Jump to content

Cryptowall aktiv trotz mehrstufigem Virenscanner?

SBK

Von SBK
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

SBK Mentor

SBK   3

Geschrieben
Geschrieben

Hallo Leute,

 

Am Freitag hat der Cryptowall-Virus bei einem Kunden gewütet und dabei mehrere hunderttausende (!) Dateien verschlüsselt. Natürlich konnte ich alles mittels Datenwiederherstellung zurücksichern, dennoch bleibt ein sehr mulmiges Gefühl wie dies überhaupt passieren konnte.

 

Alle Mails und Internetdaten werden von mehrstufigen Scanner überprüft:

 

1. Auf der Zywall USG 200 (AV Kaspersky)

2. Auf dem Exchangeserver (sofern per Mail) mittels Symantec Mail Security for Microsoft Exchange

3. Auf den Clients/Server mittels Symantec Endpoint Protection

 

Dennoch hat sich der Virus aktivieren können. Was mich umso mehr erstaunt, ist das der Virus ja eigentlich im August 2013 erkannt worden ist. Wobei dies ev. eine abgeänderte Form oder Version des Viruses war.

 

Was könnte man noch unternehmen um ein solches Horrorszenario zu verhindern?

 

Gruss SBK

Link zu diesem Kommentar
SBK Mentor

SBK   3

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Das ist ein hilfreicher Hinweis. Am liebsten würde ich Adobe Flash gleich auf allen Clients deinstallieren und sperren. Nur verwenden die User TYPO3 und das Adobe Flash wird für gewisse Funktionen (Bsp. Mehrfachupload von Dateien) innerhalb von TYPO3 verwendet. Aber ich überlege mir dennoch die Holzhammermethode und werfe Flash über Bord. Erst Recht da gewisse Browser wie Google Chrome das ja von Haus aus machen...

 

Danke und Gruss SBK

bearbeitet von SBK
Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   812

Geschrieben
Geschrieben

Danke, da lag ich mit meiner Meinung doch nicht falsch. Gab es denn schon seit dem 01.09.2015 eine aktualisierte Version vom Chrome? Wenn ja, dann muss die natürlich auch verteilt werden. ;)

 

Denn es steht ja ziemlich deutlich dabei:

 

Google hat angekündigt, mit der nächsten Chrome-Version Flash-basierte Anzeigen automatisch zu blocken.

Es wird geblockt, aber Flash ist immer noch enthalten. Und lässt sich sicherlich so einfach wie beim FF wieder aktivieren. Alternativ installiert der Anwender das Plugin für den FlashPlayer nochmal, schon ist Flash wieder aktiv (nur wenn der die passenden Rechte hat). Aber egal, die Diskussion zeigt, es ist nicht so einfach ein solches Programm hundertprozentig von heute auf morgen vom PC zu verbannen.

Link zu diesem Kommentar
SBK Mentor

SBK   3

Geschrieben
  • Autor
Geschrieben

Es wird geblockt, aber Flash ist immer noch enthalten. Und lässt sich sicherlich so einfach wie beim FF wieder aktivieren. Alternativ installiert der Anwender das Plugin für den FlashPlayer nochmal, schon ist Flash wieder aktiv (nur wenn der die passenden Rechte hat). Aber egal, die Diskussion zeigt, es ist nicht so einfach ein solches Programm hundertprozentig von heute auf morgen vom PC zu verbannen.

 

Jep, dürfte schwierig werden das Flash auf allen möglichen Browsern zu sperren. Eine Blockierung via GPO für den IE, wäre ja kein Problem. Aber das löst noch nicht das Problem.

 

Was mich am meisten ärgert ist, das man jahrelang für teure Security Suites wie Symantec Endpoint Protection Geld bezahlt, diese aber dann im worst case auf der ganzen Linie versagen. Vielleicht ein Grund zu einem anderen Produkt zu wechseln?

Link zu diesem Kommentar
SBK Mentor

SBK   3

Geschrieben
  • Autor
Geschrieben

100% Sicherheit das gibt es nicht, das bin ich mir bewusst.

 

Aber ein Muster à la Cryptowall hätte doch die Security Suite erkennen sollen, erst Recht da es eine abgeänderte Variante ist und die ursprüngliche Version von Cryptowall ja hoffentlich in der Signatur enthalten ist. Auch das mehrere 100'000 Dateien innerhalb weniger Minuten verschlüsselt worden sind, hätte die Security Suite auf den Plan rufen sollen.

 

Aber da bin ich wohl ein bisschen zu blauäugig.

Link zu diesem Kommentar
zahni Grand Master

zahni   561

Geschrieben
Geschrieben (bearbeitet)

Virenscanner sind Schlangenöl. Die erkennen Viren erst, wenn sie in ihrer Datenbank und damit veraltet sind. Die  aktuellen Virenbaukästen kodieren die Exe'en jedesmal neu. Da haben Virenscanner kaum eine Chance.

Relativ gut  sind von Symantec die IDS-Funktionen. Die erkennen oft gehackte Webserver bzw. die aktuellen Browser-Exploits.

Die müssen aber installiert und die jeweiligen Browser-Plugins aktiviert sein.

 

Maßnahmen:

 

Proxy benutzen, der alle ausführbaren Programme und Flash blockiert

Das gleiche beim  Mail-Empfang. Dort haben EXE & Co nicht zu suchen.

Nun nun noch die SRP in den GPO benutzen um das Ausführen unbekannter Programme zu verhindern.

bearbeitet von zahni
Link zu diesem Kommentar
zahni Grand Master

zahni   561

Geschrieben
Geschrieben

Ganz sicher kann man nie sein. Aber Einiges lässt sich machen. Das Augenmerk muss auf die Abwehr von jedweden ausführbaren Code stehen. Hier  ist es dann auch egal, ob eine Sicherheitslücke versucht etwas herunterzuladen.

 

Die Browser-Exploits laden am Ende auch nur irgendwo eine Exe runter...

 

Neulich kam hier eine CHM_Datei an, die tatsächlich ein Powershellscript ausgeführt hat. Sollte da MS nicht etwas an der Windows-Hilfe ändern?

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   812

Geschrieben
Geschrieben

Software Restriction Policy sollte einfach mal jeder in seinem Netzwerk aktivieren und auf die Anrufe der Benutzer warten. Da kommt so einiges daher, auch Programme die sich nicht an %PROGRAMFILES% oder %PROGRAMFILES x86% halten. ;) Ob es in diesem Fall etwas geholfen hätte?

 

Und ja, je länger der Name des AV-Scanners, und je mehr es in Rundum-Sorglos-Paket geht, desto schlimmer ist der Krempel. Bringt selbst die ältesten DLLs mit und sind einfach nicht sinnvoll zu konfigurieren.

Link zu diesem Kommentar
SBK Mentor

SBK   3

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Ich werde in den nächsten Wochen sicher noch etwas in die Sicherheit investieren müssen und mich mit GPO und Restrikationen auseinandersetzen. Mein konkreter Fall, wäre aber wohl trotzdem eingetreten, solange ich das Flash zugelassen hätte. Das grösste Sicherheitsloch bleibt wohl 50cm vor dem Bildschirm.

 

Ich überlege mir auch als weitere Massnahme eine vertiefte Security Schulung wie z.B.: https://www.digicomp.ch/weiterbildung/it-professionals/network-security/security/security-spezialseminare/security-scanning-skills-fuer-webmaster-und-systemadministratoren oder https://www.digicomp.ch/weiterbildung/it-professionals/network-security/security/security-in-der-praxis/hacking-grundlagen

 

Oder kann jemand andere Security-Lehrgänge weiterempfehlen?

bearbeitet von SBK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...