9. SPLUNK Webcast:
Ein neuer Weg zur Erkennung von APT’s
Splunk und APT-Detection Tool THOR
Florian Roth
Michael Hochenrieder 24.04.2015
10. Ihre Gastgeber
24.04.2015 Folie 2
Florian Roth
Senior Information Security Engineer
bsk Consulting GmbH
Michael Hochenrieder
Senior Information Security Consultant
HvS-Consulting AG
Restricted: for project use only
11. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunkauswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 3Restricted: for project use only
12. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunkauswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 4Restricted: for project use only
13. Definition Advanced Persistent Threats (APT)
Advanced (fortgeschritten)
• erhebliche technische Kenntnisse der Angreifer
• straff organisierter Angriff auf spezifische Ziele
• unauffällig
Persistent (andauernd)
• Kombination von mehreren Angriffsvektoren
• langfristig angelegt, um Ziel zu erreichen
Threat (Bedrohung)
• Abfluss von vertraulichen Informationen
• (Angriffe auf kritische Infrastrukturen)
Folie 524.04.2015 Restricted: for project use only
18. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 10Restricted: for project use only
19. Warum ein APT-Scanner?
24.04.2015 Folie 11
Zuverlässige Früherkennung Schnelle Reaktion Effektive Schadensbegrenzung
Restricted: for project use only
20. APT-Scanner „THOR“
Scannt auf Hacktools und Angreifer-
aktivitäten (Triage Tool)
Portable – wird nicht installiert
Läuft auf allen Windows- und ausgewählten
Linux-Plattformen ohne zusätzliche Anforderungen
Anpassbar an die Verfahrensweise
und Werkzeuge der Angreifer
Scoring System zur Bewertung von Dateien, um
auch bisher unbekannte Malware zu erkennen
Diverse Exportmöglichkeiten
Individuelle Konfiguration und Drosselung
des Scanprozesses möglich
Kann zentral über GPO / Splunk-Forwarder etc.
verteilt werden
Folie 1224.04.2015 Restricted: for project use only
25. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 17Restricted: for project use only
26. Warum Splunk?
Hohe Flexibilität bei der Indizierung von
vielfältigen Meldungen
(jedes THOR Modul schreibt
unterschiedliche Meldungen)
Schnelles und einfaches Filtern von
False Positives
Einfaches Einbinden der von THOR
generierten Output-Formate (Syslog,
Textlog)
THOR eigene App / Add-on
Features zur Anomalie-Erkennung
(Big Data-Ansatz: Schnelle Erzeugung von
Tabellen, Filtern, Sortierungen,
Aggregationen)
24.04.2015 Folie 18Restricted: for project use only
27. Auswertung von THOR-Ergebnissen in Splunk
Security-Analysten-KnowHow / forensische Expertise ist notwendig,
Erfahrung mit APT hilfreich
Ggf. zahlreicheals „verdächtig“ gemeldete Objekte (mögliche False Positives),
abhängig von Firma und Standort
Alarmmeldungen bedeuten nicht unbedingt eineKompromittierung
Hilfreich ist oftmals das „Ansehen“ von Dateien, die gemeldet wurden
Folie 1924.04.2015 Restricted: for project use only
29. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 21Restricted: for project use only
31. Rollout von THOR via SPLUNK
Folie 2324.04.2015
THOR Add-on enthält Skript, das
THOR von einem Netzwerkpfad
startet
THOR Logs werden als Scripted
Input auf den Forwardern
eingelesen
Viele Vorteile gegenüber Syslog:
– Gesicherte Übertragung (TCP, SSL)
– Keine Größenbeschränkung
– Caching
– Kein zusätzlicher, offener Port
Restricted: for project use only
32. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 24Restricted: for project use only
34. Best Practice Ansatz
24.04.2015 Folie 26
Planung
• 1) Anforderung „Special THOR Trial 21“ für SPLUNK Webinar-Teilnehmer:
https://www.apt-detection.com/splunk-thor-request-form
• 2) Setup THOR-App for SPLUNK:
https://splunkbase.splunk.com/app/1717/
• 3) Test des Rollouts von THOR (via Splunk bzw. Windows GPO)
Scan
• Repräsentativer Scan von ausgewählten Systemen, z.B.
DMZ-Server, Domain Controller, File-Server, Mail-Server, MDM-Server
bzw. Workstations von kritischen Key-Usern z.B. Admins, Entwickler etc.
• Zentrales Reporting in THOR-App for SPLUNK
Analyse
• Auswertung durch qualifizierte Security-Analysten / CERT-Mitarbeiter
• Filterung von False Positives
• Nachverfolgung von Alarmen / Warnungen
• Im Zweifelsfall: Detail-Analysen (z.B. Malware-Analyse, Forensik)
Ggf. Input für neue Signaturen (IoCs) Re-Scan
Restricted: for project use only