Schutz vor Ransomware und Cyber-Angriffen von morgen

Exploit Prevention mit Sophos Intercept X

Michael VeitTechnology Evangelist

Sophos – mehr als 30 Jahre Erfahrung

• Akquisition u.a. von Utimaco 2009, Astaro 2011, Dialogs 2012, Cyberoam 2014, Mojave 2014, Reflexion 2015, SurfRight 2015, Barricade 2016, Invincea 2017

• Gartner: Marktführer in den Bereichen Endpoint, Verschlüsselung & UTM

1985GRÜNDUNGOXFORD, UK

534.9UMSATZ(FY16)

3.000MITARBEITER

200,000+KUNDEN

100M+ANWENDER

HQABINGDON, UK

20,000+CHANNEL PARTNER

45%Enduser

50%Network

5%Other

400in DACH

Sophos CentralManagement

UTM

EndpointProtection

Mobile VerschlüsselungWireless

VPN

NextGenFirewall

ServerProtection

Exchange NetzwerkSpeicher

Virtuali-sierung

Web-Gateway

Email-Gateway

Webserver-Schutz

Komplette Sicherheit von Sophos

Sandstorm

Warum waren die Krypto-Trojanerso erfolgreich?

Gründe für Infektionen trotz Best-of-Breed Security

•Office-Dokumente und PDFs in E-Mails oft zugelassen

•Technologisch fortgeschrittene Schädlinge

•Hochprofessionelle Angreifer

•Geschicktes Social Engineering

• Sicherheitssysteme fehlen oderfalsch konfiguriert

• Sicherheitssysteme agierennicht als System

Neue Sicherheitskonzeptesind notwendig

80% 10% 5%

Angriffsfläche reduzieren

URL-Filterung

Download Reputation

Device Control

Analyse vorAusführung

Heuristiken

Regelbasiert

Signaturen

Bekannte Malware-Familien

3% 2%

Laufzeit

Verhaltens-erkennung

Exploit Erkennung

Identifizierung von Techniken

Traditionelle Malware Moderne Bedrohungen

Wo Malware am Endpoint aufgehalten wird

Sophos

RANSOMWAREZERO DAYEXPLOITS

TATORT-BEREINIGUNG

BEGRENZTESICHTBARKEITAnti-Exploit

Stoppt unbekannteMalware

• Signaturloser Schutz vorZero-Day-Angriffen

• KeinePerformanceeinbußen

Analysiert den Angriff

• Was ist passiert?

• Was ist gefährdet?

• Wie verhindere ich daszukünftig?

Ursachenanalyse

StopptKrypto-Trojaner

• Erkennt und verhindertVerschlüsselung

• Stellt Originaldateienwieder her

Anti-Ransomware

Entfernt die Bedrohung

• Signaturlose Erkennungund Entfernung von bisher unbekannterMalware

ErweiterteBereinigung

Sicherheitskopie

CryptoGuard – Schutz vor lokaler Ransomware (1)

Unverschlüsselte Datei vor Schreibvorgang

Verschlüsselte Datei nach Schreibvorgang

1. Prozess öffnet Datei zum Schreiben2. CryptoGuard legt Sicherheitskopie an3. Nach Ende des Schreibvorgangs werden Datei und Sicherheitskopie verglichen4. Bei wesentlicher Veränderung der Datei -> Verschlüsselung wird erkannt

Sicherheitskopie

CryptoGuard – Schutz vor lokaler Ransomware (2)

5. Wenn mehrere Dateien innerhalb eines Zeitfensters verschlüsselt werden ->6. Prozess wird als neuer Verschlüsselungstrojaner erkannt7. Prozess wird in Quarantäne genommen -> kein Zugriff aufs Dateisystem mehr8. Sicherheitsstatus ändert sich von grün in rot -> SecurityHeartbeat wird rot

Sicherheitskopie

CryptoGuard – Schutz vor lokaler Ransomware (3)

9. Sicherheitskopien werden zurückgespielt, Originaldateien wiederhergestellt10. Bedrohung wird ans zentrale Management gemeldet11. Informationen zur Ursachenanalyse werden zusammengestellt12. Erweiterte Bereinigung mit Sophos Clean wird durchgeführt13. Nach erfolgreicher Bereinigung wird der Sicherheitsstatus wieder grün

Ursachenanalyse

Erweiterte Bereinigung

Schreibzugriff

CryptoGuard – Schutz vor Clients mit Ransomware (1)

Sicherheitskopie

1. Remote Client öffnet Datei zum Schreiben2. CryptoGuard legt Sicherheitskopie an3. Nach Ende des Schreibvorgangs werden Datei und Sicherheitskopie verglichen4. Bei wesentlicher Veränderung der Datei -> Verschlüsselung wird erkannt

CryptoGuard – Schutz vor Clients mit Ransomware (2)

X

Sicherheitskopien

5. Wenn mehrere Dateien innerhalb eines Zeitfensters verschlüsselt werden ->6. Remote Client wird als mit Verschlüsselungstrojaner infiziert erkannt7. Remote Client ist infiziert -> kein Zugriff aufs Dateisystem mehr

CryptoGuard – Schutz vor Clients mit Ransomware (3)

X

Sicherheitskopien

9. Sicherheitskopien werden zurückgespielt, Originaldateien wiederhergestellt10. Bedrohung wird ans zentrale Management gemeldet

Haha! Alle Deine Dateien sind

verschlüsselt! Geld her!

