SlideShare ist ein Scribd-Unternehmen logo

2017 05 16_trend_micro_webinar_wanna_cry1_ppt

Andreas Pelka
Andreas Pelka

WannaCry

Software
1 von 31
Downloaden Sie, um offline zu lesen
Copyright 2016 Trend Micro Inc.1 Wanna Cry? Informationen zur aktuellen Ransomware Angriffswelle Timo Wege Technical Consultant Stefan Rehberg Technical Consultant
Copyright 2016 Trend Micro Inc.2 Agenda • Was ist da eigentlich los? (Presse Überblick) • Fakten zum Krypto-Trojaner • …technisch betrachtet • Wo und wie hilft Trend Micro?
Copyright 2016 Trend Micro Inc.3 Presse
Copyright 2016 Trend Micro Inc.4 Presse
Copyright 2016 Trend Micro Inc.5 Qualität? Quantität! • Hardcoded Bitcoin Adressen zur Zahlung des Lösegeldes – Keine Möglichkeit die Entschlüsselung zu automatisieren – Nachvollziehbarkeit der Transaktionen • Großer Footprint (~3MB) • Killswitch zur Deaktivierung der Malware – 2 mal hardcoded URL verwendet, statt generierter URL
Copyright 2016 Trend Micro Inc.6 Fakten und Infos • Namen: WannaCrypt, Wcrypt, Wana Decrypt0r 2.0, WCry2, WannaCry2, Wana Cryptor • Lösegeldforderung liegt anfangs bei 300 Dollar (via Bitcoin) – verdoppelt sich nach drei Tagen • Nach sieben Tagen wird der Encryption Key gelöscht
Copyright 2016 Trend Micro Inc.7 Fakten und Infos • Ca. 28 verschiedene Sprachen • „Check Payment Button“ gibt eine zufällige Antwort von vieren. • AV Test zählte bis dato 147 Varianten der Malware (Montag morgen)
Copyright 2016 Trend Micro Inc.8 Fakten und Infos • Ca. 230.000 Infektionen (Stand Montag Abend) • Ca. 150 Länder meldeten Infektionen • Keine zielgerichtete Attacke • Lösegeldzahlungen liegen bei etwa 30.000-55.000$ in Summe (heise.de, CISCO) – Bitcoin Adressen sind bekannt, etwa 130 Zahlungen gingen ein (Montag Mittag) – Vergleich „Angler Ransomware Kampagne“ 2015, brachte ca. 60 Millionen Dollar • Schaden ist dennoch immens
Copyright 2016 Trend Micro Inc.9 Technische Informationen
Copyright 2016 Trend Micro Inc.10 Yet another Ransomware? • Entglorifizieren: Wana Cryptor ist ‚nur‘ ein Krypto-Trojaner • Erstinfektion via SPAM, MS17-010 • Speziell: Nach Infektion automatische Replikation im Netz (Wurm Verhalten)
Copyright 2016 Trend Micro Inc.11 Infektionsweg • Eternal Blue, Double Pulsar (MS17-010 Bulletin) – SMB Protokoll wird zum Filesharing genutzt – Opfer muss nur eine Dateifreigabe anbieten • Seit 14. März existieren Patches • Bekannt geworden durch „NSA / Shadow Brokers Leak“ (April 2017) Quelle: https://twitter.com/_supernothing/status/863687990823968768?s=09
Copyright 2016 Trend Micro Inc.12 Einfallstor • SPAM Email – Embedded URL im Message Body – Dropbox Link (SSL) – Attachment (Word Dokument) • SMB Lücke (MS17-010 Bulletin) • Vermutlich via Remote Desktop Protocol (?) – Vgl. CRYSIS Ransomware September 2016 • http://blog.trendmicro.com/trendlabs-security-intelligence/brute-force-rdp-attacks-plant-crysis-ransomware/ – Brute Force oder Vulnerability(?)
Copyright 2016 Trend Micro Inc.13 Weiterverbreitung über „Eternal Blue“ MS17-010 • Betroffen – Windows Vista Windows XP – Windows 7 Windows 8 – Windows 8.1 – Windows 10 – Server 2008 & Server 2008 R2 Server 2003 – Server 2012 & Server 2012 R2 – Server 2016
Copyright 2016 Trend Micro Inc.14 Infektionskette
Copyright 2016 Trend Micro Inc.15 Schädling ‚tarnt‘ sich als Service
Copyright 2016 Trend Micro Inc.16 Betroffene Dateitypen • .lay6 • .sqlite3 • .sqlitedb • .accdb • .java • .class • .mpeg • .djvu • .tiff • .backup • .xlsx • .vmdk • .sldm • .sldx • .potm • .potx • .ppam • .ppsx • .ppsm • .pptm • .xltm • .pptx • .xltx • .xlsb • .xlsm • .dotx • .dotm • .docm • .docb • .jpeg • .onetoc2 • .vsdx • .docx Insgesamt 176 extensions
