Malware verstehen. Wie ist moderne Malware aufgebaut und was können wir daraus lernen? Daniel Marquardt Systems Engineer

Ähnliche Dokumente
Die Anatomie einer Malware

Fortinet Security Fabric

FortiSandbox. Der intelligentere und integrierte Ansatz gegen heutige Angriffe. Frank Barthel, Senior System Engineer

Ransomware-Angriffe in Sekunden stoppen und reparieren. Das ist InterceptX von Sophos. Roman Schlenker Senior Sales Engineer

Security One Step Ahead

S7: Java als Sicherheitsrisiko security-zone Renato Ettisberger

Security Use Cases. Für Public Cloud Umgebungen. Gabriel Kälin, Systems Engineer, Fortinet. Copyright Fortinet Inc. All rights reserved.

NEUE BEDROHUNGEN AM ENDPUNKT WAPPNEN SIE SICH JETZT MIT TRAPS 4.1

Die praktische Umsetzung der EU-Datenschutz-Grundverordnung IT-Sicherheitslösungen zum Schutz Ihrer Daten und Infrastruktur

EINEN SCHRITT VORAUS. mit SandBlast - Sandboxing einen Schritt weiter gedacht. Mirco Kloss Sales Manager Threat Prevention - Central Europe

Synchronized Security

Schutz vor Ransomware und Cyberangriffen von Morgen!

Synchronized Security

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Murat Isik Sales Engineer. Entdecken Sie neue Wege im Kampf gegen Cyberkriminelle!

Breaking the Kill Chain

Fallbeispiel Erpressungstrojaner WannaCry Was lief schief?

Datensicherheit richtig überwachen und verwalten wie Sie Datenschutzverstöße verhindern

CONTROLWARE IT-SECURITY ROADSHOW 2016

Die praktische Umsetzung der EU-Datenschutz-Grundverordnung IT-Sicherheitslösungen zum Schutz Ihrer Daten und Infrastruktur

IT-Security-Symposium 2019 IT- Security im Fokus

Next Generation Server Protection

2. Automotive SupplierS Day. Security

Entdecken Sie neue Wege im Kampf gegen Cyberkriminelle! Mario Winter Senior Sales Engineer

Best Practices Advanced & Zero-Day Malware mit Firebox am Gateway blockieren

Sicheres C Programmieren in Embedded Systemen ARM II (ARM7TMDI [1] ) Wintersemester

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

The next thing in NextGen Endpoint Exploit Prevention mit Sophos Intercept X. Michael Veit Technology Evangelist

Michael Veit Technology Evangelist. Schutz vor Ransomware und Cyber-Angriffen von morgen Exploit Prevention mit Sophos Intercept X

Schutz des Online-Banking-Browsers

Die praktische Umsetzung der EU- DSGVO mit IT-Sicherheitsprodukten. Sascha Paris Snr. Sales Engineer, Sophos

IT-Security Teamwork Das Ende von Best-of-Breed im Netzwerk- und Endpointschutz

BUSINESS AWARE FIREWALL. Frank Elter Vertrieb Christian Schrallhammer - Technik

Toolkits für Webattacken - Evolution & Einsatz

Versteckte und komplexe Angriffe schnell erkennen, analysieren und reagieren

NextGen IT Security -

Mit Synchronized Security gegen Ransomware und Exploit Prevention.

Michael Kretschmer Managing Director DACH

Threat Response Incident Response. Hans Irlacher. Manager Presales Engineering CEMEA

Next Generation IT Security Synchronized Security vs. Best-of-Breed. Christoph Riese Manager Sales Engineering

Softwaresicherheit. Eine Präsentation von Benedikt Streitwieser und Max Göttl. Einführung Kryptographie und IT-Sicherheit

Exploits Wie kann das sein?

