• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Theoretisches Konzept gegenüber Crypto Trojanern

Fhynn

Wird jetzt vernünftig.
Veteran

Registriert
13 Juli 2013
Beiträge
12.934
Huhu,

ich habe versucht mich durchzugooglen, aber das ist verdammt schwierig iwie weil es so viele Szenarien gibt und mir auch das Basiswissen fehlt. Habe mich bisher nie mit Schadsoftware auseinandersetzen müssen.

Kollegen sind jetzt auf die Idee gekommen, wie man sich gegenüber Verschlüsselungstrojanern grob absichern könnte. Da die Datenstruktur bei jedem Kunden identisch ist, möchten sie zufällig in diverse Verzeichnisse Dateien schreiben, einen weiteren Server physikalisch im Netzwerk ohne Freigaben basteln, auf dem läuft dann ein Script um zu gucken ob diese zufälligen Dateien angerührt worden sind und wenn nicht, holt sich der Server via robocopy von den SMB Freigaben die Daten.

Irgendwie klingt mir das zu simpel :D Nur weil etwas keine SMB Freigaben hat gibt es doch sicher andere Wege um unerwünschte Schadsoftware dahin zu übertragen und auszuführen. Auch habe ich den Eindruck, die "moderne" Ransomware verschlüsselt nicht Stück für Stück die Dateien, sondern klammert sich sofort an den MBR.

Wie läuft das allgemein. Client PC, der auf den Server wie Telnet, SMB, RDP zugreifen kann, öffnet eine Mail mit Ransomwaremüll im Anhang und führt das warum auch immer aus. Wie frisst sich das Ding durch das Netzwerk? Ich kenne die Wiki Artikel dazu, aber puh.

Es gibt idR bei jedem Kunden Backups, 3-2-1 scheitert aber meist an der Sparsamkeit. In erster Linie wird auf RDX-Medien gesichert, da gibt es auch Worm Medien, die aber sackteuer sind. In zweiter Linie dann auf einen Notfallserver, idR ein W10 Client mit dem Datenbankdienst der benötigt wird, der aber eben auch physikalisch im gleichen Netz hängt. Im Idealfall dann noch auf ein NAS oder Fileserver auf W Serverbasis. NAS ist idR Synology. Eigtl. sollen von den RDX Medien immer min. eins außerhalb aufbewahrt werden, machen aber die wenigsten.

100%igen Schutz gibt es eh nicht. Nein, auf Linux umsteigen ist keine Option (:

Ich würde mal super gerne so ein Ding runterladen und "ausprobieren", habe aber natürlich sorge das mir das Ding alles lahm legt. Wenn ich mich an eine Fritzbox stöpsel, welche via WAN mit einem anderen Router verbunden ist und wo unser Netzwerk dran hängt: Fressen sich die Teile auch da durch? Physikalisch sind sie ja verbunden.

Wie schützt ihr euch? Jetzt bitte Szenarien für Firmen mit 50k MA :D wir reden hier über 2-70 Platzanlagen, wo natürlich alles unter 10 entsprechend wenig finanziellen Aufwand betreiben möchte. Die Großen mit 50-70 sind da schon offener...

LG,
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Fhynn: Tatsächlich kannst du dir die Teile auch runterladen, würde ich dann aber nur auf abgestöpselten Rechnern ausprobieren, die danach nen vollständigen Overwrite bekommen:

https://zeltser.com/malware-sample-sources/

Bisher gibt es AFAIK so ziemlich alles - von einfachen "ich verschlüssel die Platte plus Netzlaufwerke und das reicht" bis hin zu "ich suche aktiv nach Windows-Kisten und nutze dort ZeroDays, um rein zu kommen". Ich würde letzteres Szenario als Schutzziel wählen. Und dann, muss ich dir leider sagen, kommst du um eine hybride Infrastruktur nicht rum. Ich persönlich würde einen Linux-Server ins Netzwerk stellen, der mit BTRFS/ZFS Snapshots von der zentralen Windows-Kiste erstellt. Dann kannst du gleich Alarming einrichten, falls die Differenz zwischen den Snapshots zu groß wird (z. B. wenn mehr als 2% aller Dateien aktualisiert werden mussten). Und ja, da reicht im Prinzip ein Raspi.
 

dexter

Cloogshicer®
Teammitglied

Registriert
14 Juli 2013
Beiträge
5.308
Für Backups brauchts OSe, die vernünftige Dateiattribute kennen. Bspw. Schreiben, aber nicht überschreiben. Irgendwelche Solaris-dateisysteme können das, wenn ich mich recht entsinne.

