ag1 15 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 Hallo, ich wurde von einem Kunden wegen eines Trojanerbefalls kontaktiert. Das Netz wird normalerweise von jemand anders betreut, aber der war nicht greifbar. Ein Mitarbeiter hat vorgestern Abend eine Mail mit .docm-Anhang bekommen und den Anhang geöffnet. Daraufhin konnte zwar ein Programm nicht mehr geöffnet werden, aber da eh Feierabend war wurde der Rechner ausgeschaltet. Gestern früh dann erkannte der Virenscanner den "Schädling" und beseitigte ihn. Nun stellte sich heraus, daß auf einem Netzlaufwerk in einigen Ordnern Dateien mit .zepto-Endung und je eine "instructions"-HTML-Datei enthalten waren. Diese waren alle von vorgestern Abend. Eine Datei mit gestrigem Datum war nicht mehr dabei. Die SQL-Datenbank und die meisten von dem Programm benötigten Ordner sind nicht betroffen. Auch auf dem zweiten Netzlaufwerk (hauptsächlich Ordner mit Dokumenten u.ä.) scheint nicht viel passiert zu sein. Es sind zwar in einigen Ordnern die "instructions"-HTML-Dateien enthalten, aber keine .zepto-Dateien. In meinen Augen hatte der Kunde sehr großes Glück, daß der Mtarbeiter Feierabend hatte und zum anderen seinen Rechner auch ausgeschaltet hat. Da auch der Ordner mit der Datensicherung am NAS-.zepto-Dateien mit Datum von vorgestern enthält, steht leider auch keine vollständige Datensicherung zur Verfügung. Rein vom erkennbaren Schaden her betrachtet, müsste normalerweise nur das betroffene Programm (wie oben erwähnt SQL-Datenbank i.O. und die wichtigsten Dateien dazu nicht betroffen, nur ein paar Dateien müssen neu erstellt werden) neu installiert und ein paar verlorengegangenen Dokumente neu erstellt, oder falls noch irgendwo vorhanden neu drauf kopiert werden. Jetzt meint aber die Softwarefirma, daß der Server neu installiert werden muss, da es sonst keinen Sinn macht. Seht ihr das genauso? Aktiv war der Trojaner ja nur auf dem einen Client und daß der neu aufgesetzt wird, ist sowieso klar. Auch auf den anderen Clients wird nix gefunden. Wie ist eure Meinung dazu? Danke schon mal und viele Grüße ag1 Zitieren Link zu diesem Kommentar
NilsK 2.969 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 Moin, wenn ich Externer wäre, würde ich auch die Neueinrichtung fordern. Schließlich weiß man nicht, was die Malware wirklich getan hat. Wirklich vertrauen kann man - wenn man es prinzipiell betrachtet - dem ganzen Netzwerk nicht mehr. Je nachdem, wie gut so eine Malware gemacht ist (und manche sind "hervorragend" in dem, was sie tun), kann sie sich durchaus verbreiten, diverse Lücken ausnutzen und so Systeme kompromittieren. Es wäre dabei durchaus nichts Neues, dass so eine Malware sich erst mal eine Weile ruhig verhält. Ob und inwieweit man so eine Neuinstallation nun für angemessen hält, steht auf einem anderen Blatt. Denkbar wäre durchaus, nach einer eingehenden Offline-Analyse des befallenen Clients festzustellen, was dort eigentlich geschehen ist und um welchen Befall es geht. Dann könnte man auch andere Rechner offline analysieren. Eine Unsicherheit bleibt. Das Risiko für Externe, die für bestimmte Komponenten bei einem Kunden in der Pflicht stehen, besteht darin, dass sie nicht wissen, ob da nicht Dinge passieren oder passiert sind, die zu erhöhtem Supportbedarf führen - also zu Kosten für den Externen. Daher haben sie ein legitimes Interesse, das möglichst weitgehend auszuschließen. Auf der anderen Seite ist die Kenntnis von solch einem Vorfall manchmal auch gefundenes Fressen für einen Externen, der so den Kunden zum Neuaufbau "zwingen" kann, bei dem dann vielleicht auch gleich ein paar Fehler und Probleme der Umgebung verschwinden ... Da wird man also sorgfältig bereinigen, abwägen und verhandeln müssen. Gruß, Nils Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 (bearbeitet) Moin, zunächst mal ist es absolut wichtig zu wissen womit man es genau zu tun hat. Ist es ein Schädling dessen Fähigkeiten bereits genau analysiert wurden, so besteht die Möglichkeit, dass in der Tat nur einige Dateien auf dem Server verschlüsselt wurden und keine Neuinstallation erforderlich ist. Der betroffene Client gehört m.E. komplett neu Installiert bevor der wieder ins Netz kann. Diesen Vorfall sollte man aber auch als Anlass nehmen um die Sicherheitsmaßnahmen einer Prüfung zu unterziehen. Wie konnte der Schädling genau auf den Rechner gelangen!? Per Mail kommt ja meist nur ein Loader-Script, dass den eigentlichen Trojaner aus dem Web nachlädt. Gibt es eine Firewall mit Webproxy im Unternehmen? Dann scheint mir die Datensicherung sehr lax gehandhabt zu werden. Eine Datensicherung die diesen Namen auch verdient, sollte zumindest einen Zeitraum von mehreren Tagen abdecken. M.E. mindestens die üblichen Urlaubszeiten von 14 Tagen! Auch sollte es immer ein Offline-Backup geben. Gerade bei einem NAS besteht die Gefahr, dass es ebenfalls von einem Trojaner verschlüsselt wird und die Backups unbrauchbar werden! Gruß Dirk bearbeitet 8. Juli 2016 von monstermania Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 such dir einen spezialisierten Partner, der einen "Incident Response Prozess" in der Tasche hat. Mit "Müsste man...", "Sollte man...", "Könnte man...", etc. gehst du auf sehr dünnes Eis. Zitieren Link zu diesem Kommentar
Sunny61 810 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 Ein Glied in der langen Sicherheitsheitskette können die Software Restriction Policies sein. Am besten anschauen und testen, anschließend einführen. Aber ist eben nur ein Glied in der Kette. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.