Zum Inhalt wechseln


Foto

Es hat uns erwischt (Verschl.-Trojaner CryptXXX)


  • Bitte melde dich an um zu Antworten
34 Antworten in diesem Thema

#1 monstermania

monstermania

    Board Veteran

  • 1.178 Beiträge

 

Geschrieben 22. April 2016 - 14:28

Moin,

mal so als Hinweis und Warnung.

 

Wir sind heute morgen Opfer des Verschlüsselungstrojaners CryptXXX geworden.

Technische Analyse zu CryptXXX:

https://www.proofpoi...dropping-angler

 

Einer unserer PC's hatte sich das Teil eingefangen. Zum Glück für uns konnten wir die Aktivität des Trojaners schnell feststellen und den betroffen PC vom Netz nehmen. Der Trojaner hatte in ca. 30 Minuten ca. 10 GB Office-Dokumente und PDF's auf unserem Fileserver verschlüsselt.

Dank aktuellen Backup konnten wir die betroffenen Daten problemlos wieder herstellen.

 

Nach eingehender Analyse des Infektionsweges kam der Trojaner wohl per Videostream. Leider begünstigt durch ein nicht aktuelles Flash-Plugin auf dem Client!

 

Und bevor Fragen dazu auftauchen:

Unsere UTM mit Proxy und der Clientseitige AV-Schutz haben keinen Alarm geschlagen oder uns vor einer Infektion geschützt!

 

Gruß

Dirk

 



#2 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 22. April 2016 - 20:40

Da bist du in guter Gesellschaft.

 

Vor den aktuellen Mistdingern gibt es fast keinen Schutz - da hilft nur alles zumachen und die Anwender sensibilisieren.

Und dann wird wieder gemeckert - ich brauche das aber... - ich kann so nicht arbeiten... - das ZIP-File wird dringend benötigt....

 

Je nach Größe der Firma ist das schwierig bis unmöglich...

 

cool.gif


Bearbeitet von Nobbyaushb, 22. April 2016 - 20:42.

Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#3 zahni

zahni

    Expert Member

  • 16.389 Beiträge

 

Geschrieben 23. April 2016 - 09:30

Es gestern meinte das IDS-Modul von Symantec wieder einen Exploit-Kit zu erkennen (das klappt da recht gut).

Ursache war mal wieder ein privater OpenX-Server (auf hallomedien.de) , der gehackt wurde. 

Quelle ist das Portal werkzeug-news.de  Der Betreiber meinte zwar, dass er seinen OpenX-Server repariert hat, doch wie ich gerade gesehen habe, wurde der OpenX-Server wieder "übernommen".

 

Dazu heise:  http://www.heise.de/...ky-3181696.html

 

Ich kann nur nochmals dazu raten, ausführbare Dateien am Proxy konsequent zu filtern und eine SRP zu implementieren. 

Entsprechende Proxy-Lösungen blockieren üblicherweise auch Flash-Inhalte.


Bearbeitet von zahni, 23. April 2016 - 09:30.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#4 Sunny61

Sunny61

    Expert Member

  • 22.100 Beiträge

 

Geschrieben 23. April 2016 - 15:10

Nach eingehender Analyse des Infektionsweges kam der Trojaner wohl per Videostream. Leider begünstigt durch ein nicht aktuelles Flash-Plugin auf dem Client!


Wie kann es Clients mit alten Flash-Plugins geben? Welcher Browser wird denn eingesetzt? SRP hätte vermutlich auch nichts genutzt, oder doch?
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#5 daabm

daabm

    Expert Member

  • 2.106 Beiträge

 

Geschrieben 23. April 2016 - 16:04

SRP hätte vermutlich auch nichts genutzt, oder doch?

 

Und wie das geholfen hätte - zumindest bei Whitelisting:

 

The ransomware is being shipped as a DLL dropped by Bedep in folders like those observed below in four separate infections:

  • C:\Users\%Username%\AppData\Local\Temp\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung :()


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#6 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 23. April 2016 - 18:46

 

Vor den aktuellen Mistdingern gibt es fast keinen Schutz

 

im Gegenteil:

 

A lot of things need to go wrong for this attack to make it through.

https://blog.knowbe4...cted-word-files

-> The Attack Flow  (etwa in der Mitte des Artikels)


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#7 peter999

peter999

    Newbie

  • 111 Beiträge

 

Geschrieben 24. April 2016 - 20:55

Hallo,

 

zusätzlich dazu hab ich bei uns nen relativ leichten Workaround geschaffen. Da diese Dinger ja Grundsätzlich auf dem infizierten PC beginnen habe ich dort in den Eigenen Dokumenten und auf dem Desktop (an beiden Stellen hat niemand etwas wichtiges zu speichern...) Ordner mit "Ködern" geschaffen. doc, xls, txt, pdf Dokumente. Diese Ordner lasse ich von einem Tool auf Veränderungen überwachen (gibt es sehr viele im Netz, wir haben uns was geschrieben).

Sobald sich irgendwas daran ändert bekommen meine Kollegen und ich eine Mail und der betroffende Rechner fährt durch nen simplen shutdown runter.

 

Funktioniert reibungslos und rettet die Netzlaufwerke. Ausserdem ersparrt es das gesuche wenn es mal einen PC erwischt hat, denn im Betreff der Mail geben ich den Rechnernamen mit.

 

Hat in ner Testumgebung funktioniert, hoffen wir das es nie zum Ernstfall kommt. Wenn doch hoffe ich das es ebensogut funktioniert.

 

 

Gruß

Peter



#8 monstermania

monstermania

    Board Veteran

  • 1.178 Beiträge

 

Geschrieben 25. April 2016 - 06:10

@all

Danke für die teils nützlichen Hinweise.

Ja, nachher ist man immer klüger! :cool:

Natürlich haben wir auch schon Maßnahmen ergriffen den Infektionsweg dicht zu machen.

Über den Einsatz von SRP denken wir zumindest jetzt mal nach.

 

@peter999

Da wäre ich mir an Deiner Stelle nicht so sicher!

Zumindest bei uns wurde auf dem betroffenen PC keine einzige Datei verschlüsselt! CryptXXX scheint ganz bewusst zunächst Daten auf Netzwerklaufwerken zu verschlüsseln!

 

@blub

Die Vorgehensweise/Analyse von CryptXXX überhaupt gelesen/verstanden?

CryptXXX kommt nicht per Email auf den Rechner, sondern durch kompromitierte Webserver.

 

Eigentlich ist das Teil echt genial gemacht. :(

Auch dadurch, dass der Trojaner nicht sofort nach der Infektion mit der Arbeit beginnt ist es nicht einfach im Nachhinein festzustellen, wann und wie genau die Datei auf den Rechner gekommen ist. 



#9 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 25. April 2016 - 06:30

Die Aussage des Flows ist, dass nicht nur ein Tor offen sein muss, damit Malware ins Netzwerk gelangen kann, sondern mehrere Tore hintereinander.

"Dass es fast keinen Schutz gibt", wollte ich nicht unkommentiert so stehen lassen.

 

CryptXXX habe ich mir nicht angesehen.


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#10 monstermania

monstermania

    Board Veteran

  • 1.178 Beiträge

 

Geschrieben 25. April 2016 - 06:53

Die Aussage des Flows ist, dass nicht nur ein Tor offen sein muss, damit Malware ins Netzwerk gelangen kann, sondern mehrere Tore hintereinander.

"Dass es fast keinen Schutz gibt", wollte ich nicht unkommentiert so stehen lassen.

Wir haben dem Email-Schutz des Unternehmens in den letzten Wochen/Monaten überproportional viel Aufmerksamkeit geschenkt und darüber wohl andere Dinge vernachlässigt bzw. uns zu sicher gefühlt! :(

Eine Infektion per Email können wir in diesem Fall zwar 100%ig ausschließen ... Phyrusssieg  ;)



#11 NilsK

NilsK

    Expert Member

  • 12.332 Beiträge

 

Geschrieben 25. April 2016 - 06:56

Moin,

 

Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung frown.gif)

 

wie seit letzter Woche bekannt ist, kann man für DLLs auch regsvr32.exe einsetzen - ebenso ein legitimes Windows-Binary. Das hat für Angreifer gleich zwei Vorteile: Es akzeptiert beliebige URLs (und kann auch mit Proxies umgehen) und es führt die DLL sofort aus, auch ohne sie wirklich zu registrieren (braucht zum Ausführen also wohl nicht mal Adminrechte).

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#12 Sunny61

Sunny61

    Expert Member

  • 22.100 Beiträge

 

Geschrieben 25. April 2016 - 06:57

Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung :()


Die Jungs lernen dazu. :)
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#13 Azharu

Azharu

    Newbie

  • 220 Beiträge

 

Geschrieben 25. April 2016 - 07:14

Gut, dass es noch halbwegs glimpflich bei dir abgelaufen ist.

 

Bei einigen meiner Bekannten waren und sind die letzten Wochen doch schon ziemlich heftig.

 

Viele kleinere Unternehmen wie Steuerbüros oder Kanzleien sind betroffen und es gibt dort viel zu tun.

 

Die, die solche Viren entwerfen sind sicherlich vieles aber dumm wohl meist nicht. Die sind nur auf der falschen Seite gelandet leider.


Die wahre Stärke eines Menschen sieht man nicht an den Muskeln, sondern wie er hinter dir steht!


#14 peter999

peter999

    Newbie

  • 111 Beiträge

 

Geschrieben 25. April 2016 - 07:17

@peter999

Da wäre ich mir an Deiner Stelle nicht so sicher!

Zumindest bei uns wurde auf dem betroffenen PC keine einzige Datei verschlüsselt! CryptXXX scheint ganz bewusst zunächst Daten auf Netzwerklaufwerken zu verschlüsseln!

 

 

Gut, das wäre natürlich b***d. Trotzdem: Der Aufwand dafür hielt sich in Grenzen und es besteht ja durchaus auch die Gefahr sich .locky o.ä. zu fangen. Die haben jedenfalls am eigenen PC gestartet.

Wir werden sehen :)

 

Ich hab das ganze gerade auf dem Server installiert...Lieber fahre ich Filer runter als das er mir alles verschlüsselt.


Bearbeitet von peter999, 25. April 2016 - 07:19.


#15 monstermania

monstermania

    Board Veteran

  • 1.178 Beiträge

 

Geschrieben 25. April 2016 - 08:02

 

Ich hab das ganze gerade auf dem Server installiert...Lieber fahre ich Filer runter als das er mir alles verschlüsselt.

Wir haben das über unseren Netzwerkmonitor (Zabbix) realisiert.

Da auf unserem Dateiserver Deduplication aktiviert ist, sinkt bei der Verschlüsselung von vorhandenen Dokumenten der freie Speicherplatz auf dem Dateiserver ab. Dafür haben wir einen entsprechenden Trigger eingerichtet. Sinkt der freie Speicherplatz auf dem Dateiserver innerhalb eines Messfensters von 10 Minuten stark ab (Deltamessung), werden wir umgehend darüber informiert.

Auch ganz interessant um festzustellen, wer den Dateiserver als Lagerort für seine Videos missbraucht. :cool: