Jump to content
mcdaniels

Emotet Trojaner - Vorgangsweise im Ernstfall / aktuelle Bedrohungslage

Recommended Posts

Hallo zusammen,

angesichts der Entwicklung von immer gefährlicheren Trojanern, die mittlerweile auf zig hochtechnisierte Mittel zur "Systempenetration" setzen, wollte ich hier mal eine Diskussion starten, wie das bei euch (auch im Firmenumfeld) gehandhabt  wird. Wundert mich etwas, dass es hier noch keine Diskussion darüber gibt. ;-) (vielleicht habe ich sie aber auch einfach bislang nicht gefunden / nicht gut genug gesucht)

 

Aktuell ist der Hauptangriffsvektor das altbekannte Email. Entweder mit Anhang, oder mit einem Link. Das ist ja an sich überhaupt nichts Neues mehr. Was mich (fast) schockiert ist, wie ausgekocht die Ganoven mittlerweile sind. "Belauschen" von Opfern,  analysieren des Emailverkehrs, analysieren wer mit wem kommuniziert. Darauf aufsetzend dann exakt auf die "Zielperson" zugeschnittene Emails, in perfektem Deutsch und mit Inhalten die den tatsächlichen laufenden Geschäften des Betriebes entsprechen. Was alle gemeinsam haben: Die Hartnäckigkeit. Irgendwann klickt ein User den Link an, oder öffnet einen Anhang / aktiviert das Makro etc.. Das Schlimme dabei ist, dass viele der User dann ja mal nichts sagen...

 

Unsicherheitsfaktor: Benutzer

Das war schon immer so und wird auch weiterhin so sein.

Somit kann man logischerweise nur versuchen proaktiv gegen diese Bedrohungen vorzugehen.

 

Ich denke hier an:

Benutzerschulungen, Benutzer fortlaufend informieren.

Systeme immer auf dem aktuellen Stand halten.

Virenscanner aktuell halten.

Scan des incoming und outgoing Traffic. Unbedingt SSL-Inspektion (SSL Deep Inspection) des Traffic. Bei nicht vorhanden sein eines SSL Scans, reißt man meines Erachtens ein gravierendes "Loch" auf.

Blocken von div. Inhalten, die per Mail kommen / User dürfen so gut wie nichts herunterladen. (schon gar keine ausführbaren Dateien und Scripts).

Nie mit Adminrechten / oder gar Domainadminrechten auf einer Workstation arbeiten.

Makrosicherheit so hoch wie möglich einstellen. Bestenfalls Makros abdrehen (geht aber nicht immer).

 

Was machen wenn der Trojaner bereits aktiviert wurde

Hier bin ich mir, angesichts der letzten Informationen, nicht mehr sicher. Dass der PC, von dem die Verseuchung ausging, von Netz genommen wird, ist klar. Damit ist es aber bei Weitem noch nicht getan.

Man liest, dass zb der Emotet-Trojaner zuerst mal im Hintergrund wartet und versucht, möglichst viel über das System zu "lernen". Hierbei zielt er u.a. darauf ab, Domänenadminrechte zu erhalten und quasi die Domäne zu "übernehmen".

 

Was heißt das für den Admin? -> Bei Infektion -> Am Besten die Domäne neu aufziehen? Sofern eine Infektion stattgefunden hat, kann man sich ja nie mehr sicher sein, dass alles mit rechten Dingen zugeht.

 

Wie seht ihr das bzw. was ist eure Meinung dazu?

 

 

 

Edited by mcdaniels

Share this post


Link to post
Share on other sites

@multikulti

an sich will ich hier nicht explizit auf "meinen" Stand der Dinge eingehen, sondern vlt. eine generelle Diskussion anstoßen. Meine bisherigen Sicherheitsvorkehrungen konnten uns Gott sei Dank bislang vor einem GAU bewahren.

 

Ja genau, das wäre zum Beispiel eine Frage: Wie will man einen sauberen Stand identifizieren?

Wird vorhandene Antivirussoftware einen Befall identifizieren?

und und und...