Copyright 2016 Trend Micro Inc.17 Killswitch? • Experte findet am Samstag ‚versehentlich‘ Killswitch • Kann sich der Trojaner auf eine URL verbinden, dann stoppt er seine Ausführung iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com • Registrierung der Domain sorgte für Stopp der Verbreitung • Schnell kamen neue Varianten
Copyright 2016 Trend Micro Inc.18 Hilfemaßnahmen • Bitte die empfohlenen Sicherheitspatches von Microsoft installieren Microsoft Security Bulletin MS17-010 • Microsoft Patch für unsupported Versions (Windows XP, Windows 8, Windows Vista, Server 2003, Server 2008) http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 • Backup einrichten und testen (3-2-1 Regel) – 3 Kopien – 2 auf unterschiedlichen Medien / inkl. Medienbruch – 1 außer Haus • Blocken von SMB Ports am Perimeter [UDP 137, 138 und TCP 139, 445] und/oder Deaktivierung von SMBv1. https://support.microsoft.com/en-us/help/2696547
Copyright 2016 Trend Micro Inc.19 Was ist mit schlafenden Maschinen?
Copyright 2016 Trend Micro Inc.20 Was, wenn eine schlafende Maschine geweckt wird?
Copyright 2016 Trend Micro Inc.21 Wie hilft Trend Micro?
Copyright 2016 Trend Micro Inc.22 Schutz seit Stunde Null • Predictive Machine Learning erkennt die Malware (Stunde Null) • Smart Scan Agent Pattern 13.399.00 und Official Pattern Release (conventional) 13.401.00
Copyright 2016 Trend Micro Inc.23 Ransomware Protection zieht den doppelten Boden ein Stunde Null
Copyright 2016 Trend Micro Inc.24 Deep Security DPI und Vulnerability Protection • Regeln – 1008224 – 1008228 – 1008225 – 1008227 • schirmen MS17-010 ab! • Stunde Null
Copyright 2016 Trend Micro Inc.25 Trend Micro TippingPoint • Blockiert die Verbindung zu den C&C Servern und verhindert die Ausnutzung der „Eternal Blue“ Schwachstelle • Ideal für Produktionsbereiche • Stunde Null
Copyright 2016 Trend Micro Inc.26 Endpoint Application Control • Lockdown des Systems • Verhindern der Ausführung unbekannter Anwendungen • Stunde Null
Copyright 2016 Trend Micro Inc.27 Deep Discovery Inspector zur Erkennung • Regel 2383 erkennt den Exploit • Sandbox analysiert das Sample
Copyright 2016 Trend Micro Inc.28 Empfehlungen an Bestandskunden/Partner • Haben Sie die Updates noch nicht installiert? Fangen Sie am besten JETZT mit dem Rollout an. Das Webinar ist gleich vorbei ;-) • Aktivierung der Anti-Ransomware Features im OfficeScan und WorryFree. Details zu den Funktionen und wie sie zu konfigurieren sind findet Ihr hier: https://success.trendmicro.com/solution/1112223 • Smart Scan Agent Pattern 13.399.00 und Official Pattern Release (conventional) 13.401.00 erkennen die (derzeit bekannten) Bedrohungen • Trend Micro Web Reputation Service verhindert den Kontakt zu bekannten Command und Control Servern • Trend Micro Deep Security und Vulnerability Protection (vorher Intrusion Defense Firewall oder IDF) verhindern die Ausnutzung der entsprechenden Schwachstelle. Dazu müssen die IPS Rules 1008224, 1008228, 1008225, 1008227 auf den Systemen aktiviert werden. • Trend Micro Deep Discovery Inspector erkennt den Exploit durch Aktivierung der Regel DDI Rule 2383 • Trend Micro Tipping Point stellt ebenfalls Filter, die Command und Control Kommunikation und das Ausnutzen der Schwachstelle verhindern, zur Verfügung.
Copyright 2016 Trend Micro Inc.29 Empfehlung an (noch) nicht Kunden • Machine Learning Assessment Tool https://www.trendmicro.com/product_trials/service/index/us/164
Copyright 2016 Trend Micro Inc.30 Q & A
Copyright 2016 Trend Micro Inc.31 Vielen Dank!

