15 1611
«CYBER SECURITY – WEIL
BITCOIN-MINING, EMOTET UND
CO. AUCH SIE TREFFEN KANN»
Dienstag, 3. September 2019
Baar
11,215 0,2 0,2 1610,0
© InfoGuard │ INFOGUARD.CH │ 2
Franco Cerminara
Chief Consulting Officer, InfoGuard AG
Tel. +41 41 749 19 62
Mob. +41 79 308 83 16
«Cyber Security ist vielschichtig. Ein zuverlässiger Schutz Ihrer Werte –
Informationen, Mitarbeiter, Prozesse und Infrastruktur – lässt sich nur
über einen strukturierten, methodischen Sicherheitsprozess erreichen.»
11,215 0,2 0,2 1610,0
Treiber der Cyber Security
• Digitalisierung(Cloud / iOT / Industrie 4.0 / Blockchain / EPD /
etc.)
• Compliance(GDPR / DSG / FINMA / SWIFT / PCI-DSS /
HIPAA / TISAX / etc.)
• Risiko(IT-, Information und Cyber Risiken /
Personelle Risiken / etc.)
© InfoGuard │ INFOGUARD.CH │ 3
11,215 0,2 0,2 1610,0
Aktuelle Bedrohungslage
Emotet, Cobalt Strike und MegaC0rtex
© InfoGuard │ INFOGUARD.CH │ 4
11,215 0,2 0,2 1610,0
Aktuelle Bedrohungslage
Emotet, Cobalt Strike und MegaC0rtex
© InfoGuard │ INFOGUARD.CH │ 5
Cyber-Sicherheitsvorfälle nehmen in einem alarmierenden Tempo zu und
können tiefgreifende Auswirkungen auf das tägliche Funktionieren
von Gesellschaft und Wirtschaft haben, sowohl online als auch offline…
11,215 0,2 0,2 1610,0
Angriffe erfolgen vermehrt aus der Lieferkette
© InfoGuard │ INFOGUARD.CH │ 6
Command & Control
Server
11,215 0,2 0,2 1610,0
Begriffe
© InfoGuard │ INFOGUARD.CH │ 7
INFORMATIONENKundendaten, Daten der Mitarbeitenden,
Vertrauliche Betriebsdaten, Betriebsprozesse,
Zugangs- und Sicherungsmassnahmen,
Informationen über Entscheidungsprozesse
usw.
Cloud
Datenbanken
Fax
Notebook
Multifunktions-
geräte
Papier
PC
Server
Smartphone
Tablet
Telefon
Mitarbeitende
Know-how Schutzziele:
• Vertraulichkeit (Confidentiality)
• Integrität (Integrity)
• Verfügbarkeit (Availability)
11,215 0,2 0,2 1610,0
Bedrohungen
© InfoGuard │ INFOGUARD.CH │ 8
INFORMATIONEN
Internet
Physischer
Eingang
Externe
Partner
Telefon
11,215 0,2 0,2 1610,0
Fakten zu E-Mail: InfoGuard mit 125+ Mitarbeiter
© InfoGuard │ INFOGUARD.CH │ 9
1’182’505Received Mails
994‘241 Rejected Mails / Bad Reputation
111‘930CLEAN: 9.5% of all Mails received
75‘335 Rejected Mails / Spam
11,215 0,2 0,2 1610,0
Cyber Security – Bedrohungslage mit Tendenzeinschätzung
© InfoGuard │ INFOGUARD.CH │ 10
Steigende Anzahl Angriffspunkte:
Anforderungen an die IT Sicherheit UND Mitarbeiter steigen stetig!
Social Engineering
Phishing
CEO Fraud
Spam
Gezielte Angriffe
APT / MalwareRansomware
(D)Dos Angriffe
Mobile Malware
Ausfall
IT-Infrastruktur
Cyber Spionage
Insider Threat
EU-GDPR
Aktuelle Tendenzen Einschätzung stagnierendsteigend fallend
Mensch
Technologie
Regulation
Prozesse
1
2
3
4
Data Breach
inkl. Cloud
Lizenzverletzungen
Offenlegung
schützenswerter
Informationen
Qualität IT Services
ungenügend
11,215 0,2 0,2 1610,0
Threat Actors – die Angreifer
© InfoGuard │ INFOGUARD.CH │ 11
11,215 0,2 0,2 1610,0
Die «Cyber Kill Chain»
Es ist sehr wichtig die Motivation, das Vorhaben, das Vorgehen und die Instrumente der
Angreifer zu verstehen, um Bedrohungen zu antizipieren, Angriffe zu verhindern und erkennen
sowie im Notfall effektiv zu reagieren
© InfoGuard │ INFOGUARD.CH │ 12
11,215 0,2 0,2 1610,0
Fakten zu Top 10 Malware April 2019
Rang Name Art Funktion
1 Gh0st RAT Backdoor: erlaubt volle Kontrolle des Systems.
2 Dridex Banking Trojaner Verteilt sich über böse Word Macros.
3 Kovter Click Fraud Versteckt sich in Registry Keys, hat Backdoor Funktionen.
4 Trickbot Banking Trojaner Modularer E-Banking Trojaner, wird oft von Emotet nachgeliefert.
5 Dridex Banking Trojaner Word Macros, macht Malspam.
6 WannaCry Ransomware Eternalblue Exploit. Verteilt sich via SMB Protokoll.
7 ZeuS Banking Trojaner KeyLogger, Banking Trojaner. (Seit 2011 aktiv)
8 CoinMiner Miner Cryptocurrency Miner. Verteilt sich via WMI und Eternalblue.
9 NanoCore RAT Verseuchte Excel Dateien. Volle Kontrolle über das System.
10 Emotet Dropper/InfoStealer Wird benutzt um andere Viren zu installieren. Stiehlt E-Mails.
© InfoGuard │ INFOGUARD.CH │ 13
https://www.cisecurity.org/blog/top-10-malware-april-2019/
11,215 0,2 0,2 1610,0
Was ist EMOTET?
© InfoGuard │ INFOGUARD.CH │ 14
• Ursprünglich (2014) ein Banking Trojaner
• Kommt meistens via Malspam rein (Word Makro Attachments oder
Download Links zu solchen)
• Modulare Malware -> Wird benutzt um initialen Zugang zum
System zu erlangen um diesen dann im Untergrund zu verkaufen
oder weitere Viren nachzuladen.
• Typischerweise: Emotet (initial access) -> Trickbot (E-Banking) ->
Ryuk, Cobalt Strike und MegaC0rtex (Ransomware)
• Schwierig zu detektieren und zu entfernen
• Die Gruppe hinter Emotet ändert den Virus fast im Wochentakt
• Seit Oktober 2018 sammelt Emotet im grossen Stil E-Mails.
Warum wohl?
• Seit April 2019 verschickt sich Emotet als Teil von vergangenen
E-Mail Konversationen (Dynamit Phishing)
https://www.izoologic.com/category/malware-protection/page/2/
11,215 0,2 0,2 1610,0
Was ist EMOTET? - Ablauf
© InfoGuard │ INFOGUARD.CH │ 15
1
2 3
4 5
6
7
und was jetzt?!
Plan A:
Plan B:
Angreifer sendet E-Mail mit schädlichem Anhang
Makro lädt Emotet von der Infrastruktur des
Angreifers
Emotet lädt TrickBot nach
Opfer liest E-Mail und öffnet schädlichen Anhang
Opfer ignoriert Warnmeldungen und aktiviert Makros
TrickBot infiziert andere Systeme über eine SMB Verwundbarkeit
Angreifer installieren die Ryuk Ransomware und beginnen mit dem Verschlüsseln der Systeme
Sind offline Backups vorhanden,
können Systeme zurückgesetzt
werden
Wenn alle Backups verschlüsselt
sind, bezahlen einige Opfer
das Lösegeld
Angreifer
Erstes Opfer
11,215 0,2 0,2 1610,0
Wie erfolgt die Infektion?
© InfoGuard │ INFOGUARD.CH │ 16
11,215 0,2 0,2 1610,0
Wie erfolgt die Infektion?
© InfoGuard │ INFOGUARD.CH │ 17
Das Dokument öffnet sich im geschützten Modus, und der Empfänger muss „Enable Editing“
(„Bearbeitung aktivieren“) und danach „Enable Content“ („Inhalt zulassen“) klicken. Dadurch
startet im Hintergrund automatisch ein Makro, das den Emotet-Trojaner lädt.
11,215 0,2 0,2 1610,0
Live Hacking
© InfoGuard │ INFOGUARD.CH │ 18
11,215 0,2 0,2 1610,0
Beispiel: … und wie stark ist IHR Passwort?
© InfoGuard │ INFOGUARD.CH │ 19
Wie viele Zeichen hat Ihr Passwort?(Buchstaben / Zahlen / Sonderzeichen)
C: 8 Zeichen
B: 7 Zeichen D: 9 Zeichen
A: 6 Zeichen
60 Sekunden
ca. 60 Minuten
ca. 60 Stunden
Ca. 90 Tage
Kommen wir als InfoGuard an Hashwerte können wir sie mit
Hilfe unserer Infrastruktur knacken. Wie lange würde es dauern?(Budget ca. CHF 3’500.- «Gaming PC»)
11,215 0,2 0,2 1610,0
… und wie stark ist IHR Passwort?
© InfoGuard │ INFOGUARD.CH │ 20
Wie viele Zeichen hat Ihr Passwort?(Buchstaben / Zahlen / Sonderzeichen)
C: 8 Zeichen
B: 7 Zeichen D: 9 Zeichen
A: 6 Zeichen
60 Sekunden
ca. 60 Minuten
ca. 60 Stunden
Ca. 90 Tage
11,215 0,2 0,2 1610,0
Top 13: Die schlechtesten Schweizer Passwörter
© InfoGuard │ INFOGUARD.CH │ 21
https://www.pctipp.ch/news/gesellschaft/artikel/top-20-die-schlechtesten-schweizer-passwoerter-89076/
Rank Password
1 123456
2 1234
3 123456789
4 12345678
5 12345
6 111111
7 Hallo
8 Passwort
9 Soleil
10 Password
11 1234567
12 1234567890
13 qwertz
https://sec.hpi.de/ilc/
11,215 0,2 0,2 1610,0
Tipps für den Alltag: Sind auch Ihre Passwörter von Diebstahl betroffen?
Immer wieder kommt es vor, dass Hacker
Datenbanken von Unternehmen knacken
und Zugangsdaten von Webseiten-Nutzern,
Cloud-Anwendungen und sozialen Netzen
entwenden. Oft wissen User nicht, wie sie
herausfinden können, ob auch ihr Account
vom Angriff betroffen ist. Auf diese Frage
weiss "Have I Been Pwned"
https://haveibeenpwned.com/
die Antwort.
© InfoGuard │ INFOGUARD.CH │ 22
11,215 0,2 0,2 1610,0
Beispiel: Achtung Phishing
© InfoGuard │ INFOGUARD.CH │ 23
Phishing = "Password", "Harvesting" und "Fishing"
11,215 0,2 0,2 1610,0
Beispiel: Achtung Phishing – E-Mail Hinweise
© InfoGuard │ INFOGUARD.CH │ 24
Falsche Absender-Adresse:
Manipulierter Anzeigename (frei wählbar):
Pascale Koller
Untypische Anrede:
Geschätztes Teilnehmende des Digital Day
Gefälschte Webseite (Text frei wählbar):
Fiktiv: https://www.ruz.ch/de/ruz-account/digitalday2019
Real: https://security-first.ch/5e1lc9046c3hixd5
Zeitdruck:
…der Linkt ist nur 48 Stunden verfügbar.
