Endpoint Detection and ResponseWorkshop
Sebastian KaiserSales Engineer
2019-06-051
2
3
Publikumsbeteiligung 1
4
Bedrohungslandschaft
5
Cyber Attack Attribution Map – It sure looks fancy…
6
Who is Attacking?
77% Criminals
15% Espionage
5% Hacktivists
3% Warfare
We even have nation states launching ransomware
Stats – Hackmagedon.com
Malware Statistik
7
8
Das Zeitalter der Einmal-Malware
75%
75% of the malicious files SophosLabs detects are found
only within a single organization.
400,000
Sophos Labs receives and processes 400,000 previously unseen malware
samples each day.
Welche Malware-Typen sahen wir gestern?
67%
13%
ModerneMalware
Generische MalwareZero-Day Malware
2%
Crypto-Jacking
• Generische Malware• Varianten bekannter Malware / Toolkits
• Moderne Malware• (Bekannte) Exploits, Rechteausweitung,
Passwortdiebstahl, Persistenz
• Kombination mehrerer Techniken
• Ziele u.a. Banking-Zugangsdaten, Email-Adressen, Kreditkartendaten
• CryptoJacking• Bösartige Nutzung der CPU-Rechenleistung
zum Schürfen von Kryptowährungen
• Ransomware• Bösartige Verschlüsselung von Dateien und
Festplatten
• Zero-Day Malware• Zero-Day Angriffe in mehreren Stufen
• Würmer, Trojaner, VB Skript, PDF, dateilose Angriffe
Ransomware 5%
13%
Quelle: SophosLabs, August 2018, Region: CEEMEA
Wer bedroht mich (heute)?
Skript Kiddies Verbrecher von heute
Skript Kiddie aus den 2000’ernHacker
Strom-Stehler
Erpresser
Was schützt mich heute?
NextGenEndpoint
AntiVirusEDR
NextGenEndpoint
NextGenEndpoint
Achtung!
13
EDR != mehr Schutz
Achtung!
14
EDR = mehr Sichtbarkeit
Achtung!
15
So viel Geld für etwas Sichtbarkeit?
Come in and find exfil out
16
So what can a Hacker do in 3 hours? How about 10 min?
17
RDP credentials for sale
Cost per RDP password - $3.00 to $16.00
RDP Credential stores
18
UAS – Ultimate Anonymity Services
Over 40K RDP passwords for sale at any given time
Many organizations allow RDP
19
• To allow remote access Windows makes it easy
• Turn on RDP
20
So how did they steal my RDP password?
21
Search the internet for devices that allow RDP authentication
Follow the online video demos on how to brute force RDP with NLBrute
2018 Threat Space Change – Kill Chain Compression
PRE-BREACH POST-BREACH
Harvesting e-mail addresses, conference
information, etc.
With ‘hands on keyboard’ access,
intruders accomplish their
goal
Command channel for remote
manipulation of victim
Coupling exploit with backdoor into
deliverable payload
Delivering weaponized bundle to victim via email,
web …
Leveraging a vulnerability or functionality to execute code on victim’s machine
Installing malware on the asset
Delivery ExploitationRecon WeaponizationActions onObjective
Command& Control
Installation
Firewall, Web andE-mail Filtering,
Sandboxing, User Training
Traditional AV,File Scanning,White Listing,
SIEM, EDR and Anomaly Detection
Some Good News – Use of Exploit Kits has fallen sharply
23
Fileless AttackCriminal uses
o Infect victim via Malvertisingo Deliver Ransomware, CryptoJackers, Botnets
and Banking Trojans
Exploit kits that are no-longer popular o Blackhole – Arrested (2013)o Angler – Russian crackdown (2016)o Neutrino – Went privateo Sundown – Stopped their service, code leakedo Disdain – Disappearedo Terror – Disappeared
Currently Active Kitso RIGo Grandsofto Magnitudeo Fallout
Tactical shift to malicious documents, macros and scripts
Living off the land
• Powershell• Binary to HEX
• Upload to pastebin
• Load in memory
• NEVER TOUCHING THE DISK!
• cmd.exe
•WMIC
24
Killchain?
25
Cyber Kill ChainThe stages of a cyberattack
PRE-BREACH POST-BREACH
$ $ $
Actions onObjective
Command& Control
InstallationExploitationDelivery
Cyber Kill ChainThe stages of a cyberattack
PRE-BREACH POST-BREACH
$ $ $
Actions onObjective
Command& Control
InstallationExploitationDelivery
Cyber Kill ChainThe stages of a cyberattack
PRE-BREACH POST-BREACH
$ $ $
Actions onObjective
Command& Control
InstallationExploitationDelivery
Cyber Kill ChainThe stages of a cyberattack
PRE-BREACH POST-BREACH
$ $ $
Actions onObjective
Command& Control
InstallationExploitationDelivery
Cyber Kill ChainThe stages of a cyberattack
PRE-BREACH POST-BREACH
$ $ $
Actions onObjective
Command& Control
InstallationExploitationDelivery
Ransomware Evolved!LockerGoga & MegaCortex
31
Copy cats
32
SamSam BitPaymer Ryuk Dharma GandCrab
Type Targeted Targeted Targeted Targeted RaaS
Deployment RDP RDP RDP RDPRDP/Email/Exploitkits
Victim profileMedium/large organizations
Medium/large organizations
Medium/large organizations
Small organizations
Any
Typical ransom $40,000 $50,000-$1M+ $100,000 $5,000 $1,000-$8,000
Frequency 1+ per day Multiple per week Multiple per week Multiple per day Unknown
TargetsAll servers and endpoints
All servers All servers Critical servers Any
Regions affectedGlobal w/US concentration
Global Global Global Global
33
Was ist MegaCortex?
• Viele MATRIX-Referenzen (inkl. Schreibfehler)
• Ransomware mit automatisierten und manuellen Elementen = Blended threat
• Erste Samples Januar 2019 bei Virustotal
• Seit Mai 2019 vermehrte Angriffe auf Unternehmen
• MegaCortex ist kryptografisch signiert, Verweise auf andere Malwarefamilien
• Individuelle Version für jedes Opfer, mit 3-Stunden Zeitfenster für die Ausführung
• Infiziert vom Domain Controller aus alle erreichbaren Rechner
• Verschlüsselt Dateien, löscht Windows-Schattenkopien
Vorgehen (1)
• Infektionsweg wahrscheinlich Emotet-/Qbot-Payload
• Vom infizierten Domain-Controller aus wird mit gestohlenen Admin-Zugangsdaten ein Powershell-Skript gestartet
• Das startet eine Reverse-Meterpreter-Shell, über die der Angreifer von Remote (manuell) Kommandos auf dem Domaincontroller ausführen kann
Vorgehen (2)
• Vom DC wird die Malware per WMI (Windows Remote Administration) auf alle erreichbaren Clients verteilt und dort per psexec-Kopie gestartet
Vorgehen (3)
• Auf den Clients werden per Batchdatei „stop.bat“: 44 Prozesse gekillt, 189 Dienste gestoppt und 194 Dienste deaktiviert
• Dann wird die eigentliche Ransomware „winnit.exe“ gestartet
Vorgehen (4)
• MegaCortex verwendet zur Verschlüsselung ein DLL Modul, das von der Windows-Komponente rundll32.exe gestartet wird (eine Instanz pro 10 Dateien)
• MegaCortex löscht Schattenkopien
Vorgehen (5)
• Dateien auf den infizierten Rechnern werden mit individuellem Schlüssel pro Rechner verschlüsselt
• Lösegeldforderung
Übertragung ExploitAufklärung Bewaffnung AngriffszielBefehlskanalInstallation
EXE
vs.
APPLICATION CONTROL
NETWORK THREAT PROTECTION
LOCAL PRIVILEGE MITIGATION
APPLICATIONLOCKDOWN
CODE/MEMORY/APC MITIGATIONS
THREAT CASE (RCA) & EDR
CREDENTIAL THEFT PROTECTION
ANTI-RANSOMWARE
SYNCHRONIZEDSECURITY
DLL
MegaCortex
Verbreitung via• Rechteausweitung per gestohlenen
Admin-Zugangsdaten• WMI-Remoteausführung• Remote-PSEXEC
Persistenz• Deaktiviert Dienste
Command & Control• Reverse-Meterpreter-Shell per
Powershell-Skript
Payload• Kryptotrojaner
ANTI-VIRUS PUA HIPS
MACHINE LEARNING (ML)
Bedrohungsfall
Übertragung ExploitAufklärung Bewaffnung AngriffszielBefehlskanalInstallation
EXE
vs. Schutztechnologien im Video
APPLICATION CONTROL
NETWORK THREAT PROTECTION
LOCAL PRIVILEGE MITIGATION
APPLICATIONLOCKDOWN
CODE/MEMORY/APC MITIGATIONS
THREAT CASE (RCA) & EDR
CREDENTIAL THEFT PROTECTION
ANTI-RANSOMWARE
SYNCHRONIZEDSECURITY
DLL
ANTI-VIRUS PUA HIPS
MegaCortex
Verbreitung via• Nutzung von gestohlenen Admin-
Zugangsdaten• WMI-Remoteausführung• Remote-PSEXEC
Persistenz• Killt Prozesse, deaktiviert Dienste
Command & Control• Reverse-Meterpreter-Shell per
Powershell-Skript
Payload• Kryptotrojaner
MACHINE LEARNING (ML)
Übertragung ExploitAufklärung Bewaffnung AngriffszielBefehlskanalInstallation
EXE
vs. Schutztechnologien im Video
APPLICATION CONTROL
NETWORK THREAT PROTECTION
LOCAL PRIVILEGE MITIGATION
APPLICATIONLOCKDOWN
CODE/MEMORY/APC MITIGATIONS
THREAT CASE (RCA) & EDR
CREDENTIAL THEFT PROTECTION
ANTI-RANSOMWARE
SYNCHRONIZEDSECURITY
DLL
MegaCortex
Verbreitung via• Nutzung von gestohlenen Admin-
Zugangsdaten• WMI-Remoteausführung• Remote-PSEXEC
Persistenz• Killt Prozesse, deaktiviert Dienste
Command & Control• Reverse-Meterpreter-Shell per
Powershell-Skript
Payload• Kryptotrojaner
ANTI-VIRUS PUA HIPS
MACHINE LEARNING (ML)
Wie schützte ich mich gegen ?
• 2-Faktor-Authentifizierung statt Passwörter
• Powershell sowie psexec/pskill deaktivieren
• Regelmäßige Backups offline/offsite
• Intercept X Advanced with EDR auf Workstations UND Servern
http://bit.ly/megacortexhttp://bit.ly/megacortex2
Endpoint Evolved
46
Damals: Schutz vor Malware
„Wir machen das schon“
CENTRAL
ENDPOINT
PROTECTION
Gestern: Schutz vor Exploits + Ransomware
Überraschung: AntiVirus ist tot
Advanced
Heute: Erkennung und Stoppen von Hacking
Es ist doch nicht so einfach, wie alle sagten!
Advanced with EDR
Sophos Endpoint ProtectionCENTRAL ENDPOINT
PROTECTIONAdvanced Advanced with EDR
AV Signaturen / HIPS / Live Protection ✓ ✓ ✓
Device / Web / App Control ✓ ✓ ✓
Data Loss Protection (DLP) ✓ ✓ ✓
Malicious Traffic Detection (MTD) ✓ ✓ ✓ ✓
Security Heartbeat ✓ ✓ ✓ ✓
Deep Learning ✓ ✓ ✓
CryptoGuard ✓ ✓ ✓
WipeGuard ✓ ✓ ✓
Anti-Hacker-Technologien (CredGuard etc.) ✓ ✓ ✓
Exploit Protection ✓ ✓ ✓
Ursachenanalyse ✓ ✓ ✓
Automatische / manuelle Client-Isolation ✓/- ✓/- ✓/- ✓/✓
Malware-Analyse durch SophosLabs ✓
Unternehmensweite Bedrohungssuche ✓
Mitbewerber-Endpoint
Protection
EDR ist ein ganzheitlicher Ansatz zur Endpoint-Sicherheit mit Fokus auf
• Erkennung von Ereignissen und Sicherheitsvorfällen
• Reaktion auf Sicherheitsvorfälle
• Suche nach Bedrohungen
• Forensische Untersuchung nach einem Vorfall
integriert alle EDR-Komponenten in einer einzigen Lösung
Was ist EDR (Endpoint Detection and Response)?
