Geschäftsmodell Cybercrime Holger Viehoefer Business Development Manager
Update Es wird spannender... Copyright http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ 2014 Trend Micro Inc. 2
Phase 1 Information Recon: Beschafft sich Informationen über Unternehmen und Einzelpersonen Phase 2 Point of Entry: Richtet sich mit Social-EngineeringTechniken gezielt gegen einzelne Personen Mitarbeiter Phase 6 - Data Exfiltration: Action on Objective Angreifer Phase 3 Command & Control: Richtet Verbindung zum C&C-Server ein z.b. ERP Systeme Phase 4 Lateral Movement: Durchforstet das Netzwerk systematisch nach wertvollen Daten Phase 5 Data-Discovery: Wichtige Daten werden zusammen gesammelt. Gezielte Angriffe sind raffiniert, gut getarnt und werden mit Social Engineering durchgeführt. 3
Example Copyright 2013 Trend Micro Inc. 4
Ransomware auf dem Vormarsch Anti-Evasion Mechanismen: Antispam & Web-Reputation Evasion (DHL, Telefonrechnungen, Bypass von IP Reputation, Extrem kleiner TTL) Sandbox& Pattern Evasion (CAPTCHA fields, Script Name Randomization, Dead Code, None Effective Assembly Instructions, Sandbox Overloading) Copyright 2014 Trend Micro Inc. 5
Die Vorgehensweisen der Angreifer werden immer raffinierter... VAWTRAK ist ein Bankentrojaner, der sich über Phishing Emails verteilt. Jedes Sample kommuniziert mit C&C Servern & hardcoded TOR Sites, Nutzung von I2P (invisible internet project), die per Steganographie in diesem Icon eingetragen sind. Copyright 2014 Trend Micro Inc. 6
Copyright 2014 Trend Micro Inc. 7
BPHS (cont.) Copyright 2014 Trend Micro Inc. 8
#OPISIS Copyright 2014 Trend Micro Inc. 9
rend Micro Operation Pawn Storm Praxis Operation Pawn Storm Trend Micro Operation Pawn Storm Similar Attacks Against the Ministry of Defense, Hungary Conference Target Domain Malicious Domain Africa Aerospace and Defence 2014 aadexpo. co. za aadexpo2014. co. za The 10th Special Operations Forces Exhibition & Conference sofexjordan. com sofexjordan2014. com ITEC itec. co. uk itec2014. co. uk CASE 2: OSCE, AUSTRIA Even though OSCE provides better security for webmail users compared with the other SEDNIT infectors attached to targeted targets attack via campaign one-time session Malicious news domain: vice - news. emails token use during log-in, attackers can still steal highly sensitive com data from victims by hijacking a single Sent a day after the incident, Copyright 2014 Trend Micro Inc. the email had a Microsoft Real news domain: news. vice. com session. 10
Erfahrungen aus dem Feld Copyright 2014 Trend Micro Inc. 11
Erfahrungen aus dem Feld (1) Prevention Prevention Prevention Reaction Detection Reaction Detection Reaction Detection Der Standard : Die Weiterentwicklung : Der Soll-Zustand : Fokus auf fast reiner Prävention Keine Augen Kein SIEM Muss doch reichen! Keine Erfahrungswerte Compliance > Security Kein Personal Kein Security Incident Response Prozess Unified Security Monitoring vorhanden... Die hauptsächlich proaktive Systeme überwachen Abbildung spezieller Use- Cases Basiswissen und Prozesse (meist ITIL Basis) Copyright 2014 Trend Micro Inc. 12 BreachDetection Systeme Automatisierte Analysen unbekannter Angriffe Automatisierbare Gegenmaßnahmen Ausgebildetes Battle tested Personal Verifizierte IR Prozesse
Erfahrungen aus dem Feld (2) Erkannte Bedrohungsart Präsenz Bekannte Malware 98 % Aktives Botnetz 93 % Zerstörerische Anwendungen 89 % Banking-Malware 72 % Bösartige Dokumente 73 % Zero-Day-Malware 43 % Netzwerkangriffe 74 % Android-Malware 38 % 13
Ihre Checkliste für die Einführung von Breach Detection Systemen Customized Sandboxing & Einbeziehen starker Threat Intelligence Services Trend Micro integriert TIS in alle Produkte. Unter anderem schützen wir Facebook und Twitter... Starke Aufwände um Sandbox Evasion Techniken zu erkennen Überwachung sämtlicher Protokolle Intern & Extern und nicht nur Web & Email Trend Micro Deep Discovery leistet dies mit einfacher Integration Das Problem kann nicht nur am Gateway gelöst werden und Integration ist essentiell! Gateways, Clients incl. Mobile, als auch Mission Critical Systeme (High Business Impact) sind zu betrachten. Dies muss einhergehen mit Ihrer Cloud-Strategie und bestehenden Systemen Testen Sie in Frage kommende Lösungen parallel und im Live-Betrieb Copyright 2014 Trend Micro Inc. 14
2015-12-17 15 Vielen Dank! IHRE FRAGEN? Holger Viehoefer Business Development Manager Advanced Solutions