SlideShare a Scribd company logo

Ransomware erfaringer 2021

Download as PPTX, PDF
Marius Sandbu
Marius Sandbu

Erfaringer og tiltak i forhold til ransomware angrep

Technology
1 of 36
Det var en gang et (flere) ransomware angrep Marius Sandbu Guild Lead, Public Cloud @ TietoEVRY https://msandbu.org
Nytt år og nye muligheter?
Å eventuelt nye forretningsområder?
Beveger det mer rettet mot Norge? Mer rettet mot EU > Resten av verden pga frykt GDPR
Ransomware as a service • Ransomware er stor butikk • 65% av all ransomware skjer hovedsakelig via phising • Forretningsmodell endret spesielt etter 2017 • Phising kombinert med andre angrepsmekanismer • Resten via Identity brute-force, gjenbruk av identitet utnytting av sårbarheter • Angrep skjer ca hver 11 sekund (så ca 240 angrep iløpet av denne praten) • 85% av ransomware angrepene er mot Windows (men ikke bare..) • ESXi, Mac OSX, Linux • Flere rapporterte sårbarheter i Q3 2020 sammenlignet med hele 2019 • Vil oppleve en del nye varianter i tiden fremover
Litt bakgrunn Egenskaper WannaCry Petya Cerber Locky NotPetya Chimera SamSam RedEye Distrubusjon Kritisk Sårbarheter Kritisk Sårbarheter Phising Phishing Kritisk Sårbarheter Phising Brute-Force passord Phising Dato Mai 2017 Mars 2016 Mars 2016 Februar 2016 Juni 2017 August 2016 Mars 2018 June 2018 Endring av MBR Nei Ja Nei Nei Ja Nei Nei Ja Filkryptering AES-256 Nei RC4 AES-128 AES-128 AES-256 RSA-2048 AES-256 Betalingsmet ode Bitcoin addresse Onion Nettverk Tor link Onion Nettverk Tor link Onion Nettverk Tor link Bitcoin addresse Bitcoin addresse Onion Nettverk Tor link Onion Nettverk Tor link RaaS Nei Ja Ja Nei Ja Ja Nei Nei Support tjeneste Statiske sider Statiske sider Statiske sider Statiske sider Hybrid tjeneste Hybrid tjeneste Hybrid tjeneste Statisk sider
Litt historie Egenskaper WannaCry Petya Cerber Locky NotPetya Chimera SamSam RedEye Distrubusjon Kritisk Sårbarheter Kritisk Sårbarheter Phising Phishing Kritisk Sårbarheter Phising Brute-Force passord Phising Dato Mai 2017 Mars 2016 Mars 2016 Februar 2016 Juni 2017 August 2016 Mars 2018 June 2018 Endring av MBR Nei Ja Nei Nei Ja Nei Nei Ja Filkryptering AES-256 Nei RC4 AES-128 AES-128 AES-256 RSA-2048 AES-256 Betalingsmet ode Bitcoin addresse Onion Nettverk Tor link Onion Nettverk Tor link Onion Nettverk Tor link Bitcoin addresse Bitcoin addresse Onion Nettverk Tor link Onion Nettverk Tor link RaaS Nei Ja Ja Nei Ja Ja Nei Nei Support tjeneste Statiske sider Statiske sider Statiske sider Statiske sider Hybrid tjeneste Hybrid tjeneste Hybrid tjeneste Statisk sider
Andre typer ransomware angrep • Gjelder forøvrig ikke bare kryptering av filer • Flere angrep relatert til DDoS også hvor de kjører angrep inntil det har blitt betalt • Benytter flere type DDoS angrep • UDP, TCP SYN flood, HTTP DoS, DTLS • Høy volum • Eller kryptere filer å selge ut på auksjon hvor data blir publisert direkte
Hvordan starter det? Microsoft Digital Defence Report, September 2020 https://www.microsoft.com/en- us/download/details.aspx?id=101 738
Phising
Phising • Phising kommer i ulike former og fasonger • Phising kan komme fra • Kjente spam domener • Nye opprettet domener • Midlertidig opprettet domener under kjente domener (Office 365, Google) • Interne adresser • Eks: CFO var på ferie (OOO) brukerkonto kompromitert, ble brukt til å sende epost til kollega (controller) • Eget Script som flyttet alle innkommenede eposter til egen mappe • Eposter fra 3.parts firmaer med kompromiterte brukerkontoer Good morning Diane, how are you and David? Have you been contacted by my Attorney XXXX today regarding an important case? I need you to manage a high priority operation with him Are you available immediately? Please contact him using this address hxxp://xxx/ Best regards, XXXXX XXXXX Sendt fra min iPhone CFO til Kontroller epost
I forhold bruker identitet 300% Økning i identitetsbasert angrep de siste årene 350 Tusen Kompromitterte kontoer avdekket i April 2019 46 Milliard Attacker driven sign-ins May 2019 23 millioner High Risk Enterprise Sign- in attempts March 2019 1,29 milliard Autentiseringer som er blokkert I August 2019
Når man først blir infisert • Initiel payload som brukes til å stoppe ting som kommer i veien • Eks: https://bit.ly/2M0blln (taskkill & net stop) • Stopper VSS (Slette eventuelle backup) • Prosesser som blir kjørt er ofte digitalt signert med offentlig sertifikat • Eks: MalwareBazaar (MalwareBazaar | NOSOV SP Z O O (abuse.ch)) • Nettverkssjekk via f.eks MASSCAN • Ikke alle maskiner som blir direkte brukt for ransomware • Noen blir brukt til masse utsending av epost f.eks • Lateral movement via PSSEXEC, WMI eller PowerShell
Eksempel på Ransomware - Darkside • Dukket frem i August 2020 • Kun rettet mot engelsk talende land (ikke mot russiske land) • Går ikke mot sykehus, skoler, universitet, non-profit eller offentlig • Code of Conduct • Krypterer og sender ut data • Bypasser UAC via COM Interface lokalt på maskinen • Sjekker hvilket språk som er innstallert (whitelister land med rusisk språk) • Stopper Backup, Prossesser og Backup tjenester (Veeam, Sophos etc) • Whitelister en del filer fra å unngå å bli kryptert
payload = "url=http://example.com&title=" + cdl + "&desc=[% template.new('BLOCK' = 'print `"+ cmd + "`') %]" • CVE-2020-1472 Zerologon vulnerability • Sikkerhetsoppdatering kom August 11, 2020 • Exploit Public PoC kom 15 September, 2020 • CVE-2019-19781 • Sikkerhetsoppdatering kom 20 Januar 2020 • Exploit Public PoC kom 31 Desember, 2019 • Ga full aksess til Netscaler Root shell Hvor raskt patcher dere?
Eksempel på bruk av sårbarhet
Verktøy og prosesser • Veldig ofte brukt verktøy som brukes • Cobalt Strike, Metasploit, PupyRAT, PowerShell Empire, Meterpreter, PoshC2, Bloodhound • C&C servere som blir satt opp er ofte hosted på Public Cloud • AWS, Digital Ocean, Alibaba, Google Cloud • 70% av nye opprettet domener er malicious • Ca 200,000 nye domene opprettelser hver dag, majoriteten benyttes enten for drive-by-download, phising eller C2 (command and control) • Majoriteten av angrepene er rettet mot Windows miljø og Active Directory • Ny kildekode blir laget hele tiden og solgt til de som vil Newly Registered Domains: Malicious Abuse by Bad Actors (paloaltonetworks.com)
Kunde 1: Infisert via Netwalker (RaaS) • Bruker X kompromitert via brute-force angrep (legacy auth) mot O365 • Angreper sender epost til brukere internt i organisasjonen • Bruker Y åpnet vedlegg (word fil med Macro) fra intern sender • Payload blir injected inn i explorer.exe
Kunde 1: Infisert via Netwalker (RaaS) • Maskin Y blir infisert (ikke admin tilgang) • Mimikatz og Procdump (dumpe LSASS prosessen) • Domain Discovery (ADFind)  https://www.joeware.net/freetools/tools/adfind/ • Benyttet seg av Zerologon sårbarhet mot primær domene kontroller • Tilgang til sekundær domene kontroller via SMB over WMI • C&C etablert på sekundær domene kontroller • Netwalker koden overført via RDP • PowerShell, PSEXEC og Group Policy for distribusjon • Å vipps! 125 maskiner og 60 servere infisiert
Hvordan fikk vi gjenopprettet? • Koblet fra alle infiserte maskiner fra nettverket • Kjørte manuell scan med siste signaturfiler (niks) • Prøvde å finne decrypter tool (niks) • Lastet opp ransomwarenote  ID Ransomware (malwarehunterteam.com) • Immutable backup løsning, isolerte virtuell infrastruktur for å kjøre restore • Alle sluttbruker maskiner måtte reinnstalleres • Ble gjort nødvendige tiltak for å redusere angrepsflaten på Azure AD og Office
Annet eksempel • Viktig å tenke på andre deler av infrastrukturen • Utnytter sårbarheter I ESXi http://bit.ly/38Xh2d2
Så hva bør man gjøre? • Nye sårbarheter dukker opp kontinuerlig • Ransomware benytter nå en kombinasjon av phising, sårbarheter og brute-force • Eller andre former av DDoS angrep • Markedet for de som tjener på ransomware øker drastisk • Vil føre til flere angrep fremover • Utvikler sikkerhetsproduktene seg raskt nok? • Tiltakene er avhengig av størrelse/tjenester som brukes/
Tiltak på infrastruktur • Patching av hele infrastrukturen • WSUS, Azure Update Management, Endpoint Manager, Update Rings • PatchMyPC, Secunia, Ivanti Patch Management • Backup – Bør være offline og immutable (ofte nok) • Infrastruktur • Slå av bruk av eldre SMB protokoller (v1 & v2) og aktiver SMB 3 Signing • Oppgrader alle til nyere versjon av PowerShell • fjern gamle versjoner (gamle versjon har lite logging) • Script block aktivert og transaction logging • Samle inn log data knyttet til Windows Event Log “PowerShell Operational” • Kartlegg eksterne tjenester og overvåk etter sårbarheter • Lås ned tilganger samt applikasjoner • Overvåk DNS eller oppslag mot mistenkelige domener eller NDR • Blokker trafikk mot Tor addresser m/IP reputation funksjoner eller lignende
Tiltak på infrastruktur • Overvåk/Logg infrastruktur • Se etter kjente indikatorer Mimakatz, Procdump, Bloodhound, etc • Se etter endringer I log data (brute force angrep) • Ha et SIEM/Logg verktøy på plass • Ha mulighet til å søke opp IOC, IP addresser, prosesser • F.eks med sysmon • Aktiver tilstrekkelig logging av Windows miljøet • Windows Event Logging and Forwarding | Cyber.gov.au • Flow logging / NetFlow for offentlige Tjenester Eksempel spørring med Azure Sentinel
Tiltak mot sluttbruker • Opplæring av brukere – Hjelper ikke så mye bare med informasjon • Epost filter (DMARC, DKIM og SPF) og Anti-spam/malware filter • Forhindrer ikke legitime sendere (kompromiterte brukere) • Forhindre sending av spesifikke file extensins (EXE, VBS f.eks) • Office 365 ATP (Safe links og Attachments) • Sikring på endepunkt og nedlåsing • Antivirus, med eventuelt EDR (Defender ATP) • Enhanced Real-World Test 2020 - Enterprise - AV-Comparatives (av-comparatives.org) • Microsoft Security Compliance Baseline • Office 365, Edge, Windows 10 • Deaktivere Macro • Application Guard (For Browser og Office) • Identity Guard (forhindre credential dumping) • Applikasjonswhitelisting (AppLocker eller DeviceGuard) • Innfør litt mer streng nettleser policy. • Block pop-up • Forhindre browsing mot HTTP adresser • SmartScreen og Application Guard • Bør ikke ha noen admin tilganger lokalt på maskinene Attack Simulator Office 365
Tiltak på Microsoft 365 • Jobb igjennom Secure Score anbefalingene • MFA for alle brukere – Basert på Conditional Access definert regler • Software token basert MFA + kombiner med privilegert access management • Aktiver Unified Audit Log for Office 365 • Aktiver Audit Logging for Azure Active Directory • Ikke sync global admin brukere fra on-premises Active Directory • Integrer Security Graph API – Få hendelser inn til ITSM/Varslingssystem • Deaktiver mail forwarding til eksterne domener • CrowdStrike/CRT: Contact: CRT@crowdstrike.com (github.com) • Andre tiltak • (Microsoft recommendations for EOP and Defender for Office 365 security settings - Office 365 | Microsoft Docs) • Blokker OneDrive sync for spesifikke fil typer
Andre tiltak • Ha kontroll på data og dataflyt • Klassifiser datasett • Krypter data hvor mulig • Forhindre datatap eller data blir publisert offentlig • SQL Server / Fil server / Annen type data • Synliggjøre aksess til data • Office 365 • Microsoft Azure • Andre skytjenester? • Tradisjonell Infrastruktur, Filserver, SQL? • Identitetsbeskyttelse • Password Protection (Azure AD) • Kutt ut ADFS – Aktiver Password Hash Sync • Microsoft Edge 88 Privacy and Security Updates - Microsoft Edge Blog (windows.com) • Haveibeenpwnd.com (abonnere på domene oppslag)
Hva bør man ha på plass? • Lag en incident respons plan for ransomware angrep • Følg med på sikkerhets trender og kjente sårbarheter • https://twitter.com/bad_packets • MalwareHunterTeam (@malwrhunterteam) / Twitter • https://twitter.com/GossiTheDog • Windows Defender Research - Microsoft Security • Sosiale medier har masse gode kilder på hva som skjer! Cyber+Capability+Toolkit+- +Cyber+Incident+Response+- +Ransomware+Playbook+v2.3.pdf (www.gov.scot)
Den vanligste måten organisasjoner blir tatt
Zero-Trust based aksess
Microsoft basert Zero Trust Device Managed or BYOD Health & compliance Device risk Type and OS version Encryption status Microsoft Azure AD Microsoft Defender ATP Microsoft Intune Azure Sentinel Microsoft Information Protection Microsoft Cloud App Security Microsoft Azure ATP User Groups/Role Location Privileges Session risk User Risk Security & Compliance Policy Engine
Fremover • Strengere krav til applikasjonsleverandører i forhold til SDLC (Solarwinds) • Flere angrep på sikt rettet mot SaaS tjenester og protokoller (forged SAML) • Flere angrep relatert til skybasert identitet • Mer Ransomware 2.0 • Episode 49| Ransomware 2.0, with Mikko Hypponen - F-Secure Blog (f-secure.com)
Noe kveldslektyre og støtte linker • https://github.com/jgamblin/CVEHeatMap • Developing a privileged access strategy | Microsoft Docs • Ransomware verifisering ID Ransomware (malwarehunterteam.com) • NetWalker Ransomware in 1 Hour - Malware News - Malware Analysis, News and Indicators • Intel adds hardware-based ransomware detection to 11th gen CPUs (bleepingcomputer.com) • Litt mer dypdykk gjennnomgang Protection Against Ransomware Attacks | Marius Sandbu (msandbu.org)
Ransomware erfaringer 2021

Recommended

Ransomware - Hvordan beskytte seg mot slike angrep?
Ransomware - Hvordan beskytte seg mot slike angrep? Ransomware - Hvordan beskytte seg mot slike angrep?
Ransomware - Hvordan beskytte seg mot slike angrep?
Marius Sandbu
 
Hackcon - Ransomware
Hackcon - RansomwareHackcon - Ransomware
Hackcon - Ransomware
Marius Sandbu
 
Hva avanserte hackere gjør for å få tilgang - Publisert.pptx
Hva avanserte hackere gjør for å få tilgang - Publisert.pptxHva avanserte hackere gjør for å få tilgang - Publisert.pptx
Hva avanserte hackere gjør for å få tilgang - Publisert.pptx
Oddvar Moe
 
Grunnleggende IT-forståelse
Grunnleggende IT-forståelseGrunnleggende IT-forståelse
Grunnleggende IT-forståelse
Kenneth Lykkås
 
Android sikkerhet
Android sikkerhetAndroid sikkerhet
Android sikkerhet
Thomas Methlie
 
Antivirusbok eva eileen margit
Antivirusbok eva eileen margitAntivirusbok eva eileen margit
Antivirusbok eva eileen margiteileenja
 
Antivirusbok eva eileen margit
Antivirusbok eva eileen margitAntivirusbok eva eileen margit
Antivirusbok eva eileen margitEvaUnn39
 
Antivirusbok eva eileen margit
Antivirusbok eva eileen margitAntivirusbok eva eileen margit
Antivirusbok eva eileen margitmargitsy
 

Recommended

Ransomware - Hvordan beskytte seg mot slike angrep?
Ransomware - Hvordan beskytte seg mot slike angrep? Ransomware - Hvordan beskytte seg mot slike angrep?
Ransomware - Hvordan beskytte seg mot slike angrep?
Marius Sandbu
 
Hackcon - Ransomware
Hackcon - RansomwareHackcon - Ransomware
Hackcon - Ransomware
Marius Sandbu
 
Hva avanserte hackere gjør for å få tilgang - Publisert.pptx
Hva avanserte hackere gjør for å få tilgang - Publisert.pptxHva avanserte hackere gjør for å få tilgang - Publisert.pptx
Hva avanserte hackere gjør for å få tilgang - Publisert.pptx
Oddvar Moe
 
Grunnleggende IT-forståelse
Grunnleggende IT-forståelseGrunnleggende IT-forståelse
Grunnleggende IT-forståelse
Kenneth Lykkås
 
Android sikkerhet
Android sikkerhetAndroid sikkerhet
Android sikkerhet
Thomas Methlie
 
Antivirusbok eva eileen margit
Antivirusbok eva eileen margitAntivirusbok eva eileen margit
Antivirusbok eva eileen margiteileenja
 
Antivirusbok eva eileen margit
Antivirusbok eva eileen margitAntivirusbok eva eileen margit
Antivirusbok eva eileen margitEvaUnn39
 
Antivirusbok eva eileen margit
Antivirusbok eva eileen margitAntivirusbok eva eileen margit
Antivirusbok eva eileen margitmargitsy
 
Tjenestenektangrep DND
Tjenestenektangrep DNDTjenestenektangrep DND
Tjenestenektangrep DND
Oddbjørn Steffensen
 
IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016
IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016
IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016
Robert Farstad
 
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKETINNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
Kristian Foss
 
Audun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG NettAudun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG Nett
Friprogsenteret
 
Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?
Marie Elisabeth Gaup Moe
 
Sharepoint til mobile enheter på en sikker måte
Sharepoint til mobile enheter på en sikker måteSharepoint til mobile enheter på en sikker måte
Sharepoint til mobile enheter på en sikker måteSolv AS
 
Windows binærfiler
Windows binærfilerWindows binærfiler
Windows binærfiler
Oddvar Moe
 
ISF høstkonferanse 2014 - Windows 8 autentisering og passord
ISF høstkonferanse 2014 - Windows 8 autentisering og passordISF høstkonferanse 2014 - Windows 8 autentisering og passord
ISF høstkonferanse 2014 - Windows 8 autentisering og passordJohn-André Bjørkhaug
 
Progressive web applications i praksis
Progressive web applications i praksisProgressive web applications i praksis
Progressive web applications i praksis
Håvard Wigtil
 
Meetup 9 i KristansandPHP
Meetup 9 i KristansandPHPMeetup 9 i KristansandPHP
Meetup 9 i KristansandPHP
Morten Bergset
 
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - stacc
Jon Solheim
 
Beslag Og Sikring
Beslag Og SikringBeslag Og Sikring
Beslag Og Sikring
Per Arne Godejord
 
PANDA | Cloud Systems Management Presentasjon [Norsk]
PANDA | Cloud Systems Management Presentasjon [Norsk]PANDA | Cloud Systems Management Presentasjon [Norsk]
PANDA | Cloud Systems Management Presentasjon [Norsk]
Jermund Ottermo
 
Distribuert utvikling på net platformen
Distribuert utvikling på net platformenDistribuert utvikling på net platformen
Distribuert utvikling på net platformenRune Sundling
 
Sosial manipulering i praksis kjetil helberg
Sosial manipulering i praksis kjetil helbergSosial manipulering i praksis kjetil helberg
Sosial manipulering i praksis kjetil helbergHarald Berntsen
 
RES Software presentasjon - NORSK
RES Software presentasjon - NORSKRES Software presentasjon - NORSK
RES Software presentasjon - NORSKOle-Kristian Sivertsen
 
Hva er fri programvare? (2011)
Hva er fri programvare? (2011)Hva er fri programvare? (2011)
Hva er fri programvare? (2011)Libriotech
 
Securing Virtual Machines in Microsoft Azure
Securing Virtual Machines in Microsoft AzureSecuring Virtual Machines in Microsoft Azure
Securing Virtual Machines in Microsoft Azure
Marius Sandbu
 
EUC State of the Union 2021
EUC State of the Union 2021EUC State of the Union 2021
EUC State of the Union 2021
Marius Sandbu
 
Migrate to WVD and Beyond
Migrate to WVD and BeyondMigrate to WVD and Beyond
Migrate to WVD and Beyond
Marius Sandbu
 
State of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User ComputingState of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User Computing
Marius Sandbu
 
State of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User ComputingState of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User Computing
Marius Sandbu
 

More Related Content

Similar to Ransomware erfaringer 2021

Tjenestenektangrep DND
Tjenestenektangrep DNDTjenestenektangrep DND
Tjenestenektangrep DND
Oddbjørn Steffensen
 
IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016
IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016
IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016
Robert Farstad
 
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKETINNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
Kristian Foss
 
Audun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG NettAudun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG Nett
Friprogsenteret
 
Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?
Marie Elisabeth Gaup Moe
 
Sharepoint til mobile enheter på en sikker måte
Sharepoint til mobile enheter på en sikker måteSharepoint til mobile enheter på en sikker måte
Sharepoint til mobile enheter på en sikker måteSolv AS
 
Windows binærfiler
Windows binærfilerWindows binærfiler
Windows binærfiler
Oddvar Moe
 
ISF høstkonferanse 2014 - Windows 8 autentisering og passord
ISF høstkonferanse 2014 - Windows 8 autentisering og passordISF høstkonferanse 2014 - Windows 8 autentisering og passord
ISF høstkonferanse 2014 - Windows 8 autentisering og passordJohn-André Bjørkhaug
 
Progressive web applications i praksis
Progressive web applications i praksisProgressive web applications i praksis
Progressive web applications i praksis
Håvard Wigtil
 
Meetup 9 i KristansandPHP
Meetup 9 i KristansandPHPMeetup 9 i KristansandPHP
Meetup 9 i KristansandPHP
Morten Bergset
 
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - stacc
Jon Solheim
 
Beslag Og Sikring
Beslag Og SikringBeslag Og Sikring
Beslag Og Sikring
Per Arne Godejord
 
PANDA | Cloud Systems Management Presentasjon [Norsk]
PANDA | Cloud Systems Management Presentasjon [Norsk]PANDA | Cloud Systems Management Presentasjon [Norsk]
PANDA | Cloud Systems Management Presentasjon [Norsk]
Jermund Ottermo
 
Distribuert utvikling på net platformen
Distribuert utvikling på net platformenDistribuert utvikling på net platformen
Distribuert utvikling på net platformenRune Sundling
 
Sosial manipulering i praksis kjetil helberg
Sosial manipulering i praksis kjetil helbergSosial manipulering i praksis kjetil helberg
Sosial manipulering i praksis kjetil helbergHarald Berntsen
 
Hva er fri programvare? (2011)
Hva er fri programvare? (2011)Hva er fri programvare? (2011)
Hva er fri programvare? (2011)Libriotech
 

Similar to Ransomware erfaringer 2021 (17)

Tjenestenektangrep DND
Tjenestenektangrep DNDTjenestenektangrep DND
Tjenestenektangrep DND
 
IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016
IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016
IBM Connections med sikker, moderne sky-autentisering - isbg vårseminar 2016
 
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKETINNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
 
Audun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG NettAudun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG Nett
 
Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?
 
Sharepoint til mobile enheter på en sikker måte
Sharepoint til mobile enheter på en sikker måteSharepoint til mobile enheter på en sikker måte
Sharepoint til mobile enheter på en sikker måte
 
Windows binærfiler
Windows binærfilerWindows binærfiler
Windows binærfiler
 
ISF høstkonferanse 2014 - Windows 8 autentisering og passord
ISF høstkonferanse 2014 - Windows 8 autentisering og passordISF høstkonferanse 2014 - Windows 8 autentisering og passord
ISF høstkonferanse 2014 - Windows 8 autentisering og passord
 
Progressive web applications i praksis
Progressive web applications i praksisProgressive web applications i praksis
Progressive web applications i praksis
 
Meetup 9 i KristansandPHP
Meetup 9 i KristansandPHPMeetup 9 i KristansandPHP
Meetup 9 i KristansandPHP
 
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - stacc
 
Beslag Og Sikring
Beslag Og SikringBeslag Og Sikring
Beslag Og Sikring
 
PANDA | Cloud Systems Management Presentasjon [Norsk]
PANDA | Cloud Systems Management Presentasjon [Norsk]PANDA | Cloud Systems Management Presentasjon [Norsk]
PANDA | Cloud Systems Management Presentasjon [Norsk]
 
Distribuert utvikling på net platformen
Distribuert utvikling på net platformenDistribuert utvikling på net platformen
Distribuert utvikling på net platformen
 
Sosial manipulering i praksis kjetil helberg
Sosial manipulering i praksis kjetil helbergSosial manipulering i praksis kjetil helberg
Sosial manipulering i praksis kjetil helberg
 
RES Software presentasjon - NORSK
RES Software presentasjon - NORSKRES Software presentasjon - NORSK
RES Software presentasjon - NORSK
 
Hva er fri programvare? (2011)
Hva er fri programvare? (2011)Hva er fri programvare? (2011)
Hva er fri programvare? (2011)
 

More from Marius Sandbu

Securing Virtual Machines in Microsoft Azure
Securing Virtual Machines in Microsoft AzureSecuring Virtual Machines in Microsoft Azure
Securing Virtual Machines in Microsoft Azure
Marius Sandbu
 
EUC State of the Union 2021
EUC State of the Union 2021EUC State of the Union 2021
EUC State of the Union 2021
Marius Sandbu
 
Migrate to WVD and Beyond
Migrate to WVD and BeyondMigrate to WVD and Beyond
Migrate to WVD and Beyond
Marius Sandbu
 
State of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User ComputingState of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User Computing
Marius Sandbu
 
State of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User ComputingState of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User Computing
Marius Sandbu
 
Windows Virtual Desktop
Windows Virtual DesktopWindows Virtual Desktop
Windows Virtual Desktop
Marius Sandbu
 
Azure sentinel
Azure sentinelAzure sentinel
Azure sentinel
Marius Sandbu
 
Citrix Cloud XL - Running Ctirix in Public Cloud
Citrix Cloud XL - Running Ctirix in Public CloudCitrix Cloud XL - Running Ctirix in Public Cloud
Citrix Cloud XL - Running Ctirix in Public Cloud
Marius Sandbu
 
Citrix with Microsoft EMS
Citrix with Microsoft EMSCitrix with Microsoft EMS
Citrix with Microsoft EMS
Marius Sandbu
 
Delivering and optimizing citrix from microsoft azure
Delivering and optimizing citrix from microsoft azure Delivering and optimizing citrix from microsoft azure
Delivering and optimizing citrix from microsoft azure
Marius Sandbu
 
Application layering vs Application Isolation
Application layering vs Application IsolationApplication layering vs Application Isolation
Application layering vs Application Isolation
Marius Sandbu
 
Netscaler and system center
Netscaler and system centerNetscaler and system center
Netscaler and system center
Marius Sandbu
 

More from Marius Sandbu (12)

Securing Virtual Machines in Microsoft Azure
Securing Virtual Machines in Microsoft AzureSecuring Virtual Machines in Microsoft Azure
Securing Virtual Machines in Microsoft Azure
 
EUC State of the Union 2021
EUC State of the Union 2021EUC State of the Union 2021
EUC State of the Union 2021
 
Migrate to WVD and Beyond
Migrate to WVD and BeyondMigrate to WVD and Beyond
Migrate to WVD and Beyond
 
State of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User ComputingState of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User Computing
 
State of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User ComputingState of the EUC - 2020 What's new in End-User Computing
State of the EUC - 2020 What's new in End-User Computing
 
Windows Virtual Desktop
Windows Virtual DesktopWindows Virtual Desktop
Windows Virtual Desktop
 
Azure sentinel
Azure sentinelAzure sentinel
Azure sentinel
 
Citrix Cloud XL - Running Ctirix in Public Cloud
Citrix Cloud XL - Running Ctirix in Public CloudCitrix Cloud XL - Running Ctirix in Public Cloud
Citrix Cloud XL - Running Ctirix in Public Cloud
 
Citrix with Microsoft EMS
Citrix with Microsoft EMSCitrix with Microsoft EMS
Citrix with Microsoft EMS
 
Delivering and optimizing citrix from microsoft azure
Delivering and optimizing citrix from microsoft azure Delivering and optimizing citrix from microsoft azure
Delivering and optimizing citrix from microsoft azure
 
Application layering vs Application Isolation
Application layering vs Application IsolationApplication layering vs Application Isolation
Application layering vs Application Isolation
 
Netscaler and system center
Netscaler and system centerNetscaler and system center
Netscaler and system center
 

Ransomware erfaringer 2021

  • 1. Det var en gang et (flere) ransomware angrep Marius Sandbu Guild Lead, Public Cloud @ TietoEVRY https://msandbu.org
  • 2. Nytt år og nye muligheter?
  • 3. Å eventuelt nye forretningsområder?
  • 4. Beveger det mer rettet mot Norge? Mer rettet mot EU > Resten av verden pga frykt GDPR
  • 5. Ransomware as a service • Ransomware er stor butikk • 65% av all ransomware skjer hovedsakelig via phising • Forretningsmodell endret spesielt etter 2017 • Phising kombinert med andre angrepsmekanismer • Resten via Identity brute-force, gjenbruk av identitet utnytting av sårbarheter • Angrep skjer ca hver 11 sekund (så ca 240 angrep iløpet av denne praten) • 85% av ransomware angrepene er mot Windows (men ikke bare..) • ESXi, Mac OSX, Linux • Flere rapporterte sårbarheter i Q3 2020 sammenlignet med hele 2019 • Vil oppleve en del nye varianter i tiden fremover
  • 6. Litt bakgrunn Egenskaper WannaCry Petya Cerber Locky NotPetya Chimera SamSam RedEye Distrubusjon Kritisk Sårbarheter Kritisk Sårbarheter Phising Phishing Kritisk Sårbarheter Phising Brute-Force passord Phising Dato Mai 2017 Mars 2016 Mars 2016 Februar 2016 Juni 2017 August 2016 Mars 2018 June 2018 Endring av MBR Nei Ja Nei Nei Ja Nei Nei Ja Filkryptering AES-256 Nei RC4 AES-128 AES-128 AES-256 RSA-2048 AES-256 Betalingsmet ode Bitcoin addresse Onion Nettverk Tor link Onion Nettverk Tor link Onion Nettverk Tor link Bitcoin addresse Bitcoin addresse Onion Nettverk Tor link Onion Nettverk Tor link RaaS Nei Ja Ja Nei Ja Ja Nei Nei Support tjeneste Statiske sider Statiske sider Statiske sider Statiske sider Hybrid tjeneste Hybrid tjeneste Hybrid tjeneste Statisk sider
  • 7. Litt historie Egenskaper WannaCry Petya Cerber Locky NotPetya Chimera SamSam RedEye Distrubusjon Kritisk Sårbarheter Kritisk Sårbarheter Phising Phishing Kritisk Sårbarheter Phising Brute-Force passord Phising Dato Mai 2017 Mars 2016 Mars 2016 Februar 2016 Juni 2017 August 2016 Mars 2018 June 2018 Endring av MBR Nei Ja Nei Nei Ja Nei Nei Ja Filkryptering AES-256 Nei RC4 AES-128 AES-128 AES-256 RSA-2048 AES-256 Betalingsmet ode Bitcoin addresse Onion Nettverk Tor link Onion Nettverk Tor link Onion Nettverk Tor link Bitcoin addresse Bitcoin addresse Onion Nettverk Tor link Onion Nettverk Tor link RaaS Nei Ja Ja Nei Ja Ja Nei Nei Support tjeneste Statiske sider Statiske sider Statiske sider Statiske sider Hybrid tjeneste Hybrid tjeneste Hybrid tjeneste Statisk sider
  • 8. Andre typer ransomware angrep • Gjelder forøvrig ikke bare kryptering av filer • Flere angrep relatert til DDoS også hvor de kjører angrep inntil det har blitt betalt • Benytter flere type DDoS angrep • UDP, TCP SYN flood, HTTP DoS, DTLS • Høy volum • Eller kryptere filer å selge ut på auksjon hvor data blir publisert direkte
  • 9. Hvordan starter det? Microsoft Digital Defence Report, September 2020 https://www.microsoft.com/en- us/download/details.aspx?id=101 738
  • 11. Phising • Phising kommer i ulike former og fasonger • Phising kan komme fra • Kjente spam domener • Nye opprettet domener • Midlertidig opprettet domener under kjente domener (Office 365, Google) • Interne adresser • Eks: CFO var på ferie (OOO) brukerkonto kompromitert, ble brukt til å sende epost til kollega (controller) • Eget Script som flyttet alle innkommenede eposter til egen mappe • Eposter fra 3.parts firmaer med kompromiterte brukerkontoer Good morning Diane, how are you and David? Have you been contacted by my Attorney XXXX today regarding an important case? I need you to manage a high priority operation with him Are you available immediately? Please contact him using this address hxxp://xxx/ Best regards, XXXXX XXXXX Sendt fra min iPhone CFO til Kontroller epost
  • 12. I forhold bruker identitet 300% Økning i identitetsbasert angrep de siste årene 350 Tusen Kompromitterte kontoer avdekket i April 2019 46 Milliard Attacker driven sign-ins May 2019 23 millioner High Risk Enterprise Sign- in attempts March 2019 1,29 milliard Autentiseringer som er blokkert I August 2019
  • 13. Når man først blir infisert • Initiel payload som brukes til å stoppe ting som kommer i veien • Eks: https://bit.ly/2M0blln (taskkill & net stop) • Stopper VSS (Slette eventuelle backup) • Prosesser som blir kjørt er ofte digitalt signert med offentlig sertifikat • Eks: MalwareBazaar (MalwareBazaar | NOSOV SP Z O O (abuse.ch)) • Nettverkssjekk via f.eks MASSCAN • Ikke alle maskiner som blir direkte brukt for ransomware • Noen blir brukt til masse utsending av epost f.eks • Lateral movement via PSSEXEC, WMI eller PowerShell
  • 14. Eksempel på Ransomware - Darkside • Dukket frem i August 2020 • Kun rettet mot engelsk talende land (ikke mot russiske land) • Går ikke mot sykehus, skoler, universitet, non-profit eller offentlig • Code of Conduct • Krypterer og sender ut data • Bypasser UAC via COM Interface lokalt på maskinen • Sjekker hvilket språk som er innstallert (whitelister land med rusisk språk) • Stopper Backup, Prossesser og Backup tjenester (Veeam, Sophos etc) • Whitelister en del filer fra å unngå å bli kryptert
  • 15.
  • 16. payload = "url=http://example.com&title=" + cdl + "&desc=[% template.new('BLOCK' = 'print `"+ cmd + "`') %]" • CVE-2020-1472 Zerologon vulnerability • Sikkerhetsoppdatering kom August 11, 2020 • Exploit Public PoC kom 15 September, 2020 • CVE-2019-19781 • Sikkerhetsoppdatering kom 20 Januar 2020 • Exploit Public PoC kom 31 Desember, 2019 • Ga full aksess til Netscaler Root shell Hvor raskt patcher dere?
  • 17. Eksempel på bruk av sårbarhet
  • 18. Verktøy og prosesser • Veldig ofte brukt verktøy som brukes • Cobalt Strike, Metasploit, PupyRAT, PowerShell Empire, Meterpreter, PoshC2, Bloodhound • C&C servere som blir satt opp er ofte hosted på Public Cloud • AWS, Digital Ocean, Alibaba, Google Cloud • 70% av nye opprettet domener er malicious • Ca 200,000 nye domene opprettelser hver dag, majoriteten benyttes enten for drive-by-download, phising eller C2 (command and control) • Majoriteten av angrepene er rettet mot Windows miljø og Active Directory • Ny kildekode blir laget hele tiden og solgt til de som vil Newly Registered Domains: Malicious Abuse by Bad Actors (paloaltonetworks.com)
  • 19.
  • 20. Kunde 1: Infisert via Netwalker (RaaS) • Bruker X kompromitert via brute-force angrep (legacy auth) mot O365 • Angreper sender epost til brukere internt i organisasjonen • Bruker Y åpnet vedlegg (word fil med Macro) fra intern sender • Payload blir injected inn i explorer.exe
  • 21. Kunde 1: Infisert via Netwalker (RaaS) • Maskin Y blir infisert (ikke admin tilgang) • Mimikatz og Procdump (dumpe LSASS prosessen) • Domain Discovery (ADFind)  https://www.joeware.net/freetools/tools/adfind/ • Benyttet seg av Zerologon sårbarhet mot primær domene kontroller • Tilgang til sekundær domene kontroller via SMB over WMI • C&C etablert på sekundær domene kontroller • Netwalker koden overført via RDP • PowerShell, PSEXEC og Group Policy for distribusjon • Å vipps! 125 maskiner og 60 servere infisiert
  • 22. Hvordan fikk vi gjenopprettet? • Koblet fra alle infiserte maskiner fra nettverket • Kjørte manuell scan med siste signaturfiler (niks) • Prøvde å finne decrypter tool (niks) • Lastet opp ransomwarenote  ID Ransomware (malwarehunterteam.com) • Immutable backup løsning, isolerte virtuell infrastruktur for å kjøre restore • Alle sluttbruker maskiner måtte reinnstalleres • Ble gjort nødvendige tiltak for å redusere angrepsflaten på Azure AD og Office
  • 23. Annet eksempel • Viktig å tenke på andre deler av infrastrukturen • Utnytter sårbarheter I ESXi http://bit.ly/38Xh2d2
  • 24. Så hva bør man gjøre? • Nye sårbarheter dukker opp kontinuerlig • Ransomware benytter nå en kombinasjon av phising, sårbarheter og brute-force • Eller andre former av DDoS angrep • Markedet for de som tjener på ransomware øker drastisk • Vil føre til flere angrep fremover • Utvikler sikkerhetsproduktene seg raskt nok? • Tiltakene er avhengig av størrelse/tjenester som brukes/
  • 25. Tiltak på infrastruktur • Patching av hele infrastrukturen • WSUS, Azure Update Management, Endpoint Manager, Update Rings • PatchMyPC, Secunia, Ivanti Patch Management • Backup – Bør være offline og immutable (ofte nok) • Infrastruktur • Slå av bruk av eldre SMB protokoller (v1 & v2) og aktiver SMB 3 Signing • Oppgrader alle til nyere versjon av PowerShell • fjern gamle versjoner (gamle versjon har lite logging) • Script block aktivert og transaction logging • Samle inn log data knyttet til Windows Event Log “PowerShell Operational” • Kartlegg eksterne tjenester og overvåk etter sårbarheter • Lås ned tilganger samt applikasjoner • Overvåk DNS eller oppslag mot mistenkelige domener eller NDR • Blokker trafikk mot Tor addresser m/IP reputation funksjoner eller lignende
  • 26. Tiltak på infrastruktur • Overvåk/Logg infrastruktur • Se etter kjente indikatorer Mimakatz, Procdump, Bloodhound, etc • Se etter endringer I log data (brute force angrep) • Ha et SIEM/Logg verktøy på plass • Ha mulighet til å søke opp IOC, IP addresser, prosesser • F.eks med sysmon • Aktiver tilstrekkelig logging av Windows miljøet • Windows Event Logging and Forwarding | Cyber.gov.au • Flow logging / NetFlow for offentlige Tjenester Eksempel spørring med Azure Sentinel
  • 27. Tiltak mot sluttbruker • Opplæring av brukere – Hjelper ikke så mye bare med informasjon • Epost filter (DMARC, DKIM og SPF) og Anti-spam/malware filter • Forhindrer ikke legitime sendere (kompromiterte brukere) • Forhindre sending av spesifikke file extensins (EXE, VBS f.eks) • Office 365 ATP (Safe links og Attachments) • Sikring på endepunkt og nedlåsing • Antivirus, med eventuelt EDR (Defender ATP) • Enhanced Real-World Test 2020 - Enterprise - AV-Comparatives (av-comparatives.org) • Microsoft Security Compliance Baseline • Office 365, Edge, Windows 10 • Deaktivere Macro • Application Guard (For Browser og Office) • Identity Guard (forhindre credential dumping) • Applikasjonswhitelisting (AppLocker eller DeviceGuard) • Innfør litt mer streng nettleser policy. • Block pop-up • Forhindre browsing mot HTTP adresser • SmartScreen og Application Guard • Bør ikke ha noen admin tilganger lokalt på maskinene Attack Simulator Office 365
  • 28. Tiltak på Microsoft 365 • Jobb igjennom Secure Score anbefalingene • MFA for alle brukere – Basert på Conditional Access definert regler • Software token basert MFA + kombiner med privilegert access management • Aktiver Unified Audit Log for Office 365 • Aktiver Audit Logging for Azure Active Directory • Ikke sync global admin brukere fra on-premises Active Directory • Integrer Security Graph API – Få hendelser inn til ITSM/Varslingssystem • Deaktiver mail forwarding til eksterne domener • CrowdStrike/CRT: Contact: CRT@crowdstrike.com (github.com) • Andre tiltak • (Microsoft recommendations for EOP and Defender for Office 365 security settings - Office 365 | Microsoft Docs) • Blokker OneDrive sync for spesifikke fil typer
  • 29. Andre tiltak • Ha kontroll på data og dataflyt • Klassifiser datasett • Krypter data hvor mulig • Forhindre datatap eller data blir publisert offentlig • SQL Server / Fil server / Annen type data • Synliggjøre aksess til data • Office 365 • Microsoft Azure • Andre skytjenester? • Tradisjonell Infrastruktur, Filserver, SQL? • Identitetsbeskyttelse • Password Protection (Azure AD) • Kutt ut ADFS – Aktiver Password Hash Sync • Microsoft Edge 88 Privacy and Security Updates - Microsoft Edge Blog (windows.com) • Haveibeenpwnd.com (abonnere på domene oppslag)
  • 30. Hva bør man ha på plass? • Lag en incident respons plan for ransomware angrep • Følg med på sikkerhets trender og kjente sårbarheter • https://twitter.com/bad_packets • MalwareHunterTeam (@malwrhunterteam) / Twitter • https://twitter.com/GossiTheDog • Windows Defender Research - Microsoft Security • Sosiale medier har masse gode kilder på hva som skjer! Cyber+Capability+Toolkit+- +Cyber+Incident+Response+- +Ransomware+Playbook+v2.3.pdf (www.gov.scot)
  • 31. Den vanligste måten organisasjoner blir tatt
  • 33. Microsoft basert Zero Trust Device Managed or BYOD Health & compliance Device risk Type and OS version Encryption status Microsoft Azure AD Microsoft Defender ATP Microsoft Intune Azure Sentinel Microsoft Information Protection Microsoft Cloud App Security Microsoft Azure ATP User Groups/Role Location Privileges Session risk User Risk Security & Compliance Policy Engine
  • 34. Fremover • Strengere krav til applikasjonsleverandører i forhold til SDLC (Solarwinds) • Flere angrep på sikt rettet mot SaaS tjenester og protokoller (forged SAML) • Flere angrep relatert til skybasert identitet • Mer Ransomware 2.0 • Episode 49| Ransomware 2.0, with Mikko Hypponen - F-Secure Blog (f-secure.com)
  • 35. Noe kveldslektyre og støtte linker • https://github.com/jgamblin/CVEHeatMap • Developing a privileged access strategy | Microsoft Docs • Ransomware verifisering ID Ransomware (malwarehunterteam.com) • NetWalker Ransomware in 1 Hour - Malware News - Malware Analysis, News and Indicators • Intel adds hardware-based ransomware detection to 11th gen CPUs (bleepingcomputer.com) • Litt mer dypdykk gjennnomgang Protection Against Ransomware Attacks | Marius Sandbu (msandbu.org)