1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Bundestag: "Von einem Totalschaden…

Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)

  1. Thema

Neues Thema Ansicht wechseln


  1. Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)

    Autor: chriskoli 11.06.15 - 15:41

    Wenn die Angreifer schon in der Lage waren Administrationspasswörter zu erbeuten, dann haben sie wesentliche Netzbereiche unter Ihrer Kontrolle (gehabt). Sollte man des Geldes wegen ein so hohes Risiko eingehen? Die Person oder die Experten, die den Komplettaustausch empfohlen haben ( wahrscheinlich mit dem Hinweis: Wenn man 100 % sicher sein will, muss man alle Rechner austauschen ) liegen meiner Meinung richtig. Die Infrastruktur ist zu sensibel, als das man das Risiko eingehen sollte, etwas übersehen zu haben. Mache Malware lässt sich nur schwer finden. Das sollte man sich immer vor Augen halten (Ich bin mir sicher, dass das die Security Engineers, die vor Ort sind, auch tun).
    Ich habe vor einiger Zeit einen infizierten Rechner untersucht und habe dazu verschiedene Werkezeuge benutzen müssen, um den Schädling zu finden. Fündig wurde ich letztendlich über die Webhistorie. Darüber konnte ich die URL extrahieren über den der Schädling ins Netz kam. Der Schädling hatte sich im Speicher eingenistet und er hatte keine auffälligen Einträge in der Registry hinterlassen. Ich möchte damit nur sagen, dass das Auffinden von Malware sehr aufwendig und mühselig ist.
    Es ist keine Schande gehackt zu werden, eine Schande wäre es die falschen Folge-Entscheidungen (Incident Response (Plan)) zu treffen. Wichtig wäre auch herauszufinden um was für einen Schädling es sich handelt. Anstatt die Workstations/Server zu entsorgen, böte es sich an, sie entweder zu virtualisieren oder aber die Devices zur Analyse in ein 'Labor' zu geben.

  2. Re: Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)

    Autor: widdermann 11.06.15 - 19:39

    chriskoli schrieb:
    --------------------------------------------------------------------------------
    > Wenn die Angreifer schon in der Lage waren Administrationspasswörter zu
    > erbeuten, dann haben sie wesentliche Netzbereiche unter Ihrer Kontrolle
    > (gehabt). Sollte man des Geldes wegen ein so hohes Risiko eingehen? Die
    > Person oder die Experten, die den Komplettaustausch empfohlen haben (
    > wahrscheinlich mit dem Hinweis: Wenn man 100 % sicher sein will, muss man
    > alle Rechner austauschen ) liegen meiner Meinung richtig. Die Infrastruktur
    > ist zu sensibel, als das man das Risiko eingehen sollte, etwas übersehen zu
    > haben. Mache Malware lässt sich nur schwer finden. Das sollte man sich
    > immer vor Augen halten (Ich bin mir sicher, dass das die Security
    > Engineers, die vor Ort sind, auch tun).
    > Ich habe vor einiger Zeit einen infizierten Rechner untersucht und habe
    > dazu verschiedene Werkezeuge benutzen müssen, um den Schädling zu finden.
    > Fündig wurde ich letztendlich über die Webhistorie. Darüber konnte ich die
    > URL extrahieren über den der Schädling ins Netz kam. Der Schädling hatte
    > sich im Speicher eingenistet und er hatte keine auffälligen Einträge in der
    > Registry hinterlassen. Ich möchte damit nur sagen, dass das Auffinden von
    > Malware sehr aufwendig und mühselig ist.
    > Es ist keine Schande gehackt zu werden, eine Schande wäre es die falschen
    > Folge-Entscheidungen (Incident Response (Plan)) zu treffen. Wichtig wäre
    > auch herauszufinden um was für einen Schädling es sich handelt. Anstatt die
    > Workstations/Server zu entsorgen, böte es sich an, sie entweder zu
    > virtualisieren oder aber die Devices zur Analyse in ein 'Labor' zu geben.

    Ich bin mir nicht sicher, ob Virtualisierung hier Vorteile bringt. Wenn sie schon die Administrationspasswörter bekommen haben, dürfte es nicht schwer sein auch die VMs unter Kontrolle zu kriegen.

  3. Re: Nur 15 Rechner betroffen (die nachweislich kompromittiert waren)

    Autor: chriskoli 12.06.15 - 09:06

    widdermann schrieb:
    ....
    > Ich bin mir nicht sicher, ob Virtualisierung hier Vorteile bringt. Wenn sie
    > schon die Administrationspasswörter bekommen haben, dürfte es nicht schwer
    > sein auch die VMs unter Kontrolle zu kriegen.
    Es kommt ein wenig darauf an, ob die Angreifer im Moment direkten Zugriff haben oder die Malware Daten sammelt. Wenn die Angriefer Zugriff haben bringt es nichts oder nur wenig. Da gebe ich Ihnen recht.
    Die ursprüngliche Idee, die dahintersteckt ist, der Malware ein Netz zu simulieren, welches dem Alten gleicht. Das kann man dann von der Produktionsumgebung trennen. Man könnte dann, ab einer bestimmten Stelle, bevor die Malware Daten an externe Server versendet, den Datenverkehr blocken. Man könnte darüber viel herausfinden, z.B. wie sich die Malware verteilt, nach welchen Daten sie sucht, etc. Wenn die Experten Glück haben prüft die Malware nicht auf virtuelle Umgebungen, obwohl heute auch in Produktivumgebungen mit virtuellen Servern gearbeitet wird.
    Das Problem, welches die Experten haben werden ist, dass die Schadsoftware wahrscheinlich darauf prüft, ob ein Debugger zur Ananlyse im Hintergrund läuft. Wenn sie das tut, erschwert es herauszufinden, mit welcher Funktionalität man zu tun hat. Das geht eben manchmal nur, wenn man sie unter Laborbedingungen eben das tun lässt wofür sie entwickelt wurde.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Rheinische Gesellschaft für Diakonie gGmbH, Leichlingen
  2. Care Center Deutschland GmbH, Bochum
  3. über experteer GmbH, Köln
  4. Statistisches Bundesamt, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 21,99€
  2. 18,69€
  3. (u. a. Worms: Armageddon für 2,99€, Worms W.M.D für 7,50€, Worms Ultimate Mayhem für 2...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobilfunk: UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet
Mobilfunk
UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet

Sie haben Deutschland zum Mobilfunk-Entwicklungsland gemacht und wurden heute mit dem Nobelpreis ausgezeichnet: die Auktionstheorien von Paul R. Milgrom und Robert B. Wilson.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Coronakrise Deutsche Urlaubsregionen verzeichnen starke Mobilfunknutzung
  2. LTE Telekom benennt weitere Gewinner von "Wir jagen Funklöcher"
  3. Mobilfunk Rufnummernportierung darf maximal 7 Euro kosten

Artemis Accords: Mondverträge mit bitterem Beigeschmack
Artemis Accords
Mondverträge mit bitterem Beigeschmack

"Sicherheitszonen" zum Rohstoffabbau auf dem Mond, das Militär darf tun, was es will, Machtfragen werden nicht geklärt, der Weltraumvertrag wird gebrochen.
Von Frank Wunderlich-Pfeiffer

  1. Artemis Nasa engagiert Nokia für LTE-Netz auf dem Mond

Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite