Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
In der digitalen Welt gibt es spezifische Fallstricke, denen Handelsagenten gegenüberstehen könnten:
1. Sicherheit von sensiblen Informationen: Handelsagenten können mit sensiblen Kundendaten und vertraulichen Informationen arbeiten. Es ist wichtig, solche Informationen angemessen zu schützen, indem Verschlüsselungstechniken und geeignete Sicherheitsmaßnahmen verwendet werden.
2. Phishing- und Malware-Angriffe: Handelsagenten könnten Zielscheiben von Phishing-E-Mails oder Malware-Angriffen werden. Sie sollten in der Lage sein, verdächtige E-Mails zu erkennen, auf gefälschte Websites zu achten und geeignete Sicherheitssoftware zu verwenden, um ihre Systeme zu schützen.
3. Mobile Sicherheit: Handelsagenten, die Mobilgeräte wie Smartphones oder Tablets nutzen, müssen diese Geräte angemessen absichern. Dies beinhaltet das Verwenden sicherer Passwörter, das Aktualisieren der Software, das Vermeiden von unsicheren Netzwerken und das Installieren von Sicherheits-Apps.
4. Sichere Internetrecherche: Handelsagenten sollten bei der Durchführung von Internetrecherchen darauf achten, seriöse und vertrauenswürdige Quellen zu verwenden. Sie sollten sich auch bewusst sein, dass ihre Online-Aktivitäten verfolgt werden können und dass Datenschutzmaßnahmen getroffen werden sollten, um persönliche Informationen zu schützen.
Das SlideDeck des Microsoft Cyber Security IT-Camps 2017/2018
Im Slidedeck werden Produkte wie Windows Defender AV, ATP und ApplicationGuard und ExploitGuard behandelt.
Der Wettbewerb in der Handelsbranche kann intensiv sein. Handelsagenten müssen in der Lage sein, sich von der Konkurrenz abzuheben und einen Mehrwert für ihre Kunden zu bieten. Dabei gibt es auch viele digitale Fallstricke für Handelsagenten zu beachten.
Offensive Security – Das Metasploit FrameworkQAware GmbH
Pentests für Einsteiger – das Metasploit Framework und andere Tools, Mai 2020, Vortrag von Franz Wimmer (@zalintyre, Software Engineer at QAware)
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
In der digitalen Welt gibt es spezifische Fallstricke, denen Handelsagenten gegenüberstehen könnten:
1. Sicherheit von sensiblen Informationen: Handelsagenten können mit sensiblen Kundendaten und vertraulichen Informationen arbeiten. Es ist wichtig, solche Informationen angemessen zu schützen, indem Verschlüsselungstechniken und geeignete Sicherheitsmaßnahmen verwendet werden.
2. Phishing- und Malware-Angriffe: Handelsagenten könnten Zielscheiben von Phishing-E-Mails oder Malware-Angriffen werden. Sie sollten in der Lage sein, verdächtige E-Mails zu erkennen, auf gefälschte Websites zu achten und geeignete Sicherheitssoftware zu verwenden, um ihre Systeme zu schützen.
3. Mobile Sicherheit: Handelsagenten, die Mobilgeräte wie Smartphones oder Tablets nutzen, müssen diese Geräte angemessen absichern. Dies beinhaltet das Verwenden sicherer Passwörter, das Aktualisieren der Software, das Vermeiden von unsicheren Netzwerken und das Installieren von Sicherheits-Apps.
4. Sichere Internetrecherche: Handelsagenten sollten bei der Durchführung von Internetrecherchen darauf achten, seriöse und vertrauenswürdige Quellen zu verwenden. Sie sollten sich auch bewusst sein, dass ihre Online-Aktivitäten verfolgt werden können und dass Datenschutzmaßnahmen getroffen werden sollten, um persönliche Informationen zu schützen.
Das SlideDeck des Microsoft Cyber Security IT-Camps 2017/2018
Im Slidedeck werden Produkte wie Windows Defender AV, ATP und ApplicationGuard und ExploitGuard behandelt.
Der Wettbewerb in der Handelsbranche kann intensiv sein. Handelsagenten müssen in der Lage sein, sich von der Konkurrenz abzuheben und einen Mehrwert für ihre Kunden zu bieten. Dabei gibt es auch viele digitale Fallstricke für Handelsagenten zu beachten.
Offensive Security – Das Metasploit FrameworkQAware GmbH
Pentests für Einsteiger – das Metasploit Framework und andere Tools, Mai 2020, Vortrag von Franz Wimmer (@zalintyre, Software Engineer at QAware)
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Wer sind die Angreifer im Netz, was sind Ihre Ziele und gegen welche Arten von Attacken muss ich mich wappnen?
Es gilt immensen Schaden abzuwenden und das Vertrauen der Nutzer in Ihre Plattform zu gewinnen und zu bewahren.
Netzwerk Monitoring ist eine der wesentlichsten Mechanismen für ein stabiles Netzwerk. Erst wenn Probleme in Ihrem Netzwerk frühzeitig dargestellt und erkannt werden können Sie sich zu 100% auf dieses verlassen. Ansonsten würden womöglich Redundanzen bereits ohne Ihr Wissen bereits angesprochen haben und das nächste Problem führt womöglich zu einem Gesamtausfall Ihrer Infrastruktur. Auch Cyber Angriffe können nur durch eine entsprechende Überwachung und Auswertung erst frühzeitig erkannt werden und Sie können direkt darauf reagieren.
Die hohe Kunst Tretminen in Ihrer Software zu versteckenteam-WIBU
Es gibt Anwendungsfälle, bei denen das Kryptographie-Lehrbuch standardmäßig verwendet werden kann. Ein gutes Beispiel dafür ist die Verschlüsselung von E-Mails. Im Software-Schutz gilt dies aber nicht. Warum ist dies so? Bei einer E-Mail hat der Anwender selber ein Interesse daran, die eigenen Daten geheim zu halten. Beim Software-Schutz möchte der Anwender einfach mit der Software arbeiten. Es ist ihm dabei egal, ob der Schutz intakt ist und bleibt. Dieser Einsatz in „Feindesland“ geht weit über das Standard-Lehrbuch hinaus. Hier gilt: Tricksen, Täuschen und Tarnen.
Eine sehr effektive Methode für diese Umgebung ist die Verwendung von Fallen, vor allem im Zusammenhang mit einer irreversiblen Sperre des kryptographischen Schlüssels. Ähnlich wie Geräte in Agentenfilmen, die sich nach dem Lesen selbst vernichten. Im Software-Schutz erfolgt die Zerstörung nur, wenn eine Falle ausgelöst wurde. Ein normaler Kunde verwendet die Software ohne Einschränkung und ohne etwas von diesen Fallen zu merken. Der Hacker löst sie aus und zerstört sich damit die Möglichkeit der weiteren Analyse.
Webinar anschauen: https://youtu.be/HCEMYzNw_K4
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020data://disrupted®
Die Bedrohungslage verschärft sich: Die Allianz bewertet Cyber Incidents als größtes Geschäftsrisiko überhaupt. Das BSI spricht von „massenhafter Verbreitung raffinierter Angriffsmethoden durch Organisierte Kriminalität.“ An vorderster Front stehen hier natürlich IT-Sicherheitssysteme. Aber wie die letzten Angriffe – unter anderem mit Ransomware – zeigten, greifen diese nicht immer. Und dann sind oft sehr viele oder sogar alle Daten inklusive der Backupdaten zerstört. Hier hilft dann nur noch die Daten von einem Physical-Air-Gap-Medium zurückzusichern. Sehen Sie, warum Tape das sicherste Medium ist. Erfahren Sie auch, warum nahezu alle große Cloud-Service-Provider Tape einsetzen. Sehen Sie die zukünftige Roadmap, Produktentwicklung und die weiteren Einsatzgebiete von Tape.
Josef Weingand ist Business Development Manager für Tape Storage bei IBM, zuständig für die DACH-Region. Er hat über 23 Jahre Erfahrung im Tape Storage und arbeitet sowohl im Technical Support als auch im Sales Support für Data-Protection-, Data-Retention- und Tape-Lösungen. Er hat an mehreren IBM Redbooks mitgearbeitet und einige Patente im Storage-Bereich erarbeitet.
Ein Selfdefending Network ermöglicht Security Prognaosen zur Früherkennung von Attacken. Der Zugang zum internen Netz muss mit neuen Methoden geschützt werden. Nach dem Wegfall der Perimeter müssen wir wissen, welche Geräte und welche Personen sich an unsere Netze anschließen. Ein Selfdefending Network schützt vor infizierten, schlecht gesicherten Geräten durch den Security-Check der angeschlossenen Geräte, durch Aktualität der Antiviren-Signaturen, durch richtige Konfiguration und Einstellung. Zugang zum internen Netz erfolgt erst nach Authentifizierung (entsprechend dem Standard 802.1x), auch durch generelle Authentifizierung und Zuordnung der adäquaten Netzwerkberechtigung abhängig von der Rolle des Benutzers.
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
Lernen Sie was eine Zonierung bedeutet und wie diese in Verbindung mit einer Firewall Ihr Security Level auf ein neues Niveau stellt. Westermo‘s WeOS vereint alle diese Funktionen und bietet Ihnen somit besten Schutz mit Hilfe von nur einer Komponente.
Erfahren Sie im dritten Teil unserer Serie, warum und wie Sie die Zonierung in Ihrem Netzwerk vornehmen können und platzieren Sie Firewalls an der richtigen Stelle um es Angreifern möglichst schwer zu machen.
Mehr dazu: https://www.westermo.at/news-and-events/webinars/zonierung-firewalling
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
Zielgruppe: Admins, CISOs
Schwerpunkt: organisatorisch & technisch
Sprache: Deutsch
Abstract:
**********
An Hand von typischen Audit-Findings diskutieren wir entlang der „Dreifaltigkeit“ People – Processes – Technology die wichtigsten Sicherheitsaspekte zum Thema Remote Access und Telearbeit. Nachdem wir im ersten Termin bereits die Bereiche People und Processes behandelt haben, werden wir in diesem Talk auf den Bereich Technoloy eingehen und auch einen kurzen Ausblick auf einige fortgeschrittenere Ideen wie Zero Trust Architekturen geben.
About the Speaker:
*********************
Philipp Reisinger is consultant in the Information Security Management team. He received his master’s degree in “Information Security” at the St. Pölten University of Applied Sciences and is CISSP and CISA certified. His consulting activities are focused on the organizational aspects of information security such as: Information security management systems (ISMS), ISO27001 gap and business impact analyses, IT/IS audit, Information risk management and Security Awareness
Günther Roat is consultant and team lead of the Information Security Management team at SBA Research. He is a Microsoft Certified Technology Specialist and received his degree in Business Informatics at the University of Applied Sciences Technikum Vienna. His consulting activities are focused on the organizational aspects of information security.
Ein (nicht-technischer) Überblick über die Grundlagen der Cybersicherheit und die Werkzeuge, die man im Rahmen eines DevSecOps-Ansatzes einsetzen kann.
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?QAware GmbH
CloudLand 2023, Juni 2023, Markus Zimmermann
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Ein Kubernetes Cluster ist heutzutage schnell aufgesetzt: ob mit Installationsplattformen wie Rancher oder in der Public Cloud als Managed Service wie AWS EKS. Doch die größten Probleme ergeben sich im aktiven Betrieb des Clusters. Im Enterprise-Umfeld hat die Konzern-Security sehr viele Anforderungen an den Cluster, ohne die ein Produktiveinsatz nicht möglich ist.
Es stellt sich nun die Frage: Brauche ich Enterprise-Versionen von Security Tools oder gibt es auch gute Open Source Tools, die all meine Anforderungen erfüllen?
In meinem Talk möchte ich eine Übersicht über die State-of-the-Art Open Source Tools für verschiedene Kubernetes-Security-Themen geben und zeigen, inwieweit sie allgemeine Enterprise-Anforderungen erfüllen.
Die Themen sind unter anderem:
- Signierung von Container Images
- Mutual TLS zwischen Microservices
- Container und Application Vulnerability Scanning
- Cluster Runtime Security
- Governance durch Policies
Dabei ergänze ich jede Vorstellung der Tools mit Erfahrungen und Best Practices aus dem Projektalltag und zeige die Limitierungen der Tools auf.
Wer sind die Angreifer im Netz, was sind Ihre Ziele und gegen welche Arten von Attacken muss ich mich wappnen?
Es gilt immensen Schaden abzuwenden und das Vertrauen der Nutzer in Ihre Plattform zu gewinnen und zu bewahren.
Netzwerk Monitoring ist eine der wesentlichsten Mechanismen für ein stabiles Netzwerk. Erst wenn Probleme in Ihrem Netzwerk frühzeitig dargestellt und erkannt werden können Sie sich zu 100% auf dieses verlassen. Ansonsten würden womöglich Redundanzen bereits ohne Ihr Wissen bereits angesprochen haben und das nächste Problem führt womöglich zu einem Gesamtausfall Ihrer Infrastruktur. Auch Cyber Angriffe können nur durch eine entsprechende Überwachung und Auswertung erst frühzeitig erkannt werden und Sie können direkt darauf reagieren.
Die hohe Kunst Tretminen in Ihrer Software zu versteckenteam-WIBU
Es gibt Anwendungsfälle, bei denen das Kryptographie-Lehrbuch standardmäßig verwendet werden kann. Ein gutes Beispiel dafür ist die Verschlüsselung von E-Mails. Im Software-Schutz gilt dies aber nicht. Warum ist dies so? Bei einer E-Mail hat der Anwender selber ein Interesse daran, die eigenen Daten geheim zu halten. Beim Software-Schutz möchte der Anwender einfach mit der Software arbeiten. Es ist ihm dabei egal, ob der Schutz intakt ist und bleibt. Dieser Einsatz in „Feindesland“ geht weit über das Standard-Lehrbuch hinaus. Hier gilt: Tricksen, Täuschen und Tarnen.
Eine sehr effektive Methode für diese Umgebung ist die Verwendung von Fallen, vor allem im Zusammenhang mit einer irreversiblen Sperre des kryptographischen Schlüssels. Ähnlich wie Geräte in Agentenfilmen, die sich nach dem Lesen selbst vernichten. Im Software-Schutz erfolgt die Zerstörung nur, wenn eine Falle ausgelöst wurde. Ein normaler Kunde verwendet die Software ohne Einschränkung und ohne etwas von diesen Fallen zu merken. Der Hacker löst sie aus und zerstört sich damit die Möglichkeit der weiteren Analyse.
Webinar anschauen: https://youtu.be/HCEMYzNw_K4
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020data://disrupted®
Die Bedrohungslage verschärft sich: Die Allianz bewertet Cyber Incidents als größtes Geschäftsrisiko überhaupt. Das BSI spricht von „massenhafter Verbreitung raffinierter Angriffsmethoden durch Organisierte Kriminalität.“ An vorderster Front stehen hier natürlich IT-Sicherheitssysteme. Aber wie die letzten Angriffe – unter anderem mit Ransomware – zeigten, greifen diese nicht immer. Und dann sind oft sehr viele oder sogar alle Daten inklusive der Backupdaten zerstört. Hier hilft dann nur noch die Daten von einem Physical-Air-Gap-Medium zurückzusichern. Sehen Sie, warum Tape das sicherste Medium ist. Erfahren Sie auch, warum nahezu alle große Cloud-Service-Provider Tape einsetzen. Sehen Sie die zukünftige Roadmap, Produktentwicklung und die weiteren Einsatzgebiete von Tape.
Josef Weingand ist Business Development Manager für Tape Storage bei IBM, zuständig für die DACH-Region. Er hat über 23 Jahre Erfahrung im Tape Storage und arbeitet sowohl im Technical Support als auch im Sales Support für Data-Protection-, Data-Retention- und Tape-Lösungen. Er hat an mehreren IBM Redbooks mitgearbeitet und einige Patente im Storage-Bereich erarbeitet.
Ein Selfdefending Network ermöglicht Security Prognaosen zur Früherkennung von Attacken. Der Zugang zum internen Netz muss mit neuen Methoden geschützt werden. Nach dem Wegfall der Perimeter müssen wir wissen, welche Geräte und welche Personen sich an unsere Netze anschließen. Ein Selfdefending Network schützt vor infizierten, schlecht gesicherten Geräten durch den Security-Check der angeschlossenen Geräte, durch Aktualität der Antiviren-Signaturen, durch richtige Konfiguration und Einstellung. Zugang zum internen Netz erfolgt erst nach Authentifizierung (entsprechend dem Standard 802.1x), auch durch generelle Authentifizierung und Zuordnung der adäquaten Netzwerkberechtigung abhängig von der Rolle des Benutzers.
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
Lernen Sie was eine Zonierung bedeutet und wie diese in Verbindung mit einer Firewall Ihr Security Level auf ein neues Niveau stellt. Westermo‘s WeOS vereint alle diese Funktionen und bietet Ihnen somit besten Schutz mit Hilfe von nur einer Komponente.
Erfahren Sie im dritten Teil unserer Serie, warum und wie Sie die Zonierung in Ihrem Netzwerk vornehmen können und platzieren Sie Firewalls an der richtigen Stelle um es Angreifern möglichst schwer zu machen.
Mehr dazu: https://www.westermo.at/news-and-events/webinars/zonierung-firewalling
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
Zielgruppe: Admins, CISOs
Schwerpunkt: organisatorisch & technisch
Sprache: Deutsch
Abstract:
**********
An Hand von typischen Audit-Findings diskutieren wir entlang der „Dreifaltigkeit“ People – Processes – Technology die wichtigsten Sicherheitsaspekte zum Thema Remote Access und Telearbeit. Nachdem wir im ersten Termin bereits die Bereiche People und Processes behandelt haben, werden wir in diesem Talk auf den Bereich Technoloy eingehen und auch einen kurzen Ausblick auf einige fortgeschrittenere Ideen wie Zero Trust Architekturen geben.
About the Speaker:
*********************
Philipp Reisinger is consultant in the Information Security Management team. He received his master’s degree in “Information Security” at the St. Pölten University of Applied Sciences and is CISSP and CISA certified. His consulting activities are focused on the organizational aspects of information security such as: Information security management systems (ISMS), ISO27001 gap and business impact analyses, IT/IS audit, Information risk management and Security Awareness
Günther Roat is consultant and team lead of the Information Security Management team at SBA Research. He is a Microsoft Certified Technology Specialist and received his degree in Business Informatics at the University of Applied Sciences Technikum Vienna. His consulting activities are focused on the organizational aspects of information security.
Ein (nicht-technischer) Überblick über die Grundlagen der Cybersicherheit und die Werkzeuge, die man im Rahmen eines DevSecOps-Ansatzes einsetzen kann.
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?QAware GmbH
CloudLand 2023, Juni 2023, Markus Zimmermann
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Ein Kubernetes Cluster ist heutzutage schnell aufgesetzt: ob mit Installationsplattformen wie Rancher oder in der Public Cloud als Managed Service wie AWS EKS. Doch die größten Probleme ergeben sich im aktiven Betrieb des Clusters. Im Enterprise-Umfeld hat die Konzern-Security sehr viele Anforderungen an den Cluster, ohne die ein Produktiveinsatz nicht möglich ist.
Es stellt sich nun die Frage: Brauche ich Enterprise-Versionen von Security Tools oder gibt es auch gute Open Source Tools, die all meine Anforderungen erfüllen?
In meinem Talk möchte ich eine Übersicht über die State-of-the-Art Open Source Tools für verschiedene Kubernetes-Security-Themen geben und zeigen, inwieweit sie allgemeine Enterprise-Anforderungen erfüllen.
Die Themen sind unter anderem:
- Signierung von Container Images
- Mutual TLS zwischen Microservices
- Container und Application Vulnerability Scanning
- Cluster Runtime Security
- Governance durch Policies
Dabei ergänze ich jede Vorstellung der Tools mit Erfahrungen und Best Practices aus dem Projektalltag und zeige die Limitierungen der Tools auf.
1. Copyright 2016 Trend Micro Inc.1
Wanna Cry?
Informationen zur aktuellen Ransomware Angriffswelle
Timo Wege
Technical Consultant
Stefan Rehberg
Technical Consultant
2. Copyright 2016 Trend Micro Inc.2
Agenda
• Was ist da eigentlich los? (Presse Überblick)
• Fakten zum Krypto-Trojaner
• …technisch betrachtet
• Wo und wie hilft Trend Micro?
5. Copyright 2016 Trend Micro Inc.5
Qualität? Quantität!
• Hardcoded Bitcoin Adressen zur Zahlung des
Lösegeldes
– Keine Möglichkeit die Entschlüsselung zu automatisieren
– Nachvollziehbarkeit der Transaktionen
• Großer Footprint (~3MB)
• Killswitch zur Deaktivierung der Malware
– 2 mal hardcoded URL verwendet, statt generierter URL
6. Copyright 2016 Trend Micro Inc.6
Fakten und Infos
• Namen: WannaCrypt, Wcrypt,
Wana Decrypt0r 2.0, WCry2,
WannaCry2, Wana Cryptor
• Lösegeldforderung liegt
anfangs bei 300 Dollar (via
Bitcoin)
– verdoppelt sich nach drei Tagen
• Nach sieben Tagen wird der
Encryption Key gelöscht
7. Copyright 2016 Trend Micro Inc.7
Fakten und Infos
• Ca. 28 verschiedene Sprachen
• „Check Payment Button“ gibt
eine zufällige Antwort von
vieren.
• AV Test zählte bis dato 147
Varianten der Malware
(Montag morgen)
8. Copyright 2016 Trend Micro Inc.8
Fakten und Infos
• Ca. 230.000 Infektionen (Stand Montag Abend)
• Ca. 150 Länder meldeten Infektionen
• Keine zielgerichtete Attacke
• Lösegeldzahlungen liegen bei etwa 30.000-55.000$ in Summe (heise.de, CISCO)
– Bitcoin Adressen sind bekannt, etwa 130 Zahlungen gingen ein (Montag Mittag)
– Vergleich „Angler Ransomware Kampagne“ 2015, brachte ca. 60 Millionen Dollar
• Schaden ist dennoch immens
10. Copyright 2016 Trend Micro Inc.10
Yet another Ransomware?
• Entglorifizieren: Wana Cryptor ist ‚nur‘ ein
Krypto-Trojaner
• Erstinfektion via SPAM, MS17-010
• Speziell: Nach Infektion automatische
Replikation im Netz (Wurm Verhalten)
11. Copyright 2016 Trend Micro Inc.11
Infektionsweg
• Eternal Blue, Double Pulsar (MS17-010 Bulletin)
– SMB Protokoll wird zum
Filesharing genutzt
– Opfer muss nur eine
Dateifreigabe anbieten
• Seit 14. März existieren
Patches
• Bekannt geworden durch
„NSA / Shadow Brokers Leak“
(April 2017)
Quelle: https://twitter.com/_supernothing/status/863687990823968768?s=09
12. Copyright 2016 Trend Micro Inc.12
Einfallstor
• SPAM Email
– Embedded URL im Message Body
– Dropbox Link (SSL)
– Attachment (Word Dokument)
• SMB Lücke (MS17-010 Bulletin)
• Vermutlich via Remote Desktop Protocol (?)
– Vgl. CRYSIS Ransomware September 2016
• http://blog.trendmicro.com/trendlabs-security-intelligence/brute-force-rdp-attacks-plant-crysis-ransomware/
– Brute Force oder Vulnerability(?)
13. Copyright 2016 Trend Micro Inc.13
Weiterverbreitung über „Eternal Blue“ MS17-010
• Betroffen
– Windows Vista Windows XP
– Windows 7 Windows 8
– Windows 8.1
– Windows 10
– Server 2008 & Server 2008 R2 Server 2003
– Server 2012 & Server 2012 R2
– Server 2016
17. Copyright 2016 Trend Micro Inc.17
Killswitch?
• Experte findet am Samstag ‚versehentlich‘ Killswitch
• Kann sich der Trojaner auf eine URL verbinden, dann stoppt er seine
Ausführung iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• Registrierung der Domain sorgte für Stopp der Verbreitung
• Schnell kamen neue Varianten
18. Copyright 2016 Trend Micro Inc.18
Hilfemaßnahmen
• Bitte die empfohlenen Sicherheitspatches von Microsoft installieren Microsoft
Security Bulletin MS17-010
• Microsoft Patch für unsupported Versions (Windows XP, Windows 8, Windows
Vista, Server 2003, Server 2008)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
• Backup einrichten und testen (3-2-1 Regel)
– 3 Kopien
– 2 auf unterschiedlichen Medien / inkl. Medienbruch
– 1 außer Haus
• Blocken von SMB Ports am Perimeter [UDP 137, 138 und TCP 139, 445] und/oder
Deaktivierung von SMBv1. https://support.microsoft.com/en-us/help/2696547
25. Copyright 2016 Trend Micro Inc.25
Trend Micro TippingPoint
• Blockiert die Verbindung zu den
C&C Servern und verhindert die
Ausnutzung der „Eternal Blue“
Schwachstelle
• Ideal für Produktionsbereiche
• Stunde Null
26. Copyright 2016 Trend Micro Inc.26
Endpoint Application Control
• Lockdown des Systems
• Verhindern der Ausführung
unbekannter
Anwendungen
• Stunde Null
27. Copyright 2016 Trend Micro Inc.27
Deep Discovery Inspector zur Erkennung
• Regel 2383 erkennt den Exploit
• Sandbox analysiert das Sample
28. Copyright 2016 Trend Micro Inc.28
Empfehlungen an Bestandskunden/Partner
• Haben Sie die Updates noch nicht installiert? Fangen Sie am besten JETZT mit dem Rollout an. Das Webinar ist gleich vorbei ;-)
• Aktivierung der Anti-Ransomware Features im OfficeScan und WorryFree. Details zu den Funktionen und wie sie zu konfigurieren sind findet Ihr hier:
https://success.trendmicro.com/solution/1112223
• Smart Scan Agent Pattern 13.399.00 und Official Pattern Release (conventional) 13.401.00 erkennen die (derzeit bekannten) Bedrohungen
• Trend Micro Web Reputation Service verhindert den Kontakt zu bekannten Command und Control Servern
• Trend Micro Deep Security und Vulnerability Protection (vorher Intrusion Defense Firewall oder IDF) verhindern die Ausnutzung der
entsprechenden Schwachstelle. Dazu müssen die IPS Rules 1008224, 1008228, 1008225, 1008227 auf den Systemen aktiviert werden.
• Trend Micro Deep Discovery Inspector erkennt den Exploit durch Aktivierung der Regel DDI Rule 2383
• Trend Micro Tipping Point stellt ebenfalls Filter, die Command und Control Kommunikation und das Ausnutzen der Schwachstelle verhindern, zur
Verfügung.
29. Copyright 2016 Trend Micro Inc.29
Empfehlung an (noch) nicht Kunden
• Machine Learning
Assessment Tool
https://www.trendmicro.com/product_trials/service/index/us/164