wznutzer 32 Geschrieben 5. Juli 2023 Melden Teilen Geschrieben 5. Juli 2023 Hallo zusammen, ich würde mich über einen Erfahrungsaustausch freuen, was getan werden kann, wenn ein PC/VM als Verdachtsfall für Malwarebefall gilt. Selbstverständlich versucht man das alles zu verhindern, aber wenn halt trotzdem mal was passiert. Wenn es auch nur halbwegs eindeutig ist, wird natürlich neu installiert oder ein frisches Image verwendet. Ich meine folgende uneindeutige Fälle: Der Virenscanner blockiert eine URL. Der Anwender hat halt doch auf einen Link in einer Spam-Mail geklickt, die durchgerutscht ist. Irgendein seltsames Verhalten, bei dessen Analyse man Malware ausschließen will. Also Fälle in denen man eher vermutet, dass nichts ist, das aber trotzdem noch absichern will. Ich mache bisher folgendes: Analyse mit Autoruns, ProcessExplorer von Sysinternals Scann mit Thor Lite von Nextron, wobei da die Ergebnisse mit Vorsicht zu bewerten sind und auch oft eher verwirren als helfen. Scan mit Desinfect, das in den letzten Versionen leider immer unbrauchbarer geworden ist. Scan mit Eset Rescue-CD (bei VMs funktioniert das gut, beim Blech eher nicht). ADWCleaner von Malwarebytes Auf den RDSH, auf denen die User stark eingeschränkt sind und auch Applocker aktiv ist, lösche ich das Profil. Bei den RDSH mache ich das sogar immer mal wieder, auch wenn es keinen Anhaltspunkt gibt (dann natürlich ohne Profile zu löschen). Über ein paar Tipps würde ich mich freuen. Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 5. Juli 2023 Melden Teilen Geschrieben 5. Juli 2023 Hi, in solchen Fällen wäre es für mich hilfreich, wenn sich jemand "die Systeme" im Gesamten ansieht bzw. beobachtet bzw. das sogar von Anfang an macht. Ggfs. wäre hier eine "Managed Detection and Response" Lösung oder ein "SOC as a Service" ein Ansatz. Man kann da meiner Meinung nach sicherlich vieles vom dem machen, was du schon erledigst. Aber irgendwie würde ich mich bei sowas "besser fühlen", wenn da tatsächlich Leute vom Fach hinterher sind. Gruß Jan Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 5. Juli 2023 Melden Teilen Geschrieben 5. Juli 2023 (bearbeitet) Empfehlenswert wäre an der Stelle aus meiner Sicht immer ein verhaltensbasierter Endpoint Schutz. Grundsätzlich empfiehlt sich (meist stark abhängig vom eigentlichen Szenario): - Client/betroffenes Gerät/VM/Hypervisor (temporär) isolieren und scannen ggfs alle direkt zum Zeitpunkt der Feststellung verbundenen Geräte ebenfalls isolieren und scannen, Logs der beteiligten Infrastrukturen (Firewall, AD, Server, Clients, etc) auf ungewöhnliche Events checken - gibt es keine Auffälligkeiten kann man je nach Unternehmensrichtlinie den Client und ggfs alle direkt zum Zeitpunkt der Feststellung verbundenen Geräte nach einem angemessenen Zeitraum der Beobachtung wieder ins Unternehmensnetzwerk lassen und das Restrisiko in Kauf nehmen - alternativ kann das betroffene Gerät neu betankt werden, wichtige Daten sollten eher weniger lokal gelagert werden (geht nicht immer ich weiss) - alternativ können auch direkt verbundenen Geräte neu betankt werden, ggfs Daten wiederherstellen Was genau man wie macht muss nicht der entscheidende Faktor sein, wichtig ist, dass man überhaupt eine Strategie, möglichst sauber und umfassend dokumentiert, am Start hat, die meist recht individuell auf die eigene Infrastruktur und Personalsituation und auch das Unternehmensumfeld (ist man zB CRITIS oder eher nicht) zugeschnitten ist. Grüsse Gulp bearbeitet 5. Juli 2023 von Gulp Typo Zitieren Link zu diesem Kommentar
q617 1 Geschrieben 5. Juli 2023 Melden Teilen Geschrieben 5. Juli 2023 Da muss man früh ansetzen, welche App-Locker Regeln hast du denn genau auf deinen RDSH? Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 5. Juli 2023 Autor Melden Teilen Geschrieben 5. Juli 2023 vor 2 Minuten schrieb q617: Da muss man früh ansetzen, welche App-Locker Regeln hast du denn genau auf deinen RDSH? User dürfen nur Programme ausführen die in Pfaden liegen in denen sie keine Schreibrechte haben. Für einen Spezialfall (E-Post) gibt es eine Signatur-Regel. Ansonsten ist https://www.gruppenrichtlinien.de/artikel/applocker-oder-software-restriction-policies-loecher-im-sicherheitszaun beachtet. vor 9 Minuten schrieb Gulp: Empfehlenswert wäre an der Stelle aus meiner Sicht immer ein verhaltensbasierter Endpoint Schutz. Das gibt es, aber ich weiß halt nicht wie gut der ist. Lt. Marketing natürlich der Beste. vor 12 Minuten schrieb testperson: Managed Detection and Response Kannte ich bisher nicht. Ich fürche dafür sind wie hier zu klein um das als separaten Service zu haben, aber anschauen muss ich mir das trotzdem mal. SentinelOne soll das ja wie eine Art Virenscanner machen. Kenne das aber auch nur vom Hörensagen. Zitieren Link zu diesem Kommentar
q617 1 Geschrieben 5. Juli 2023 Melden Teilen Geschrieben 5. Juli 2023 (bearbeitet) vor 46 Minuten schrieb wznutzer: User dürfen nur Programme ausführen die in Pfaden liegen in denen sie keine Schreibrechte haben. Für einen Spezialfall (E-Post) gibt es eine Signatur-Regel. Na wenn dir das ohne Nachschärfungen ausreicht.... Mir fehlen Infos zu deiner Netzwerkstruktur, welche Maschine darf ins Internet, welche nicht? bearbeitet 5. Juli 2023 von q617 Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 5. Juli 2023 Autor Melden Teilen Geschrieben 5. Juli 2023 vor 33 Minuten schrieb q617: Na wenn dir das ohne Nachschärfungen ausreicht.... Mir fehlen Infos zu deiner Netzwerkstruktur, welche Maschine darf ins Internet, welche nicht? Welche Nachschärfungen bei Applocker meinst Du konkret? Vor welchem Angriffsszenario schützen mich die Nachschärfungen? Eine komplette Strategie kann meist nicht im einem Forum besprochen werden, aber ganz konkrete Fälle schon. Hier ging es mir darum, wenn aus irgendeinem Grund die Strategie drumherum versagt hat, was dann zu tun ist. Auch nicht im konkreten Fall, dass alle Ampeln auf rot stehen, sondern die Fälle in denen es auch nur um den Ausschluss von Malware bei der Fehleranalyse geht. Die dann greifenden Maßnahmen können gut oder schlecht sein, aber es sollte ein Vorgehen geben. Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 5. Juli 2023 Melden Teilen Geschrieben 5. Juli 2023 vor 10 Minuten schrieb wznutzer: Welche Nachschärfungen bei Applocker meinst Du konkret? Vor welchem Angriffsszenario schützen mich die Nachschärfungen? Es gibt verschiedene AppLocker Umgeheungen. Bspw. gibt es hier eine ganz brauchbare Applocker Bypass List: GitHub - api0cradle/UltimateAppLockerByPassList: The goal of this repository is to document the most common techniques to bypass AppLocker. Generell findest du "bei ihm" (https://oddvar.moe/) gute Infos in diese Richtung bzw. dann auch Ansätze zur weiteren Recherche. Indirekt zum Thema AppLocker wäre dann auch noch das: Rootsec.inf - Keine Ordner auf C:\ erstellen - Gruppenrichtlinien 1 Zitieren Link zu diesem Kommentar
q617 1 Geschrieben 5. Juli 2023 Melden Teilen Geschrieben 5. Juli 2023 vor 46 Minuten schrieb testperson: Es gibt verschiedene AppLocker Umgeheungen. Bspw. gibt es hier eine ganz brauchbare Applocker Bypass List: GitHub - api0cradle/UltimateAppLockerByPassList: The goal of this repository is to document the most common techniques to bypass AppLocker. Generell findest du "bei ihm" (https://oddvar.moe/) gute Infos in diese Richtung bzw. dann auch Ansätze zur weiteren Recherche. Diese Liste ist 5 Jahre alt, da fallen mir selbst im Zug 3 weitere ein. Und: keine Berücksichtigung von Windows 11. Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 5. Juli 2023 Autor Melden Teilen Geschrieben 5. Juli 2023 vor 1 Stunde schrieb testperson: Indirekt zum Thema AppLocker wäre dann auch noch das: Rootsec.inf - Keine Ordner auf C:\ erstellen - Gruppenrichtlinien Ja, das ist berücksichtigt. Danke für die weiteren Tipps. vor 1 Stunde schrieb q617: Ist das eine Testumgebung oder warum keine Infos zum Netzwerklayout? Weil die Absicht des Erfahrungsaustausches nicht die Betrachtung des kompletten Netzwerks ist. vor 56 Minuten schrieb q617: Diese Liste ist 5 Jahre alt, da fallen mir selbst im Zug 3 weitere ein. Und: keine Berücksichtigung von Windows 11. Hast Du einen Link mit erklärenden Infos wie @testperson? Das was ich beabsichtigt habe, ist ein Erfahrungsaustausch über die Prüfung eines Systems unabhängig der Schutzmaßnahmen. Ich könnte auch sagen, mein Kumpel bringt mir seinen PC, um mal zu schauen, ob dieser clean ist. Welche Wege gibt es? Dann würde ich auch nicht nach den Schutzmaßnahmen fragen. Es geht ja darum festzustellen, ob Malware den Schutz überwunden hat. Genau das passiert jeden Tag, auch in den größten Firmen. Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 7. Juli 2023 Autor Melden Teilen Geschrieben 7. Juli 2023 vor 3 Stunden schrieb q617: Unklares Vorgehen Danke für Deine Mühe, aber Du versuchst eine Frage zu beantworten die ich nicht gestellt habe. Evtl. reden wir auch aneinander vorbei. Der letzte Punkt gehört zu den regelmäßig stattfindenden Wartungsarbeiten. Die Frage war, wie stelle ich fest, ob ein System clean ist? Nicht, wie stelle ich sicher, dass mein System clean bleibt? Auch wichtig, aber halt eine andere Baustelle, auch wenn es dazugehört. Inzwischen habe ich eine Meinung eines Dienstleisters, wie das in sehr großen Umgebungen die auditiert, zertifiziert und was es noch alles gibt sind, gemacht wird. Da wird diese Frage erst gar nicht gestellt. Da gilt: Ein System ist per Definition clean, wenn die installierten Monitoring-Maßnahmen nichts melden. Ist die Mail durchgerutscht und der User hat draufgeklickt, der AV hat die Url geblockt, gibt es keine weiteren Maßnahmen. Der Grund für diese Sichtweise ist aber nicht, weil man das zu 100% so sicher sagen kann, sondern aufgrund der schieren Größe (mehrere 1000 Clients) gar nicht anders zu handeln ist. Mir ist schon klar, dass es keine Maßnahme gibt, die zu 100% sagen kann, dass ein System clean ist. Aber zwischen "ich mache nichts" und "100%" gibt es ja noch etwas dazwischen. Interessant wäre zu wissen, ob bei allen Fällen die bekannt werden, solche regelmäßigen Maßnahmen nicht in einigen Fällen dazu geführt hätten, dass eine Kompromitierung frühzeitig entdeckt worden wäre. Zitieren Link zu diesem Kommentar
cj_berlin 1.138 Geschrieben 7. Juli 2023 Melden Teilen Geschrieben 7. Juli 2023 vor 32 Minuten schrieb wznutzer: Der Grund für diese Sichtweise ist aber nicht, weil man das zu 100% so sicher sagen kann, sondern aufgrund der schieren Größe (mehrere 1000 Clients) gar nicht anders zu handeln ist. Das ist aber nur eine mögliche Meinung dazu. In einem Bundesministerium, wo ich mal im Projekt war, wurde ein Client nach *jedem* clientbezogenen Sicherheitsvorfall neu ausgerollt. Hat auch in der Regel nicht wirklich wehgetan. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.359 Geschrieben 7. Juli 2023 Melden Teilen Geschrieben 7. Juli 2023 vor 1 Minute schrieb cj_berlin: Das ist aber nur eine mögliche Meinung dazu. In einem Bundesministerium, wo ich mal im Projekt war, wurde ein Client nach *jedem* clientbezogenen Sicherheitsvorfall neu ausgerollt. Hat auch in der Regel nicht wirklich wehgetan. Haben wir bei uns auch so gehalten Wie lange dauert es, einen "normalen" Client neu zu installieren? 20 min - mit Hand-Nacharbeit keine Stunde... Das meiste lässt sich Scripten/Automatisieren Das gilt auch für "kleinere" Umgebungen mit unter 100 Clients... Zitieren Link zu diesem Kommentar
q617 1 Geschrieben 7. Juli 2023 Melden Teilen Geschrieben 7. Juli 2023 Kommt beim Konzept vielleicht drauf an, ob man selbst "hinterher" saubermachen muss, oder ob es jemand anders tut. Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 7. Juli 2023 Autor Melden Teilen Geschrieben 7. Juli 2023 vor einer Stunde schrieb cj_berlin: Das ist aber nur eine mögliche Meinung dazu. In einem Bundesministerium, wo ich mal im Projekt war, wurde ein Client nach *jedem* clientbezogenen Sicherheitsvorfall neu ausgerollt. Hat auch in der Regel nicht wirklich wehgetan. Das ist mal konsequent. Evtl. hat da auch die Überlegung mitgespielt, dass man es nicht mit Wald und Wiesen Malware zu tun hat. vor einer Stunde schrieb Nobbyaushb: Das meiste lässt sich Scripten/Automatisieren Darf ich etwas OT werden? Meinst Du Puppet, Ansible und Co? Oder den Weg alles einzeln zu recherchieren (Powershell, Registrykeys usw.). Bis alle Schrauben dran sind, komme ich immer auf 3-4 Stunden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.