![Page 1: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/1.jpg)
Effiziente Abwehr von Cyber Kriminalität
Timo JobstHead of Cyber Defense Center
![Page 2: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/2.jpg)
www.kapsch.net |
C:\whoami
25.02.2019 | FH Campus Wien 2
Timo Jobst
Cyber Defense, Incident Response, Threat Intel
CISSP, GCFA, GCTI, CCE,…
>15 Jahre in Cyber Security
Sport & Outdoor Fan
![Page 3: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/3.jpg)
www.kapsch.net |
Was haben Sie 1986 gemacht?
![Page 4: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/4.jpg)
www.kapsch.net |
Cliff Stoll - 1986
25.02.2019 | FH Campus Wien 4
![Page 5: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/5.jpg)
www.kapsch.net |
A Long Story Short
25.02.2019 | FH Campus Wien 5
Hacker Hannover
Berkeley Laboratory
ARPANET / MILNET
![Page 6: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/6.jpg)
www.kapsch.net |
A Long Story Short
25.02.2019 | FH Campus Wien 6
Hacker Hannover
Berkeley Laboratory
ARPANET / MILNET
![Page 7: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/7.jpg)
www.kapsch.net |
Back to todays Cyber Defense
Back to the Future
![Page 8: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/8.jpg)
www.kapsch.net |
Sliding Scale of Cyber Security
Grundbausteine
▪ Planung
▪ Entwicklung
▪ Design
Stellt die Basis für alles weitere her
Solange die Basis nicht stimmt, ist ein teures Invest von Security sinnlos
Falsch konfigurierte Hard- u. Software erzeugt viel Noise im Netzwerk
Gewartete und gepatchte Systeme bieten dem Angreifer weniger Angriffsfläche
25.02.2019 | FH Campus Wien 8
![Page 9: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/9.jpg)
www.kapsch.net |
Sliding Scale of Cyber Security
25.02.2019 | FH Campus Wien 9
Typische Security Landschaft
▪ Firwalls, Anti-Malware Systeme, IPS, AV,…
Diese benötigen Wartung aber keine kontinuierliche menschliche Betreuung
Prevention und Protection können meist leicht umgangen werden
![Page 10: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/10.jpg)
www.kapsch.net |
Sliding Scale of Cyber Security
25.02.2019 | FH Campus Wien 10
Gut geschulte Analysten benötigt um ebenfalls gut geschulte Angreifer zu
identifizieren
Gute Architektur und Passive Defense ist Grundvoraussetzung
Motivierter Angreifer wird es immer schaffen ein Netz zu kompromittieren
Monitor, Respond, Learn – Wissen auf die internen Netzwerke übertragen
Incident Response, Malware Reverse Engineering, Threat Analyse, NSM,….
Threat Hunting
Angreifer sind Wandlungsfähig, Defender müssen ebenso Intelligent und
Flexible sein.
![Page 11: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/11.jpg)
www.kapsch.net |
Pew-Pew Maps
25.02.2019 | FH Campus Wien 11
![Page 12: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/12.jpg)
www.kapsch.net |
Sliding Scale of Cyber Security
25.02.2019 | FH Campus Wien 12
Intelligence wird für effektive Active Defense benötigt
Analysierte und bewertete Information führt zu Intelligence
Tools erstellen keine Intelligence, nur Analysten können dies
Vom Angreifer lernen um daraus besser zu reagieren und zu identifizieren
![Page 13: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/13.jpg)
www.kapsch.net |
Sliding Scale of Cyber Security
25.02.2019 | FH Campus Wien 13
Wird eher von Militär und großen Security Unternehmen durchgeführt
Kostenintensiv
![Page 14: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/14.jpg)
www.kapsch.net |
Sliding Scale of Cyber Security
25.02.2019 | FH Campus Wien 14
![Page 15: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/15.jpg)
www.kapsch.net |
Sliding Scale of Cyber Security
25.02.2019 | FH Campus Wien 15
![Page 16: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/16.jpg)
www.kapsch.net |
Sliding Scale of Cyber Security
25.02.2019 | FH Campus Wien 16
![Page 17: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/17.jpg)
www.kapsch.net |
Active Defense & Intelligence
Großer Technologie Stack
Viel Open Source und
einige kommerzielle
Produkte
Hardware
Woher kommt die Intel?
OSINT/Kommerziell?
Wo verarbeite ich die
Daten?
Wie produziere ich Intel?
Erfahrung im Security
Bereich
Analytisches Denken
Netzwerk & OS Knowhow
IR & Forensic Knowhow
Welche Daten braucht
man?
Schwachstellen
Wie kommt man an diese
Daten?
Wo speichert man sie?
25.02.2019 | Titel der Präsentation 17
![Page 18: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/18.jpg)
www.kapsch.net |
Beurteilung Data Sources
Host/Network Proactive/Live
Pivots
Pro
Con
25.02.2019 | Kapsch Managed Defense Service 18
Criteria Grade
Retention
Context
Search
Acquisition
Pivot Fields
GRADE
![Page 19: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/19.jpg)
www.kapsch.net |
Packet Capture (PCAP)
Network Proactive
IP, Port, Protocol Fields, Payload
Pro
• Highest contex network data source
• Wide level of tool support
• Likely already examined by IDS
Con
• Large disk footprint limits retention
• Limited value when encryption is used
• Significant extraneous data
• Slow to retrieve and filter
25.02.2019 | Kapsch Managed Defense Service 19
Criteria Grade
Retention D
Context A+
Search C
Acquisition D
Pivot Fields A+
GRADE B-
![Page 20: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/20.jpg)
www.kapsch.net |
Network Flow Data
Network Proactive
IP, Port
Pro
• Possible to store for a long time
• Very fast and flexible to search
• Can be generated from network devices or
sensors
• Ideal starting point
Con
• Virtually no context
• Several formats can produce different results
25.02.2019 | Kapsch Managed Defense Service 20
Criteria Grade
Retention A+
Context D
Search A+
Acquisition A
Pivot Fields D
GRADE A-
![Page 21: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/21.jpg)
www.kapsch.net |
Memory Image
Host Live
Too Many to Name
Pro
• Incredibly context rich
• Often the only way to find certain types of
malware or hidden processes
• Individual dumps are easy to navigate with
some tools
Con
• Time consuming to acquire and parse
• Not feasible for proactive collection or long
retention
25.02.2019 | Kapsch Managed Defense Service 21
Criteria Grade
Retention F
Context A
Search B
Acquisition D
Pivot Fields A+
GRADE B
![Page 22: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/22.jpg)
www.kapsch.net |
DetectionsPyramid of Pain
25.02.2019 | FH Campus Wien 22
Behavioral based detection
Automation of traditional indicators
Signature
Source: http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
![Page 23: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/23.jpg)
www.kapsch.net |
MITRE ATT&CKMITRE´s Adversarial Tactics, Techniques, and Common Knowledge
25.02.2019 | FH Campus Wien 23
An adversary model and framework for describing the actions an adversary may take to
compromise and operate within an enterprise network
Focus on the last for steps of the Cyber Attack Lifecycle
![Page 24: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/24.jpg)
www.kapsch.net |
MITRE ATT&CK
11 Tactics
Derived from later stages (expoit,
control, maintain and execute) of a
seven-stage Attack Lifecycle
Categories contain list of
techniques adversary could use to
perform that tactic
25.02.2019 | FH Campus Wien 24
![Page 25: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/25.jpg)
www.kapsch.net |
MITRE ATT&CK
11 Tactics
Derived from later stages (expoit,
control, maintain and execute) of a
seven-stage Attack Lifecycle
Categories contain list of
techniques adversary could use to
perform that tactic
~223 Techniques
Windows, Mac, Linux
Techniques provide technical,
description, indicators, useful
defensive sensor data, detection
analytics, and potentioal mitigations
25.02.2019 | FH Campus Wien 25
![Page 26: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/26.jpg)
www.kapsch.net |
APT28, Sofacy, Fancy Bear
25.02.2019 | Titel der Präsentation 26
![Page 27: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/27.jpg)
www.kapsch.net |
APT28, Sofacy, Fancy Bear
25.02.2019 | FH Campus Wien 27
![Page 28: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/28.jpg)
www.kapsch.net |
APT29, Cozy Bear
25.02.2019 | Titel der Präsentation 28
![Page 29: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/29.jpg)
www.kapsch.net |
APT29, Cozy Bear
25.02.2019 | FH Campus Wien 29
![Page 30: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/30.jpg)
www.kapsch.net |
Kombination APT28/APT29
25.02.2019 | Titel der Präsentation 30
![Page 31: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/31.jpg)
www.kapsch.net |
Kombination APT28/APT29
25.02.2019 | FH Campus Wien 31
![Page 32: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/32.jpg)
Die BedrohungGezielte Angriffe
![Page 33: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/33.jpg)
www.kapsch.net |
Das Ziel: Energieversorgung WaldviertelOperation Powerhouse
25.02.2019 | FH Campus Wien 33
![Page 34: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/34.jpg)
www.kapsch.net |
Der Plan: NetzwerkzugriffOperation Powerhouse
25.02.2019 | FH Campus Wien 34
Mailserver
![Page 35: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/35.jpg)
Versuch #1
![Page 36: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/36.jpg)
www.kapsch.net |
Versuch #1Operation Powerhouse
25.02.2019 | FH Campus Wien 36
![Page 37: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/37.jpg)
www.kapsch.net |
Versuch #1Operation Powerhouse
25.02.2019 | Business Breakfast 2018 37
![Page 38: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/38.jpg)
www.kapsch.net |
Versuch #1Operation Powerhouse
25.02.2019 | FH Campus Wien 38
![Page 39: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/39.jpg)
www.kapsch.net |
Versuch #1Operation Powerhouse
25.02.2019 | FH Campus Wien 39
![Page 40: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/40.jpg)
www.kapsch.net |
Das Problem: Die SandboxOperation Powerhouse
25.02.2019 | FH Campus Wien 40
Mailserver Sandbox
![Page 41: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/41.jpg)
www.kapsch.net |
Versuch #1Operation Powerhouse
25.02.2019 | FH Campus Wien 41
![Page 42: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/42.jpg)
www.kapsch.net |
Versuch #1Operation Powerhouse
25.02.2019 | FH Campus Wien 42
![Page 43: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/43.jpg)
Versuch #2
![Page 44: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/44.jpg)
www.kapsch.net |
Versuch #2Operation Powerhouse
25.02.2019 | FH Campus Wien 44
![Page 45: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/45.jpg)
www.kapsch.net |
Versuch #2Operation Powerhouse
25.02.2019 | FH Campus Wien 45
![Page 46: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/46.jpg)
www.kapsch.net |
Versuch #2Operation Powerhouse
25.02.2019 | FH Campus Wien 46
![Page 47: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/47.jpg)
www.kapsch.net |
Die Lösung: Environmental KeyingOperation Powerhouse
25.02.2019 | FH Campus Wien 47
Mailserver Sandbox
![Page 48: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/48.jpg)
www.kapsch.net |
Versuch #2Operation Powerhouse
25.02.2019 | FH Campus Wien 48
![Page 49: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/49.jpg)
www.kapsch.net |
Versuch #2Operation Powerhouse
25.02.2019 | FH Campus Wien 49
![Page 50: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/50.jpg)
www.kapsch.net |
Versuch #2Operation Powerhouse
25.02.2019 | FH Campus Wien 50
![Page 51: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/51.jpg)
www.kapsch.net |
Versuch #2Operation Powerhouse
25.02.2019 | FH Campus Wien 51
![Page 52: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/52.jpg)
FazitPrevention Fails
![Page 53: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/53.jpg)
www.kapsch.net |25.02.2019 | 53
![Page 54: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/54.jpg)
www.kapsch.net |
Defensible Network
25.02.2019 | FH Campus Wien 55
Mailserver Sandbox
Cyber Defense Technologie Stack
NSM
EDR
Log
Vuln Scanning
![Page 55: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/55.jpg)
www.kapsch.net |
Defensible Network
25.02.2019 | Business Breakfast 2018 56
Mailserver Sandbox
Cyber Defense Technologie Stack
NSM
EDR
Log
Vuln Scanning
Threat Intel
Ticketing
![Page 56: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/56.jpg)
www.kapsch.net |
Defensible Network
25.02.2019 | FH Campus Wien 57
Mailserver Sandbox
Cyber Defense Technologie Stack
NSM
EDR
Log
Vuln Scanning
Threat Intel
Ticketing
Hunting
![Page 57: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/57.jpg)
www.kapsch.net |
Defensible Network
25.02.2019 | FH Campus Wien 58
Mailserver Sandbox
Cyber Defense Technologie Stack
NSM
EDR
Log
Vuln Scanning
Threat Intel
Ticketing
Hunting
![Page 58: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/58.jpg)
Timo Jobst
Cyber Security Analyst
Kapsch BusinessCom
Kapsch BusinessCom
Wienerbergstrasse 53
1120 Wien, Österreich
Phone: +43 50 811 5791
E-Mail: [email protected]
www.kapsch.net
59
Operation Powerhouse
1. NSM - Network Monitoring
2. EDR – Endpoint
3. LOG – Logging
![Page 59: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/59.jpg)
www.kapsch.net |
NSM Alert Overview
25.02.2019 |
![Page 60: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/60.jpg)
www.kapsch.net |
NSM Alert Overview
25.02.2019 |
![Page 61: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/61.jpg)
www.kapsch.net |
NSM Alert Overview
25.02.2019 |
![Page 62: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/62.jpg)
www.kapsch.net |
NSM Alert Intel-ADDR 62.218.147.233
25.02.2019 |
![Page 63: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/63.jpg)
www.kapsch.net |
NSM Alert SSL Connection
25.02.2019 |
![Page 64: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/64.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
![Page 65: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/65.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – Beacon?
![Page 66: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/66.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – Beacon?
- Domain: bbtt.login-portal.at -
Unknown – Free SSL CERT
![Page 67: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/67.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – Beacon?
- Domain: bbtt.login-portal.at -
Unknown – Free SSL CERT
Next Step
Query Intel
![Page 68: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/68.jpg)
www.kapsch.net |
Intel Check – login-portal.at
25.02.2019 |
![Page 69: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/69.jpg)
www.kapsch.net |
Intel Check – 62.218.147.233
25.02.2019 |
![Page 70: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/70.jpg)
www.kapsch.net |
Intel Check – Known Domains
25.02.2019 |
![Page 71: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/71.jpg)
www.kapsch.net |
Intel Check – Shared Events
25.02.2019 |
Operation Powerhouse
![Page 72: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/72.jpg)
www.kapsch.net |
Intel Check – Shared Events
25.02.2019 |
![Page 73: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/73.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – Beacon?