 

Hat es schon mal jemanden von euch hier erwischt... gibt es Erfahrungen?

Share this post


Link to post
Share on other sites

@zahni: klar!

die Details zu den anderen Umständen (Verbreitung, Auswirkungen auf das Netzwerk, die Domäne) und eure Sicht dazu würd mich dennoch auch interessieren.

Share this post


Link to post
Share on other sites
Am 22.12.2018 um 17:23 schrieb mcdaniels:

@multikulti

an sich will ich hier nicht explizit auf "meinen" Stand der Dinge eingehen, sondern vlt. eine generelle Diskussion anstoßen. Meine bisherigen Sicherheitsvorkehrungen konnten uns Gott sei Dank bislang vor einem GAU bewahren.

 

Ja genau, das wäre zum Beispiel eine Frage: Wie will man einen sauberen Stand identifizieren?

Wird vorhandene Antivirussoftware einen Befall identifizieren?

und und und...

 

Hat es schon mal jemanden von euch hier erwischt... gibt es Erfahrungen?

Bei einigen Servern haben wir Prüfsummen der wichtigsten Dateien. Unter Linux gibt es dafür extra tools wie z.B. tripwire.

Antivirussoftware welche auf einem System selber Alarm schlägt, ist eigentlich per Definition, nicht mehr vertrauenswürdig.

Wir evaluieren derzeit deswegen VMware NSX um das Antivirus aus den Systemen selber heraus zu bekommen.

 

Und ja, wir hatten schon verschlüsselte Rechner. Seit dem bekommen die Leute welche einen Verdacht haben direkt die Anweisung das Netzwerkkabel zu ziehen und im Normalfall werden die Rechner platt gemacht und neu deployt.

Ab und an schauen wir uns einen Näher an. Bisher scheint das Einfallstor immer E-Mail gewesen zu sein. Eine Zeit lang haben wir noch Sensibiliesierungsmassnahmen gemacht und die Kollegen versucht zu schulen.

Share this post


Link to post
Share on other sites
vor 58 Minuten schrieb magheinz:

Eine Zeit lang haben wir noch Sensibiliesierungsmassnahmen gemacht und die Kollegen versucht zu schulen.

Aber die wollen nur arbeiten und benötigen Freiheit für Forschung und Leere? ;)

Share this post


Link to post
Share on other sites

Treffer...

 

Jegliche Einschränkungen sind unerwünscht. Das gilt auch für die Geschäftsführung. Selbst ein MDM für die ganzen mobilen Geräte ist abgelehnt worden. Securitypolicys sind nur insoweit erwünscht wie klar ist, wie man sie umgehen kann.

Share this post


Link to post
Share on other sites

genau.

Ich sehe, du kennst das.

Gleichzeitig bekommt man den Auftrag ein Informationssicherheitskonzept zu erstellen. Die Einschränkung ist: Grundschutz ist nicht erwünscht.

Ein großes Beratungsunternehmen wurde damit beauftragt und ist komplett verzweifelt. Und das waren Leute die so etwas sonst für Frau von der Leyen machen...

Share this post


Link to post
Share on other sites

Wie sind denn deren Argumente, wenn deren Rechner immer wieder befallen werden, sie aber sinvolle Maßnahmen zur Grundsichjerung ablehnen?

 

Warum ist ein Grundschutz unerwünscht?

Share this post


Link to post
Share on other sites

All das von euch Erwähnte kenn ich sehr gut. ;) 

 

@magheinz habt ihr incoming / outgoing ssl deep inspection aktiv, was den Traffic angeht? 

Scannt ihr den Datenstrom in das bzw. aus dem Internet. Fortigate zB macht das ganz gut. (DNS Blacklists, Antivirus etc).

 

Bei mir wurde auf diesem Wege mehrfach verhindert, dass die Schadsoftware nachgeladen wurde, nachdem ein User auf einen Link geklickt bzw. ein Makro aktiviert hat.

 

Wie bei dir, fehlt aber jegliches Bewusstsein für die Gefahr, die von derartigen Bedrohungen ausgeht. Selbst wenn man es 100x erwähnt.

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...