz.pdf?la=de-DE.pdf
https://nakedsecurity.sophos.com/
23
Zugehörige Unterlagen
Sicherheitstipp Online
Sicherheitstipp Online
trojaner: fachwissen und kombinierte abwehrprodukte
trojaner: fachwissen und kombinierte abwehrprodukte
Endpoint und Gateway im Zusammenspiel
Endpoint und Gateway im Zusammenspiel
01. Juni 2015 - AASSET Security GmbH
01. Juni 2015 - AASSET Security GmbH
Erfolgreich mit Sophos – jetzt Partner werden
Erfolgreich mit Sophos – jetzt Partner werden
Sophos Virenscanner - Universität Regensburg
Sophos Virenscanner - Universität Regensburg
Sophos Small Business Solutions
Sophos Small Business Solutions
Newsletter Sonderausgabe Juli 2016
Newsletter Sonderausgabe Juli 2016
Klausur vom Sommersemester 2013 als PPTX
Klausur vom Sommersemester 2013 als PPTX
Sophos SafeGuard Enterprise
Sophos SafeGuard Enterprise
Sophos Small Business Solutions
Sophos Small Business Solutions
Titel des Moduls: Application Security
Titel des Moduls: Application Security
Herunterladen
Werbung