Fiktiver bzw. bisher unbekannter Betreff:
Unterlagen zum Digital Day 2019
11,215 0,2 0,2 1610,0
Beispiel: Achtung Phishing – Webseite Hinweise
© InfoGuard │ INFOGUARD.CH │ 25
Gefälschte Webseite:
https://security-first.ch/5e1lc9046c3hixd5
Identitätsdiebstahl:
E-Mail Adresse & Passwort
11,215 0,2 0,2 1610,0
Beispiel: Achtung Phishing – Webseite II
© InfoGuard │ INFOGUARD.CH │ 26
11,215 0,2 0,2 1610,0
Website spoofing: RUZ
Typo-Squatting Definition
Methode, die von Hackern eingesetzt wird, um Ihre Opfer auf eine gefälschte Webseite zu locken.
Dafür wird eine Domäne registriert, welche nahe an der tatsächlichen Domäne des anvisierten Unternehmens liegt.
Typo = versehentlicher «Vertipper» auf der Tastatur.
Google.ch Googel.ch
© InfoGuard │ INFOGUARD.CH │ 27
https://dnstwister.report/
11,215 0,2 0,2 1610,0
Typo Squatting: Ruz
Das Lesen einer URL ist nicht so einfach. Wie erkennt man eine gefälschte URL?
1. https://rцz.ch/
2. https://rμz.ch/
3. https://ruʐ.ch/
4. https://ɼuz.ch/
5. https://ґuz.ch/
6. https://ruz.ch/
7. https://RՄZ.CH/
© InfoGuard │ INFOGUARD.CH │ 28
gefälscht: Tse (Ц ц; italics: Ц ц) is a letter of the Cyrillic script
gefälscht: [μ] altgriechisches Neutrum μῦ und neugriechisch Μι
gefälscht: (ʐ) Kleinbuchstabe Z mit Retroflexhaken.
gefälscht: (ɼ) Latin lowercase R with long stem
gefälscht: (ґ) Cyrillic small letter GHE with Upturn
gefälscht: (Մ) Armenian capital letter men
korrekt
11,215 0,2 0,2 1610,0
Typo Squatting: Ruz
Das Lesen einer URL ist nicht so einfach. Wie erkennt man eine gefälschte URL?
https://ruz.ch/
https://rυz.ch/
© InfoGuard │ INFOGUARD.CH │ 29
gefälscht: Das Ypsilon (griechisches Neutrum Ύψιλον
korrekt
11,215 0,2 0,2 1610,0
Geben Sie Phishing Mails keine Chance!
© InfoGuard │ INFOGUARD.CH │ 30
https://www.infoguard.ch/de/download-phishing-poster
11,215 0,2 0,2 1610,0
Beispiel: USB Rubber Ducky
• Der USB Rubber Ducky ist nicht so harmlos, wie er
aussieht.
• Am Rechner meldet er sich als USB-Tastatur an und
übernimmt ungefragt das Ruder.
• Preis 45 US $
© InfoGuard │ INFOGUARD.CH │ 31
11,215 0,2 0,2 1610,0
Tipps für den Alltag: USB Memory Stick
Finger weg von USB-Sticks unbekannter Herkunft:
• Die Anti-Viren-Software wird nicht anspringen und es ist für den Besitzer des USB-
Sticks ein leichtes Spiel ist, Passwörter und andere sensible Daten auszuspionieren.
• Öffnen von Dokumenten: Öffnen Sie keine Dokumente ohne dass der USB Memory
Stick vorher getestet wurde. Bringen Sie den USB Memory Stick einer Fachperson zum
testen (IT Abteilung).
• Unbekannte Herkunft: Sind Sie vorsichtig bei gefunden und zugestellten USB Memory
Stick (Bewerbungen, Werbegeschenke, etc.). An einen Rechner sollten Sie kein USB
Memory Sticks anschliessen, dessen Herkunft Sie nicht kennen.
• Ohne Aufsicht: Wenn ein USB Memory Stick kurz unbeaufsichtigt ist oder verloren geht,
könnten Daten manipuliert werden.
© InfoGuard │ INFOGUARD.CH │ 32
11,215 0,2 0,2 1610,0
Tipps & Tricks
© InfoGuard │ INFOGUARD.CH │ 33
11,215 0,2 0,2 1610,0
Cyber Security heute –
Es braucht bewährtes Security Framework
Verschiedene Security Frameworks wie ISO, Grundschutz, NIST geben Auskunft
darüber, welche Standards und Best Practices in Ihrem Unternehmen umgesetzt
werden müssen, um Cyber Risiken effektiv zu steuern und gezielt zu minimieren.
© InfoGuard │ INFOGUARD.CH │ 34
Quelle: https://www.nist.gov/cyberframework
NIST CYBER SECURITY FRAMEWORK ¦¦ IKT Minimalstandard
IDENTIFY
• Asset management• Business environment• Governance• Risk assessment• Risk managementstrategy
PROTECT
• Access control• Awareness and training• Data security• Information protection andprocedures
• Maintenance• Protective technology
DETECT
• Anomalies and events• Security continuousmonitoring
• Detection process
RESPOND
• Response planning• Communications• Analysis• Mitigation• Improvements
RECOVER
• Recovery planning• Improvements• Communications
CYBER DEFENCE MATURITY
GesternHeute
11,215 0,2 0,2 1610,0
InfoGuard Cyber Defence Services –
Modulares Framework
© InfoGuard │ INFOGUARD.CH │ 35
Response Services
• Incident Response / CSIRT
• Forensics
• Threat Analysis
Security Operations Services
• Managed Security
• Cloud Security
• Support Services
Advanced Detection Services
• Cyber Threat Intelligence (CTI)
• Threat Hunting
• Endpoint Detection and Response
Basic Detection Services
• AI based Breach Detection
• Security Information & Event Monitoring
(SIEM)
• Vulnerability Management
11,215 0,2 0,2 1610,0
InfoGuard Consulting Services –
Security Audit
Org. Audit Bedrohungen Risiko BewertungSchwachstellen Strategie / Plan
KUNDEProcess, People, Technology, Assets
11,215 0,2 0,2 1610,0
Learnings
• Man ist sich lange nicht bewusst, dass man angegriffen wurde und die IT versucht es
selber zu flicken –> Es muss ein Standardprozess geben, der das Abschalten der
Systeme unabhängiger von menschlichem Ermessen macht.
• Vertrauen in die eigene IT ist gut aber Kontrolle ist besser - Simulationsangriffe
durchführen
• Back-ups wieder physisch trennen...wie früher
• Die bestehenden personellen Ressourcen funktionieren 36 Stunden und sind mit einer
solchen Situation überfordert -> Adressen und Bezugspersonen in Friedenszeiten
kennen.
«Sind Sie vorbereitet und haben sie einen gute Adresse in Bereich Cyber Crime, die
ihnen helfen könnte? Sie werden jede Hilfe brauchen»
Offix-CEO Martin Kelterborn
© InfoGuard │ INFOGUARD.CH │ 37
11,215 0,2 0,2 1610,0
Mitarbeiter: Nicht das schwächste Glied, sondern das wertvollste Gut
bei der Bekämpfung der Cyberkriminalität.
© InfoGuard │ INFOGUARD.CH │ 38
11,215 0,2 0,2 1610,0
Herzlichen Dank
© InfoGuard │ INFOGUARD.CH │ 39
Nutzen Sie unsere Erfahrung und unser
Know-how!
• Ausgewiesene Spezialisten für umfassende
Cyber Security.
• Breite Erfahrung aus nationalen und
internationalen Cyber Security Projekten
unterschiedlichster Branchen.
• Zielorientiertes Vorgehen dank «Best
Practice» und bewährten Methoden.
InfoGuard AG
Lindenstrasse 10
6340 Baar / Schweiz
Telefon +41 41 749 19 00