APTs in der Praxis. 5. Mai 2015 Ulrich Bayer, SBA Research

Transkript

1 APTs in der Praxis 5. Mai 2015 Ulrich Bayer, SBA Research

2 The Mystery of APT What is APT? That depends on who you ask. Greg Hoglund, CEO HBGary

3 Phishing Was ist Phishing? Der Begriff "Phishing" ist eine Wortkombination aus "Password" und "Fishing". Phishing bezeichnet den Versuch, Internetnutzerinnen/Internetnutzern Geheimdaten zu entlocken. 1 Phishing s dienen einem Angreifer in der Praxis häufig als Vektor zur Infektion des Ziels mit Malware Ermöglicht den Diebstahl von Zugangsdaten oder anderen sensiblen Informationen Ermöglicht die Ressourcen des Ziels zu verwenden (Stichwort: Botnet) 1 Quelle:

4 Phishing in der Praxis

5 Phishing in der Praxis

6 Phishing in der Praxis

7 Spear-Phishing Was ist Spear-Phishing? Bei Spear-Phishing handelt es sich um eine Analogie an das Wort Spear-Fishing ( Speerfischen ) Bei Spear-Phishing handelt es sich um gezielte Phishing Attacken, welche sich zeichnen sich durch Personalisierung und einen höheren Grad an Glaubwürdigkeit auszeichnen Spear-Phishing ist einer der am häufigsten verwendeten Angriffsvektoren für sogenannte Targeted Attacks

8 Targeted Attacks Targeted Attacks Zielgerichtete Attacken auf Unternehmen Mitarbeiter IT Systeme Standorte Typischerweise mit dem Ziel eines langfristigen Zugriffes auf Informationen Quelle: Mandiant M-Trends Report 2013/2014

9 Targeted Attacks Associated Press (2013) Associated Press (AP) ist eine Nachrichten- und Presseagentur Mitarbeiter der AP wurden mittels Spear-Phishing mit Malware infiziert: Die wurde scheinbar von einem Arbeitskollegen versandt. In der befand sich ein Link, über den die Mitarbeiter auf einen manipulierten Webserver geleitet wurden. Ziel des Angriffes war der Twitter Account des Unternehmens: Mithilfe dieses Accounts wurde eine fingierte Nachrichtenmeldung verbreitet. Diese führte zu einem massiven Kurseinbruch an der New Yorker Börse.

10 Targeted Attacks

11 Targeted Attacks US-Hedgefond (2013) Ende 2013 wurden die Systeme eines US-amerikanischen Hedgefonds mittels Spear-Phishing kompromittiert. Die Angreifer konnten die computer-gesteuerten Handelsaufträge ( high-frequency-trading ) unbemerkt verzögern und ihrerseits Handelsaufträge zu Lasten des Unternehmens einspeisen. Dem Hedgefond entstand dadurch ein Verlust in Millionenhöhe.

12 Targeted Attacks Industrieanlagen (2014) Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte in seinem Jahresbericht 2014 über den Angriff auf ein deutsches Stahlwerk Die Angreifer verwendeten Spear- Phishing Attacken um Unternehmenssysteme mit Malware zu infizieren In weiterer Folge wurden Industrieanlagen bzw. deren Steuerungssysteme manipuliert um Fehlfunktionen zu erzeugen. Dies führte unter anderem zu einem massiven Schaden an einem Hochofen.

13 Building Blocks Attack Vector (Spear-Phishing) Target Payload (Malware) Targeted Attack

14 Target Personen im Unternehmen identifizieren, die sich für Social Engineering eignen. Unterscheidung auf Basis des Angriffsziels Schwierigkeitsgrades Industrie- oder Wirtschaftsspionage Störung des operativen Betriebes langfristiger Zugriff Personen ohne technisches Grundwissen bevorzugt Backoffice- Abteilungen (Finance, HR, ) oder Senior Management

15 Target Viele Unternehmen veröffentlichen eine Reihe von Basisinformationen über ihre Mitarbeiter. Name Telefonnummer -Adresse Abteilung evtl. auch Fachbereiche oder Spezialisierungen Beispiel:

16 Case Study: Attacking Ulrich Bayer Die Unternehmenswebsite gibt uns in diesem Fall schon eine Reihe an Informationen:

17 Case Study: Attacking Ulrich Bayer Eine einfache Google-Suche bildet den Anfang

18 Case Study: Attacking Ulrich Bayer Freunde und Kollegen: Verknüpfung von Unternehmenswebsite und Social-Media-Daten Liste ehemaliger Studienkollegen (Uni) Liste von Arbeitskollegen (Arbeitgeber) Liste von Familienmitgliedern (Facebook) Liste von Freunden und Bekannten (restliche Personen)

19 Case Study: Attacking Ulrich Bayer mögliche Angriffsszenarien Der alte Bekannte Liste der ehemaligen Studienkollegen nach Personen durchsuchen, welche kein Facebook- oder Xing-Konto besitzen gefälschtes Konto anlegen und Ulrich Bayer befreunden präparierten Link versenden Der Geschäftskontakt Die beruflichen Informationen legen nahe, dass Ulrich Bayer regelmäßig Kurse und Vorträge hält. eine fingierte von einem ehemaligen Teilnehmer an Ulrich Bayer senden Öffentlich verfügbare Informationen zum Kurs/Vortrag verleihen der eine gewissen Glaubwürdigkeit.

20 Attack Vector (Spear)- Phishing Malicious Websites USB Devices Waterholing Target Physical Access

21 Payload Malware Der Angreifer benötigt in der Regel irgendeine Form von Software (Malware) für den Remote-Zugriff Malware kann eigens entwickelt sein (Custom Malware) oder recycled werden Malware Recycling Malware Baukästen erlauben Angreifern das automatisierte Generieren von unterschiedlich aussehenden Malware Arten Software die Malware vor Anti-Viren Lösungen versteckt kann am Markt gekauft werden Anti-Virus Die Umgehung eines typischen Viren-Scanners ist mit entsprechendem Know-How relativ einfach Entsprechende Software Produkte ermöglichen dies auch unerfahrenen Angreifern

22 Demo

23 Fragen & Diskussion

24 Dr. Ulrich Bayer SBA Research ggmbh Favoritenstraße 16, 1040 Wien