daabm 1.366 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 (bearbeitet) vor 7 Stunden schrieb magicpeter: Ahja, hatte jemand von euch denn schon mal den Hafnium Spaß in seinem Netzwerk? Nein, außer Dir kenne ich niemand. Und ich kenne auch niemand, der meinte, daß er das "mal eben so" wieder los wird ohne "mach alles neu"... Edit: Ich kenne auch sonst nur wenige, die derart blauäugig vorgehen. Zum Thema "whenChanged": repadmin sagt Dir, was da geändert wurde. bearbeitet 25. März 2021 von daabm Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 26. März 2021 Autor Melden Teilen Geschrieben 26. März 2021 (bearbeitet) vor 9 Stunden schrieb daabm: Nein, außer Dir kenne ich niemand. Und ich kenne auch niemand, der meinte, daß er das "mal eben so" wieder los wird ohne "mach alles neu"... Edit: Ich kenne auch sonst nur wenige, die derart blauäugig vorgehen. Zum Thema "whenChanged": repadmin sagt Dir, was da geändert wurde. Moin daabm, danke für den Tip "repadmin". Ich habe mir jetzt einmal die Veränderungen angeschaut. Das sieht für mich aber völlig normal aus oder? Die meisten Werte sind sehr alt und resultieren aus der Erstellung des Objects. Die einzig aktuellen Werte aus diesem Jahr sind: msExchBlockedSendersHash = Dieses Attribut speichert den Hash der Auflistung Liste sicherer Absender für den Benutzer. lastLogonTimestamp = Das Active Directory Attribut lastLogonTimestamp zeigt den exakten Zeitpunkt, an dem sich der Benutzer das letzte Mal erfolgreich in der Domäne authentisiert hat. Das sieht für mich jetzt nicht wie ein Hackerangriff aus. Zumindest bei diesem AD Object. Ich habe da einmal einen kleinen Screenshot gemacht. Sehr ihr da etwa auffälliges? bearbeitet 26. März 2021 von magicpeter Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 26. März 2021 Melden Teilen Geschrieben 26. März 2021 Wieviel Forensic Erfahrung hast du, dass du beurteilen kannst, ob es ein Angriff gab? Wenn du dir nicht sicher bist, beauftrage jemand, der das prüft. Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 26. März 2021 Autor Melden Teilen Geschrieben 26. März 2021 (bearbeitet) vor 25 Minuten schrieb Dukel: Wieviel Forensic Erfahrung hast du, dass du beurteilen kannst, ob es ein Angriff gab? Wenn du dir nicht sicher bist, beauftrage jemand, der das prüft. Hättest du da jemanden den du mir empfehlen könntest? Aktueller Statusbericht der eingeleitet Aktionen: Einspielen der MS Sicherheitsupdates - KB5000871 Überprüfung ob Angriff stattgefunden hat - Test-ProxyLogon.ps1 Isolierung Ihres Exchange Servers - Ports auf der Firewall geschlossen Anwendung des MS Tool - Exchange On-Premises Minderungstool (EOMT) Automatische Scripte erstellt - DNS-Updater, MS Safety Scanner, Malware Deleter Informationsschreiben erstellt und an alle betroffenen Kunden verschickt Systemüberprüfung auf Hacker & Malware - Thor Lite Scanner Monitoring-Tool installiert und system überwacht - Sysmon Überprüfung Active Directory - Benutzerberechtigung und - Änderung - repadmin Server mit Virus Removal Tool prüfen und bereinigen - Sophos Removal Tool VM mit Recovery Tool überprüft und bereinigt E-Mail Informationsspeicher auf Bedrohung überprüft Passwörter im Active Directory geändert Tägliche Überprüfung der Server auf weitere Bedrohung Weltweite permanente Recherche - Internet, Foren, Expertengruppen, Herstellerseiten, Kollegen, News Auswertung, Fachgespräche Hat jemand sonst noch eine Idee was man noch tun könnte? Danke euch. bearbeitet 26. März 2021 von magicpeter Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 26. März 2021 Melden Teilen Geschrieben 26. März 2021 vor 23 Minuten schrieb magicpeter: Hättest du da jemanden den du mir empfehlen könntest? Na klar: https://www.syss.de/leistungen/digitale-forensik Könnte für Dich aber negative Folgen haben... Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 26. März 2021 Autor Melden Teilen Geschrieben 26. März 2021 vor 40 Minuten schrieb zahni: Na klar: https://www.syss.de/leistungen/digitale-forensik Könnte für Dich aber negative Folgen haben... Danke dir. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.