Emotet Trojaner - Vorgangsweise im Ernstfall / aktuelle Bedrohungslage

[mcdaniels 22]

Hallo zusammen,

angesichts der Entwicklung von immer gefährlicheren Trojanern, die mittlerweile auf zig hochtechnisierte Mittel zur "Systempenetration" setzen, wollte ich hier mal eine Diskussion starten, wie das bei euch (auch im Firmenumfeld) gehandhabt  wird. Wundert mich etwas, dass es hier noch keine Diskussion darüber gibt. (vielleicht habe ich sie aber auch einfach bislang nicht gefunden / nicht gut genug gesucht)

 

Aktuell ist der Hauptangriffsvektor das altbekannte Email. Entweder mit Anhang, oder mit einem Link. Das ist ja an sich überhaupt nichts Neues mehr. Was mich (fast) schockiert ist, wie ausgekocht die Ganoven mittlerweile sind. "Belauschen" von Opfern,  analysieren des Emailverkehrs, analysieren wer mit wem kommuniziert. Darauf aufsetzend dann exakt auf die "Zielperson" zugeschnittene Emails, in perfektem Deutsch und mit Inhalten die den tatsächlichen laufenden Geschäften des Betriebes entsprechen. Was alle gemeinsam haben: Die Hartnäckigkeit. Irgendwann klickt ein User den Link an, oder öffnet einen Anhang / aktiviert das Makro etc.. Das Schlimme dabei ist, dass viele der User dann ja mal nichts sagen...

 

Unsicherheitsfaktor: Benutzer

Das war schon immer so und wird auch weiterhin so sein.

Somit kann man logischerweise nur versuchen proaktiv gegen diese Bedrohungen vorzugehen.

 

Ich denke hier an:

Benutzerschulungen, Benutzer fortlaufend informieren.

Systeme immer auf dem aktuellen Stand halten.

Virenscanner aktuell halten.

Scan des incoming und outgoing Traffic. Unbedingt SSL-Inspektion (SSL Deep Inspection) des Traffic. Bei nicht vorhanden sein eines SSL Scans, reißt man meines Erachtens ein gravierendes "Loch" auf.

Blocken von div. Inhalten, die per Mail kommen / User dürfen so gut wie nichts herunterladen. (schon gar keine ausführbaren Dateien und Scripts).

Nie mit Adminrechten / oder gar Domainadminrechten auf einer Workstation arbeiten.

Makrosicherheit so hoch wie möglich einstellen. Bestenfalls Makros abdrehen (geht aber nicht immer).

 

Was machen wenn der Trojaner bereits aktiviert wurde

Hier bin ich mir, angesichts der letzten Informationen, nicht mehr sicher. Dass der PC, von dem die Verseuchung ausging, von Netz genommen wird, ist klar. Damit ist es aber bei Weitem noch nicht getan.

Man liest, dass zb der Emotet-Trojaner zuerst mal im Hintergrund wartet und versucht, möglichst viel über das System zu "lernen". Hierbei zielt er u.a. darauf ab, Domänenadminrechte zu erhalten und quasi die Domäne zu "übernehmen".

 

Was heißt das für den Admin? -> Bei Infektion -> Am Besten die Domäne neu aufziehen? Sofern eine Infektion stattgefunden hat, kann man sich ja nie mehr sicher sein, dass alles mit rechten Dingen zugeht.

 

Wie seht ihr das bzw. was ist eure Meinung dazu?

 

 

 

bearbeitet 22. Dezember 2018 von mcdaniels

[mcdaniels 22]

@multikulti

an sich will ich hier nicht explizit auf "meinen" Stand der Dinge eingehen, sondern vlt. eine generelle Diskussion anstoßen. Meine bisherigen Sicherheitsvorkehrungen konnten uns Gott sei Dank bislang vor einem GAU bewahren.

 

Ja genau, das wäre zum Beispiel eine Frage: Wie will man einen sauberen Stand identifizieren?

Wird vorhandene Antivirussoftware einen Befall identifizieren?

und und und...

 

Hat es schon mal jemanden von euch hier erwischt... gibt es Erfahrungen?

[zahni 521]

Datensicherung, Datensicherung und nochmals Datensicherung.

Und mal testen, ob die Rücksicherung funktioniert.

[mcdaniels 22]

@zahni: klar!

die Details zu den anderen Umständen (Verbreitung, Auswirkungen auf das Netzwerk, die Domäne) und eure Sicht dazu würd mich dennoch auch interessieren.

[magheinz 100]

Am 22.12.2018 um 17:23 schrieb mcdaniels:

@multikulti

an sich will ich hier nicht explizit auf "meinen" Stand der Dinge eingehen, sondern vlt. eine generelle Diskussion anstoßen. Meine bisherigen Sicherheitsvorkehrungen konnten uns Gott sei Dank bislang vor einem GAU bewahren.

 

Ja genau, das wäre zum Beispiel eine Frage: Wie will man einen sauberen Stand identifizieren?

Wird vorhandene Antivirussoftware einen Befall identifizieren?

und und und...

 

Hat es schon mal jemanden von euch hier erwischt... gibt es Erfahrungen?

Bei einigen Servern haben wir Prüfsummen der wichtigsten Dateien. Unter Linux gibt es dafür extra tools wie z.B. tripwire.

Antivirussoftware welche auf einem System selber Alarm schlägt, ist eigentlich per Definition, nicht mehr vertrauenswürdig.

Wir evaluieren derzeit deswegen VMware NSX um das Antivirus aus den Systemen selber heraus zu bekommen.

 

Und ja, wir hatten schon verschlüsselte Rechner. Seit dem bekommen die Leute welche einen Verdacht haben direkt die Anweisung das Netzwerkkabel zu ziehen und im Normalfall werden die Rechner platt gemacht und neu deployt.

Ab und an schauen wir uns einen Näher an. Bisher scheint das Einfallstor immer E-Mail gewesen zu sein. Eine Zeit lang haben wir noch Sensibiliesierungsmassnahmen gemacht und die Kollegen versucht zu schulen.

[NorbertFe 1.799]

vor 58 Minuten schrieb magheinz:

Eine Zeit lang haben wir noch Sensibiliesierungsmassnahmen gemacht und die Kollegen versucht zu schulen.

Aber die wollen nur arbeiten und benötigen Freiheit für Forschung und Leere? ;)

[magheinz 100]

Treffer...

 

Jegliche Einschränkungen sind unerwünscht. Das gilt auch für die Geschäftsführung. Selbst ein MDM für die ganzen mobilen Geräte ist abgelehnt worden. Securitypolicys sind nur insoweit erwünscht wie klar ist, wie man sie umgehen kann.

[NorbertFe 1.799]

vor 13 Minuten schrieb magheinz:

insoweit erwünscht wie klar ist, wie man sie umgehen kann.

Bzw, dass sie nur für alle anderen als einen selbst gelten. ;)

[magheinz 100]

genau.

Ich sehe, du kennst das.

Gleichzeitig bekommt man den Auftrag ein Informationssicherheitskonzept zu erstellen. Die Einschränkung ist: Grundschutz ist nicht erwünscht.

Ein großes Beratungsunternehmen wurde damit beauftragt und ist komplett verzweifelt. Und das waren Leute die so etwas sonst für Frau von der Leyen machen...

[NorbertFe 1.799]

Naja ob das aktuell ein Qualitätsmerkmal darstellt, sei mal dahingestellt ;)

[magheinz 100]

hehe

 

Das wirklich gute daran bei einer Behörde zu arbeiten ist, das man die ganzen Katastrophen in Deutschland ziemlich genau verstehen kann.

 

[Dr.Melzer 191]

Wie sind denn deren Argumente, wenn deren Rechner immer wieder befallen werden, sie aber sinvolle Maßnahmen zur Grundsichjerung ablehnen?

 

Warum ist ein Grundschutz unerwünscht?

[magheinz 100]

Argumente? Wer hat was von Argumenten gesagt?

[NorbertFe 1.799]

Ich wollte auch grad sagen: ich habe keine Zeit für das Geschwätz der it. Ich muss hier arbeiten!

;)

[mcdaniels 22]

All das von euch Erwähnte kenn ich sehr gut. ;) 

 

@magheinz habt ihr incoming / outgoing ssl deep inspection aktiv, was den Traffic angeht? 

Scannt ihr den Datenstrom in das bzw. aus dem Internet. Fortigate zB macht das ganz gut. (DNS Blacklists, Antivirus etc).

 

Bei mir wurde auf diesem Wege mehrfach verhindert, dass die Schadsoftware nachgeladen wurde, nachdem ein User auf einen Link geklickt bzw. ein Makro aktiviert hat.

 

Wie bei dir, fehlt aber jegliches Bewusstsein für die Gefahr, die von derartigen Bedrohungen ausgeht. Selbst wenn man es 100x erwähnt.