Wenn man ohne diese Attribute klarkommen will und muss, dann kann man das über vernünftige Rechtevergabe lösen. Programme dürfen nur in Ordner reinschreiben, wo sie auch reinschreiben dürfen. Ein Programm, was irgendwohin nach %appdata% oder /home/ oder wohin auch immer schreiben darf braucht niemand.
 

rexcolo

Opfer

Registriert
16 Sep. 2017
Beiträge
158
@Fhynn: auf Linux umsteigen ist keine Option, sagst du. Was spricht denn dagegen, alles auf Windows zu belassen und einen zusätzlichen Backupserver mit Linux zu betreiben?

Metalwarriors Lösung finde ich nicht schlecht. Statt nem Raspi würde ich einen Odroid HC4 empfehlen. https://www.pollin.de/p/odroid-hc4-811266

Wenn ihr die 3-2-1-Regel nicht umsetzen könnt, sollte man IMHO lieber da ansetzen als bei irgendwelchen halbgaren Lösungen.

Backupspace bei Hetzner (Storagebox) kostet 20€ im Monat.
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
einen weiteren Server physikalisch … Physikalisch sind sie ja verbunden.
einen festen, einen flüssigen oder einen überflüssigen Server?
Tipp: "physical" hat 2 deutsche Bedeutungen. Aber die von Dir gewählte ist exakt die falsche.
Klick: Wortbedeutung
M$ war wohl die Dumpfbacke, die das zum ersten Mal falsch übersetzt hat.

Es gibt idR bei jedem Kunden Backups, 3-2-1 scheitert aber meist an der Sparsamkeit.
Bei uns läuft eigentlich fast alles auf VMs. Und jede Stunde wird von den Disks ein Snapshot gezogen, der dann per Netbackup weggesichert wird.

100%igen Schutz gibt es eh nicht. Nein, auf Linux umsteigen ist keine Option (:
Dann leb halt mit der Ransomware. Ich weiß, im Firmenumfeld herrscht M$ meist unangefochten. Und mit Exchange, Azure und Office365 ist die Diskussion meist gegessen. Aber dann ist das halt so. Dann musst du die Nutzerrechte stark einschränken, am besten E-Mail-Anhänge ganz verbieten und Makros in Office per Group-Policy deaktivieren.

Ich würde mal super gerne so ein Ding runterladen und "ausprobieren", habe aber natürlich sorge das mir das Ding alles lahm legt. Wenn ich mich an eine Fritzbox stöpsel, welche via WAN mit einem anderen Router verbunden ist
Dann nimm einen LTE-Stick. Und wenn du keinen physischen Rechner zur Verfügung hast, sollte auch eine VM mit USB-Durchreichung klappen. Auf jeden Fall solltest du das Ding isolieren (Netzwerk, Dateisystem). Soweit ich weiß, hat M$ sogar ein Sicherheitskonzept für Exchange enwickelt, dass E-Mail-Anhänge in einer Sandbox testet. D.h. die gleichen nicht mehr den Anhang mit bekannten Schadecodestrukturen ab, sondern lassen das Ding einfach laufen und prüfen die Auswirkungen.

Wie schützt ihr euch? Jetzt bitte Szenarien für Firmen mit 50k MA
Netzwerkisolierung, AD mit entsprechenden Group Policies, getrennte Admin-Konten in der AD. Backups, Backups, Backups. Mittlerweile erfolgt auch die Umstellung auf M$365 (von der ich nicht sonderlich viel halte). Demnächst wird noch das Tier-Modell eingeführt. D.h. getrennte Rechner für bestimmte Admin-Aufgaben, z.B. Konfiguration der AD. Man kommt max. von einer Sicherheitsschicht in die nächste, kann keine Schicht überspringen.

Der Zugang ins Internet von den Clients aus geht über einen Proxy, dann noch ein paar Firewalls + IPS. Allerdings wird das durch M$365 immer mehr aufgeweicht. Ist schon ekelhaft, wenn man M$365 freischalten muss. Für Cisco-Firewalls gibt's mittlerweile ein Paket, was jeden Tag die neue URL-Liste von M$ für die M$365-Nutzung freischaltet. Die URLs ändern sich derart rapide. Und da sind auch haufenweise dabei, die man anhand des Namens eigentlich sofort als Malware deklarieren würde.

