Ransomware: Euer Umgang damit

[scirocco790 11]

Okay, das trifft jetzt zwar nicht direkt nur Exchange, aber ich denke das könnte ganz interessant sein, auch als kleine Anregung.

Hintergrund:

Seit Februar/März diesen Jahres ist ja massiv Ransomware aller Art per Mail im Umlauf.

Ich persönlich habe bei uns am ersten Tag wo sowas auf unserem Mailserver (Exchange 2013) aufgeschlagen ist reagiert, und umgehend diverse Filterregeln mit unserer AV-Lösung am Mailserver (Sophos) gebastelt, und auch die Ausführung von Office-Makros stark beschnitten per GPO.

Fazit: Kein einziges Problem damit, der Mist kommt gar nicht durch bis zum Client.

Aktuell laufen alle Mails die gewisse Kriterien aufweisen in eine Quarantäne, welche von uns in der EDV mehrfach täglich durchgesehen werden, ob nicht doch "richtige" Mails drin gelandet sind.

Läßt sich leider nicht vermeiden, zumindest habe ich bisher keinen Weg gefunden das zu lösen.

Und genau da liegt mein aktuelles Problem. Den Aufwand eine Quarantäne durchzusehen, würde ich gerne vermeiden.

Wie handhabt ihr das?

Für ein paar Anregungen wäre ich dankbar.

[Dunkelmann 96]

Moin,

 

bei uns werden die Empfänger benachrichtigt, dass eine an sie gerichtete Mail aus diesem oder jenem Grund (Häufigster Grund: Ausführbare Inhalte ;) ) in Quarantäne gelandet ist.

Wird die Mail vom Anwender als wichtig erachtet, können sie sich ans Helldesk wenden. Nur dann wird die Mail manuell geprüft.

[scirocco790 11]

Hatte ich auch schon mal überlegt, wäre auch möglich mit Sophos. Allerdings bei teilweise 1200 solchen Mails am Tag...

[Nobbyaushb 1.471]

Moin,

 

bei uns werden die Empfänger benachrichtigt, dass eine an sie gerichtete Mail aus diesem oder jenem Grund (Häufigster Grund: Ausführbare Inhalte ;) ) in Quarantäne gelandet ist.

Wird die Mail vom Anwender als wichtig erachtet, können sie sich ans Helldesk wenden. Nur dann wird die Mail manuell geprüft.

Ihr habt ein Helldesk - cool :cool: ;)

 

Spaß beiseite - machen wir genauso, bei uns der Reddoxx.

Allerdings das Helpdesk :)

bearbeitet 6. Dezember 2016 von Nobbyaushb

[PowerShellAdmin 169]

Reject und für ne Whitelist eine Quarantäne für bestimmte Formate (z.B. alte Office Dokumente).

 

Ausführbare Dateien, Makros, htm, Office 2003 usw. gehören erst garnicht rein und haben in der heutigen Zeit nix mehr verloren - Auch bei Großbanken.

bearbeitet 6. Dezember 2016 von PowerShellAdmin

[MrCocktail 192]

Hi,

 

meistens blocken wir alles, was da rein kommen soll und informieren die Anwender nicht einmal.

 

Bei einem Kunden wo das nicht geht, haben wir einfach die kritischen Endungen auf notepad.exe gelegt, die Anwender die vbs unsw brauchen, wissen wie es geht.

 

Rest kann dann keinen Schaden anrichten.

 

Gruß

J

[scirocco790 11]

Reject und für ne Whitelist eine Quarantäne für bestimmte Formate (z.B. alte Office Dokumente).

 

Ausführbare Dateien, Makros, htm, Office 2003 usw. gehören erst garnicht rein und haben in der heutigen Zeit nix mehr verloren - Auch bei Großbanken.

 

Wie habt ihr das gelöst?

Wir haben ne Gateprotect Firewall, die leider nur Black/Whitelists auf Mailadressebene od. Domain/IP-Adresse kann.

Das ist schon mal mein erstes Problem. Da wird man mit der Pflege irre, bzw. ist eigentlich nicht zu machen.

Die GP kann leider auch nur Spam signaturbasiert markieren, mehr nicht.

Somit läuft das bei mir aktuell folgendermaßen:

GP markiert Spam, nimmt aber erst mal alles was an eine wirklich existierene Mailadresse geht an.

Das geht dann weiter zu Sophos PureMessage, wo es auf Viren gecheckt wird, und eben bestimmt Anhänge in Quarantäne gehen.

Funktioniert zwar gut, aber letzteres ist bei der aktuellen Masse genau mein Problem.

Bestimmte Anhänge generell gar nicht anzunehmen ist völlig unmöglich, da wir Anfragen in nahezu jedem auch nur halbwegs sinnvollen Format bekommen. Und die sollten halt (bereinigt vom Müll) ins Postfach der entsprechenden Nutzer.

bearbeitet 6. Dezember 2016 von scirocco790

[NorbertFe 2.035]

Naja wirklich richtig 100% wirst du nie hinbekommen. Aber ein spamfilter der nur markiert wäre bei mir schon lange rausgeflogen und gegen was anderes ersetzt worden.

[scirocco790 11]

Das man das nicht ganz 100% in den Griff bekommt ist klar.

Mir ist nur der Aufwand bei der aktuellen Welle an Ransomware mal wieder ein Dorn im Auge.

Zum Thema Spamfilter: Bis vor einem dreiviertel Jahr, als das mit der Ransomware so richtig los ging, war das nie ein großes Problem.

Die GP hat markiert, und dann ists nach Virencheck in den Benutzerpostfächern in den JunkMailordner gelaufen.

Das hat bis zu diesem Zeitpunkt tadellos funktioniert.

Mails die versehentlich als Spam markiert wurden, konnte der Benutzer selbst aus dem Junkmail ziehen, fertig.

[PowerShellAdmin 169]

Wir haben Eset Mailsecurity im Einsatz und diverse Dnsbl noch ergänzt. Spam und Viren werden vorab rejected.

Danach laufen diverse Regeln durch.

 

 

1. Spoofing löschen

2. Interne Mails bypass

3. ausführbare und kritische Erweiterungen rejecten

4. Bypass für bestimmte sende Domains- Whitelist (Blockierung kritischer Erweiterungen reduziert)

5. Rejecten von Office 2003 Erweiterungen und weiteren kritischen Erweiterungen

6.sämtliche Emails mit Virenerkennung rejecten ( auch bereinigt)

 

Funktioniert wirklich gut.

[NorbertFe 2.035]

Ich brauche keinen Spam in den Junkfoldern, der eindeutig vorher bereits als Spam markiert werden kann. Dann kann ich ihn auch ablehnen. Aber das mag der eine, und der andere bin ich. ;) Trotzdem wirst du eben mit deiner GP nicht wirklich weiter springen können, wenn die nicht nachlegen. Ich würde mir da einfach mal Alternativen anschauen. Gibt's ja wirklich genug.

[scirocco790 11]

Ja, sieht wirklich so aus, als wenn ich mich da mal nach Alternativen umsehen müsste.

Unser aktuelles System scheint da wirklich zu wenig Möglichkeiten zu bieten.

[blub 115]

Ich bin nicht in dem Thema bei uns drinnen.

Es kommen aber auch viele Bewerbermails mit Links auf DropBox etc. an, wo dann wiederum die verseuchten Files liegen und auf Download und Ausführung warten.

[NorbertFe 2.035]

Würde ich als Personal Mensch einfach ablehnen.

[scirocco790 11]

@blub:

Ja, das ist auch noch ein Problem, aber ein anderes. :-)

Hab ich auch schon einige male gesehen, aber ist sehr, sehr selten.

Da greift unsere Antivirenlösung, das blocken von Makros etc.

Klappt bisher ganz gut.

Mir geht es aktuell hier hauptsächlich um den Aufwand die Quarantäne zu pflegen, bzw. evtl. Wege das zu vermeiden.

 

@NorbertFE:

Hast schon recht, aber das Problem ist, das 99% der User einfach zu unbedarft (um nicht zu sagen bescheuert) sind.

Ich hab auch die wunderbare Aufgabenstellung das alles völlig problemlos funktionieren soll, aber natürlich total sicher, und das ohne Einschränkungen des Bedienkomforts.

... denke Du verstehst was ich meine. ;-)

bearbeitet 6. Dezember 2016 von scirocco790