Sophos Intercept X. Sophos mehr als 30 Jahre Erfahrung. Neue Technologien und Konzepte gegen Ransomware und Co. Sebastian Haacke Sales Engineer

Live Hacking auf eine Citrix Umgebung

Next Generation Endpoint Protection

Entdecken Sie neue Wege im Kampf gegen Cyberkriminelle

Datenschutz in Zeiten der Digitalisierung

EINEN SCHRITT VORAUS. vor Hackern, Angriffen und unbekannter Malware. Mirco Kloss Sales Manager Threat Prevention - Central Europe

FortiSandbox. Der intelligente und integrierte Ansatz gegen heutige Angriffe. Frank Barthel, Senior System Engineer

WannaCry again? Nicht mit Check Point SandBlast! Monika Mitterer - Channel Manager Check Point Software Technologies Ltd.

Web Exploit Toolkits - Moderne Infektionsroutinen -

GANZHEITLICHE -SICHERHEIT

Ich sehe was, was Du nicht siehst Aufspüren von gezielten Angriffen mit der Symantec Unified Security Analytics Platform

Web Protection in Endpoint v10

Malicious code detection

Security made simple.

Virtuelles CodeMoving mit Translocated Execution

Sophos mehr als 30 Jahre Erfahrung. Sebastian Haacke Sales Engineer M 20, ,000+ KUNDEN 100M+ ANWENDER 11/23/2018

Sophos Cloud. Die moderne Art Sicherheit zu verwalten. Mario Winter Senior Sales Engineer

Klassifikation der für die am häufigsten auftretenden Sicherheitsprobleme ursächlichen Bedrohungsszenarien

Die Welt steht vor einem Paradigmenwechsel. Daniel Bühler Technical Consultant

Wanna Cry? Informationen zur aktuellen Ransomware Angriffswelle

Sicherheit von Windows-Umgebungen. TrendTage März 2018, Christian Strache

SECURE BROWSING ELIMINIEREN SIE BEDROHUNG DURCH RANSOMWARE ATTACKEN. Florian Eller CEO Ruf Avatech AG Andreas Tischer CTO Ruf Avatech AG

Check Point Software Technologies LTD.

EINEN SCHRITT VORAUS. vor Hackern, Angriffen und der Konkurrenz. Mirco Kloss Sales Manager Threat Prevention - Central Europe

GESCHÜTZT MIT HL SECURE 4.0

T.I.S.P. Community Meeting

Lücke in der JavaScript-Engine von ios [ ]

Angriffe auf Mobile Device Management (MDM) Solutions

Enterprise Security mit Alcatel-Lucent. PreSales Seminare Juni 2009

Advanced Exploiting. tk, IT-DEFENSE 2005

Assembler. Dr.-Ing. Volkmar Sieh. Department Informatik 4 Verteilte Systeme und Betriebssysteme Friedrich-Alexander-Universität Erlangen-Nürnberg

Just-In-Time-Compiler (2)

Schützen Sie Ihr Unternehmen vor Datendiebstahl, Spionage und komplexen Sicherheitsbedrohungen

A new Attack Composition for Network Security

MALWARE AM BEISPIEL VON STUXNET

Just-In-Time-Compiler (2)

Moderne Bedrohungen moderne Maßnahmen

Sicherheitslücken in der x86 / amd64 - Architektur

CPU. Dr.-Ing. Volkmar Sieh. Institut für Informatik 3: Rechnerarchitektur Friedrich-Alexander-Universität Erlangen-Nürnberg SS 2011

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Technical Solutions & Consulting

Sicherheitsanalyse der Private Cloud Interfaces von

ConfigMgr und Azure? Conditional Access. PowerBI Azure Infrastruktur. Cloud-Based Distribution Points. Updates and Services.

Firstframe Event. Quentin Duval / Yannick Escudero Channel Account Manager / Sales Engineer Sophos Schweiz

Security-Webinar. März Dr. Christopher Kunz, filoo GmbH

CHECK POINT MOBILE THREAT PREVENTION

IT Sicherheit aus der Cloud. Peter Neumeier, Head of Channel Germany

Neues aus dem DFN-CERT. 48. DFN-Betriebstagung - Forum Sicherheit 26. Februar 2008 Andreas Bunten, DFN-CERT

Inhalt. Kapitel 1: Windows 10 einführen

Haben wir ein Problem, Mission Control?