:D wir reden hier über 2-70 Platzanlagen, wo natürlich alles unter 10 entsprechend wenig finanziellen Aufwand betreiben möchte.
Da haben wir es wieder. Es muss M$ sein, da Linux keine Option ist, darf aber natürlich nichts kosten, soll selbstverständlich trotzdem absolut sicher sein. Und Backups will auch niemand (kostet ja Geld), höchstens mal ein Restore, was dann die Daten nicht zeitnah genug wiederherstellen kann. Und dann kommt das große Heulen, wenn halt doch das ganze Büro aufgefordert wird, eine Überweisung auf ein Bitcoin-Konto zu tätigen.

Wenn es wirklich M$ sein muss, würde ich in einem kleinen Büro per Group Policy (oder Installationseinstellung) Office-Makros deaktivieren, E-Mail-Anhänge deaktivieren oder zumindest die Ausführung deaktivieren, damit man die Anhänge wenigstens abspeichern muss. Ein Minimalschutz wäre da auch, Exe-/Bat-Dateien in E-Mail-Anhängen automatisch entfernen zu lassen. Und die Dokumente natürlich nur auf einen zentralen Storage mit entsprechender Backup-Strategie sichern lassen.

Gerade in einem kleineren Betrieb würde ich allerdings tatsächlich prüfen, ob man die ganze Umgebung tatsächlich nicht mit Linux betreiben kann. Meist sind irgendwelche schlecht programmierten oder uralten Spezialanwendungen der Punkt, an dem man scheitert. Bei Office und Mail hingegen scheitert's eher am Willen und der Gewohnheit als an der Funktionalität.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
@dexter - dein Rechtewunsch geht auch ohne weiteres in Windows ...
Capture.PNG

@musv - in dem Fall geht es aber um zig unterschiedliche Branchensoftware - man kann 100 Firmen schlecht sagen das alle ihre lieb gewonnene Software aus dem Fenster werfen sollen. Für die meisten Branchen gibt es dann auch keine Linux-Software dafür.
Ganz davon abgesehen was nun "besser" ist - und das den "Streit" so schnell keiner klären wird - meiner Meinung nach hat jedes OS seine Daseinsberechtigung und seine Vor und Nachteile. Bei Limux z.B. kamen dann noch so nette Dinge auf den Tisch das Mitarbeiter wohl "Verdienstausfälle" einlagen wollten da sie der Meinung waren das sie ein System lernen / anwenden mit dem Sie bei anderen Arbeitgebern nichts anfangen können und damit für den Arbeitsmarkt uninteressanter werden. Andersrum - wenn eine Firma jemand sucht der mit Openoffice und KDE Erfahrung hat - meldet sich evtl. keiner - wenn man nichts von MSOffice schreibt sind die Bewerber evtl. auch verwundert etc. - Nicht das ich damit Erfahrung habe - aber es gibt nicht nur den OS Glaubenskrieg - da hängt bei Firmen denke ich noch vieles mehr dran.

@Fhynn:
Musv hat es denke ich schon ganz gut umrissen. Ransomware ist eigentlich gar nicht sonderlich "kreativ" - sie nutzen zumeist die Unerfahrenheit der Anwender aus. Virenschutz-Software tut sich mit diesen Angriffen oftmals schwer da die Angriffe wie "normale" Benutzer-Aktionen agieren. Mehr oder weniger startet der Anwender dabei ja die Aktion. Solche Angriffe würden im Prinzip auch unter Linux funktionieren wenn der Angreifer kreativ genug ist. (K.a eine .sh Datei mit +x in ein .Tar stecken und in der E-Mail erklären das die wichtige Auswertung für das statistische Bundesamt für die extra für Linux-Computer ausgearbeitete Studio wie folgt gestartet werden muss: Tar doppelklicken > .sh auf den Desktop ziehen und mit rechtsklick starten.
klingt Skuril? ... so das macht doch keiner? ... Doch so ähnlich läuft so ein klassischer Ransomware angriff ab.

Ich vermute aber das per E-Mail eine sehr enge Anzahl an Dateiformaten empfangen werden muss > alles was ausführbar ist blockieren. Bildformate + xlsx, docx, pptx und evtl. noch .pdf könnte ja reichen?

- Wenn Makros gar nicht verwendet werden > deaktivieren, Wenn doch: Signieren (Ihr könnt für eure Firma einmalig ein Zertifikat für alle Kunden kaufen) und auf "nur signierte stellen.
- Powershell in den Constrained Language Mode setzen: https://www.windowspro.de/wolfgang-...language-mode-powershell-risiken-entschaerfen
- .vba, .vbs, .ps1, .bat nur aus Verzeichnissen ausführen die nur durch Benutzer mit administrativen Rechten beschrieben werden können.

Wenn ihr Defender als Virenschutz verwendet gibt es noch einige sehr gute Policies die z.B. das Aufrufen von externen Scriptsprachen aus Office-Produkten heraus beschränken, den Weg ins Internet für Office blockieren und ähnliches.
 

Steeve

Vereinsheimer
Barkeeper

Registriert
15 Juli 2013
Beiträge
41.121
Linux als Hardware-Virtualisierungs Lösung (Bare-Metal-Hypervisor) finde ich aber sehr sehr gut. Z.b. mit ESXi. Darauf können dann VMaschinen laufen, welcher Art auch immer.
 

rexcolo

Opfer

Registriert
16 Sep. 2017
Beiträge
158
@drfuture: warum muss auf dem Backupserver Windows laufen wenn die Branchensoftware nicht darauf läuft?

Schon mal was von VDI gehört?
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Wo habe ich geschrieben das dort Windows laufen muss?
Ich hatte mich auf Dexter und Solaris bezogen.

Vdi kann ein tolles Werkzeug sein, aber in welchem Zusammenhang erwähnst du das nun hier?
 

Fhynn

Wird jetzt vernünftig.
Veteran

Registriert
13 Juli 2013
Beiträge
12.934
  • Thread Starter Thread Starter
  • #11
Also, danke schon mal für den Input.

@musv ich kenne Deine Einstellung ;) aber gerade im medizinischen Bereich ist es halt doch sehr MS geprägt und wir haben auch keinen Einfluss auf die Entwicklung. Es gab jemanden, der selbst gefummelt mit Terminalserver auf Winbasis und Clients auf Linux mit RDP-Verbindung, aber das bringt dir halt auch null, weil du ja letztlich alles an potentiellem Dreck in der RDP-Sitzung ausführst. Dazu ist das durchschleifen von diversen Gerätschaften einfach nur fummelig, man kann ganz viel mit Moxa N-Port Servern realisieren, aber wie gesagt: Kostenfrage, Aufwand ...

Im Grunde handelt es sich bei den Daten um DB-Daten und Archivdaten, diese liegen in unterschiedlichsten Formaten vor, idR aber PDF/RTF/DOC/JPG/DCM/TIF je nach dem halt.

Es gibt leider, gerade in der Ophthalmologie, diverse Software welche nur mit Adminrechten gestartet werden kann. Warum auch immer. Das ist dann natürlich ein großes Handicap.

Als Virenschutz ist idR ESET im Einsatz als Endpoint Security auf Clients. Office ist eine wilde Mischung aus OpenOffice/Libreoffice und auch so den ein oder anderen MS Office Produkten.

2% Abweichung etc. ist dann wieder schwierig, wobei ich den Ansatz von M_W gut finde. Da mir aber wie gesagt selbst (noch) das Wissen fehlt, wollte ich eigtl. mal Kollegens Vorschlag ausprobieren an einem Testszenario - Danke für den Link!

Wenn ihr die 3-2-1-Regel nicht umsetzen könnt, sollte man IMHO lieber da ansetzen als bei irgendwelchen halbgaren Lösungen.

Wir wollen! Aber ich arbeite in einer Branche, wo die IT maximal wichtig wird, wenn irgendwas nicht funktioniert und man möglichst wenig investieren möchte, am besten gar nichts. Die Sicherheitsrichtlinie der KBV die seit dem 01.04.2021 greift, kommt uns gerade total entgegen, weil wir diese ganzen Konstrukte wo das Patienten WLAN im gleichen Netzwerk wie das Praxisnetzwerk ist auflösen können indem wir uns auf gesetzliche Vorgaben berufen. Und auch damit ignorieren es ganz viele, weil passiert schon nichts.

Es ist ja nicht mal möglich, flächendeckend einen Bildschirmschoner einzurichten mit Anmeldepflicht, weil "das nervt". Das da der Patient u.U. mal 20 Minuten alleine im Zimmer hockt und auch fröhlich USB-Sticks in die Rechner stopfen kann.. geschenkt. Juckt die nicht, da muss erst was passieren. Mediensperre ist einfach nicht gewollt. Wie oft ich via Fernwartung auf einen Rechner zugreife und im Browser sind noch irgendwelche Shopping Tabs offen oder irgendein USB-Stick / Handy hängt im PC geht auf keine Kuhhaut.

Ich werde mir einfach nächstes WE mal das derzeitige Konzept vornehmen.
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Aber ich arbeite in einer Branche, wo die IT maximal wichtig wird, wenn irgendwas nicht funktioniert und man möglichst wenig investieren möchte, am besten gar nichts.
Das ist halt die Konfliktsituation. Bevor ich in die Informatik gewechselt bin, hatte ich Bankkaufmann gelernt. Da gab's das Konfliktdreieck:

Geldverfügbarkeit <-> Risiko <-> Rendite.

Im Grunde genommen muss man sich für 2 der 3 entscheiden. Es sind nie alle 3 möglich. Übertragen auf Dein Problem ist dann:

Aufwand + Kosten für die IT (invers) <-> Sicherheit (inkl. OS) <-> Nutzerfreundlichkeit (inkl. Akzeptanz der Nutzer)

Alle 3 Sachen bekommst du nicht gleichzeitig. Und deswegen:

Es gibt leider, gerade in der Ophthalmologie, diverse Software welche nur mit Adminrechten gestartet werden kann. Warum auch immer. Das ist dann natürlich ein großes Handicap.
https://www.tecchannel.de/a/sandbox-einrichten-und-nutzen,3278095
Ob das mit Programmen funktioniert, die erhöhte Privilegien benötigen, weiß ich nicht.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
meiner Erfahrung nach hängt das in den aller meisten fällen an trivialen Dingen wie Programm möchte irgendwo im Filesystem oder Registry schreiben wo es nicht darf.

Einfach einmal Procmon starten > Anwendung als Admin starten > protokoll nach Programm filtern > gucken was es so treibt.
Je nach dem kann man den einzelnen Pfad evtl. für Benutzer berechtigen oder über einen Shim umleiten.
 

Shad

Neu angemeldet

Registriert
27 Juli 2013
Beiträge
1
Auch wenn ich nicht die Anforderungen der Firmengröße erfülle... trotzdem mein Senf dazu.

Bin "Admin" in einem Kleinbetrieb also quasi der, der noch irgendwie neben dem eigentlichen Job als Werkzeugmacher die EDV macht.

Mein Backup was ich auch als Cryptotrojaner sicher ansehe, besteht aus drei Fileservern.
Alles identische FreeBSD Server.
Einer wird "genutzt" und macht jede Stunde ZFS Snapshots, der zweite steht auch in der Firma und bekommt Abends die Snapshots vom Fileserver 1
Der dritte steht beim Chef zuhause und da schieb ich jede Nacht die Snapshots rüber.
Achja, alle Datenbanken machen natürlich täglich einen Export auf den Fileserver.

Ich gehe jetzt mal nicht davon aus, dass da groß was an Datenverlust passieren kann.

Die Clients sind natürlich nicht "sicher" aber da ist ja im Prinzip nichts wichtiges drauf.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Shad: FreeBSD ist zu Nische, um einen großen Angriffsvektor zu bilden, aber einen Tipp hab ich für dich trotzdem:

Nicht schieben, sondern ziehen. Der Server mit weniger Angriffsoberfläche sollte die Daten ziehen, nicht eingeschoben bekommen, weil du in letzterem Fall die Situation provozierst, dass ein Angreifer auf dem System mit höherer Angriffsoberfläche gleich den Vektor für den Backupserver hat. Und das will man ja vermeiden.
 

rexcolo

Opfer

Registriert
16 Sep. 2017
Beiträge
158
Oder halt borg und periodisch auf dem Zielsystem schreibschützen, bzw mit ssh command restriction arbeiten. Letzteres sollte man so oder so für alle Server machen, die automatisiert aufeinander zugreifen.
 

The_Emperor

&#65279;

Registriert
17 Juli 2013
Beiträge
2.801
Man muss zuerst mal zwischen zwei ganz groben Kategorien von Crypto-Angriffen unterscheiden:

1 - Ein "headless" Crypto-Trojaner der nach der Ausführung vollautomatisiert alles verschlüsselt was er in die Finger bekommt um aus ein paar zufälligen Opfern ein paar hundert Euro rauszupressen.
2 - Ein Crypto-Trojaner der aktiv von einem professionellen Hacker-Team gesteuert wird und der gezielt auf Anmelde- und Backupserver gerichtet wird um maximalen Schaden anzurichten und um ein KMU um 6 bis 7-Stellige Beträge zu erleichtern.

