Jump to content

Advances Malware protection im Einsatz ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Mal ganz ungewohnt...der Netzwerkfuzzi macht einen Thread bie Windows auf :) Aber dieses Thema hat auch einen sehr starken Windows/Applikationsfokus.

 

Nachdem traditionelle Sicherheitsmechanismen und Produkte nicht adäquat auf den Angriffsvektor Zero Day, Advanced Malware oder gar gezielte Angriffe reagieren können, bieten viele Hersteller allerhand zusätzliche Schutzmechanismen an. Einer davon kreist immer um den Ansatz Code den man nicht kennt erst mal in einer Sandbox laufen und analysieren zu lassen. Je nach anbieter gibts da rein netzwerkbasierte Lösungen und auch welche die cleint basiert sind (+ einer starken Sandbox im hintergrund natürlich, Cloud oder lokal)

 

Wir haben uns mal am Markt umgesehen, je nach Hersteller wirken dei Lösungen schon recht erwachsen, andere eher nach Betastadium. Bevor ich mir da jetzt viele, langwierige PoC antue, mal ein paar Fragen in die Runde:

 

Wer hat solche Lösungen am laufen ?

Welche Lösungen wurden getestet und warum hat man sich für genau die entschieden die jetzt läuft ?

Gabs katastrophale Griffe ins Klo ? Sogar lösungen die bereits wieder abgebaut oder abgelöst worden sind ?

Wie zufrieden ist man jetzt nach dem das ganze läuft ?

Wie lang war die Lernphase ?

Wer betreibt die Lösung dann eigentlich bei euch ?

 

 

Unsere Recherchen haben bislang ergeben das eine reine Netzwerkbasierte Lösung für uns keinen Sinn macht, Schließlich ist es bei unsnicht so einfach mal eben jede SSL verbindung nach draussen "aufzubrechen", datenschutztechnisch wie auch von der Umsetzung her. Und keine Lösung kann passwoortgeschützte Archive oder dergleichen öffnen. nur am Client "sieht" man die Malware wirklich,daher kommt (zB auch mal via USB,oder fremden Netzen) für uns auch nur eine Lösung in Frage die ihre "Sensoren/Enforcer am client haben. Mal angesehen haben wir uns natürlich fireeye, Cisco AMP und Mcafee ATD

Link zu diesem Kommentar

Was wollt Ihr denn erreichen?

 

Ich hatte das schon an anderer Stelle geschrieben:

 

- Mails: Alle ausführbaren Dateien (und sonstigen Unrat) herausfiltern (auch in Archiven).

- Proxy: Das Gleiche, wobei SSL ein Problem ist, aber besser als überhaupt nichts. Die aktuellen Angriffe mit Word-Macros laufen so jedenfalls in Leere. Der Download  der Exe wird blockiert. Gleichzeitig sollte man eine Lösung verwenden, die einen URL-Filter für bekannte "böse" Seiten bietet (z.B. Mcafe)

 

Nun der PC: Neben dem Virenscanner sollte man Zeit in eine gute SRP investieren. Die NSA beschreibt das ganz gut:  https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf

Die sollte dann  Programme abfangen, die per SSL kommen oder vom Anwender unerlaubt gestartet werden. USB-Ports dicht machen.

 

Der Rest geht dann eher in dir Richtung Angriffe zu erkennen, die  im internen Netz erfolgen.

Link zu diesem Kommentar

Mail wird bald an den Start gehen, deckt aber nur einen Teil ab. Proxy haben wir nicht im Einsatz,ein weiterer grund warum ich ein Fand von Clients bin die sich hashes von dateien ansehen, an eine zentrale Stelle schicken und bei Bedarf dann eben das file ebenfalls zentral (cloudbasiert kommt für uns nicht in frage) analysieren lässt. So sollte man alles was auf allen möglichen Wegen zum Rechner kommt erwischen.

Abgedecken will ich eben Malware die nicht durch Virenscanner,Antispam und Co erkannt wird, bzw auch nie rechtzeitig erkannt/eingedeämmt werden kann weil das eben rein signaturbasierte Systeme sind.

Link zu diesem Kommentar

Hm, wenn Ihr Internet habt, solltest Du über einen filternden Proxy nachdenken.  Der ist geradezu Pflicht. Hier wird http://www.mcafee.com/de/products/web-gateway.aspx verwendet.

Cloudsysteme, die nur die Hashs auf Bekanntheit prüfen, finde ich jetzt nicht so schlimm. Das macht  sogar der IE beim Download, wenn ihm das nicht verbietet.

Von automatisierten Sandbox-Prüfungen, halte ich nicht viel. Ich habe das mal eine Zeit lang aus langer Weile mit Sandboxie gemacht. 

Ein Teil der besseren Trojaner erkennen das und legen sich in der Sandbox schlafen, beendet sich sofort oder greift nur auf Windows-Update zu.

 

 

Wirklich wirksam ist nur, alles zu verbieten, was nicht explizit erlaubt  wurde. Die SRP kann auch mit Hashs arbeiten.

Link zu diesem Kommentar

Wie gesagt, proxy macht nur Sinn wenn man da auch SSL aufbricht (und schon gehen die Diskussionene los wo wir das nicht machen dürfen) und selbst dann ist das nur eines von vielen möglichen Einfaltsoren. Die Lösungen die am Markt sind, haben mit einer "Spielzeuglösung" als sandboxie auch nicht viel gemeinsam.Bzw zielt sandboxie ja auf etwas ganz anderes ab. Da gibts schon ausgefeilte Techniken. Die Lösungen sind auch auf einige tausend bis etliche tausend analysen pro tag ausgelegt und natürlich nach einiger Einarbeitungszeit darauf etrimmt möglichst wenig falls positive zu erzeugen, dei sind am anfang immer ein Prolem. insbesondere bei viel selbstgestricktem oder außergewöhnlicher Software. Was es bei uns gibt :)

 

Zusätzlich zur Analyse in der Sandbox bietet McAfee zB auch eine statische Analyse an, das kann man sich als vollautomatisiertes Reverse Engineering/decompilen des Codes vorstellen. Sind da dann Teile vom Code als malicious bekannt (url die bösen payload laden, schlechte reputation der seiten, bekannte böse codeteile, es wird ja nicht jede Malware von grund auf neu geschrieben etc.).

bearbeitet von Otaku19
Link zu diesem Kommentar

Ich kann hier nur noch besteuern: Das so ein Proxy Sinn macht, kann ich aus eigener Erfahrung bestätigen (wir haben einen). Die meisten Malware-Downloader nutzen nach wie vor kein SSL. Das wäre viel zu umständlich, wenn man 3x pro Stunde den DNS-Namen des Servers wechselt. Ich habe auch bei Browser-Exploit noch nie eine HTTPS-Version gesehen. Wobei es die geben mag, wenn der gehackte Server von Hause aus SSL verwendet. SSL-Server lassen sich auch beim SSL-Connect sperren, ohne den Tunnel auszubrechen. Hier ist aus irgendeinem Grund Facebook gesperrt ,) Schön ist auch, dass man unerwünschte Protokolle so leicht sperren und SSL auf Port 443 beschränken kann.

Für den Rest... (schrieb ich oben). Bei echter Anwendungssoftware gibt es auch genug manuelle Wege zu prüfen, ob sie nach Hause telefoniert. Hier hilft ein Proxy übrigens auch ungemein. 

Ich bin Fan von Fiddler.

Link zu diesem Kommentar

Der Stress einen zwangsproxy einzuführen währe hier uferlos: Personalrat, Datenschutzbeauftragter etc. Ich bin sogar sicher das beide das ganze erst mal komplett ablehnen würden. Stichwort: privates surfen z.b. in der Mittagspause. Dazu kommen dann die Wissenschaftler die ihre "Freiheit der Wissenschaft" eingeschränkt sehen.

 

bei diesen ganzen Sandboxteilen zur Analyse bin ich unsicher. Man Verlässt sich da auf die Ergebnisse eines Programmes auf einem Rechners der potentiel verseucht ist. Das selbe Problem wie bei allen Virenscannern etc. Maleware die entsprechend auf sandboxen reagiert gibts es ja schon.

 

Link zu diesem Kommentar

Ein Kunde von mir hat mit McAfee experimerntiert und war davon recht angetan. 

 

Der Stress einen zwangsproxy einzuführen währe hier uferlos: Personalrat, Datenschutzbeauftragter etc. Ich bin sogar sicher das beide das ganze erst mal komplett ablehnen würden. Stichwort: privates surfen z.b. in der Mittagspause. Dazu kommen dann die Wissenschaftler die ihre "Freiheit der Wissenschaft" eingeschränkt sehen. bei diesen ganzen Sandboxteilen zur Analyse bin ich unsicher. Man Verlässt sich da auf die Ergebnisse eines Programmes auf einem Rechners der potentiel verseucht ist. Das selbe Problem wie bei allen Virenscannern etc. Maleware die entsprechend auf sandboxen reagiert gibts es ja schon.

 

Kann ich unterschreiben. Gerade Betriebsrat und Datenschutz sind oft die, die Sicherheitslösen "verhindern". Beim Thema "Freiheit der Wissenschaft" musste ich lachen. Ich hatte an verschiedenen Unis Projekte und eines der lustigsten Totschlagargumente war immer "Forschund und Lehre ist frei". Besonders lustig, wenn sich die IT der Verwaltung oder gar das Facility Management darauf berufen haben, obwohl es z.B. um IT-Prozesse ging oder die Produktauswahl bei IT-Projekten. Das war so ein Reflex bei denen: Da kommt jemand und will mir eine Vorschrift machen, also berufe ich mich auf die Freiheit von Forschung und Lehre. Ich bin in solchen Meetings innerlich fast geplatzt vor Lachen.

Link zu diesem Kommentar

Unser Personalrat ist auch nicht einfach. Zugriffe kann man übrigens auch ohne Proxy protokollieren. Muss man aber nicht, auch nicht bei einem Proxy. Und darauf kommt es in einer Dienstvereinbarung an. Ich meinte übrigens keinen "Zwangsproxy", sondern einen echten Proxy, den man im Client konfigurieren muss. Die Damen und Herren Wissenschaftler müssen dann halt lernen: Wie benutze ich einen HTTP-Proxy ;) .

 

Nochmal zurück zur ursprünglichen Frage: Die einfachste Aufgabe für ein Sicherheitsprodukt wäre es Browser-Exploits direkt in der HTML-Quelle zu erkennen. Das Problem dabei: Die Exploits-Kits verwenden ständig neue Varianten um den Code zu verschleiern. Mit Signaturen kommt man da nicht weit. Die Aufgabe wäre also, mittels eine Javascript-Engine die eval()-Sektionen der Scripte auszuführen und den resultierenden Code zu prüfen. Schon daran scheitern die meisten Produkte.

Ladet mal den Quelltext eines frischen Exploits bei Virustotal hoch. Bemerkenswerterweise melden sich hier manchmal die eher unbekannten Produkte aber selten die "Großen". Sehr schön auch bei den Word-Macro-Viren zu beobachten. Aus meinen bisherigen Erfahrungen kann ich für Browser-Exploits das IDS-Modul von Symantec empfehlen. Aber eben nur dafür. Zu Word-Macro-Viren hat Symantec auch erst 3 Tage später eine Meinung. So wie die meisten anderen Produkte.

 

Ich habe irgendwann mal das APK von AVMs Fritzphone-Software bei einem Cloud-Analyse-Dienst hochgeladen. Bei dem Report hätte ich die Software gleich entsorgen müssen  ;) 

Link zu diesem Kommentar
  • 2 Wochen später...

Eben deswegen heißt es ja "Advanced Malware Protection" :) Das Ding arbeitet nicht mit Signaturen, die potentielle Malware landet in einer Sandbox und wird dort ausgeführt, es gibt dann diverse Tricks um dem Code zu verschleiern das es sich um eien VM handelt, ebenso um die Zeit zu beeinflussen denn oft aktiviert sich Malware erst nach einiger Zeit. Es wird dann überprüft welche verbindungen wohin aufgemacht werden, welche Prozesse kommen in Gang, was ändert sich in der registry usw usf.

 

Aber...anscheiendn hat das wirklich noch niemand hier im Einsatz :) Produkte die ich mir mal ein wenig angeschaut habe waren von Cisco, McAfee und natürlich Fireeye. Barracuda hat da auch Möglichkeiten, das wirkt aber noch irgendwie eher unbeholfen, Cisco ist auch noch stark mit der Integration von Sourcefire beschäftigt, da sind wohl auch einige Details die es anderswo schon lange gibt auf der Strecke geblieben.

 

Denke, da wirds wirklich mal auf einen Test/PoC ankommen

Link zu diesem Kommentar

das geht zu einem Großteil automatisiert. Allerdings benötigt man immer Menschen um über Fälle in gewissen Schwellwerten entscheiden zu können udn Reports auswerten zu können. Und natürlich jemanden der erboste Anrufe von Usern entgegennimmt warum Icon XY vom Desktop verschwunden ist oder warum irgeindeine Applikation nicht mehr funktioniert.

 

Beijeder Lösung hat man die Möglichkeit Samples direkt manuell hochzuladen, fast immer git es auch dei Möglichkeit eine paralleln uploads bei virustotal, bei der Analyse werdne die aufgerufenen urls/IPs mit Reputationslisten abgeglichen etc

 

Neben dem Phänomen das man sich damit doch einiges an Arbeit aufhalst darf man nicht vergesen das die Analyse (wenn man sie denn lokal macht), je nach Malwarevolumen schnell dazu führt das man selber eine schlechte Reputation bekommt :) Also die IP mit der die Analysekiste ständig raus in Internet geht und fragwürdige Ressourcen abruft. Auch hier können die Anbieter einspringen, entweder Analyse in der Cloud (hat auch mehr wumms) oder mit eienr Art Proxy für solche Dinge.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...