Zum Inhalt wechseln


Foto

Es hat uns erwischt (Verschl.-Trojaner CryptXXX)


  • Bitte melde dich an um zu Antworten
34 Antworten in diesem Thema

#16 Azharu

Azharu

    Newbie

  • 220 Beiträge

 

Geschrieben 26. April 2016 - 05:54

@ monstermania wie groß ist denn der Aufwand bis du das eingerichtet hattest?


Die wahre Stärke eines Menschen sieht man nicht an den Muskeln, sondern wie er hinter dir steht!


#17 Otaku19

Otaku19

    Expert Member

  • 1.951 Beiträge

 

Geschrieben 26. April 2016 - 12:01

technisch sollte das kein Problem darstellen, die Dauer und genauigkeit des Baselinings ist hier allerdings kritisch. Aber besser es schaut jemand ein paar Alarme zu viel nach als zu wenige


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#18 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 27. April 2016 - 07:23

technisch sollte das kein Problem darstellen, die Dauer und genauigkeit des Baselinings ist hier allerdings kritisch. Aber besser es schaut jemand ein paar Alarme zu viel nach als zu wenige

 

Der zusätzliche Trigger war in ein paar Minuten eingerichtet.

Natürlich gilt es dabei die Schwelle für die Meldung entsprechend zu setzten. Ich habe das bei und auf 2 GB Delta in 5 Minuten gesetzt (in der Zeit vom 6-21.30 Uhr). 

Bei dem realen Trojanerbefall lag das Delta bei rund 3,5 GB/5Minuten.

Zusätzlich könnte man auch noch den Netzwerktraffic in den Trigger aufnehmen. Da der Trojaner ja lokal auf dem betroffenen Client ausgeführt wird, läuft der Traffic ja auch über das Netz.



#19 Azharu

Azharu

    Newbie

  • 220 Beiträge

 

Geschrieben 27. April 2016 - 08:07

Klingt zumindest nach einem guten Ansatz


Die wahre Stärke eines Menschen sieht man nicht an den Muskeln, sondern wie er hinter dir steht!


#20 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 28. April 2016 - 05:51

CryptXXX-Verschlüsselung ist geknackt:

http://www.heise.de/...ln-3189766.html



#21 Azharu

Azharu

    Newbie

  • 220 Beiträge

 

Geschrieben 28. April 2016 - 07:12

Ok, schon mal ein Ansatz aber die große Datei, die als Vorlage dient bleibt wohl versschlüsselt wie es scheint


Die wahre Stärke eines Menschen sieht man nicht an den Muskeln, sondern wie er hinter dir steht!


#22 PowerShellAdmin

PowerShellAdmin

    Board Veteran

  • 1.136 Beiträge

 

Geschrieben 28. April 2016 - 09:34

sehe gerade da gibts nen kleines Webinar bei heise - lohnt sich das oder ist das zu einfach ?

 

Umfang einer Stunde ist net so berauschend, auch konnte keine geplanten Inhalte finden.


Möge die Macht der PS mit Dir sein.


#23 Azharu

Azharu

    Newbie

  • 220 Beiträge

 

Geschrieben 29. April 2016 - 06:25

Gute Frage,

 

hab da noch nicht rein geschaut


Die wahre Stärke eines Menschen sieht man nicht an den Muskeln, sondern wie er hinter dir steht!


#24 JotWeh

JotWeh

    Newbie

  • 6 Beiträge

 

Geschrieben 01. Mai 2016 - 13:12


Unsere UTM mit Proxy und der Clientseitige AV-Schutz haben keinen Alarm geschlagen oder uns vor einer Infektion geschützt!

 

Welche Sicherheitsmassnahmen habt ihr neu eingeführt nach dem Sicherheitsvorfall?

Oder nur Dienstleister gewechselt?



#25 Pitti259

Pitti259

    Newbie

  • 128 Beiträge

 

Geschrieben 01. Mai 2016 - 14:03

Welche Sicherheitsmassnahmen habt ihr neu eingeführt nach dem Sicherheitsvorfall?

Oder nur Dienstleister gewechselt?

 

Hervorragende Frage, was kann man außer der Datensicherung noch machen? Hat jemand eine Vorstellung, wie man solche Verschlüsselungsroutinen detektieren könnte? Beim Auftauchen einer Datei mit Endung .crypt Alarm zu schlagen erscheint mir etwas zu kurz gegriffen, der nächste Crypto-Trojaner verwendet dann .asc...

 

Also, was tun?


Ob es besser wird, wenn es anders wird, weiss ich nicht. Dass es aber anders werden muss, wenn es besser werden soll, weiss ich.

#26 Sunny61

Sunny61

    Expert Member

  • 22.233 Beiträge

 

Geschrieben 01. Mai 2016 - 19:59

Solche Dateiendungen kann man natürlich verbieten, Software Restriction Policys einführen, JavaScript deaktivieren. Anstatt Dateiendungen verbieten lieber eine Whitelist aufstellen. Hilft auch nicht zu 100%, aber hilft sicherlich weiter.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#27 Chomper

Chomper

    Newbie

  • 35 Beiträge

 

Geschrieben 15. Mai 2016 - 12:45

Als Hilfe ist hierzu vielleicht mein Post hilfreich:

http://www.mcseboard...scha/?p=1302828



#28 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 19. Mai 2016 - 09:55

Moin,

in diesem Zusammenhang möchte ich auf folgenden Blogbeitrag hinweisen:

https://www.frankysw...cker-schuetzen/

 

Je nach 'Ausbaustufe' kann man damit zumindest seine Windows-Fileserver zusätzlich absichern, oder sich zumindest umgehend über verdächtige Vorgänge benachrichtigen lassen.

 

Gruß

Dirk



#29 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 19. Mai 2016 - 10:41

Das ist doch eine Bastellösung, die genau 0% mehr Sicherheit bringt.

- der nächste Attacker nutzt die Endung *.aa1 (ganz doof sind die Authoren von Malware auch nicht!)

- gegen Malware, die Informationen ausspäht, verändert oder löscht, hilft diese Lösung überhaupt nicht

- man erhöht die Komplexität der eigenen Umgebung unnötig für mehr gefühlte Pseudo-Sicherheit, was wiederum weitere Angriffe nur erleichtert

- "Ohne Backup kann der Schaden sehr groß werden." ja,....das ist tatsächlich richtig, aber die Lösung bzw. Folgerung daraus ist komplett falsch!


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#30 Azharu

Azharu

    Newbie

  • 220 Beiträge

 

Geschrieben 19. Mai 2016 - 10:45

Klingt interessant, werde das mal im Sandkasten ausprobieren.

 

Danke dir

 

Gruß

 

Maik


Die wahre Stärke eines Menschen sieht man nicht an den Muskeln, sondern wie er hinter dir steht!