Cisco Cisco ScanSafe Web Security 情報ガイド
© 2014 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco.
Pagina 3 van 8
Oplossing
Cisco adviseerde de klant om te upgraden naar CWS Premium, dat CTA en AMP omvat, om meer zicht te krijgen
op het netwerk en het beveiligingsteam te helpen bij het prioriteren van reacties op bedreigingen.
op het netwerk en het beveiligingsteam te helpen bij het prioriteren van reacties op bedreigingen.
De retrospectieve analyse van AMP kan duidelijk maken dat bestanden die als 'schoon' werden bestempeld tijdens
het passeren van een verdediging aan de rand, in werkelijkheid toch goed vermomde, geavanceerde malware zijn.
AMP waarschuwt onmiddellijk de beveiligingsbeheerder en maakt zichtbaar welke netwerkgebruiker misschien is
geïnfecteerd en wanneer.
het passeren van een verdediging aan de rand, in werkelijkheid toch goed vermomde, geavanceerde malware zijn.
AMP waarschuwt onmiddellijk de beveiligingsbeheerder en maakt zichtbaar welke netwerkgebruiker misschien is
geïnfecteerd en wanneer.
CTA detecteert intussen nog onopvallender bedreigingen die verdedigingen zijn gepasseerd en actief aan het werk
zijn in het bedrijfsnetwerk. Het is een innovatief malwaredetectiesysteem dat gebruikmaakt van gedragsanalyse en
detectie van afwijkingen om vast te stellen welke apparaten zijn besmet. CTA maakt gebruik van geavanceerde
statistische modellering en machine learning om nieuwe bedreigingen onafhankelijk op te sporen. Het systeem
leert van wat het tegenkomt en past zich in de loop van de tijd aan, zonder dat het hoeft te worden aangepast of
geconfigureerd.
zijn in het bedrijfsnetwerk. Het is een innovatief malwaredetectiesysteem dat gebruikmaakt van gedragsanalyse en
detectie van afwijkingen om vast te stellen welke apparaten zijn besmet. CTA maakt gebruik van geavanceerde
statistische modellering en machine learning om nieuwe bedreigingen onafhankelijk op te sporen. Het systeem
leert van wat het tegenkomt en past zich in de loop van de tijd aan, zonder dat het hoeft te worden aangepast of
geconfigureerd.
CTA identificeerde bewijzen van malwareactiviteit in het netwerk van de klant en rapporteerde deze. De malware
bestond uit een reeks modules die door één malware-entiteit werden beheerd. In dit geval betrof het de payload
Cryptolocker-ransomware, een type malware dat bestanden op de computers van slachtoffers versleutelt en hun
apparaat 'vergrendelt' totdat ze een 'losprijs' betalen.
bestond uit een reeks modules die door één malware-entiteit werden beheerd. In dit geval betrof het de payload
Cryptolocker-ransomware, een type malware dat bestanden op de computers van slachtoffers versleutelt en hun
apparaat 'vergrendelt' totdat ze een 'losprijs' betalen.
Zoals u kunt zien in afbeelding 2, gebruikte de tegenstander een command and control-infrastructuur om de aanval
uit te voeren. Deze campagne bestond uit vier belangrijke stappen:
uit te voeren. Deze campagne bestond uit vier belangrijke stappen:
Stap 1. De aanvaller gebruikte een exploit (CVE-2012-4681) om te profiteren van een zwakke plek in het JRE-
onderdeel (Java Runtime Environment) in Oracle Java SE 7 Update 6. Hierdoor kon de aanvaller op
afstand code uitvoeren en de beveiligingsmanager omzeilen.
afstand code uitvoeren en de beveiligingsmanager omzeilen.
Stap 2. Daarnaast werd de bootkit (Rovnix.l) geïnstalleerd om te zorgen dat de malware op de machine actief
bleef.
Stap 3. Vervolgens werd de payload geleverd om de malware volledig operationeel te maken. (In dit geval ging
het om Cryptolocker-ransomware.)
Stap 4. De aanval stelde command and control-kanalen in om de functie actief te houden.
Afbeelding 2. Vier belangrijke stappen in de aanval
5
Malvertising, online adverteren dat wordt gebruikt om malware te verspreiden, speelde een hoofdrol bij de distributie van
Cryptolocker, dat sindsdien is uitgeschakeld. Maar malvertising en ransomware zijn nog steeds actuele bedreigingen, en ze
worden door tegenstanders gebruikt om zeer gerichte campagnes te starten via internet. Ga voor meer details naar het Cisco
2014 Midyear Security Report: