-
Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)
Autor: chriskoli 11.06.15 - 15:41
Wenn die Angreifer schon in der Lage waren Administrationspasswörter zu erbeuten, dann haben sie wesentliche Netzbereiche unter Ihrer Kontrolle (gehabt). Sollte man des Geldes wegen ein so hohes Risiko eingehen? Die Person oder die Experten, die den Komplettaustausch empfohlen haben ( wahrscheinlich mit dem Hinweis: Wenn man 100 % sicher sein will, muss man alle Rechner austauschen ) liegen meiner Meinung richtig. Die Infrastruktur ist zu sensibel, als das man das Risiko eingehen sollte, etwas übersehen zu haben. Mache Malware lässt sich nur schwer finden. Das sollte man sich immer vor Augen halten (Ich bin mir sicher, dass das die Security Engineers, die vor Ort sind, auch tun).
Ich habe vor einiger Zeit einen infizierten Rechner untersucht und habe dazu verschiedene Werkezeuge benutzen müssen, um den Schädling zu finden. Fündig wurde ich letztendlich über die Webhistorie. Darüber konnte ich die URL extrahieren über den der Schädling ins Netz kam. Der Schädling hatte sich im Speicher eingenistet und er hatte keine auffälligen Einträge in der Registry hinterlassen. Ich möchte damit nur sagen, dass das Auffinden von Malware sehr aufwendig und mühselig ist.
Es ist keine Schande gehackt zu werden, eine Schande wäre es die falschen Folge-Entscheidungen (Incident Response (Plan)) zu treffen. Wichtig wäre auch herauszufinden um was für einen Schädling es sich handelt. Anstatt die Workstations/Server zu entsorgen, böte es sich an, sie entweder zu virtualisieren oder aber die Devices zur Analyse in ein 'Labor' zu geben. -
Re: Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)
Autor: widdermann 11.06.15 - 19:39
chriskoli schrieb:
--------------------------------------------------------------------------------
> Wenn die Angreifer schon in der Lage waren Administrationspasswörter zu
> erbeuten, dann haben sie wesentliche Netzbereiche unter Ihrer Kontrolle
> (gehabt). Sollte man des Geldes wegen ein so hohes Risiko eingehen? Die
> Person oder die Experten, die den Komplettaustausch empfohlen haben (
> wahrscheinlich mit dem Hinweis: Wenn man 100 % sicher sein will, muss man
> alle Rechner austauschen ) liegen meiner Meinung richtig. Die Infrastruktur
> ist zu sensibel, als das man das Risiko eingehen sollte, etwas übersehen zu
> haben. Mache Malware lässt sich nur schwer finden. Das sollte man sich
> immer vor Augen halten (Ich bin mir sicher, dass das die Security
> Engineers, die vor Ort sind, auch tun).
> Ich habe vor einiger Zeit einen infizierten Rechner untersucht und habe
> dazu verschiedene Werkezeuge benutzen müssen, um den Schädling zu finden.
> Fündig wurde ich letztendlich über die Webhistorie. Darüber konnte ich die
> URL extrahieren über den der Schädling ins Netz kam. Der Schädling hatte
> sich im Speicher eingenistet und er hatte keine auffälligen Einträge in der
> Registry hinterlassen. Ich möchte damit nur sagen, dass das Auffinden von
> Malware sehr aufwendig und mühselig ist.
> Es ist keine Schande gehackt zu werden, eine Schande wäre es die falschen
> Folge-Entscheidungen (Incident Response (Plan)) zu treffen. Wichtig wäre
> auch herauszufinden um was für einen Schädling es sich handelt. Anstatt die
> Workstations/Server zu entsorgen, böte es sich an, sie entweder zu
> virtualisieren oder aber die Devices zur Analyse in ein 'Labor' zu geben.
Ich bin mir nicht sicher, ob Virtualisierung hier Vorteile bringt. Wenn sie schon die Administrationspasswörter bekommen haben, dürfte es nicht schwer sein auch die VMs unter Kontrolle zu kriegen. -
Re: Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)
Autor: chriskoli 12.06.15 - 09:06
widdermann schrieb:
....
> Ich bin mir nicht sicher, ob Virtualisierung hier Vorteile bringt. Wenn sie
> schon die Administrationspasswörter bekommen haben, dürfte es nicht schwer
> sein auch die VMs unter Kontrolle zu kriegen.
Es kommt ein wenig darauf an, ob die Angreifer im Moment direkten Zugriff haben oder die Malware Daten sammelt. Wenn die Angriefer Zugriff haben bringt es nichts oder nur wenig. Da gebe ich Ihnen recht.
Die ursprüngliche Idee, die dahintersteckt ist, der Malware ein Netz zu simulieren, welches dem Alten gleicht. Das kann man dann von der Produktionsumgebung trennen. Man könnte dann, ab einer bestimmten Stelle, bevor die Malware Daten an externe Server versendet, den Datenverkehr blocken. Man könnte darüber viel herausfinden, z.B. wie sich die Malware verteilt, nach welchen Daten sie sucht, etc. Wenn die Experten Glück haben prüft die Malware nicht auf virtuelle Umgebungen, obwohl heute auch in Produktivumgebungen mit virtuellen Servern gearbeitet wird.
Das Problem, welches die Experten haben werden ist, dass die Schadsoftware wahrscheinlich darauf prüft, ob ein Debugger zur Ananlyse im Hintergrund läuft. Wenn sie das tut, erschwert es herauszufinden, mit welcher Funktionalität man zu tun hat. Das geht eben manchmal nur, wenn man sie unter Laborbedingungen eben das tun lässt wofür sie entwickelt wurde.



