Jump to content
Neopolis

Emotet Office Makros deaktivieren GPO sinnvoll?

Recommended Posts

Halo zusammen,

 

bei mir flatterte eine Mail rein und ein Kollege fragte mich wie wir uns sinnvoll vor dem Emotet Trojaner schützen können.

Ich musste erstmal Google befragen um mich zu informieren was das überhaupt ist.

Bei Microsoft gibt es scheinbar Ansätze per GPO einfach die Makros zu deaktivieren.

Frage. Ist das sinnvoll?

Es gibt ja auch Mitarbeiter die Makros in ihren Excellisten und Worddateien benötigen.

Wie kann man sich sinnvoll schützen durch Maßnahmen? Wie habt ihr das gemacht?

Danke für eure Beiträge.

 

Gruß Thomas

Share this post


Link to post

Danke Olaf :-) und danke Nobby für eure Beiträge.

Das ist wirklich noch mal interessant gewesen. 

Keine Office Dokumente von Außen zu lassen ist natürlich eine Idee die ich schon hatte und die gerade geprüft wird. 

Klappt das gut? Beschweren sich bei euch viele darüber?

 

Gruß Thomas

Share this post


Link to post
vor 5 Minuten schrieb Neopolis:

Danke Olaf :-) und danke Nobby für eure Beiträge.

Das ist wirklich noch mal interessant gewesen. 

Keine Office Dokumente von Außen zu lassen ist natürlich eine Idee die ich schon hatte und die gerade geprüft wird. 

Klappt das gut? Beschweren sich bei euch viele darüber?

Kommt drauf an, was vor dem Mailserver steht.

Früher hatten wir nur die Filterung von dem Reddoxx, inzwischen ist eine Stufe mehr vorhanden, der NoSpamProxy

Der macht aus eingehenden Dokumenten ein pdf, das Original kann dann intern bei Bedarf von dem Dateway angefordert werden

Vorteil an der Lösung: es gibt keine Quarantäne mehr, NSP ist ja oder nein.

Für Outbound kann man Whitelisten erzeugen, damit z.B. das Word.Dokument aus der BuHa auch bei der Bank ankommt.

Share this post


Link to post

Okay. Verstehe! Ich muss das mal eruieren wie das hier gehandhabt wird.

Danke für die ausführliche Erklärung :-)

Share this post


Link to post

Ich hatte am Wochenende ein Gespräch mit einem Bekannte von mir.

Er sagte warum wir nicht mit Vertrauenswürdigen Speicherorten arbeiten.

Dazu wollte ich mal gern eure Meinung einholen.

Was haltet ihr von der Idee? Ist das ein gangbarer Weg

Share this post


Link to post

Hi,

vor 8 Minuten schrieb Neopolis:

Er sagte warum wir nicht mit Vertrauenswürdigen Speicherorten arbeiten.

Die User kriegen früher oder später zwangsweise mit wo sich die Speicherorte befinden und speichern den E-Mail-Anhang dann einfach dort ab. ;)

Momentan(?) wäre wohl nur signierte Makros zu erlauben eine Option. Allerdings werden sicherlich bald auch die ersten signierten Emotet & Co. Makros unterwegs sein.

 

Eine Firewall/Ein Proxy die/der die entsprechenden Ziele, von wo der Shadcode geladen wird / von wo "gesteuert" wird, blockt sowie AppLocker / SRP wären meiner Meinung nach die besten Ansätze zusätzlich zum Blocken möglichst vieler Anähnge.

 

Gruß

Jan

Edited by testperson

Share this post


Link to post
vor 1 Stunde schrieb testperson:

Die User kriegen früher oder später zwangsweise mit wo sich die Speicherorte befinden und speichern den E-Mail-Anhang dann einfach dort ab. ;) 

Momentan(?) wäre wohl nur signierte Makros zu erlauben eine Option. Allerdings werden sicherlich bald auch die ersten signierten Emotet & Co. Makros unterwegs sein. 

Vertrauenswürdige Speicherort in Kombination mit signierten Makros. Aber! Jeder User kann sich selbst mit Hilfe der SelfCert.exe ein Zertifikat ausstellen und damit das Makro signieren. (Bis hierhin sind wir schon gekommen, den Rest haben wir noch nicht gemacht) Man muss also dem User den Zugriff auf die gen. EXE entziehen, dann können ausgewählte Personen den Code auf einem abgeschotteten Client lesen. Passt alles, das Makro signieren und die Datei rausgeben.

Share this post


Link to post
vor 29 Minuten schrieb Sunny61:

Aber! Jeder User kann sich selbst mit Hilfe der SelfCert.exe ein Zertifikat ausstellen und damit das Makro signieren

Dann ist die Signatur aber nicht vertrauenswürdig...

Share this post


Link to post
vor einer Stunde schrieb zahni:
vor 1 Stunde schrieb Sunny61:

Aber! Jeder User kann sich selbst mit Hilfe der SelfCert.exe ein Zertifikat ausstellen und damit das Makro signieren

Dann ist die Signatur aber nicht vertrauenswürdig...

Doch, hatten wir hier getestet.

Share this post


Link to post
vor 16 Minuten schrieb Sunny61:

Doch, hatten wir hier getestet.

Auch bei einem anderen User? Dann solltet Ihr Eure Einstellungen prüfen. Ein Self-Signed-Zertifikat kann nicht automatisch vertrauenswürdig sein. Bei dem User, der es erstellt, u.U. schon. Da kann man aber auch per GPO verhindern, dass ein User etwas in den entsprechenden Store importieren kann...

Share this post


Link to post
vor einer Stunde schrieb zahni:

Auch bei einem anderen User? Dann solltet Ihr Eure Einstellungen prüfen. Ein Self-Signed-Zertifikat kann nicht automatisch vertrauenswürdig sein. Bei dem User, der es erstellt, u.U. schon. Da kann man aber auch per GPO verhindern, dass ein User etwas in den entsprechenden Store importieren kann...

Nein, der eine User hat es erstellt und konnte das Makro wieder ausführen. Er kann es auch in seinen Store importieren. Und genau das reicht ja schon aus.

 

Hast Du einen Hinweis für mich welche Einstellung im GPO das sein könnte?

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...