Empfohlen

Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitVirtual Forge
 
Serverside Cryptoparty
Serverside CryptopartyServerside Cryptoparty
Serverside CryptopartyJohann-Peter Hartmann
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenMag.Natascha Ljubic
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkQAware GmbH
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk
 

Empfohlen

Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitVirtual Forge
 
Serverside Cryptoparty
Serverside CryptopartyServerside Cryptoparty
Serverside CryptopartyJohann-Peter Hartmann
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenMag.Natascha Ljubic
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkQAware GmbH
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdfWestermo Network Technologies
 
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenDie hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenteam-WIBU
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Hacker's guide
Hacker's guideHacker's guide
Hacker's guidedaedalus_357
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceMichael Moser
 
Living on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der WildnisLiving on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der Wildnismmeisenzahl
 
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020data://disrupted®
 
Typo3 security
Typo3 securityTypo3 security
Typo3 securityOliver Wassenaar
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2Werner Buhre
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)ThingFraunhofer AISEC
 
Mehr sicherheit für private haushalte
Mehr sicherheit für private haushalteMehr sicherheit für private haushalte
Mehr sicherheit für private haushalteSebastian Harke
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityWestermo Network Technologies
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurityremyguillaume
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothThierry Zoller
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?QAware GmbH
 
Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THORGeorg Knon
 

Weitere ähnliche Inhalte

Ähnlich wie 2017 05 16_trend_micro_webinar_wanna_cry1_ppt

Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenDie hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenteam-WIBU
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceMichael Moser
 
Living on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der WildnisLiving on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der Wildnismmeisenzahl
 
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020data://disrupted®
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2Werner Buhre
 
Mehr sicherheit für private haushalte
Mehr sicherheit für private haushalteMehr sicherheit für private haushalte
Mehr sicherheit für private haushalteSebastian Harke
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityWestermo Network Technologies
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothThierry Zoller
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?QAware GmbH
 
Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THORGeorg Knon
 

Ähnlich wie 2017 05 16_trend_micro_webinar_wanna_cry1_ppt (20)

Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
 
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenDie hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Hacker's guide
Hacker's guideHacker's guide
Hacker's guide
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerce
 
Living on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der WildnisLiving on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der Wildnis
 
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
 
Typo3 security
Typo3 securityTypo3 security
Typo3 security
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
Mehr sicherheit für private haushalte
Mehr sicherheit für private haushalteMehr sicherheit für private haushalte
Mehr sicherheit für private haushalte
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber Security
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
 
Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THOR
 

2017 05 16_trend_micro_webinar_wanna_cry1_ppt

  • 1. Copyright 2016 Trend Micro Inc.1 Wanna Cry? Informationen zur aktuellen Ransomware Angriffswelle Timo Wege Technical Consultant Stefan Rehberg Technical Consultant
  • 2. Copyright 2016 Trend Micro Inc.2 Agenda • Was ist da eigentlich los? (Presse Überblick) • Fakten zum Krypto-Trojaner • …technisch betrachtet • Wo und wie hilft Trend Micro?
  • 3. Copyright 2016 Trend Micro Inc.3 Presse
  • 4. Copyright 2016 Trend Micro Inc.4 Presse
  • 5. Copyright 2016 Trend Micro Inc.5 Qualität? Quantität! • Hardcoded Bitcoin Adressen zur Zahlung des Lösegeldes – Keine Möglichkeit die Entschlüsselung zu automatisieren – Nachvollziehbarkeit der Transaktionen • Großer Footprint (~3MB) • Killswitch zur Deaktivierung der Malware – 2 mal hardcoded URL verwendet, statt generierter URL
  • 6. Copyright 2016 Trend Micro Inc.6 Fakten und Infos • Namen: WannaCrypt, Wcrypt, Wana Decrypt0r 2.0, WCry2, WannaCry2, Wana Cryptor • Lösegeldforderung liegt anfangs bei 300 Dollar (via Bitcoin) – verdoppelt sich nach drei Tagen • Nach sieben Tagen wird der Encryption Key gelöscht
  • 7. Copyright 2016 Trend Micro Inc.7 Fakten und Infos • Ca. 28 verschiedene Sprachen • „Check Payment Button“ gibt eine zufällige Antwort von vieren. • AV Test zählte bis dato 147 Varianten der Malware (Montag morgen)
  • 8. Copyright 2016 Trend Micro Inc.8 Fakten und Infos • Ca. 230.000 Infektionen (Stand Montag Abend) • Ca. 150 Länder meldeten Infektionen • Keine zielgerichtete Attacke • Lösegeldzahlungen liegen bei etwa 30.000-55.000$ in Summe (heise.de, CISCO) – Bitcoin Adressen sind bekannt, etwa 130 Zahlungen gingen ein (Montag Mittag) – Vergleich „Angler Ransomware Kampagne“ 2015, brachte ca. 60 Millionen Dollar • Schaden ist dennoch immens
  • 9. Copyright 2016 Trend Micro Inc.9 Technische Informationen
  • 10. Copyright 2016 Trend Micro Inc.10 Yet another Ransomware? • Entglorifizieren: Wana Cryptor ist ‚nur‘ ein Krypto-Trojaner • Erstinfektion via SPAM, MS17-010 • Speziell: Nach Infektion automatische Replikation im Netz (Wurm Verhalten)
  • 11. Copyright 2016 Trend Micro Inc.11 Infektionsweg • Eternal Blue, Double Pulsar (MS17-010 Bulletin) – SMB Protokoll wird zum Filesharing genutzt – Opfer muss nur eine Dateifreigabe anbieten • Seit 14. März existieren Patches • Bekannt geworden durch „NSA / Shadow Brokers Leak“ (April 2017) Quelle: https://twitter.com/_supernothing/status/863687990823968768?s=09
  • 12. Copyright 2016 Trend Micro Inc.12 Einfallstor • SPAM Email – Embedded URL im Message Body – Dropbox Link (SSL) – Attachment (Word Dokument) • SMB Lücke (MS17-010 Bulletin) • Vermutlich via Remote Desktop Protocol (?) – Vgl. CRYSIS Ransomware September 2016 • http://blog.trendmicro.com/trendlabs-security-intelligence/brute-force-rdp-attacks-plant-crysis-ransomware/ – Brute Force oder Vulnerability(?)
  • 13. Copyright 2016 Trend Micro Inc.13 Weiterverbreitung über „Eternal Blue“ MS17-010 • Betroffen – Windows Vista Windows XP – Windows 7 Windows 8 – Windows 8.1 – Windows 10 – Server 2008 & Server 2008 R2 Server 2003 – Server 2012 & Server 2012 R2 – Server 2016
  • 14. Copyright 2016 Trend Micro Inc.14 Infektionskette
  • 15. Copyright 2016 Trend Micro Inc.15 Schädling ‚tarnt‘ sich als Service
  • 16. Copyright 2016 Trend Micro Inc.16 Betroffene Dateitypen • .lay6 • .sqlite3 • .sqlitedb • .accdb • .java • .class • .mpeg • .djvu • .tiff • .backup • .xlsx • .vmdk • .sldm • .sldx • .potm • .potx • .ppam • .ppsx • .ppsm • .pptm • .xltm • .pptx • .xltx • .xlsb • .xlsm • .dotx • .dotm • .docm • .docb • .jpeg • .onetoc2 • .vsdx • .docx Insgesamt 176 extensions
  • 17. Copyright 2016 Trend Micro Inc.17 Killswitch? • Experte findet am Samstag ‚versehentlich‘ Killswitch • Kann sich der Trojaner auf eine URL verbinden, dann stoppt er seine Ausführung iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com • Registrierung der Domain sorgte für Stopp der Verbreitung • Schnell kamen neue Varianten
  • 18. Copyright 2016 Trend Micro Inc.18 Hilfemaßnahmen • Bitte die empfohlenen Sicherheitspatches von Microsoft installieren Microsoft Security Bulletin MS17-010 • Microsoft Patch für unsupported Versions (Windows XP, Windows 8, Windows Vista, Server 2003, Server 2008) http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 • Backup einrichten und testen (3-2-1 Regel) – 3 Kopien – 2 auf unterschiedlichen Medien / inkl. Medienbruch – 1 außer Haus • Blocken von SMB Ports am Perimeter [UDP 137, 138 und TCP 139, 445] und/oder Deaktivierung von SMBv1. https://support.microsoft.com/en-us/help/2696547
  • 19. Copyright 2016 Trend Micro Inc.19 Was ist mit schlafenden Maschinen?
  • 20. Copyright 2016 Trend Micro Inc.20 Was, wenn eine schlafende Maschine geweckt wird?
  • 21. Copyright 2016 Trend Micro Inc.21 Wie hilft Trend Micro?
  • 22. Copyright 2016 Trend Micro Inc.22 Schutz seit Stunde Null • Predictive Machine Learning erkennt die Malware (Stunde Null) • Smart Scan Agent Pattern 13.399.00 und Official Pattern Release (conventional) 13.401.00
  • 23. Copyright 2016 Trend Micro Inc.23 Ransomware Protection zieht den doppelten Boden ein Stunde Null
  • 24. Copyright 2016 Trend Micro Inc.24 Deep Security DPI und Vulnerability Protection • Regeln – 1008224 – 1008228 – 1008225 – 1008227 • schirmen MS17-010 ab! • Stunde Null
  • 25. Copyright 2016 Trend Micro Inc.25 Trend Micro TippingPoint • Blockiert die Verbindung zu den C&C Servern und verhindert die Ausnutzung der „Eternal Blue“ Schwachstelle • Ideal für Produktionsbereiche • Stunde Null
  • 26. Copyright 2016 Trend Micro Inc.26 Endpoint Application Control • Lockdown des Systems • Verhindern der Ausführung unbekannter Anwendungen • Stunde Null
  • 27. Copyright 2016 Trend Micro Inc.27 Deep Discovery Inspector zur Erkennung • Regel 2383 erkennt den Exploit • Sandbox analysiert das Sample
  • 28. Copyright 2016 Trend Micro Inc.28 Empfehlungen an Bestandskunden/Partner • Haben Sie die Updates noch nicht installiert? Fangen Sie am besten JETZT mit dem Rollout an. Das Webinar ist gleich vorbei ;-) • Aktivierung der Anti-Ransomware Features im OfficeScan und WorryFree. Details zu den Funktionen und wie sie zu konfigurieren sind findet Ihr hier: https://success.trendmicro.com/solution/1112223 • Smart Scan Agent Pattern 13.399.00 und Official Pattern Release (conventional) 13.401.00 erkennen die (derzeit bekannten) Bedrohungen • Trend Micro Web Reputation Service verhindert den Kontakt zu bekannten Command und Control Servern • Trend Micro Deep Security und Vulnerability Protection (vorher Intrusion Defense Firewall oder IDF) verhindern die Ausnutzung der entsprechenden Schwachstelle. Dazu müssen die IPS Rules 1008224, 1008228, 1008225, 1008227 auf den Systemen aktiviert werden. • Trend Micro Deep Discovery Inspector erkennt den Exploit durch Aktivierung der Regel DDI Rule 2383 • Trend Micro Tipping Point stellt ebenfalls Filter, die Command und Control Kommunikation und das Ausnutzen der Schwachstelle verhindern, zur Verfügung.
  • 29. Copyright 2016 Trend Micro Inc.29 Empfehlung an (noch) nicht Kunden • Machine Learning Assessment Tool https://www.trendmicro.com/product_trials/service/index/us/164
  • 30. Copyright 2016 Trend Micro Inc.30 Q & A
  • 31. Copyright 2016 Trend Micro Inc.31 Vielen Dank!