- Domain: bbtt.login-portal.at -
Unknown – Free SSL CERT
![Page 74: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/74.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Unknown – Free SSL CERT
![Page 75: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/75.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Completely Unknown – Fresh – Bad Hoster
![Page 76: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/76.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Completely Unknown – Fresh – Bad Hoster
- a.exe -
Unknown – Unseen – No Hash
![Page 77: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/77.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Completely Unknown – Fresh – Bad Hoster
- a.exe -
Unknown – Unseen – No Hash
Next Step
Check Client
![Page 78: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/78.jpg)
www.kapsch.net |
EDR Alert
25.02.2019 |
![Page 79: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/79.jpg)
www.kapsch.net |
EDR Alert – Overview
25.02.2019 |
Operation Powerhouse
![Page 80: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/80.jpg)
www.kapsch.net |
EDR Alert – Connection Overview
25.02.2019 |
![Page 81: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/81.jpg)
www.kapsch.net |
EDR Alert – Exploit Overview - Origin
25.02.2019 |
![Page 82: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/82.jpg)
www.kapsch.net |
EDR Alert – Exploit Overview – Process Tree
25.02.2019 |
![Page 83: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/83.jpg)
www.kapsch.net |
EDR Alert – Powershell – 2nd Stage Download
25.02.2019 |
![Page 84: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/84.jpg)
www.kapsch.net |
EDR Alert – a.exe
25.02.2019 |
![Page 85: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/85.jpg)
www.kapsch.net |
EDR Alert – Microsoft Word Updater.exe
25.02.2019 |
![Page 86: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/86.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Completely Unknown – Fresh – Bad Hoster
- a.exe -
Unknown – Unseen – No Hash
![Page 87: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/87.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Completely Unknown – Fresh – Bad Hoster
- a.exe -
2nd Stage Downloader - LEONIE
![Page 88: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/88.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Completely Unknown – Fresh – Bad Hoster
- a.exe -
2nd Stage Downloader - LEONIE
- Microsoft Word Updater.exe -
Persistent – Reverse Shell – LEONIE
![Page 89: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/89.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Botnet Site – C2 Established
- a.exe -
2nd Stage Downloader - LEONIE
- Microsoft Word Updater.exe -
Persistent – Reverse Shell – LEONIE
![Page 90: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/90.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Botnet Site – C2 Established
- a.exe -
2nd Stage Downloader - LEONIE
- Microsoft Word Updater.exe -
Persistent – Reverse Shell – LEONIE
Next Step
Block Client / FW - Check Behavior
![Page 91: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/91.jpg)
www.kapsch.net |
Splunk - Logging Active Directory Alerts
25.02.2019 |
![Page 92: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/92.jpg)
www.kapsch.net |
Splunk - Logging Internal Network Behavior
25.02.2019 | 93
![Page 93: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/93.jpg)
www.kapsch.net |
Splunk - Logging Rev. Shell Indikator (Time)
25.02.2019 | 94
![Page 94: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/94.jpg)
www.kapsch.net |
Splunk - Logging Rev. Shell Indikator (Bytes)
25.02.2019 | 95
![Page 95: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/95.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Botnet Site – C2 Established
- a.exe -
2nd Stage Downloader - LEONIE
- Microsoft Word Updater.exe -
Persistent – Reverse Shell – LEONIE
![Page 96: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/96.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Botnet Site – C2 Established
- a.exe -
2nd Stage Downloader - LEONIE
- Microsoft Word Updater.exe -
Persistent – Reverse Shell – LEONIE
- Bruteforce vs. AD -
Failed Logins
![Page 97: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/97.jpg)
www.kapsch.net |
STATUS
25.02.2019 |
- IP: 62.218.147.233 -
Intel Alert – APT Waldviertel
- Domain: bbtt.login-portal.at -
Botnet Site – C2 Established
- a.exe -
2nd Stage Downloader - LEONIE
- Microsoft Word Updater.exe -
Persistent – Reverse Shell – LEONIE
- Bruteforce vs. AD -
Failed Logins
- Lateral Movement -
SMB Spreading
![Page 98: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/98.jpg)
www.kapsch.net |
FAZIT
25.02.2019 | Titel der Präsentation 99
cdc@kapsch[.]net
![Page 99: Effiziente Abwehr von Cyber Kriminalität...Monitor, Respond, Learn –Wissen auf die internen Netzwerke übertragen Incident Response, Malware Reverse Engineering, Threat Analyse,](https://reader036.vdocuments.site/reader036/viewer/2022063002/5f48b30aeeca2c7f541f430f/html5/thumbnails/99.jpg)
Questions?
Timo Jobst
Head of Cyber Defense Center
Kapsch BusinessCom
Kapsch BusinessCom
Wienerbergstrasse 53
1120 Wien, Österreich
Phone: +43 50 811 5791
E-Mail: [email protected]
www.kapsch.net
100