Jump to content
mcdaniels

Emotet Trojaner - Vorgangsweise im Ernstfall / aktuelle Bedrohungslage

Empfohlene Beiträge

Hallo zusammen,

angesichts der Entwicklung von immer gefährlicheren Trojanern, die mittlerweile auf zig hochtechnisierte Mittel zur "Systempenetration" setzen, wollte ich hier mal eine Diskussion starten, wie das bei euch (auch im Firmenumfeld) gehandhabt  wird. Wundert mich etwas, dass es hier noch keine Diskussion darüber gibt. ;-) (vielleicht habe ich sie aber auch einfach bislang nicht gefunden / nicht gut genug gesucht)

 

Aktuell ist der Hauptangriffsvektor das altbekannte Email. Entweder mit Anhang, oder mit einem Link. Das ist ja an sich überhaupt nichts Neues mehr. Was mich (fast) schockiert ist, wie ausgekocht die Ganoven mittlerweile sind. "Belauschen" von Opfern,  analysieren des Emailverkehrs, analysieren wer mit wem kommuniziert. Darauf aufsetzend dann exakt auf die "Zielperson" zugeschnittene Emails, in perfektem Deutsch und mit Inhalten die den tatsächlichen laufenden Geschäften des Betriebes entsprechen. Was alle gemeinsam haben: Die Hartnäckigkeit. Irgendwann klickt ein User den Link an, oder öffnet einen Anhang / aktiviert das Makro etc.. Das Schlimme dabei ist, dass viele der User dann ja mal nichts sagen...

 

Unsicherheitsfaktor: Benutzer

Das war schon immer so und wird auch weiterhin so sein.

Somit kann man logischerweise nur versuchen proaktiv gegen diese Bedrohungen vorzugehen.

 

Ich denke hier an:

Benutzerschulungen, Benutzer fortlaufend informieren.

Systeme immer auf dem aktuellen Stand halten.

Virenscanner aktuell halten.

Scan des incoming und outgoing Traffic. Unbedingt SSL-Inspektion (SSL Deep Inspection) des Traffic. Bei nicht vorhanden sein eines SSL Scans, reißt man meines Erachtens ein gravierendes "Loch" auf.

Blocken von div. Inhalten, die per Mail kommen / User dürfen so gut wie nichts herunterladen. (schon gar keine ausführbaren Dateien und Scripts).

Nie mit Adminrechten / oder gar Domainadminrechten auf einer Workstation arbeiten.

Makrosicherheit so hoch wie möglich einstellen. Bestenfalls Makros abdrehen (geht aber nicht immer).

 

Was machen wenn der Trojaner bereits aktiviert wurde

Hier bin ich mir, angesichts der letzten Informationen, nicht mehr sicher. Dass der PC, von dem die Verseuchung ausging, von Netz genommen wird, ist klar. Damit ist es aber bei Weitem noch nicht getan.

Man liest, dass zb der Emotet-Trojaner zuerst mal im Hintergrund wartet und versucht, möglichst viel über das System zu "lernen". Hierbei zielt er u.a. darauf ab, Domänenadminrechte zu erhalten und quasi die Domäne zu "übernehmen".

 

Was heißt das für den Admin? -> Bei Infektion -> Am Besten die Domäne neu aufziehen? Sofern eine Infektion stattgefunden hat, kann man sich ja nie mehr sicher sein, dass alles mit rechten Dingen zugeht.

 

Wie seht ihr das bzw. was ist eure Meinung dazu?

 

 

 

bearbeitet von mcdaniels

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@multikulti

an sich will ich hier nicht explizit auf "meinen" Stand der Dinge eingehen, sondern vlt. eine generelle Diskussion anstoßen. Meine bisherigen Sicherheitsvorkehrungen konnten uns Gott sei Dank bislang vor einem GAU bewahren.

 

Ja genau, das wäre zum Beispiel eine Frage: Wie will man einen sauberen Stand identifizieren?

Wird vorhandene Antivirussoftware einen Befall identifizieren?

und und und...

 

Hat es schon mal jemanden von euch hier erwischt... gibt es Erfahrungen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 22.12.2018 um 17:23 schrieb mcdaniels:

@multikulti

an sich will ich hier nicht explizit auf "meinen" Stand der Dinge eingehen, sondern vlt. eine generelle Diskussion anstoßen. Meine bisherigen Sicherheitsvorkehrungen konnten uns Gott sei Dank bislang vor einem GAU bewahren.

 

Ja genau, das wäre zum Beispiel eine Frage: Wie will man einen sauberen Stand identifizieren?

Wird vorhandene Antivirussoftware einen Befall identifizieren?

und und und...

 

Hat es schon mal jemanden von euch hier erwischt... gibt es Erfahrungen?

Bei einigen Servern haben wir Prüfsummen der wichtigsten Dateien. Unter Linux gibt es dafür extra tools wie z.B. tripwire.

Antivirussoftware welche auf einem System selber Alarm schlägt, ist eigentlich per Definition, nicht mehr vertrauenswürdig.

Wir evaluieren derzeit deswegen VMware NSX um das Antivirus aus den Systemen selber heraus zu bekommen.

 

Und ja, wir hatten schon verschlüsselte Rechner. Seit dem bekommen die Leute welche einen Verdacht haben direkt die Anweisung das Netzwerkkabel zu ziehen und im Normalfall werden die Rechner platt gemacht und neu deployt.

Ab und an schauen wir uns einen Näher an. Bisher scheint das Einfallstor immer E-Mail gewesen zu sein. Eine Zeit lang haben wir noch Sensibiliesierungsmassnahmen gemacht und die Kollegen versucht zu schulen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 58 Minuten schrieb magheinz:

Eine Zeit lang haben wir noch Sensibiliesierungsmassnahmen gemacht und die Kollegen versucht zu schulen.

Aber die wollen nur arbeiten und benötigen Freiheit für Forschung und Leere? ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Treffer...

 

Jegliche Einschränkungen sind unerwünscht. Das gilt auch für die Geschäftsführung. Selbst ein MDM für die ganzen mobilen Geräte ist abgelehnt worden. Securitypolicys sind nur insoweit erwünscht wie klar ist, wie man sie umgehen kann.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

genau.

Ich sehe, du kennst das.

Gleichzeitig bekommt man den Auftrag ein Informationssicherheitskonzept zu erstellen. Die Einschränkung ist: Grundschutz ist nicht erwünscht.

Ein großes Beratungsunternehmen wurde damit beauftragt und ist komplett verzweifelt. Und das waren Leute die so etwas sonst für Frau von der Leyen machen...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

All das von euch Erwähnte kenn ich sehr gut. ;) 

 

@magheinz habt ihr incoming / outgoing ssl deep inspection aktiv, was den Traffic angeht? 

Scannt ihr den Datenstrom in das bzw. aus dem Internet. Fortigate zB macht das ganz gut. (DNS Blacklists, Antivirus etc).

 

Bei mir wurde auf diesem Wege mehrfach verhindert, dass die Schadsoftware nachgeladen wurde, nachdem ein User auf einen Link geklickt bzw. ein Makro aktiviert hat.

 

Wie bei dir, fehlt aber jegliches Bewusstsein für die Gefahr, die von derartigen Bedrohungen ausgeht. Selbst wenn man es 100x erwähnt.

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:


×