1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Smominru: Riesiges Botnetz…

Wie erkennen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie erkennen?

    Autor: ldlx 05.02.18 - 19:12

    Gibt es dann eine "MoneroMiner.exe" im Taskmanager? Oder muss ich jetzt auf jedem einzelnen Server die große Keule rausholen, um das Ding zu erkennen/zu beseitigen? (meint Process Explorer über Stunden laufen lassen und dann unerwünschtes Verhalten analysieren).

  2. Re: Wie erkennen?

    Autor: NaruHina 06.02.18 - 07:48

    Abweichungen von der üblichen Last sollte für gewöhnlich jedes Monitoring anzeigen, ist ja nicht so als ob solche miner wenig Last verursachen.

  3. Re: Wie erkennen?

    Autor: gaym0r 06.02.18 - 09:52

    NaruHina schrieb:
    --------------------------------------------------------------------------------
    > ist ja nicht so als ob solche miner wenig Last verursachen.

    Kommt drauf an, wie man den einstellt. Ich würde wenig Last beanspruchen um nicht aufzufallen.

  4. Re: Wie erkennen?

    Autor: Der Held vom... 06.02.18 - 11:03

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Kommt drauf an, wie man den einstellt. Ich würde
    > wenig Last beanspruchen um nicht aufzufallen.

    Und zudem die Last variieren. Wenn ein Prozess dauerhaft x Prozent CPU-Last generiert, sticht das auch ins Auge, wenn x niedrig gewählt ist.

  5. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:03

    Interessant wäre ja, wie man das feststellen kann, wenn man jetzt keine besondere Monitoring-Software einsetzt. So wie das in kleinen Unternehmen der Fall ist. Also mal eben (mit wöchentlicher oder monatlicher Routine z. B. im Rahmen eines Wartungsvertrags mit x Stunden) einloggen und nachschauen, ob alles gut ist.

  6. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:28

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Interessant wäre ja, wie man das feststellen kann, wenn man jetzt keine
    > besondere Monitoring-Software einsetzt.

    Ich nutze, urspruenglich mehr oder weniger unfreiwillig, Monitoringhardware ;).
    Einer der Luefter hat einen leichten Schaden, im Normalbetrieb faellt das nicht auf, aber wenn die Systemlast hoch geht, dann dreht er ab einer bestimmten Drehzahl richtig auf.

    Demzufolge schaue ich jedes Mal nach, woran es liegt, wenn er rattert, ohne dass er eine Mission von mir bekommen hat.

  7. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:31

    Bringt mich beim 0815-Windows-Server immer noch nicht weiter. Und ich sitze selten neben den Servern, die ich betreue, da kriege ich einen unrund laufenden Lüfter nicht mit.

  8. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:35

    Wenn du nicht daneben sitzt, dann kannst Du dich auch via RDP mal draufsetzen oder suchst Du etwas, was dich bei Triggern benachrichtigt?

    Wenn du ohnehin regelmaessig mal drauf schaust, dann mach dir doch eine Liste der Prozessorlast/Besuchsdatum, wenn diese ploetzlich stark veraendert ist, dann sollte man schon mal schauen. Ob du das nun skriptest oder von Hand machst, bleibt ganz dir ueberlassen.



    1 mal bearbeitet, zuletzt am 06.02.18 18:40 durch bombinho.

  9. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:44

    Ich logge mich jetzt nicht jeden Tag auf jedem Server ein, um zu schauen, ob da irgendwas "komisch" ist, nur so auf Verdacht oder Bauchgefühl hin, aber wenn mir das entsprechend vergütet wird, mach ich einen solch stumpfsinnigen job.
    Mein ziel ist ja eher, dass mir ein server bescheid sagt, wenn ihm was fehlt - nur muss dem natürlich noch einprogrammiert werden, wann er ne meldung bringen soll.

    Genau, mal ne Info, welchen Trigger ich einrichten muss, um entsprechend schädliche Prozesse für genau dieses Problem zu erkennen, wär ganz gut. Falls das einfacher/universeller geht, immer her mit der Info. Sollte nur vong Niveau her etwas über "Server ist dauerhaft bei 50% CPU-Last" sein, das ist mir etwas zu platt - bei manchem Server kann das durchaus normal sein.

  10. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:52

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Genau, mal ne Info, welchen Trigger ich einrichten muss, um entsprechend
    > schädliche Prozesse für genau dieses Problem zu erkennen, wär ganz gut.
    > Falls das einfacher/universeller geht, immer her mit der Info. Sollte nur
    > vong Niveau her etwas über "Server ist dauerhaft bei 50% CPU-Last" sein,
    > das ist mir etwas zu platt - bei manchem Server kann das durchaus normal
    > sein.

    Korrekt, deswegen ja das Monitoring des Istzustandes. Wenn der Server normal bei 70% liegt, dann ist 100% ein Hinweis, dass das Backup oder der AV etc. orgeln.

    Es ist der Zusammenhang gefragt, wenn Du keine Spezialsoftware kaufen willst, es gibt viel im Netz zu finden zum Thema CPU-Last auslesen, dann einfach mal selbst etwas stricken. Lediglich die Mailbenachrichtigung wird etwas eklig unter Win.

    https://msdn.microsoft.com/en-us/library/windows/desktop/aa373078%28v=vs.85%29.aspx

  11. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:55

    Es würde eher helfen, wenn eine Software sagt "hey schau mal, dieser Prozess ist neu" oder "hey schau mal, dieser Prozess ist neu und verursacht erhöhte CPU-Last".

  12. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:58

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Es würde eher helfen, wenn eine Software sagt "hey schau mal, dieser
    > Prozess ist neu" oder "hey schau mal, dieser Prozess ist neu und verursacht
    > erhöhte CPU-Last".
    An einem Update- Tag?

    Das naechste Problem ist, wie willst Du benachrichtigt werden? Welche Infrastruktur hast Du dafuer bereits laufen?

    Ah, okay, Spiceworks, schau ich mal an.



    1 mal bearbeitet, zuletzt am 06.02.18 18:59 durch bombinho.

  13. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 19:01

    genau, was unterscheidet einen Update-Tag (für welches Produkt?) von einem "normalen Tag". Wie kann eine Software das unterscheiden? Wenn das so einfach wäre, hätte ich dafür auch schon selbst eine universelle Lösung gefunden. Ab und zu sind andere auch mal schlauer als ich und kennen Lösungen, die ich dann nicht nochmal neu erfinden muss.

  14. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 19:19

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Ab und zu sind andere auch mal schlauer als ich und kennen
    > Lösungen, die ich dann nicht nochmal neu erfinden muss.

    Fuer heute Abend muss ich erst mal aussteigen, ich schau morgen noch mal rein, ich muss auch erst einmal schauen, wozu man Spiceworks ueberreden kann. Sieht aber auf den ersten Blick etwas eingeschraenkt aus.

    Fuer das Erfinden, da gibt es sicher auch fuer C# jede Menge Beispiele. Mein Problem mit C# ist die Unmenge an Versionen fuer die .Net Bibliotheken. Damit will man einen Server nicht unbedingt zupflastern.

  15. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:45

    Wenn das etwas zu ungenau erscheint, dann eine Liste der Prozesse und Dienste.

  16. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:50

    Und nu die einfache Anleitung bitte. Hier sind vielleicht ein paar einfache Admins und auch ein paar Specialists unterwegs, dennoch spart es viel Lebenszeit, wenn für dieses spezifische Problem eine Handlungsanleitung vorhanden ist. Wenn du zu diesem spezifischen Problem Erfahrungswerte hast, kann vielen Admins geholfen werden. Wenn du das versilbern willst, gibt es auch dafür bestimmt eine Plattform.

  17. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:54

    Dir ist schon klar, dass ich nicht den geringsten Schimmer ueber deine spezifischen Aufbauten habe?

    Waere Syslog eine Option?

    In was programmierst Du?



    1 mal bearbeitet, zuletzt am 06.02.18 18:55 durch bombinho.

  18. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:57

    Nur so paar Standard-Windows-Umgebungen mit Fileserver, SQL, Exchange und eine handvoll Spezialanwendungen. Fürs Monitoring gibts Spiceworks, aber das ist auch nicht die Universalwaffe für Echtzeitdaten.

  19. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:59

    Falls du Informationen zu diesem speziellen Problem hast und bereit bist, diese zu teilen, wäre das hilfreich. Aber vielleicht wartest du auch noch darauf, dass einer der von dir betreuten Server ein merkwürdiges Verhalten zeigt.

  20. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 19:04

    Programmieren... zählt Batch und PowerShell für dich auch dazu? Sonst nur mal bissl Kleinkram in C# (und der Quellcode is so dreckig, dass nichtmal Staubsauger und Wischlappen helfen).

  21. Re: Wie erkennen?

    Autor: bombinho 07.02.18 - 02:41

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Programmieren...

    Okay, einfach Google nutzen hat mich in 10 Minuten zu einem funktionsfaehigen Programmcode gebracht, der die Prozessorleistung ermittelt.

    Das wird offensichtlich durch die Addition der Prozessorlast der einzelnen Prozesse gemacht.

    Also koennte man an dieser Stelle bereits differenzieren.
    Aber viel einfacher ist es, die durchschnittliche Prozessorlast fuer einen Zeitraum zu ermitteln, die Lasten werden einfach addiert und durch die Anzahl der Messungen dividiert. Damit koenntest Du den Lastdurchschnitt fuer diverse Zeitraeume ermitteln wie Stunde, Tag, Woche und dann nach Ausreisern schauen.

    Allerdings hat diese Art der Lastermittlung einen Nachteil, es werden nur Prozesse gezaehlt, die mit den Berechtigungen des ausfuehrenden Nutzers zugaenglich sind.
    Hat sich die Malware Zugang mit Rechteausweitung verschafft, kann eine Lastermittlung von einem Nutzeraccount aus eventuell das Problem nicht erkennen.

    Der Phantasie sind wenig Grenzen gesetzt, freier Speicherplatz koennte ebenfalls ein interessanter Indikator sein, allerdings nicht beim Schuerfen.

    Aber den selbstgebastelten Sensor mit Systemrechten auszufuehren, ist dann schon ein wohl zu ueberlegender Schritt, manche verzichten ja sogar aus eben diesen Gruenden auf AV-Software. Allerdings einer kostenlosen Software, welche nicht Open Source ist, zu vertrauen, ist ja auch schon ein recht grosser Schritt.

    Anhang: Wenn ich sowas basteln wollen sollte, dann wuerde ich wahrscheinlich 1x pro Sekunde messen und immer 60 Werte zu einem Durchschnitt verrechnen. Diesen Durchschnitt wuerde ich in einem rotierenden Array zu einem Stundendurchschnitt verrechnen. Usw. Und dann die resultierenden Tendenzen anzeigen.



    2 mal bearbeitet, zuletzt am 07.02.18 02:52 durch bombinho.

  22. Re: Wie erkennen?

    Autor: bombinho 07.02.18 - 12:29

    BTW: Wenn auf so einem Server etwas Rechenintensives laeuft, mit dem Geld verdient werden soll, dann sicherlich moeglichst fuer viele Tage/Wochen /Monate.

    Anstatt den Sensor mit erweiterten Rechten laufen zu lassen, koennte man auch den Sensor selbst regelmaessig kurze Lastspitzen erzeugen lassen und die Differenz ermitteln.
    Also quasi, wenn der Sensor die Gesamtast auf 100% spiken soll, aber nur auf 70% kommt, dann werden 30% anderswo verheizt. Also moeglicherweise ein Kern (bei Quadcore) abgezweigt + Systemlast.

    Eine solche Betrachtung lohnt sich aber nur, wenn der Server nicht normalerweise bereits am Limit orgelt, ansonsten waeren z.B. Reaktionszeiten ein besseres Indiz.



    1 mal bearbeitet, zuletzt am 07.02.18 12:30 durch bombinho.

  23. Re: Wie erkennen?

    Autor: ldlx 07.02.18 - 16:54

    Das funktioniert in virtualisierten Umgebungen wahrscheinlich nicht, da zwar VM-intern "100% Last" ausgegeben werden, aber eigentlich nur x% von der Anzahl zugewiesener Kerne tatsächlich bei der VM ankommen. Zudem weiß zwar der Host, welche Kerne real sind und welche "nur" per Hyperthreading künstlich erzeugt sind - das weiß die VM aber nicht, da dort ein Kern wie ein echter Kern erscheint.

    Für nen Angreifer wäre dann viellicht auch noch schlau, seinen Prozess mit niedrigster Priorität laufen zu lassen, damit er bei dem von dir vorgeschlagenen Sensor quasi angehalten wird.

  24. Re: Wie erkennen?

    Autor: bombinho 07.02.18 - 22:30

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Das funktioniert in virtualisierten Umgebungen wahrscheinlich nicht, da
    > zwar VM-intern "100% Last" ausgegeben werden, aber eigentlich nur x% von
    > der Anzahl zugewiesener Kerne tatsächlich bei der VM ankommen. Zudem weiß
    > zwar der Host, welche Kerne real sind und welche "nur" per Hyperthreading
    > künstlich erzeugt sind - das weiß die VM aber nicht, da dort ein Kern wie
    > ein echter Kern erscheint.

    Wenn dein Hypervisor kompromittiert ist, hast du andere Sorgen als Lastmessungen.
    Und Windows als VM-Host kann man machen, muss man aber nicht.
    Dann kann man den Sensor auch auf dem Host laufen lassen.

    > Für nen Angreifer wäre dann viellicht auch noch schlau, seinen Prozess mit
    > niedrigster Priorität laufen zu lassen, damit er bei dem von dir
    > vorgeschlagenen Sensor quasi angehalten wird.

    Das mag der Entdeckung vorbeugen, aber der Sinn beim Server-kapern ist ja der, dass man Rechenleistung abzweigen kann (oder Transportleistung oder Speicherleistung).
    Es ist zwar cool, einen Schuerfprozess derart zu nopen, dass er kaum noch Leistung zieht, aber in dem Fall waere IoT dann doch die bessere Zielplattform.
    Entweder soll Rechenleistung abgezweigt werden oder eben nicht, wenn nicht, dann kann man es auch sein lassen und Massenware kapern, das ist meist mit weniger Folgen verbunden.

    Wenn einer der Admins sowas findet, kann er auch mal unvorhergesehen reagieren und das Ding auseinandernehmen um zu schauen, ob man das Netzwerk auch anderweitig benutzen koennte ;).
    Dieses Risiko ist beim Kapern von 08/15 Maschinen weit geringer.



    1 mal bearbeitet, zuletzt am 07.02.18 22:33 durch bombinho.

  25. Re: Wie erkennen?

    Autor: ldlx 08.02.18 - 17:45

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > Wenn dein Hypervisor kompromittiert ist, hast du andere Sorgen als
    > Lastmessungen.
    > Und Windows als VM-Host kann man machen, muss man aber nicht.
    > Dann kann man den Sensor auch auf dem Host laufen lassen.
    Hab nicht von der Installation auf dem Hypervisor gesprochen. Auf einem linux-basierten Hypervisor wie ESX könntest du auch Software, also z. B. deinen Sensor, laufen lassen.
    Sagen wir dein Server hat 8 Kerne (mal ohne HT fürs Beispiel). Und zwanzig VMs. Dann werden sich verschiedene VMs die Kerne teilen müssen. Wenn eine VM sagen wir zwei Kerne zu 50% auslastet (meinetwegen auch 100%), so sieht das die andere VM nicht (als 50% bzw. 100%) - kein Workload, keine %.

    > Das mag der Entdeckung vorbeugen, aber der Sinn beim Server-kapern ist ja
    > der, dass man Rechenleistung abzweigen kann (oder Transportleistung oder
    > Speicherleistung).
    > Es ist zwar cool, einen Schuerfprozess derart zu nopen, dass er kaum noch
    > Leistung zieht, aber in dem Fall waere IoT dann doch die bessere
    > Zielplattform.
    Falsch verstanden. Ich meine der Schädling krallt sich "nur" das Maximum der zur Verfügung stehenden CPU-Leistung (Prozesspriorität "Niedrig" bei Windows; so ähnlich wie Exchange oder SQL im Umgang mit Arbeitsspeicher). Wenn du jetzt deinen Sensor mit Peak-Leistung ansetzt, dann wird der Mining-Prozess weniger CPU-Zeit (bis gar keine, da geringere Prio) zugewiesen bekommen, damit dein Peak-Prozess (mit höherer Priorität) die angeforderten Ressourcen bekommt.

  26. Re: Wie erkennen?

    Autor: bombinho 07.02.18 - 22:47

    Im Prinzip gibt es fuer jeden Sensor auch eine Umgehungsmethode. Aber bei selbstgebastelten Sensoren muss der potentielle Angreifer erst einmal wissen, dass es diese gibt.

    Und je genauer du die Maschine kennst, desto feinmaschiger kannst Du auf Veraenderungen achten. Speziell bei Servern darf man davon ausgehen, dass nicht permanent neue Software installiert wird.



    1 mal bearbeitet, zuletzt am 07.02.18 22:50 durch bombinho.

  27. Re: Wie erkennen?

    Autor: ldlx 08.02.18 - 17:51

    Den Image-Namen eines ausgeführten Prozesses kannst du fälschen.

    Wird zum Beispiel für geskriptete Modifikation des Inhalts der Windows 10 Taskleiste/Startmenü benötigt, damit sich das Skript als "explorer.exe" tarnt und alle Kontextmenü-Befehle abrufen kann (an Taskleiste anheften geht sonst nicht per Skript). Gibt dafür n fertiges exe-Progrämmchen, geht aber auch mit PowerShell (und etwas eingebettetem C#-Code).

  28. Re: Wie erkennen?

    Autor: NaruHina 06.02.18 - 23:02

    ohne ein monitoring, dass muss kein aufwendiges sen, kann man sowas nicht oder nur schwer festellen, so kann man bsp. die prozessliste sich anschauen, etc. ich bevorzuge für sowas eher software. z.b Paessler PRTG oder Zenoss

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Software AG, Darmstadt, Saarbrücken
  2. Bundeskriminalamt, Wiesbaden
  3. GKV-Spitzenverband, Berlin
  4. ING-DiBa AG, Frankfurt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 39,99€ (Release: 25. Juni)
  2. 42,49€
  3. (-83%) 9,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


5G: Neue US-Sanktionen sollen Huawei in Europa erledigen
5G
Neue US-Sanktionen sollen Huawei in Europa erledigen

Die USA verbieten ausländischen Chipherstellern, für Huawei zu arbeiten und prompt fordern die US-Lobbyisten wieder einen Ausschluss in Europa.
Eine Analyse von Achim Sawall

  1. Smartphone Huawei wählt Dailymotion als Ersatz für Youtube
  2. Android Huawei bringt Smartphone mit großem Akku für 150 Euro
  3. Android Huawei stellt kleines Smartphone für 110 Euro vor

Onboarding in Coronazeiten: Neu im Job und dann gleich Homeoffice
Onboarding in Coronazeiten
Neu im Job und dann gleich Homeoffice

In der Coronakrise starten neue Mitarbeiter aus der Ferne in ihren Job. Technisch ist das kein Problem, die Kultur kommt virtuell jedoch schwerer an.
Ein Bericht von Manuel Heckel

  1. Onlineshopping Weiterhin mehr Pakete als vor Beginn der Coronapandemie
  2. Corona IFA 2020 findet doch als physisches Event statt
  3. Corona Pariser Polizei darf keine Drohnen zur Überwachung verwenden

Maneater im Test: Bissiger Blödsinn
Maneater im Test
Bissiger Blödsinn

Wer schon immer als Bullenhai auf Menschenjagd gehen wollte - hier entlang schwimmen bitte. Maneater legt aber auch die Flosse in die Wunde.
Ein Test von Marc Sauter

  1. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord
  2. Arkade Blaster 3D-Shooter mit der Plastikkanone spielen
  3. Wolcen im Test Düster, lootig, wuchtig!