1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bundestag: "Von einem…

Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)

  1. Thema

Neues Thema


  1. Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)

    Autor: chriskoli 11.06.15 - 15:41

    Wenn die Angreifer schon in der Lage waren Administrationspasswörter zu erbeuten, dann haben sie wesentliche Netzbereiche unter Ihrer Kontrolle (gehabt). Sollte man des Geldes wegen ein so hohes Risiko eingehen? Die Person oder die Experten, die den Komplettaustausch empfohlen haben ( wahrscheinlich mit dem Hinweis: Wenn man 100 % sicher sein will, muss man alle Rechner austauschen ) liegen meiner Meinung richtig. Die Infrastruktur ist zu sensibel, als das man das Risiko eingehen sollte, etwas übersehen zu haben. Mache Malware lässt sich nur schwer finden. Das sollte man sich immer vor Augen halten (Ich bin mir sicher, dass das die Security Engineers, die vor Ort sind, auch tun).
    Ich habe vor einiger Zeit einen infizierten Rechner untersucht und habe dazu verschiedene Werkezeuge benutzen müssen, um den Schädling zu finden. Fündig wurde ich letztendlich über die Webhistorie. Darüber konnte ich die URL extrahieren über den der Schädling ins Netz kam. Der Schädling hatte sich im Speicher eingenistet und er hatte keine auffälligen Einträge in der Registry hinterlassen. Ich möchte damit nur sagen, dass das Auffinden von Malware sehr aufwendig und mühselig ist.
    Es ist keine Schande gehackt zu werden, eine Schande wäre es die falschen Folge-Entscheidungen (Incident Response (Plan)) zu treffen. Wichtig wäre auch herauszufinden um was für einen Schädling es sich handelt. Anstatt die Workstations/Server zu entsorgen, böte es sich an, sie entweder zu virtualisieren oder aber die Devices zur Analyse in ein 'Labor' zu geben.

  2. Re: Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)

    Autor: widdermann 11.06.15 - 19:39

    chriskoli schrieb:
    --------------------------------------------------------------------------------
    > Wenn die Angreifer schon in der Lage waren Administrationspasswörter zu
    > erbeuten, dann haben sie wesentliche Netzbereiche unter Ihrer Kontrolle
    > (gehabt). Sollte man des Geldes wegen ein so hohes Risiko eingehen? Die
    > Person oder die Experten, die den Komplettaustausch empfohlen haben (
    > wahrscheinlich mit dem Hinweis: Wenn man 100 % sicher sein will, muss man
    > alle Rechner austauschen ) liegen meiner Meinung richtig. Die Infrastruktur
    > ist zu sensibel, als das man das Risiko eingehen sollte, etwas übersehen zu
    > haben. Mache Malware lässt sich nur schwer finden. Das sollte man sich
    > immer vor Augen halten (Ich bin mir sicher, dass das die Security
    > Engineers, die vor Ort sind, auch tun).
    > Ich habe vor einiger Zeit einen infizierten Rechner untersucht und habe
    > dazu verschiedene Werkezeuge benutzen müssen, um den Schädling zu finden.
    > Fündig wurde ich letztendlich über die Webhistorie. Darüber konnte ich die
    > URL extrahieren über den der Schädling ins Netz kam. Der Schädling hatte
    > sich im Speicher eingenistet und er hatte keine auffälligen Einträge in der
    > Registry hinterlassen. Ich möchte damit nur sagen, dass das Auffinden von
    > Malware sehr aufwendig und mühselig ist.
    > Es ist keine Schande gehackt zu werden, eine Schande wäre es die falschen
    > Folge-Entscheidungen (Incident Response (Plan)) zu treffen. Wichtig wäre
    > auch herauszufinden um was für einen Schädling es sich handelt. Anstatt die
    > Workstations/Server zu entsorgen, böte es sich an, sie entweder zu
    > virtualisieren oder aber die Devices zur Analyse in ein 'Labor' zu geben.

    Ich bin mir nicht sicher, ob Virtualisierung hier Vorteile bringt. Wenn sie schon die Administrationspasswörter bekommen haben, dürfte es nicht schwer sein auch die VMs unter Kontrolle zu kriegen.

  3. Re: Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)

    Autor: chriskoli 12.06.15 - 09:06

    widdermann schrieb:
    ....
    > Ich bin mir nicht sicher, ob Virtualisierung hier Vorteile bringt. Wenn sie
    > schon die Administrationspasswörter bekommen haben, dürfte es nicht schwer
    > sein auch die VMs unter Kontrolle zu kriegen.
    Es kommt ein wenig darauf an, ob die Angreifer im Moment direkten Zugriff haben oder die Malware Daten sammelt. Wenn die Angriefer Zugriff haben bringt es nichts oder nur wenig. Da gebe ich Ihnen recht.
    Die ursprüngliche Idee, die dahintersteckt ist, der Malware ein Netz zu simulieren, welches dem Alten gleicht. Das kann man dann von der Produktionsumgebung trennen. Man könnte dann, ab einer bestimmten Stelle, bevor die Malware Daten an externe Server versendet, den Datenverkehr blocken. Man könnte darüber viel herausfinden, z.B. wie sich die Malware verteilt, nach welchen Daten sie sucht, etc. Wenn die Experten Glück haben prüft die Malware nicht auf virtuelle Umgebungen, obwohl heute auch in Produktivumgebungen mit virtuellen Servern gearbeitet wird.
    Das Problem, welches die Experten haben werden ist, dass die Schadsoftware wahrscheinlich darauf prüft, ob ein Debugger zur Ananlyse im Hintergrund läuft. Wenn sie das tut, erschwert es herauszufinden, mit welcher Funktionalität man zu tun hat. Das geht eben manchmal nur, wenn man sie unter Laborbedingungen eben das tun lässt wofür sie entwickelt wurde.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Systembetreuer (m/w/d)
    Zweckverband Müllverwertungsanlage Ingolstadt, Ingolstadt
  2. IT System Engineer für Softwareinstallationen und Systembetreuung (m/w/d)
    PSI Automotive & Industry GmbH, Berlin
  3. Spezialist*in (w/m/d) im Messwesen
    Bundesnetzagentur, Mainz
  4. IT-Administrator (m/w/d)
    IREMA-FILTER GmbH, Postbauer-Pavelsbach

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 999€ (Vergleichspreis 1.279€) - günstig wie nie! BEI PROSHOP
  2. 1.039,18€ - günstig wie nie!


Haben wir etwas übersehen?

E-Mail an news@golem.de


Tesla Model 3: Die Mechanik ist das Problem
Tesla Model 3
Die Mechanik ist das Problem

Manche Probleme zeigen sich beim Elektroauto erst mit der Zeit. Beispielsweise, wenn Wasser den Bauteilen zusetzt. Bericht eines langjährigen Tesla-Fahrers.
Von Dirk Kunde

  1. Beschwerden über Übertreibungen Tesla senkt in aller Stille die Reichweitenschätzungen
  2. Nur Fremdmarken Kostenlose Ladeaktion bei Tesla
  3. Elektroautos Tesla übertrifft Auslieferungsrekord im Jahr 2023

Hewlett Packard Enterprise: Was die Übernahme von Juniper Networks durch HPE bedeutet
Hewlett Packard Enterprise
Was die Übernahme von Juniper Networks durch HPE bedeutet

Juniper-Vorstandschef Rami Rahim wird den gemeinsamen Bereich HPE-Network leiten. Dazu gehört auch Aruba Networks.
Von Achim Sawall

  1. Hewlett Packard Enterprise HPE will offenbar Juniper Networks kaufen

Softwareentwicklung: Scrum-Abenteuer auf der grünen Wiese
Softwareentwicklung
Scrum-Abenteuer auf der grünen Wiese

Wie wir anderthalb Jahre lang im Greenfield-Projekt Scrum versuchten, über Bord warfen und völlig deformierten - um dann zu erkennen, dass wir es lebten.
Ein Erfahrungsbericht von Rene Koch

  1. Scrum of Scrums Ein leichtgewichtiges agiles Framework