Mal sehen, was man hier so alles

mitbekommt..

Wo lauert die größere Gefahr?

Buffer Overflow

Mandatory Address Space Layout Randomization (ASLR)

Bottom Up ASLR

Null Page (Null Dereference Protection)

Heap Spray Allocation Dynamic Heap Spray

Stack Pivot

Stack Exec (MemProt)

Stack-based ROP Mitigations (Caller)

Branch-based ROP Mitigations (Hardware Augmented)

Structured Exception Handler Overwrite Protection (SEHOP)

Import Address Table Filtering(IAF) (Hardware Augmented)

Reflective DLL Injection

VBScript God Mode

Syscall

Hollow Process Load Library

WoW64

DLL Hijacking

Application Lockdown

Java Lockdown

Squiblydoo AppLocker Bypass

Erkennung unbekannter Malware über Exploit-Techniken

Exploit-Techniken

Etwa 1 neue Exploit-Technik pro Jahr, ~20 Techniken existieren insgesamt.

Neue Malware-Varianten pro Jahr

100,000,000+

Exploit Schutz

• Überwacht Prozesse und erkennt Versuche, Exploit-Techniken anzuwendenz.B. Buffer Overflow oder Code-Injection

• Verhindert das Ausnutzen der Verwundbarkeitin unsicheren / ungepatchten Anwendungen

• Stoppt den Angriff

• Signaturlos

• Keine Performanceeinbußen

Ursachenanalyse

Was ist gefährdet?

Betroffene Ressourcen

• Welche Dateien und Systeme sind betroffen?

• Auf welche Netzlaufwerkeoder Wechselmedienwurde zugegriffen?

• Welche Systeme muss ichnoch bereinigen?

Konsequenzen

• Welche Einfallswege fürMalware muss ichschließen?

• Wie kann ich eineVerbreitung im Netzwerkzukünftig verhindern?

Wie verhindere ichdas zukünftig?

Analyse des Vorfalls

• Identifikation betroffenerProzesse, Registry-Keys, Dateien, Kommunikation

• Grafische Darstellungder Ereigniskette

• Eintrittspunkte der Malware ins Netzwerk

Was ist passiert?

Sophos Clean – der „Tatortreiniger“

• Signaturloser on-demand Malwarescanner

• Forensische Erkennung bisher unbekannter Malware

•Nutzt Verhaltensanalyse und Cloud-Intelligenz (Internet-Verbindung notwendig)

• Entfernt persistente Malware

• Ersetzt infizierte Windows-Resourcen durch sichere Originalversionen

Sophos CentralEndpoint Standard

Sophos CentralEndpoint Advanced

Sophos CentralIntercept X

Sophos Clean

Viren/Trojaner

Web-Bedrohungen

Ursachenanalyse

Office-ExploitsViren/Makros

Zero-Days/APTsViren/Trojaner

Viren/Makros

Was ist passiert?

Wie lief die Infektion ab?

Was ist gefährdet?

Wie verhindere ich das zukünftig?

Gefährliche URLs Gefährliche URLs Browser-Exploits

Apps

USB-Sticks

Malware

PDF/MS Office

Krypto-Trojaner

Bedrohungen

Apps

USB-Sticks

Krypto-Trojaner

Bereinigung

Synchronized Security – Teamplay statt Best-of-Breed

Analyse

Next-GenFirewall

Wireless

Web

Email

Festplattenverschlüsselung

UTM

Dateiverschlüsselung

Endpoint

Next-Gen Endpoint

Mobile

Server

Sophos Central

Security Heartbeat – Beispiel Vireninfektion (1)

Virus gefunden

1. Sophos Endpoint Protection oder Intercept X erkennt eine Bedrohung2. Der Sicherheitsstatus des Clients ändert sich auf rot – der Endpoint ist

momentan nicht sicher

Security Heartbeat – Beispiel Vireninfektion (2)

Schlüsselentfernen

3. Über den internen SecurityHeartbeat wird der Verschlüsselungsclient informiert, dass der Endpoint momentan nicht sicher ist

4. Die Schlüssel werden entfernt, damit keine Daten gestohlen werden können

Security Heartbeat – Beispiel Vireninfektion (3)

Client in Netzwerkquarantäne

5. Über den SecurityHeartbeat erfährt die NextGen-Firewall, dass der Endpoint nicht sicher ist6. Die NextGent-Firewall nimmt den Endpoint solange in Netzwerkquarantäne, bis die

Bedrohung beseitigt ist

Synchronized Security von Sophos

•Best-of-Breed wird ersetzt durch Security als System

•Kommunikation von Netzwerk-, Endpoint-und Verschlüsselungslösungen

•Erkennung hochentwickelter Bedrohungen

• Identifizierung kompromittierter Systeme

•Automatische Reaktion auf Vorfälle

•Analyse der Infektions- und Verbreitungswege

Intercept X + Synchronized Security in Aktion

https://youtu.be/dEyUGn-qtTw