Internet: Was ist das? - Routing

Potentially Dangerous Files

Exploit-Entwicklung mit Python

APEX Office Print - Einfach Druck machen! Daniel Hochleitner Freelance APEX Developer, FOEX GmbH

WIE SICHER IST DER INHALT IHRER S? Sicher mit Secure -as-a-Service

Harald Bauschke Sales Engineer. Entdecken Sie neue Wege im Kampf gegen Cyberkriminelle!

Transkript:

Malware verstehen Wie ist moderne Malware aufgebaut und was können wir daraus lernen? Daniel Marquardt Systems Engineer Copyright Fortinet Inc. All rights reserved.

Was ist eigentlich Malware? Malware = malicious software Schirmbegriff für Software, die das Ziel schädliche oder bösartige Befehle auf einem Zielsystem auszuführen Umfasst also den Gesamtprozess. 2

Die moderne Malware Dropper bzw. Downloader lädt weiterführenden Code herunter speziell gerüstet zur Erstinfektion Exploit-Code Softwareschwachstelle im Zielsystem Meist mit dem Ziel erweiterte Kontrolle über das System zu erlangen Payload Zielgerichteter Schadcode, der die eigentliche Infektion umsetzt 3

Der Dropper bzw. Downloader Bedient sich i.d.r. diverser Techniken um sich vor statischer und dynamischer Analyse (Sandbox) zu schützen:» Code Obfuscation & Garbage Instructions» Bloating (Größe der Datei durch Garbage Instructions erhöhen)» Verzögerungstechniken um Analyse zu erschweren, VM-Erkennung Fest einprogrammierten URLs / IP IOC 4

Exploit-Code Oftmals bekannte Schwachstellen um Shellcode auszuführen. Benutzt oftmals Lücken im Programmablauf z.b.» Buffer Overflow» Heap Spray... Oftmals Modifikation von bekanntem Code z.b. von GitHub charshellcode[] = "\x31\xc9" //xor ecx,ecx "\x64\x8b\x71\x30" //mov esi,[fs:ecx+0x30] "\x8b\x76\x0c" //mov esi,[esi+0xc] "\x8b\x76\x1c" //mov esi,[esi+0x1c] "\x8b\x36" //mov esi,[esi] "\x8b\x06" //mov eax,[esi] "\x8b\x68\x08" //mov ebp,[eax+0x8] "\xeb\x20" //jmp short 0x35 "\x5b" //pop ebx "\x53" //push ebx "\x55" //push ebp "\x5b" //pop ebx "\x81\xeb\x11\x11\x11\x11" //sub ebx,0x1111 "\x81\xc3\xda\x3f\x1a\x11" //add ebx,0x111a "\xff\xd3" //call ebx "\x81\xc3\x11\x11\x11\x11" //add ebx,0x1111 "\x81\xeb\x8c\xcc\x18\x11" //sub ebx,0x1118 "\xff\xd3" //call ebx "\xe8\xdb\xff\xff\xff" //call dword "cmd" "\x63\x6d\x64"; 5

Der moderne Payload Eigentliche Software für die Intention hinter dem Schadcode:» Ransomware» Crypto-Miner» Botnet (DDoS)» Spionage» Keylogger» Remote Access Trojaner (RAT)» Banker»... 6

Meltdown & Spectre (Multicore)-CPU-basiert Problem bei kritischen CPU-Features Malware...? NEIN Bug...? JA Exploit-Code verfügbar...ja CVE-2017-5753 Variant 1, Bounds Check Bypass (Spectre) CVE-2017-5715 Variant 2, Branch Target Injection (Spectre) CVE-2017-5754 Variant 3, Rogue Data Cache Load (Meltdown) CVE-2018-3640 Variant 3a, Rogue System Register Read (RSRE) CVE-2018-3639 Variant 4: Speculative Store Bypass (SSB) No CVE assigned: Eight additional Spectre-class flaws (Spectre-NG) 7