Der erste Fall ist simpel auf minimalen Schaden eingrenzbar. Immer schön auf Backups achten und den Leuten bloß keine Adminrechte geben. Festplatten/SSDs der lokalen PCs klein halten damit die User gezwungen werden alles auf Netzlaufwerken abzuspeichern. Wenn ein infizierter User-Account keine Adminrechte hat sind auch die cached Credentials der Domain-Admins in Sicherheit. Ist der User infiziert wird das AD-Konto gesperrt, der betroffene Rechner neu aufgesetzt und die Netzlaufwerke zurückgesichert.

Der zweite Fall ist da schon eine ganz andere Liga. Entweder man wird gezielt angegriffen (so wurden zB. tausende Firmen über eine Zero-Day Lücke im Citrix NetScaler infiltriert), oder DAU Nr. 2847 hat von seiner (zuvor gehackten) Lieblingspizzeria eine SuperSonderAngebot.docx per eMail mit eingebetteten PowerShell Scripts (Schlagwort EMOTET) bekommen auf die klarerweise kein klassischer Antivirus anspringt. Diese infizieren still und heimlich einen Host und legen sich so lange auf die Lauer bis ein Admin dumm genug ist sich mit seinem Domain-Admin Account auf dem verseuchten Rechner anzumelden (sofern es keine cached Credentials gibt die man bruteforcen kann). Gegen solche Kaliber muss man schon erheblich in das System eingreifen um wirkungsvolle Abwehrmaßnahmen gegenbieten zu können. Ein guter Anfang ist "Microsoft LAPS" weil simpel und kostenlos und für den User ohne Folgen. Dann müssen die Domain-Admins kastriert werden, denn wenn man sich nicht mehr mit einem einzigen gebruteforcten Passwort durch einen ganzen Konzern fressen kann siehts schon mal gut aus. Ebenso zur Basisabsicherung gehört die vollständige Entkopplung des Backupsystems vom Active Directory und dessen Umstellung auf lokale Benutzerkonten.

Für weitergehende Maßnahmen braucht man Rückendeckung der Geschäftsführung denn diese muss sich mit diversen unbequemen Tatsachen und harten Fakten auseinandersetzen und diese von ganz oben anordnen damit kein Widerstand von der Belegschaft kommen kann. Es gibt hocheffektive Tools um auch große Konzerne abzusichern, nur machen diese den Admins das Leben schwer und sind auch nicht viel billiger als eine Lösegeldforderung nach Verschlüsselung des Firmennetzes.
 

rexcolo

Opfer

Registriert
16 Sep. 2017
Beiträge
158
auch nicht viel billiger als eine Lösegeldforderung nach Verschlüsselung des Firmennetzes.

Nur dass die Lösegeldforderung auch mehrfach von verschiedenen Leuten, die man nicht kennt, kommen kann.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
auch nicht viel billiger als eine Lösegeldforderung nach Verschlüsselung des Firmennetzes.

Nur dass die Lösegeldforderung auch mehrfach von verschiedenen Leuten, die man nicht kennt, kommen kann.

Und niemals bezahlt werden sollte um deren Geschäftsmodell nicht zu stärken.

@The_Emperor:
schön geschrieben...

ich würde statt LAPS sonst noch Credential Guard empfehlen und alle lokalen Admin-Konten zu deaktivieren.
Zusätlich kann eine SuperSonderAngebot.docx *fast* kein Makro enthalten.
Es gibt in der Tat eine "Lücke" die es erlaubt in docx indirekt ein Makro zu verbauen. Office führt aber in einer docx erst einmal kein Makro aus. Daher auch die Filterung auf nicht-Makro-Formate beim Mail-Eingang.
Bei einer etwas größeren Lösung im Optimal-Fall natürlich mit Überprüfung der Office-Datei-Struktur selber; aber im kleinen dürfte man mit Filterung der Datei-Endung recht weit kommt.
+ wo immer kein Makro nötig diese Funktion eben zu deaktivieren.

An einer Möglichkeit die Signierung für Office-Dateien Anwenderfreundlich zu machen arbeite ich gerade... Ich muss mal mit dem Arbeitgeber diskutieren ob ich das öffentlich zur Verfügung stellen darf wenn alles fertig ist.
 
Oben