Dagens spioner använder trojaner Per Hellqvist Senior Security Specialist Technology Days 2013 1
Först lite intressant statistik 5.5 miljarder attacker blockerades av Symantec under 2011 403 miljoner nya varianter av elak kod under 2011 13 nya elakingar upptäcktes varje sekund
Nya varianter sprutar ut I snitt 605 390 nya varianter i oktober 2012 Mycket beror på polymorfa runtime packers Förmodligen hamnar vi på 520-600 miljoner nya 2012 3
Vad ligger bakom dagens attacker? Hacktivism DDoS Defacement Pengar Banktrojaner Utpressning Riktade attacker Bedrägerier Sabotage Spionage 4
Topp 10 vanligaste branscherna för riktade attacker 25.4% 15.4% 13.5% 6.2% 6% 5.9% 4.3% 3.2% 3.2% 3% Symantec Security Response 5
Riktade attacker sker varje dag och kan drabba alla 151 riktade attacker per dag i juni 2012 Mindre företag är sämre skyddade, men uppkopplade mot andra 251-500 (2.9%) 501-1000 (2.9%) 1001-1500 (2.6%) 1501-2500 (11%) 1-250 (37%) 2501+ (44%) Antal anställda på måltavlorna Symantec Security Response 6
Advanced Persistent Threat (APT) är en undergrupp av riktade attacker Säkerhetschefer sa att de är mer oroade över riktade attacker än APTer Riktade attacker (100% berörda) APTer (75% berörda) Source: CSO Magazine Research, Oktober 2011 7
Skillnaden mellan APTer och Riktade Attacker Vad är ett Advanced Persistent Threat? Aktiv, målinriktad, långsiktig kampanj Försöker stanna länge, dold Har flera vägar in för att försäkra sig om framgång Muterar och anpassar sig för att undvika upptäckt Mycket organiserade och med stor plånbok Vad är en riktad attack? En individuell attack (drive-by-download, SQL injektion) Typ en smash & grab av brottslingar för att tjäna pengar Kan vara organiserad och ha kapital Vad inget av dem är En vanlig infektion med elak kod 8
APTer: Varför ska du bry dig? APTer är verkliga och allvarliga Även om du inte är det primära målet måste du förstå dem Pratet om APTer gör att du kan ta ett nytt prat med chefsskapet om säkerhetsarbetet/-investeringarna Dagens APTtekniker är morgondagens standardsätt Måste överväga att förstärka defense-in-depth - strategin snarast Kan du skydda dig mot APTer kan du skydda dig mot riktade attacker Din information är attraktiv om det ger ett strategiskt värde Strategiskt värde för konkurrenter, hacktivister, nationalister och andra länder Finansiellt värde för motståndarna, organiserad brottslighet eller elaka insiders 9
APT Attribut: INTRÅNGET 1. INTRÅNGET: Hackarna bryter sig in i nätverk med social engineering för att installera elak kod på sårbara system och hos obetänksamma personer MÅLET: Upprätta språngbräda METODER: Rekognosering med: Icke-publika och publika resurser Utnyttja nolldagarssårbarheter Sällan automatiserat Social engineering för att lura offren 10
APT Attribut: UPPTÄCKTSFAS 2. SNOKANDE: När de kommit in ligger de lågt för att undvika upptäckt. De mappar försvar från insidan och skapar en stridsplan. De försäkrar sig om att de kan komma in på flera sätt MÅLET: Mappa nätverket Spåra upp intressant information METODER: Utnyttja sårbarheter i SW/HW Skaffa rättigheter, lösenord Leta efter andra resurser eller accesspunkter Bygga rävgrytet 11
APT Attribut: INSAMLANDET 3. INSAMLING: Hackarna bereder sig tillträde till dåligt skyddade system och samlar in information under en längre period. Ibland installeras elak kod för att samla in information eller störa verksamheten. MÅLET: Samla viktig information Störa verksamheten METODER: Använda stulna rättigheter Lågt och långsamt undviker upptäckt Manuell data-analys av data för att bestämma framtida attacker 12
APT Attribut: Utsmusslandet 4. EXFILTRATION: Insamlad information skickas ut från offret för analys eller som beslutsunderlag för framtida attacker MÅLET: Skicka värdefull data till HQ METODER: Kryptering Skicka data till C&C-servrar P2P-nätverk Lökrouting för att försvåra spårning Steganografi Dolda eller sidokanaler 13
Några exempel Vissa är designade att orsaka skada W32.Stuxnet W32.Flamer W32.Disttrack W32 FLAMER År: 2010 Exploits: 4 Region: Mellanöstern/Asien Gör: Skadar maskinvara Not: Siemens PLC kod År: 2012 Exploits: Region: Gör: Not: 2 Mellanöstern Raderar filer/os Stjäl information Använder Bluetooth År: 2012 Exploits: 0 Region: Mellanöstern Gör: Raderar filer/os Not: Skriver över MBR 14
Duqu Rekognoseringstrojan Mycket lik Stuxnet, delar mycket kod Använder stulna certifikat för att signera drivrutinerna Försöker öppna bakdörr eller ladda ned filer, t ex RATs Använder JPG för att dölja trafik Försöker stjäla information Attackerna började innan oktober 2011 Avinstallerar sig själv efter 30 dagar Spridningen är mycket begränsad, men mycket målinriktad Mål i Europa, Indien, Iran, Sudan, Vietnam Innehåller ingen kod för SCADA-system Levereras i en Word-fil 15
Duqu kan mycket Infostöld Tangentbordsinspelare, skärmdumpar, systeminfo, fönsterinfo, processlistning, utdelade enheter, mappa nätverket Rekognoseringsmodul Samla systeminformation som användarkonton, modulnamn, PID, x86 eller x64, info om nätverksadaptern, tidszon etc Ändra kill-switch Duqu är konfigurerad att avinstallera sig efter 30 dagar. Detta kan ändras 16
Steganografi 17
Nitro stjäl hemligheter från kemiindustrin 1. Attacken börjar med e-post med bilagor till utvalda mottagare 2. När bilagan öppnas laddas filer ned och datorn kontaktar en C&C server och väntar på instruktioner 3. Bakdörrstrojanen Poison Ivy som används är mycket vanligt förekommande inom industrispionage. 18
19
Nitro-gänget har lite humor Poison Ivy-trojanen!
21
Sykipot 22
Sykipot Använts som APT sedan 2006 (åtminstone) Använder ofta nolldagarssårbarheter Senaste versionen använde en nolldagars mot Adobe Reader och Acrobat Kommunicerar krypterat OCH via HTTPS Stjäl IP och sänder ut den från organisationen Designdokument, finansdata, tillverkningsinfo eller strategisk planering Ofta är försvarsindustrin måltavla Nu senast var det underleverantörer till försvaret, telekomm, datatillverkare, kemiindustrin, energisektorn, myndigheter Chefer mottagare 23
Ett av offren: 24
Ett av offren: 25
Rocra / Red October Storskalig spionage-attack, aktiv i minst 5 år Inriktar sig främst på diplomater och statliga myndigheter Omfattning: >60 C&C servrar, proxies i olika världsdelar 55.000 kopplingar noterades under en 2 månadersperiod >30 moduler med >1000 modul-varianter 26
Rocra / Red October Intressanta detaljer: Laddar ned moduler och exekverar dem i minnet Stjäl sync-data från Nokia, WM eller iphones när de kopplas in Stjäl filer (inklusive raderade) från USB-minnen Stjäl Cisco konfigurationer Kan uppdateras via dokument (ingen exploit, men en markör) 27
Rocra / Red October 28
Elderwood-gänget 29
Elderwood? Hackergrupp som aktivt utfört storskaliga attacker under de tre senaste åren Mest kända för Aurora/Hydraq som Google erkänt sig offer för Bättre utrustade än någon grupp vi någonsin stött på: Nitro-gruppen använde 1 nolldagarsattack Sykipot-gruppen använde 2 nolldagarsattacker Stuxnet använde 4 nolldagarsattacker Elderwood har använt 8 nolldagarsattacker! Termen Elderwood kommer från en bit kod de använder 30
Attackerna en tidslinje December 2010 CVE -2010-0249 Mars 2011 CVE -2011-0609 Juni 2011 CVE -2011-2110 7 maj 2012 CVE -2012-1875 30 maj 2012 CVE -2012-1889 2010 2011 2012 April 2011 CVE -2011-0611 24 april 2012 CVE -2012-0779 15 augusti 2012 CVE -2012-1535 31
Hur utförs attackerna? 2 infektionsvektorer 32
Elderwood prick till prick Det finns flera sammankopplingar mellan undergrupper av attacker. Tillsammans länkas allt till Elderwood Indikationerna Delad Shockwave Flash (SWF)-fil används i exploiterna Samma privata packer används i elak kod som installeras Överlappning i bakdörrarna som används Samma krypteringsmetod används för att bädda in elak kod Delad C&C-infrastruktur Överlappande hackade webbar för Watering Hole Attacks Överlappande måltavlor 33
Allt faller snygg på plats 34
Nolldagarsattacker man använt hittills 35
Associerade trojaner Backdoor.Briba Nedladdare, droppas av Word-dokument med inbäddad Flash Trojan.Hydraq Bakdörr, infostjälare etc Trojan.Naid Bakdörr Backdoor.Wiarp Bakdörr/nedladdare Backdoor.Vasport Bakdörr, proxy tunnel, nedladdare Packed.Generic.374/379 Trojan.Pasam Nedladdare droppas av Word-dokument med inbäddad Flash, infostjälare Backdoor.Darkmoon Nedladdare, keylogger, e-postare Backdoor.Ritsol Nedladdare Backdoor.Nerex Nedladdare Backdoor.Linfo Nedladdare, infostjälare etc 36
Vem är måltavlan? Huvudmålen är underleverantörer till försvarsindustrin Andra mål används som delmål för att nå det primära målet Frakt Försvar Flygteknik NGO Finans Vapen Energi Mjukvara Tillverkning Ingenjörer Elektronik 37
Gruppen och motiven Elderwood-gruppen söker immateriella egendomar De är mycket organiserade, duktiga och välstrukturerade Med tanke på skalan och hur länge attackerna pågått har de förmodligen stor plånbok Förmodligen en kriminell organisation, hackare med stöd av ett land, eller ett land 38
Riktade attacker - sammanfattning Elakingarna är envetna Attacker kan pågå i flera år Intressanta individer kan attackeras flera gånger Attacker är inte alltid sofistikerade, och använder inte alltid nolldagars De flesta attacker sker via e-post, men Watering Hole attacker ökar Elakingarna är oftast ute efter IP 39
Skydd mot dagens attacker Teknologi Effektivitet Varför E-post/SPAM Filtrering Svag Personliga mejl går igenom spamfilter Antivirus - signatursökning Svag Elakingar för-scannar elak kod och ändrar i dem tills de inte upptäcks Spaghettikod förvirrar heuristisk sökning Intrångsprevention Mellan De flesta nolldagarsattacker går förbi IPS Anomalikontroll på protokollnivå kan upptäcka ovanlig kommunikation efter infektion Browser Shield & Buffer Overflow Protection Hög Behöver inte känna till exploiten i förväg Larmar på anomaliteter i exekverings-vägen URL blockering/ Innehållsfiltrering Svag Nyskapade elaka domäner okända för filtren De släpps typiskt sett igenom Ryktesbaserad sökning Hög Förlitar sig på det sammanlagda ryktet för en fil, vilken typiskt sett är låg för en riktad elak fil Beteendeblockering Hög Förhindrar elakt beteende Applikations- och enhetskontroll Mellan Blockerar externa enheter Förhindrar vissa exploits Data Loss Prevention Mellan Nätverket är ägt, men viktig information skyddad 40
Även om du inte är slutmålet kan du vara delmålet! 41
Tack för uppmärksamheten! Per Hellqvist Senior Security Specialist E-post: per_hellqvist@symantec.com Blogg: www.perhellqvist.se/blog Twitter: perhellqvist 42
Tack till alla våra sponsorer! PLATINUM GOLD BRAND