Advanced with EDR
Für Unternehmen, die Angst vor
Ransomware haben
Advanced
Welches Produkt für wen?
CENTRAL
ENDPOINT
PROTECTION
Für Unternehmen,die glauben, dass
AntiVirus völlig ausreicht
Advanced with EDR
Für Unternehmen, die Angst vor
Ransomware und Hackern haben und dagegen auch etwas
tun wollen
53
Viel zu teuer!Viel zu komplex!
Wir sind dafür nicht aufgestellt!
Unsere Daten interessieren niemanden!
Firewall und AntiVirus reichten schon immer!
Das sind tatsächliche Aussagen, bevor überhaupt klar ist, welche Unterstützung EDR bieten kann.
The need for EDR is defined by “the gap”
MALICIOUS
BENIGN
MALICIOUS
BENIGN
“Traditional” EDR
MALICIOUS
BENIGN
EDR Evolved
Second Generation
AI Automation
Scalable Expertise
Intelligent Information
First Generation
Manual Hunting
Resource Intensive
Endless Data
Intelligent EDR – Now On Endpoint and Server
EDR starts with the Strongest Protection
Add Expertise, not Headcount
Guided Incident Response
Beweis: Umfrage unter 3.100 IT-Verantwortlichen
Umfrage unter 3.100 IT-Verantwortliche weltweit in Unternehmen von 100-5.000 Mitarbeitern, Zeitraum Dez. 2018 - Jan.2019
StundenReaktionszeit
73%wurden
2018Opfer
durchschnittlichzweimal
wissen nicht, wiesie infiziert wurden
20%
4 TageAufwand pro Monatfür Untersuchungen, davon 85% umsonst
Add Expertise, Not HeadcountThe First Detection and Response Solution for IT Generalists and the Specialist
Integrate and Interpret Threat Feeds
Detect and Prioritize Suspicious Events
Reverse Engineer Suspicious Files
Security Analyst Malware Analyst Threat Intelligence Analyst
Live-Demo
Advanced with EDR
ESH – File Info (explain ML PUA and Reputation)
62
Threat Analysis Center
63
EDR Across Endpoint and Server
All threat cases, alerts and searches, across all device types
Security analysis: Cross-estate threat hunting
Threat intelligence analysis: Access on-demand threat intelligence curated by SophosLabs
Malware Analysis
Analyze files using deep learning
Understand your security posture with guided investigations
Respond with the click of a button
Threat insight
69
Authentication EventsLogon attempts and credential history
ExecutablesHunt and investigate potential malware
PowershellScripts, malicious IT tools, hacker tools, Cmd line pgms
Publikumsbeteiligung 2
70
4 vertriebliche Ansätze
71
Marktführender Schutz
• Deep Learning
• Anti-Ransomware
• Anti-Exploit
• Web/Device/AppControl
• Ursachenanalyse
• Synchronized Security
Advanced
Marktführender Schutz
• Deep Learning
• Anti-Ransomware
• Anti-Exploit
• Web/Device/AppControl
• Ursachenanalyse
• Synchronized Security
Advanced Advanced with EDR
Zusätzlich• Antworten auf die Fragen
• Hat sich eine Bedrohung ausgebreitet?
• Ist ein Angriff noch im Gange?
• Gibt es „schlafende“ Bedrohungen?
• Sind Daten gestohlen worden? -> DSGVO/Compliance!
• Unternehmensweite Suche + Eindämmung von Bedrohungen
Sales 1
74
Beste Lösung am Markt – größtes Pflaster
75
• Glücksfall: Kunde kauft immer besten Schutz (z.B. wegen DSGVO)
• Kunde sagt: das ist zu teuer. Wo ist der Mehrwert gegenüber AV?o Compliance
o Sichtbarkeit
o Schutz
o Vorfallsbearbeitung
o Automatische Reaktion
• Ist Sophos wirklich teuer? Zum Vergleich:o Kaspersky + Crowdstrike + Cylance ist teuerer als Sophos
o Microsoft M365 E5 (5 Konsolen) = 58 USD/Monat/Arbeitsplatz
o Personalaufwand für das Management mehrere Konsolen
o Ausfallzeiten/Analyseaufwand nach Vorfall
Beweis: Bester Schutz und niedrigste Gesamtkosten
NSS Labs ADVANCED ENDPOINT PROTECTION COMPARATIVE REPORT MAR 2019
Sales 2
77
Vorfallsbearbeitung & Analyse
• Kunde meldet Angriff
• Installation CIXAEDR
• Stoppen des Angriffs
• Analyseo Was ist genau passiert?o Ereignisketteo Sophos Labs in a Box -> KI-Unterstützung bei der Analyseo Hat sich die Bedrohung ausgebreitet? Ist sie noch im Gange?o Sind Daten abgeflossen?
• Zielgruppeo IT-Admins, IT-Manager
• Mehrwert für Partnero Lead-Gen
Beweis: Umfrage unter 3.100 IT-Verantwortlichen
Umfrage unter 3.100 IT-Verantwortliche weltweit in Unternehmen von 100-5.000 Mitarbeitern, Zeitraum Dez. 2018 - Jan.2019
StundenReaktionszeit
73%wurden
2018Opfer
durchschnittlichzweimal
wissen nicht, wiesie infiziert wurden
20%
4 TageAufwand pro Monatfür Untersuchungen, davon 85% umsonst
Sales 3
80
Compliance
• DSGVO, PCI, HIPAA, SOX, KRITIS, Basel III, Risk Management
• Schutz von Daten nach „Stand der Technik“ gefordert (AV+Firewall NICHT Stand der Technik)
• Nachweispflicht, ob bei Sicherheitsvorfall Daten abgeflossen sind
• Risikomanagemento Kosten des Vorfalls <-> Kosten der Sicherheit
• Zielgruppe:o CISO, CEO, CFO
• Mehrwerto Nicht-Tech/SMT Ansprechpartner
Beweis
82
Sales 4
83
Sichtbarkeit, Aussagefähigkeit
84
• Sind wir betroffen? o Angriff XY, CVE, Admin-Tools
• Sind wir geschützt?
• IOC (IPs, URLs, Hashes)
• Verdächtiges Schwarmverhalten/Grauzone
• Zielgruppe:o IT-Manager
• Mehrwert für Partnero Service
Beweis
85
Beweis
• Kunden fragen Partner
• „Wären wir mit dem Kauf der Sophos Lösung gegen Emotet, LockerGoga, MegaCortex, WannaCry etc. geschützt?“
• Neben der Tatsache, dass die Lösung nach aktuellsten Tests die beste Schutzwirkung hat, beinhaltet sie auch die Schnittstelle zu einem Expertensystem, um diese Fragen zu beantworten
• „Hat Sie schon jemals ein Kunde gefragt, ob er gegen die Bedrohung aus der Tagesschau gestern Abend geschützt ist?“
Tools für Beweis
87
Ausblick?
88
Improved Reports
89
Setup scheduled reportso Define report criteriao Schedule an Email notificationo Link or attached document
Endpoint Protection Summary
Available NOW
Admin Tool – PowerShell usage
90
All use of PowerShell is recorded and searchable from central.
• Isolate Device while investigating
• Generate Forensics Snapshot to dive deep
Available NOW
Threat Indicators – Suspect executables
91
• Identification of most suspect executables across all devices
• Priority ranked based on new machine learning model
• Generate Threat case to investigate and take action
Publikumsbeteiligung 3
93