Meltdown & Spectre High-Level Lässt Hardware-seitige Security Maßnahmen schmelzen Out-of-order Execution Kann Kernel-Memory auslesen aus einem Prozess mit User-Rechten» Kann alle möglichen Informationen beinhalten. Leicht umzusetzen:» Kernel Memory Access Code ist verhältnismäßig universell. Speculative Execution / Predicition Nutzt einen Side-Channel bei der Spekulation um eigentlich geschützte Daten sichtbar zu machen» Kann gezielter Informationen abgreifen Schwierig umzusetzen: braucht maßgeschneiderten Exploit-Code» CPU-Architektur» Deep-Dive in Zielprozesse Aber: gefährlicher! 8

Die Security Fabric und Meltdown / Spectre Tatsächlich sind FORTINET-Produkte so konzipiert, dass sie keine beliebige Codeausführung im Benutzerbereich unter normalen Bedingungen erlauben. Daher sind Angriffe mit Meltdown/Spectre und ihre Varianten nur möglich, wenn der Angriff mit einer zusätzlichen Local oder Remote Code Execution Exploits kombiniert wird. Meltdown und Spectre können dann die Situation verschlimmern, wenn solche Schwachstellen bestehen und erfolgreich ausgenutzt werden. 9

Beispiel: Cobalt Malware (CVE-2017-11882) Nov. 17 Payload entliehen kommerziellem Tool: Cobalt Strike 10

Beispiel: Cobalt Malware (CVE-2017-11882) Nov. 17 CVE-2017-11882 behoben am Patch-Day Nov. 2017 Microsoft Equation Editor (EQNEDT32.EXE)» alter Formeleditor in Dokumenten» bspw. WORDPAD (RTF) Sicherheitslücke, die die Ausführung von Code ermöglicht. Shellcode wird mittels Buffer Overflow injiziert. 11

Beispiel: Cobalt Malware (CVE-2017-11882) Nov. 17 64Bit-Exploit: Pipeline in Drucker-Spool Prozess für Privilegien JavaScript Download-IP bleibt als IOC gleich Wird mit Microsoft HTML (mshta.exe) ausgeführt 12

Beispiel: Cobalt Malware (CVE-2017-11882) Nov. 17 Obfuscated Variablen im Javascript Lädt Powershell-Skript 13

Beispiel: Cobalt Malware (CVE-2017-11882) Nov. 17 Ver- und Entschlüsselung des weiteren Downloaders 14

Beispiel: Cobalt Malware (CVE-2017-11882) Nov. 17 Lädt DLL / Code der Malware direkt in den von PowerShell allokierten Speicher» Erschwert Anti-Virus Erkennung 15

Mai 2018: CVE-2017-11882 verbreitet neue Malware Remcos RAT, Version 2.0.4 Pro Shellcode mit Downloader für ein komprimiertes Install-Script hxxp://persianlegals.com/wp-includes/js/gist.exe zu namegh.exe 17

...der Rest ist relativ einfach: 18

3 Tools werden installiert: 19

3 Tools werden installiert: Deamon um Browser-Caches zu leeren Erzwingt neue Eingabe aller Passwörter Deamons für Health Check, redundante Anbindung an C&C Server 20

3 Tools werden installiert: 21

Was lernen wir daraus? Rückmeldung mit Risk-Rating FortiSandbox FortiWeb Malware Server FortiMail Mailserver FortiGate FortiClient 23

FORTINET 2018 Lösungsübersicht (Auszug) SaaS / CASB Cloud Security Email WAF ADC FMG FAZ SIEM WLC Internet Virtual FW NGFW NGFW ISFW.1 Switch.1 WiFi.1 FortiCloud ISFW.2 Switch.2 WiFi.2 CLIENTS (DEVICES) ENDPOINT SECURITY HOSTED SYSTEMS / APPS SD-WAN NGFW 3G/4G Advanced Threat Protection PROXY Secure Access FORTINET SECURITY FABRIC 24

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback