Fallbeispiel Erpressungstrojaner WannaCry Was lief schief?

Ähnliche Dokumente
Cyber Criminals Never Sleep - Developments/Trends in IT Security

Breaking the Kill Chain

2. Automotive SupplierS Day. Security

Check Point Software Technologies LTD.

IBM Security Systems: Intelligente Sicherheit für die Cloud

Monty Möckel. Andreas Reisinger ÜBER UNS. Senior Technology Consultant IT Services Cloud & Datacenter

NG-NAC, Auf der Weg zu kontinuierlichem

Cameraserver mini. commissioning. Ihre Vision ist unsere Aufgabe

LOG AND SECURITY INTELLIGENCE PLATFORM

Titelbild1 ANSYS. Customer Portal LogIn

Total Security Intelligence. Die nächste Generation von Log Management and SIEM. Markus Auer Sales Director Q1 Labs.

Big Data Analytics. Fifth Munich Data Protection Day, March 23, Dr. Stefan Krätschmer, Data Privacy Officer, Europe, IBM

Copyright 2013 Trend Micro Inc VMware Inc. All rights reserved. 1

Ich sehe was, was Du nicht siehst Aufspüren von gezielten Angriffen mit der Symantec Unified Security Analytics Platform

Mobile Security. Astaro 2011 MR Datentechnik 1

User Manual BB-anywhere

Kriminelle Clouds, Rogue-Routers und DDoS-Deals im Darknet Akteure, Vorgänge und was Sie jetzt unternehmen sollten Claudia Johnson I Senior Pre-Sales

Cybersecurity 4.0 Schutz vor den Bedrohungen von heute und morgen. Markus Grathwohl Senior Corporate Account Manager

Security made simple.

Security One Step Ahead

RSA INTELLIGENCE DRIVEN SECURITY IN ACTION

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia

Magenta Daimler EDM Forum

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

Microsoft Azure Fundamentals MOC 10979

Trend Micro Lösungen im Storage Umfeld

GANZHEITLICHE -SICHERHEIT

Cyberkriminalität als existenzielle Bedrohung für innovative Unternehmen

ReadMe zur Installation der BRICKware for Windows, Version ReadMe on Installing BRICKware for Windows, Version 6.1.2

Sicherheit dank Durchblick. Thomas Fleischmann Sales Engineer, Central Europe

Veeam Availability Suite. Thomas Bartz System Engineer, Veeam Software

p^db=`oj===pìééçêíáåñçêã~íáçå=

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

POST MARKET CLINICAL FOLLOW UP

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich?

CNC ZUR STEUERUNG VON WERKZEUGMASCHINEN (GERMAN EDITION) BY TIM ROHR

Die moderne Bedrohungslage Ransomware/Exploits Michael Kretschmann

Wanna Cry? Informationen zur aktuellen Ransomware Angriffswelle

General info on using shopping carts with Ogone

Threat Response Incident Response. Hans Irlacher. Manager Presales Engineering CEMEA

NEWSLETTER. FileDirector Version 2.5 Novelties. Filing system designer. Filing system in WinClient

How to access licensed products from providers who are already operating productively in. General Information Shibboleth login...

Long-term archiving of medical data new certified cloud-based solution offers high security and legally approved data management

McAfee Database Security. DOAG Konferenz Franz Hüll Senior Security Consultant. November 20, 2012

Reale Angriffsszenarien Advanced Persistent Threats

FEBE Die Frontend-Backend-Lösung für Excel

IT-SICHERHEIT ALS QUERSCHNITTSAUFGABE IN DER ÖFFENTLICHEN VERWALTUNG

USB Treiber updaten unter Windows 7/Vista

VGM. VGM information. HAMBURG SÜD VGM WEB PORTAL - USER GUIDE June 2016

p^db=`oj===pìééçêíáåñçêã~íáçå=

Provisioning SQL Databases MOC 20765

VGM. VGM information. HAMBURG SÜD VGM WEB PORTAL USER GUIDE June 2016

Materialien zu unseren Lehrwerken

Intelligente und machbare Schutzkonzepte für mittelständische Unternehmen Next Generation Netzwerksicherheit. Don T. Kalal main.it

Granite Gerhard Pirkl

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Welcome to Sicherheit in virtuellen Umgebungen

SAMPLE EXAMINATION BOOKLET

Administering Microsoft Exchange Server 2016 MOC

USB -> Seriell Adapterkabel Benutzerhandbuch

Installation Guide WLAN Interface

150Mbps Micro Wireless N USB Adapter

Aber genau deshalb möchte ich Ihre Aufmehrsamkeit darauf lenken und Sie dazu animieren, der Eventualität durch geeignete Gegenmaßnahmen zu begegnen.

Sophos Cloud. Die moderne Art Sicherheit zu verwalten. Mario Winter Senior Sales Engineer

Level 2 German, 2015

Der Adapter Z250I / Z270I lässt sich auf folgenden Betriebssystemen installieren:

Projekt Copernicus oder Sophos UTM, quo vadis?

Unternehmen-IT sicher in der Public Cloud

Exercise (Part XI) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

DIE NEUORGANISATION IM BEREICH DES SGB II AUSWIRKUNGEN AUF DIE ZUSAMMENARBEIT VON BUND LNDERN UND KOMMUNEN

EINEN SCHRITT VORAUS. mit SandBlast - Sandboxing einen Schritt weiter gedacht. Mirco Kloss Sales Manager Threat Prevention - Central Europe

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

Security of IoT. Generalversammlung 21. März 2017

The process runs automatically and the user is guided through it. Data acquisition and the evaluation are done automatically.

Meeting and TASK TOOL. Bedienungsanleitung / Manual IQxperts GmbH. Alle Rechte vorbehalten.

TomTom WEBFLEET Tachograph

Security Heartbeat - Endpoint und Gateway im Zusammenspiel. Michael Veit Technology Evangelist.

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Web Protection in Endpoint v10

Anleitung zur Verwendung des Update-Tools für

Handbuch der therapeutischen Seelsorge: Die Seelsorge-Praxis / Gesprächsführung in der Seelsorge (German Edition)

Upgrading Your Supporting Skills to Windows Server 2016

Security in Zeiten von Internet der Dinge. Udo Schneider Security Evangelist DACH

IT-Security Teamwork Das Ende von Best-of-Breed im Netzwerk- und Endpointschutz

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

Customer-specific software for autonomous driving and driver assistance (ADAS)

Integrierte Sicherheitslösungen

Advanced Malware: Bedrohungslage und konkrete Schutzstrategien

Agenda. Ausgangssituation (Beispiel) PaaS oder IaaS? Migrationspfade Deep Dives. IaaS via Azure Site Recovery PaaS via SQL Deployment Wizard

Corporate Digital Learning, How to Get It Right. Learning Café

NVR Mobile Viewer for iphone/ipad/ipod Touch

Veeam und Microsoft. Marco Horstmann System Engineer, Veeam

Creating OpenSocial Gadgets. Bastian Hofmann

Public Cloud im eigenen Rechenzentrum

Geschäftsmodell Cybercrime. Holger Viehoefer Business Development Manager

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April,

Transkript:

Fallbeispiel Erpressungstrojaner WannaCry Was lief schief? First Frame Networkers IT-Security Breakfast 22. Juni 2017 Gabriel Kälin Systems Engineer Fortinet Schweiz gkaelin@fortinet.com

Themen Erpressungstrojaner / Ransomware WannaCry im Speziellen Lösung von Fortinet Ein paar Grundregeln War s das? 2

Erpressungstrojaner / Ransomware Warum? Unmittelbare Ummünzung» Opfer bezahlen direkt» Keine Daten, welche zuerst verkauft werden müssen Digitale Währungen erleichtern die Gewinneinstreichung» Keine Banktransfers nötig» Keine Mittelmänner nötig, um die Strafverfolgung abzuschütteln» Stetig breitere Akzeptanz von digitalen Währuingen Ausgereifte kriminelle Support-Infrastruktur» Ransomware-as-a-service» Zusammenarbeit und Aufgabenteilung zwischen kriminellen Gruppierungen 3

Bitcoin: Anonym, aber nachvollziehbar https://rud.is/b/2017/05/14/r%e2%81%b6-tracking-wannacry-bitcoin-wallet-payments-with-r/ 4

Was ist/war speziell an WannaCry? Copyright Fortinet Inc. All rights reserved.

WannaCry Wer war betroffen? 6

WannaCry Technischer Hintergrund Schwachstelle US CERT Alert TA17-132A Microsoft MS17-010 CVE-2017-0143 to CVE-2017-0148 The vulnerability used is NSA Exploit EternalBlue (CVE-2017-0144) ShadowBrokers leaked public exploits in April All related to SMB server in windows, different vulnerabilities Vulnerable systems from Win XP to Win10» Win 7 to Win 10 were patched mid March» Public patches for XP, Win Server 2003 were made avaliable on Saturday May 13th Patched systems were unaffected Verbreitungsweg An infected machine will probe for other machines listening on port 445 (SMB) and check for the existence of the DoublePulsar backdoor If there is a backdoor, the payload will get installed via this way If there isn t then the less reliable exploit route is taken Happens without user interaction Verschlüsselungsmethode It s a dropper with a AES encrypted DLL Unencrypted DLL loaded directly to memory, never exposed to disk Each file is encrypted using AES-128-CBC, with a unique AES key per file 8

Warum ist WannaCry so bemerkenswert? 1. Verbreitung ist unabhängig von menschlichem Mitwirken 2. Schwachstelle auf allen gängigen Microsoft Windows Versionen 3. Schwachstelle wurde bekannt durch NSA Lücke 4. Auswirkungen gehen weiter als Erpressung My heart surgery was cancelled 9

Lösung von Fortinet Advanced Threat Protection und die Security Fabric

Fortinet Referenzarchitektur Advance Threat Protection (ATP) Framework FortiManager Centralised Management FortiSIEM Security Info Event Management FortiCameras IP Survalliance FortiAnalyzer Logging, Analysis, Reporting FortiAuthenticator User Identity Management VM FortiSandbox Advanced Threat Protection ISFW Application Servers FortiConnectors For VMX, ACI, OpenStack FortiMail Email Security Web Servers FortiWeb / FortiADC Web Application Firewall Application Delivery Controllers FortiToken Two Factor Authentication FortiClient Endpoint Protection, VPN FortiDDoS DDoS Attack Mitigation FortiGate & FortiAP NGFW with Wireless Controller AWS & Azure Fortinet Solutions FortiCloud Analytics & Management Secure by FORTIGUARD TM 11

Fortinet Security Fabric Wie nützt sie meinem Unternehmen? Verbessert den Überblick und vereinfacht Betriebsabläufe» Vernetzte Lösung statt einzelne Silos Automatische Verbreitung der Bedrohungsinformationen automatisiert die Incident Response Durchdachtes Zusammenspiel der Produkte» Geringere Betriebskosten Breites Partnernetzwerk (26 Fabric Ready Partner) Führende Bedrohungsforschung FortiGuard labs Enterprise FW ISFW/NGFW Client Advanced Threat Intelligence Network Endpoint Access Network Application Cloud Access Application Connected UTM Partner API Secure Access NOC/SOC Advance Persistent Threat Data Center Cloud Cloud 12

Layers of Protection Prevent the probing» FortiGate firewall (port 445) Protect the vulnerability» FortiClient vulnerability management» FortiGate IPS Block delivery and install» FortGate AV, CPRL and/or web filter» FortiClient AV, CPR and/or web filter Identify new variants» FortiSandbox» FortiSIEM» IoC Service Contain incidents» FortiGate internal segmentation firewall Fortinet Security Fabric 13

Use Case Threat Hunting - Who has the Hash? Sandbox will analyze threat. If threat exists malicious URLs and Hashes sent to FortiSIEM NGFW inspection performed on FortiGate. At risk objects sent to FortiSandbox for analysis. FortiSIEM saves IOCs in Threat Intelligence Center SOC Window Agents send hashes up to Workers/Supervisor where queries, alerts and reports can be generated to identify possible compromised machines. Internet NGFW FortiGate Breach Detection FortiSanbox FortiSIEM Agent Manager Windows Agents File Integrity Monitoring Query/Alerts/Reports 14

Drei Grundregeln Copyright Fortinet Inc. All rights reserved.

Regel 1: Vermeide Infektionen Awareness campaigns/training» Email attachments, Web site links - obvious danger» Spear phishing campaigns work Keep software updated» Exploit kits & downloaders rely on known vulnerabilities» Updates are usually available» If unable to update/patch, increase monitoring Use a reputable security solution» Network security gateway with multi-level protection Antivirus, Intrusion Prevention, IP Reputation, URL Filtering 16

Regel 2: Erstelle Backups Backups look at mission critical processes and data repositories» Example share drives not always considered critical until lost Make incremental backups over a long period Perform restore dry-runs Ensure that you are backing up the right files» If new directories are created, make sure that they are part of the backup» Avoid backing up data you don't need data retention policies Do not back up to connected storage & leave it connected» Odds = backups will also be encrypted» Applies to all, including network shares 17

Regel 3: Gründliche Bereinigung ist wichtig If you paid the ransom:» Perform a full antivirus check after decryption» The cyber criminal will come back for more later if he or she can» System rebuilds & cleanup If you have backups:» Best to burn it down» Re-install the OS, then restore the data» Avoid restoring system files backups may be infected 18

Und, was lief nun eigentlich schief?? Betroffene Firmen hatten ungepatchte Systeme Betroffene Firmen hatten öffentlich erreichbare File Shares (SMB) in der Schweiz gibt es laut MELANI 5 000 davon. Die Sicherheitsarchitektur war zu wenig engmaschig» Mangelnde Internal Segmentation» Mangelnde Erkennung von neuen Bedrohungen und deren automatisierter Entfernung (Advanced Threat Prevention) 19

Was kommt noch auf uns zu? Vorhersagen für 2017 von den FortiGuard Labs

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback