Tag Archives: Applocker

Ransomware in der Automatisierungstechnik. RoSI in der Praxis.

6. Mai 2021

Nach der kurzen Einführung in die Theorie von RoSI nun ein Praxisbeispiel.

Szenario

Ein Unternehmen betreibt an 2 Standorten prozesstechnische Anlagen. Jede Anlage besteht aus 5 Teilanlagen. Insgesamt werden pro Standort 100 Workstations und 20 Server betrieben. Die Standorte sollen im Rahmen eines Digitalisierungsprojektes enger mit der Forschungs- Entwicklungsabteilung sowie den Produktionsplanungssystemen und der Office-Cloud vernetzt werden. Vorab führt das Produktionsmanagement eine Risikoanalyse durch.

Die Risikoanalyse ermittelt ein hohes Risiko in Bezug auf eine Malware-Infektion, die zu einem Stillstand an beiden Standorten führen könnte. Der Produktionsmanager schätzt, dass eine Infektion mit Ransomware im ungünstigsten Fall zu einem Produktionsausfall von 5 Tagen führen könnte. Ein Tag Produktionsausfall kostet das Unternehmen 200T€.

Die Geschäftsleitung macht klar, dass unter der geschätzten Auslastung für die nächsten 36 Monate ein Ausfall von max. 1,5 Tagen pro Jahr akzeptabel ist. Das ermittelte Risiko ist nicht akzeptabel ist. Die OT-Security erhält die Aufgabe, die wirtschaftlich beste Lösung zur Reduktion des Risikos um 70% (von 1Mio. € auf 300T€) zu ermitteln.

Damit sind die Randbedingungen für die RoSI-Betrachtung festgelegt:

KE: Die Kosten des Sicherheitsereignisses KE belaufen sich auf KE = 1 Mio. €.

SR%: Sicherheitsmaßnahme S soll das Risiko um SR% = 70% reduzieren.

KES: Die Kosten des Sicherheitsereignisses sollen reduziert werden auf KES <= 300T€

Design der Maßnahmen

Das Unternehmen setzt in der Produktion noch keine Antimalware-Lösung ein. Zur Risikoreduzierung werden 3 traditionelle Ansätze verfolgt, die auf Sicherheitslösungen beruhen, die vom Hersteller der Automatisierungslösung freigegeben sind.

Alt1: Antimalware-Lösung McAfee Endpoint Protection

Alt2: Antimalware-Lösung McAfee Endpoint Protection plus Microsoft AppLocker

Alt3: Antimalware-Lösung McAfee Endpoint Protection plus McAfee Application Control

Microsoft AppLocker ist eine Application-Directory-Allow-Listing-Lösung, die von vielen Herstellern von Automatisierungslösungen zur Grundhärtung der Systeme empfohlen wird. AppLocker ist seit Windows 7 in der Enterprise-Version des Betriebssystems verfügbar. McAfee Application Control ist eine system-basierte Application-Whitelisting-Lösung, die von vielen Herstellern von Automatisierungslösungen zum Schutz vor bekannter und neuer Malware empfohlen wird. Sie kann auch Crypto-Würmer wie WannaCry und NotPetya, die sich im Systemkontext von System zu System bewegen, abwehren.

Bewertung der Effektivität der Lösungsansätze

IT- und OT-Security führen eine Bewertung der Effektivität der verschiedenen systemtechnischen Ansätze durch. Daraus ergibt sich folgendes Bild:

Bewertung der Effektivität der Lösungen. Zum Vergrößern klicken.

Die klassische Antimalware-Lösung „pattern-based Antivirus“ hat mit 38% eine unzureichende Schutzwirkung, ebenso wie die Lösung „Application Directory Allow Listing“ und die Kombination aus AV.Trad und AWL.DIR.

Die „system-basierte Application-Whitelisting-Lösung“ kommt bereits sehr nahe (64%) an die geforderte Risikoreduzierung SR% = 70% heran.

Die Kombination aus AV.Trad und AWL.SYS kommt am nächsten an die geforderte Risikoreduzierung von 70% heran.

Die Details zur Bewertung stehen hier bereit.

Kostenbetrachtung

Die Kosten aller Lösungen wurden untersucht. Lizenz- und Betriebskosten wurden über einen Zeitraum von 3 Jahren betrachtet. Die Kosten für die Erstinstallation wurden berücksichtigt. Bei den Lizenzkosten wurden Lizenzstaffeln (101-250 Workstations und 26-50 Server) berücksichtigt. Preise wurden per Internet-Recherche ermittelt. Das Kostenmodell steht hier zum Download verfügbar.

RoSI

Die Berechnung von RoSI über 3 Jahre ergibt folgendes Bild:

RoSI der Lösungen im Vergleich. Zum Vergrößern klicken.

Alle Lösungen haben ein positives RoSI. Die Optionen Alt1: AV.Trad und Alt2: AV.Trad + AWL-DIR scheiden aus, da das Restrisiko KES deutlich höher ist als die geforderten 900T€

RoSI: Vergleich der Alternativen. Zum Vergrößern klicken.

Alternative Alt3: Antimalware-Lösung McAfee Endpoint Protection plus McAfee Application Control und McAfee Application Control führen zu einer ähnlichen Risikoreduktion. Alt3 hat jedoch deutlich höhere Kosten.

Für welche Lösung wird sich die Produktionsleitung entscheiden?

Dies ist der letzte Post aus der Ransomware/RoSI-Reihe. Mehr zu RoSI gibt es beim IMI Virtuellen Dialog „Costs and Benefits of Security“ am 11.05.2021. Neben praktischen Anwendungsbeispielen von ABB und Fortinet erweitere ich diese Analyse um eine moderne EDR-Lösung.

Viel Erfolg mit RoSI!

Ransomware in der Automatisierungstechnik. Das muss nicht sein!

28. März 2021

Vor einigen Tagen schaute ich mit das KnowBe4 Webinar „Now That Ransomware Has Gone Nuclear, Avoid Becoming the Next Victim?“ (1) an. Der erste Teil über das Ransomware Business war sehr informativ. Folie „Defenses“ brachte die ganze Ransomware-Diskussion auf den Punkt:

Von den weiteren Details zu den Abwehrmaßnahmen war ich eher enttäuscht. Das Webinar vermittelte den Eindruck, dass die Anbieter von IT-Security-Lösungen keine Strategie zum Umgang mit Ransomware haben. Philipp Blom bringt es in seinem Buch „Das große Welttheater“ (2) auf den Punkt:

„Die Protagonisten handeln und planen in der Annahme, dass die Gegenwart so ist, wie sie nun einmal ist, dass keine wirkliche Alternative besteht und dass deswegen nichts anderes übrigbleibt, als eben weiterzumachen wie bisher, nur mit noch mehr Energie und Entschlossenheit, immer weiter hinein, immer schneller, immer mehr.“

Im CISA Ransomware Guide (3) von 2020 findet man nahezu alle Vorschläge, die Javvad Malik von KnowBe4 in seinen Folien im Abschnitt Defenses zeigt. Die CISA geht im Abschnitt „Ransomware Infection Vector: Precursor Malware Infection“ einen entscheidenden Schritt weiter und empfiehlt:

“Use application directory allowlisting on all assets to ensure that only authorized software can run, and all unauthorized software is blocked from executing.
Enable application directory allowlisting through Microsoft Software Restriction Policy or AppLocker.”

Wie funktionieren Application-Directory-Allowlisting-Lösungen?

Das Schutzkonzept von Application-Directory-Allowlisting-Lösungen, auch Directory-Whitelisting-Lösungen genannt, ist bestechend einfach: Anwendungen dürfen nur gestartet werden, wenn Sie in bestimmten Verzeichnissen installiert sind.

Die einfachste Allowlist besteht aus 2 Verzeichnissen, c:\windows\system32 und c:\programme. Microsoft Word, installiert in „C:\Programme\Microsoft Office“ darf gestartet werden; die Ausführung eines PowerShell-Scripts, das ein bösartiges Word-Dokument im Homeverzeichnis eines Anwenders speichert, wird blockiert, da das Homeverzeichnis nicht in der Whitelist verzeichnet ist.

Application-Directory-Allowlisting-Lösungen blockieren Angriffe bereits in der Exploitation Phase der Cyber-Kill-Chain; die Installation des Schadprogramms wird verhindert.

Software Restriction Policies (SRP) sind seit Windows XP in der Professional-Version, AppLocker ist seit Windows 7 in der Enterprise-Version von Windows verfügbar. Beide können zentral über Group Policies administriert werden. Im Hintergrund überwacht der Dienst Anwendungsidentität (AppIdSvc) die Objektausführung.  

Lösungsanbieter im Umfeld Prozessautomatisierung sind sehr konservativ, wenn es um Systemprogramme geht, die in die Programmausführung eingreifen. Ein Anbieter legt im Detail fest, welche IT-Security Produkte in welcher Version mit seinen Produkten zertifiziert sind. Das garantiert dem Systemintegrator und Betreiber die Unterstützung im Fall von Problemen. Interessanterweise sehen einige der bekannten Lösungsanbieter AppLocker als grundlegende Härtungsmaßnahme an:

Hersteller Erklärung des Herstellers zum Einsatz von AppLocker
Siemens Grundlegende Sicherheitseinstellung für SIMATIC IPCs (4)
Schneider
Electric 		Akzeptiert die Nutzung von AppLocker (6), referenziert auf
die Essential Four (Vorgänger der Essential Eight (5)) des Australian Cyber
Security Centre.
ABB Automatisch konfiguriert in MicroSCADA Pro SYS600 und DMS600 Umgebungen (7)
Rockwell Whitelisting mit AppLocker ist Critical Control (8). Vorgefertigte AppLocker Policies sind
zum Download verfügbar.
Herstellerinformationen zu AppLocker

Hinweis: Diese Zusammenstellung ist nicht vollständig. Fragen Sie den Hersteller ihrer Automatisierungslösung, ob er Application-Directory-Allowlisting mit AppLocker oder SRP unterstützt.

Wie wirksam sind Application-Directory-Allowlisting-Lösungen?

Application-Directory-Allowlisting-Lösungen schützen vor Angriffen, die eine Benutzerinteraktion erfordern. Dazu gehören etwa als Dokumente und Anhänge getarnte Schadprogramme, Drive-by-Downloads oder PuP (Potentially unwanted Programs). Da die Lösungen nicht mit Erkennungsmustern arbeiten, sinkt die Effektivität nicht über die Zeit. Damit ist auch ein Schutz gegen neuartige Malware wie Purple Fox (9) gewährleistet.

Was reduziert die Effektivität von Application-Directory-Allowlisting-Lösungen?

Arbeitet der Anwender mit permanenten administrativen Berechtigungen, so besteht die Möglichkeit, dass sich die Schadware in ein erlaubtes Verzeichnis, etwa c:\windows\system32 kopiert. Damit könnte die Malware gestartet werden.

Wo bieten Application-Directory-Allowlisting-Lösungen keinen Schutz?

Bei jeder Art von Malware, die im Systemkontext und ohne Benutzerinteraktion arbeitet. Dazu gehören Crypto-Würmer wie WannaCry und NotPetya. Pro Jahr werden wenige Schwachstellen in Windows-Systemfunktionen gefunden, die Wurm-Potenzial haben. Sofern in ihrem Produktionsumfeld eingehende Netzwerkverbindungen mit Microsoft-Protokollen erforderlich sind, sollten Application-Whitelisting-Lösungen zum Einsatz kommen.

Was kostet die Einführung der Lösung?

AppLocker ist in der Enterprise-Version von Windows enthalten. Die Installation und der Betrieb im Automatisierungsumfeld ist einfach, da kaum Modern Apps eingesetzt werden, die im Userkontext installiert sind. Das Rollout der Lösung kann mit Group Policies durchgeführt werden, sofern ein Active Directory vorhanden ist. Daher ist mit sehr geringen Betriebskosten und somit einem großen RoSI zu rechnen. Mehr zu RoSI (Return on Security Invest) im nächsten Post.

Sollte AppLocker auch im Enterprise Umfeld genutzt werden

Die CISA Empfehlung ist klar. Im Enterprise-Umfeld ist mit den Modern Apps mit deutlich erhöhtem Aufwand zu rechnen, da diese im User-Kontext arbeiten. Lösungen wie Goto-Meeting, die das Herunterladen und Ausführen eines Programms im Userkontext erfordern, funktionieren nicht, können jedoch durch geeignete AppLocker Regeln lauffähig gemacht werden. Prinzipiell sollten solche Programme nicht verwendet werden, da sie ein erhebliches Sicherheitsproblem bilden. Im Enterprise-Umfeld ist mit einem deutlich schlechteren RoSI zu rechnen.

Mehr zu RoSI und Application Whitelisting im nächsten Post.

Referenzen

1.            Malik J. Now That Ransomware Has Gone Nuclear, How Can You Avoid Becoming the Next Victim? [Internet]. Data Breach Today. 2021 [zitiert 28. März 2021]. Verfügbar unter: https://www.databreachtoday.eu/showOnDemand.php?webinarID=3007

2.            Blom P. Das große Welttheater. Von der Macht der Vorstellungskraft in Zeiten des Umbruchs. 2020.

3.            CISA Cyber Security and Infrastructure Security Agency. Ransomware Guide [Internet]. Publications Library. 2020 [zitiert 8. Oktober 2020]. Verfügbar unter: https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C.pdf

4.            Siemens AG. Empfohlene Sicherheitseinstellungen für IPCs im Industrieumfeld [Internet]. Industry Online Support International. 2019 [zitiert 2. Dezember 2020]. Verfügbar unter: https://support.industry.siemens.com/cs/document/109475014/empfohlene-sicherheitseinstellungen-f%C3%BCr-ipcs-im-industrieumfeld?dti=0&lc=de-WW

5.            Australian Cyber Security Center. Essential Eight Explained | Cyber.gov.au [Internet]. Australian Signals Directorate. 2020 [zitiert 19. Juni 2020]. Verfügbar unter: https://www.cyber.gov.au/publications/essential-eight-explained

6.            Schneider Electric. How can I… Reduce Vulnerability to Cyberattacks? [Internet]. 2019. Verfügbar unter: https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=STN+-+How+can+I+reduce+vulnerability+to+cyberattacks+v3+Feb2019.pdf&p_Doc_Ref=STN+v2#page75

7.            ABB. MicroSCADA Pro Cyber Security Deployment Guideline [Internet]. 2016 [zitiert 2. Dezember 2020]. Verfügbar unter: https://docplayer.net/37555936-Microscada-pro-cyber-security-deployment-guideline.html

8.            Rockwell Automation. Rockwell Automation Customer Hardening Guidelines. Document ID: PN767 [Internet]. 2010 [zitiert 2. Dezember 2020]. Verfügbar unter: https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/546987/loc/en_US#__highlight

9.            Montalbano E. Purple Fox Malware Targets Windows Machines With New Worm Capabilities [Internet]. threatpost. 2020 [zitiert 26. März 2021]. Verfügbar unter: https://threatpost.com/purple-fox-malware-windows-worm/164993/

How to defend against file-less malware?

15 July 2019

Stories on file-less malware are constantly appearing in the news. Zeljka Zorz’s post “A file-less campaign is dropping the Astaroth info-stealer” (1), published on 9 July 2019 in Help Net Security, gives a great introduction into the techniques used in file-less attacks.

Andrea Lelli’s technical analysis (2) shows that the malware downloads some DLLs and injects them into the userinit.exe process after becoming persistent. So, no big development since the first report on a file-less malware, Poweliks (3), published in 2014.

Pattern based anti-malware solutions are still no effective means to protect against file-less malware because the malware uses the hacker’s favorite toolkit, the Windows OS, for installation of the malicious payload.

But there is no reason to panic. The Windows OS is part of the problem; the Windows OS is also part of the solution.

First things first.

Don’t work with permanent administrative privileges!

It cannot be repeated often enough! Userinit.exe is part of the Windows OS. Admin privileges are required to load a DLL into the userinit.exe process. So, no admin rights, no DLL injection.

Now the big change.

We need change!

We need change!

In a Windows environment, Microsoft AppLocker does the job. AppLocker is an efficient solution; it is part of the Windows OS and it can be configured centrally by group policies. AppLocker is an effective solution; all kind of dropper malware is blocked, and with DLL rules enforced, DLL injection is no longer possible. Thus, AppLocker is the perfect solution for SMBs to overcome the shortcomings of pattern based anti-malware solutions. For a brief overview on AppLocker see my post (4).

If AppLocker does not fit into your computing environment, for example in production, look at the application whitelisting solutions from the big anti-malware solution providers. Application whitelisting provides additional features, e.g. the lockdown of systems, which is of interest especially in production because of the much longer solution lifecycles.

Application whitelisting is the long overdue change in the strategic approach to cyber security. Give it a try. Once you locked down your systems you can take care of the really important issues. Like supporting your business in digitalization initiatives.

Have a great week.

References

  1. Zorz Z. A fileless campaign is dropping the Astaroth info-stealer [Internet]. Help Net Security. 2019 [zitiert 15. Juli 2019]. Verfügbar unter: https://www.helpnetsecurity.com/2019/07/09/astaroth-fileless-malware/
  2. Lelli A. Dismantling a fileless campaign: Microsoft Defender ATP next-gen protection exposes Astaroth attack [Internet]. Microsoft Security. 2019 [zitiert 15. Juli 2019]. Verfügbar unter: https://www.microsoft.com/security/blog/2019/07/08/dismantling-a-fileless-campaign-microsoft-defender-atp-next-gen-protection-exposes-astaroth-attack/
  3. Jochem K. Review – ‘Poweliks’ malware variant employs new antivirus evasion techniques [Internet]. IT Security Matters. 2014 [zitiert 15. Juli 2019]. Verfügbar unter: https://klausjochem.me/2014/08/09/poweliks-malware-variant-employs-new-antivirus-evasion-techniques/
  4. Jochem K. Windows Applocker – The almost forgotten IT security workbench [Internet]. IT Security Matters. 2019 [zitiert 15. Juli 2019]. Verfügbar unter: https://klausjochem.me/2019/01/05/windows-applocker-the-almost-forgotten-it-security-workbench/

Windows Applocker – The almost forgotten IT security workbench

5 January 2019

Dridex[1], Emotet[2], Locky[3], Destover[4], Petya[5], NotPetya, etc. share one feature: They are droppers[6]. A dropper installs malware to a target system and executes it then.

Droppers are delivered mainly by e-mail through phishing or spear phishing attacks. Since they are continuously refined to undergo malware detection the fight against droppers never stops.

The Achilles heel of droppers is that they are executed in the context of the current user during delivery. With this the dropped malware can only be stored in locations where the user has modify privileges, e.g. the user’s home directory.

Seven Phases Cyber Kill Chain

Seven Phases Cyber Kill Chain

If we can prevent the execution of objects from e.g. the user’s home directory the dropper can never execute the installed malware. With this we can block the malware during the delivery / exploitation phase of the Cyber Kill Chain, before the attacker becomes persistent in our network.

That is the idea behind Windows Applocker[7]. The Applocker default rules allow the execution of programs, scripts and dlls only from trusted directory systems, e.g. c:\Program Files, C:\Progam Files (X86), or c:\Windows. If activated, Applocker stops the execution of programs and scripts outside these trusted directories and thus Dridex, Emotet, Locky, Destover, etc.

But Applocker does more than blocking droppers. DLL injection is prevented if DLL rules are enforced. I strongly recommend to enforce the DLL rules from the start. Drive-by downloads, PuA, PuP  and Adware are blocked. Even the exploitation of zero-days like the latest Adobe pdf security flaw, CVE-2018-16011[8], can be mitigated. The entire network becomes more resilient against cyber attacks.

Applocker is perfectly suited to enhance the resilience against cyber attacks in production networks and critical infrastructures. In particular in GxP regulated industries Applocker is worth to be looked at. Since Applocker is integrated in the Windows OS a validation of a third party white-listing application is not required.

Applocker can be enforced on Windows Enterprise Edition installations (starting with Windows 7) with local group policies. To lower the administrative effort it is recommended to join the computers to a domain and enforce the Applocker rules through group policies.

Unfortunately, Microsoft compromises the Applocker approach by tools like Teams and OneDrive. Both are installed in user context, thus will be blocked by Applocker. Since  Applocker allows the definition of exceptions and their roll out with group policies such applications can be handled with manageable effort.

Besides modern applications at least two cyber security sins reduce the effectiveness of Applocker.

  • Users work with permanent admin privileges.

In this case the dropper can install the malware in trusted directories. Working with permanent admin privileges is one of the IT security deadly sins, thus should be avoided anyway.

  • Users have modify access to trusted directories and files.

Check trusted directories and files with AccessEnum. If objects can be modified by users either change the ACLs or define an Applocker exception for them.

Applocker provides great capabilities to enhance the resilience of organizations against cyber attacks. Just give it a try in 2019.

Have a great weekend.

References

  1. Proofpoint Threat Insight. High-Volume Dridex Banking Trojan Campaigns Return [Internet]. 2017 [cited 2018 Dec 29]. Available from: https://www.proofpoint.com/us/threat-insight/post/high-volume-dridex-campaigns-return
  2. Villaroman BC. Spoofed Banking Emails Arrive with EMOTET Malware [Internet]. TrendMicro Threat Encyclopedia. 2018 [cited 2019 Jan 4]. Available from: http://www.trendmicro.tw/vinfo/tr/threat-encyclopedia/spam/677/spoofed-banking-emails-arrive-with-emotet-malware
  3. Avast Threat Intelligence Team. A closer look at the Locky ransomware [Internet]. Avast Blog. 2016 [cited 2018 Dec 29]. Available from: https://blog.avast.com/a-closer-look-at-the-locky-ransomware
  4. Gallagher S. Inside the “wiper” malware that brought Sony Pictures to its knees [Update] [Internet]. Ars Technica. 2014 [cited 2018 Dec 29]. Available from: https://arstechnica.com/information-technology/2014/12/inside-the-wiper-malware-that-brought-sony-pictures-to-its-knees/
  5. Malwarebytes Labs. Keeping up with the Petyas: Demystifying the malware family [Internet]. Malwarebytes Labs. 2017 [cited 2018 Dec 29]. Available from: https://blog.malwarebytes.com/cybercrime/2017/07/keeping-up-with-the-petyas-demystifying-the-malware-family/
  6. Rouse M. What is dropper? – Definition from WhatIs.com [Internet]. WhatIs.com. 2015 [cited 2019 Jan 5]. Available from: https://whatis.techtarget.com/definition/dropper
  7. Lich B, Poggemeyer L, Justinha. AppLocker (Windows 10) [Internet]. WIidows IT Pro Center. 2017 [cited 2019 Jan 5]. Available from: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview
  8. The Hacker News. Adobe Issues Emergency Patches for Two Critical Flaws in Acrobat and Reader [Internet]. Vulners Database. 2019 [cited 2019 Jan 4]. Available from: https://vulners.com/thn/THN:ADE75E1067458A6BD1C6FB7BD78E697D/