18
Verschlüsselungstrojaner simulieren
Hallo,
wir verwenden OfficeScan von TrendMicro und haben die Ransomware Protection so eingestellt, wie von TrendMicro empfohlen:
https://success.trendmicro.com/solution/1111377-enabling-the-ransomware- ...
In einem TrendMicro-Webinar, das kurz nach WannaCry stattfand, wurde gesagt, man sei von Stunde 0 an geschützt gewesen.
Jetzt würde ich doch gerne mal sehen, dass das tatsächlich so ist.
Man findet im Internet Ransomware-Simulatoren (Shinolocker, Ransim...). Leider (oder zum Glück) lässt OfficeScan die Installation bzw. den Start der Programme schon gar nicht zu.
Deshalb dachte ich, ich verschlüssele einfach mit GPG4Win massenhaft Dateien. Per CommandLine mehrere 100 innerhalb weniger Sekunden.
Leider interessiert das OfficeScan überhaupt nicht, also er lässt es zu.
Und jetzt steh ich da. Ist das normal? Ich war der Meinung, OfficeScan sollte das unterbinden.
Danke
Gruß
Martin
wir verwenden OfficeScan von TrendMicro und haben die Ransomware Protection so eingestellt, wie von TrendMicro empfohlen:
https://success.trendmicro.com/solution/1111377-enabling-the-ransomware- ...
In einem TrendMicro-Webinar, das kurz nach WannaCry stattfand, wurde gesagt, man sei von Stunde 0 an geschützt gewesen.
Jetzt würde ich doch gerne mal sehen, dass das tatsächlich so ist.
Man findet im Internet Ransomware-Simulatoren (Shinolocker, Ransim...). Leider (oder zum Glück) lässt OfficeScan die Installation bzw. den Start der Programme schon gar nicht zu.
Deshalb dachte ich, ich verschlüssele einfach mit GPG4Win massenhaft Dateien. Per CommandLine mehrere 100 innerhalb weniger Sekunden.
Leider interessiert das OfficeScan überhaupt nicht, also er lässt es zu.
Und jetzt steh ich da. Ist das normal? Ich war der Meinung, OfficeScan sollte das unterbinden.
Danke
Gruß
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 338994
Url: https://administrator.de/contentid/338994
Printed on: April 20, 2024 at 00:04 o'clock
18 Comments
Latest comment
Ich war der Meinung, OfficeScan sollte das unterbinden.
Warum? Für OfficeScan ist dieses Programm kein bösartiger Prozess.
So einen Test wirst du auch mit einfachen Mitteln nicht durchführen können, da du ja nicht weißt, was OfficeScan als bösartigen Prozess einschätzt, bzw. welche Bedingungen erfüllt sein müssen, dass das ausführende Programm als bösartiger Prozess eingestuft wird. Siehe auch hier - http://docs.trendmicro.com/de-de/enterprise/officescan-110-sp1-server/u ...
LG Günther
Danke für die Antworten.
Den Teil mit "drei Dateien innerhalb eines bestimmten Zeitraums" dürfte ich ja erfüllt haben.
Nur was ist für OfficeScan ein Prozess, der nicht als sicher eingestuft wird? Wenn das nur Dateien/Prozesse sind, die OfficeScan bereits kennt, greifen ja die Patternfiles, dann brauche ich keine Verhaltensüberwachung.
Ich hab dazu parallel mal eine Anfrage bei TrendMicro gestellt. Bin gespannt.
Gruß
Martin
Den Teil mit "drei Dateien innerhalb eines bestimmten Zeitraums" dürfte ich ja erfüllt haben.
"Ein Prozess, der nicht als sicher eingestuft wird, wenn versucht wird, drei Dateien innerhalb eines bestimmten Zeitraums zu ändern, zu löschen oder umzubenennen." Ich hab dazu parallel mal eine Anfrage bei TrendMicro gestellt. Bin gespannt.
Gruß
Martin
Zitat von @AlbertMinrich:
Nur was ist für OfficeScan ein Prozess, der nicht als sicher eingestuft wird? Wenn das nur Dateien/Prozesse sind, die OfficeScan bereits kennt, greifen ja die Patternfiles, dann brauche ich keine Verhaltensüberwachung.
Nur was ist für OfficeScan ein Prozess, der nicht als sicher eingestuft wird? Wenn das nur Dateien/Prozesse sind, die OfficeScan bereits kennt, greifen ja die Patternfiles, dann brauche ich keine Verhaltensüberwachung.
Mach doch einfach mal eine Batchdatei, die die Dokumente mit Zufallsdaten überschreibt.
lks
Zitat von @Lochkartenstanzer:
Mach doch einfach mal eine Batchdatei, die die Dokumente mit Zufallsdaten überschreibt.
Zitat von @AlbertMinrich:
Nur was ist für OfficeScan ein Prozess, der nicht als sicher eingestuft wird? Wenn das nur Dateien/Prozesse sind, die OfficeScan bereits kennt, greifen ja die Patternfiles, dann brauche ich keine Verhaltensüberwachung.
Nur was ist für OfficeScan ein Prozess, der nicht als sicher eingestuft wird? Wenn das nur Dateien/Prozesse sind, die OfficeScan bereits kennt, greifen ja die Patternfiles, dann brauche ich keine Verhaltensüberwachung.
Mach doch einfach mal eine Batchdatei, die die Dokumente mit Zufallsdaten überschreibt.
Leider ist ihm das auch egal
setlocal ENABLEDELAYEDEXPANSION
for %%i in (*.txt) do echo !time! > %%i & sleep -m 100
Hallo,
Das kannst Du u.U. vielleicht so testen.
Bau Dir einfach mit einer Programmiersprache Deiner Wahl einen Packer/Verschluessler, kompiliere den und lass das auf einen Testordner los. Die Theorie sagt, dass Officescan das Teil blocken muesste, weil unbekannt.
Dann lade Dein Programm mehrfach zu virustotal hoch oder melde es als False/Positive an Trendmicro und andere Hersteller. Gib denen ein paar Tage und teste Dein Programm nochmal.
Soweit zur Theorie.
Am Ende funktioniert oder versagt Officescan an der Entscheidung ob der Prozess sicher oder unsicher ist.
Wird z.B. alles Unbekannte als unsicher deklariert und geblockt ist es fein, kann wie schon passiert voll in die Hose gehen nach z.B. einem Windows-Update.
Wie diese Entscheidung getroffen wird, wird nur TM wissen.
Ich kann mir vorstellen, das die Art des Startens, also als Makro aus einem Dokument mit Nachladen von etwas aus dem WWW oder Anzeigen der PDF-Mail-Anlage und dann extrahieren/ausfuehren einer boesen DOC auch eine Rolle spielt.
BFF
Nur was ist für OfficeScan ein Prozess, der nicht als sicher eingestuft wird? Wenn das nur Dateien/Prozesse sind, die OfficeScan bereits kennt, greifen ja die Patternfiles, dann brauche ich keine Verhaltensüberwachung.
Das kannst Du u.U. vielleicht so testen.
Bau Dir einfach mit einer Programmiersprache Deiner Wahl einen Packer/Verschluessler, kompiliere den und lass das auf einen Testordner los. Die Theorie sagt, dass Officescan das Teil blocken muesste, weil unbekannt.
Dann lade Dein Programm mehrfach zu virustotal hoch oder melde es als False/Positive an Trendmicro und andere Hersteller. Gib denen ein paar Tage und teste Dein Programm nochmal.
Soweit zur Theorie.
Am Ende funktioniert oder versagt Officescan an der Entscheidung ob der Prozess sicher oder unsicher ist.
Wird z.B. alles Unbekannte als unsicher deklariert und geblockt ist es fein, kann wie schon passiert voll in die Hose gehen nach z.B. einem Windows-Update.
Wie diese Entscheidung getroffen wird, wird nur TM wissen.
Ich kann mir vorstellen, das die Art des Startens, also als Makro aus einem Dokument mit Nachladen von etwas aus dem WWW oder Anzeigen der PDF-Mail-Anlage und dann extrahieren/ausfuehren einer boesen DOC auch eine Rolle spielt.
BFF
IMO wieder mal eine dieser sinnfreie Diskussionen um Wirksamkeit und Nutzen von Antivirensoftware.
Hier mal zur Erinnerung ein Artikel aus 2014
Schutzlose Antiviren-Software ...
Wat de Buer nit kennt, dat fritt he nit.
Dir Firmen wollen verkaufen und versprechen dir das Blaue vom Himmel.
Wer's glaubt, wird selig und fühlt sich sicher. Ein Trugschluss.
Viel Spaß beim Weiterdiskutieren.
Hier mal zur Erinnerung ein Artikel aus 2014
Schutzlose Antiviren-Software ...
Wat de Buer nit kennt, dat fritt he nit.
Dir Firmen wollen verkaufen und versprechen dir das Blaue vom Himmel.
Wer's glaubt, wird selig und fühlt sich sicher. Ein Trugschluss.
Viel Spaß beim Weiterdiskutieren.
Hallo BassFishFox,
das hört sich interessant an. Werde ich testen und berichten.
Gruß
Martin
das hört sich interessant an. Werde ich testen und berichten.
Gruß
Martin
Hallo,
Und der TO will testen ob TM "schwindelt". Also gibt es Vorschlaege.
Dazu meine Verschwoerungstheorie :
Die AV-Industrie baut die Viecher selbst und laesst sie in die Wildnis, damit die dummen User immer weiter an die so grosse Bedrohung glauben!
Und weil Du mit dem Verkaufen so recht hast! Solch Stick wurde mir gestern gezeigt und der Eigentuemer glaubt voll daran! https://www.fixmestick.com/fixmestick/
Schoenes WE
BFF
Und der TO will testen ob TM "schwindelt". Also gibt es Vorschlaege.
Dir Firmen wollen verkaufen und versprechen dir das Blaue vom Himmel.
Dazu meine Verschwoerungstheorie :
Die AV-Industrie baut die Viecher selbst und laesst sie in die Wildnis, damit die dummen User immer weiter an die so grosse Bedrohung glauben!
Und weil Du mit dem Verkaufen so recht hast! Solch Stick wurde mir gestern gezeigt und der Eigentuemer glaubt voll daran! https://www.fixmestick.com/fixmestick/
Schoenes WE
BFF
Hallo,
soviel zum Thema Werbegeklingel. OfficeScan kann schon aus Prinzip nicht entscheiden, ob der Dateizugriff legal ist oder nicht - Du könntest ja tatsächlich wollen, daß Dateiinhalte massenhaft verändert werden (warum auch immer).
Bei uns hat OfficeScan mittlerweile drei Angriffe nicht rechtzeitig erkannt und der fragliche Rechner war installationspflichtig. (Als nach nach ein paar Tagen in der Script-Datei mit einem Texteditor sehen wollte, wie der Angriff lief, hat er allerdings gemeckert - aber eben zu spät).
Bin dem Prgramm aber deswegen nicht böse - es hat auch schon einiges rechtzeitig blockiert und 100% Sicherheit gibt es nicht. Merke: wer glaubt, ein Virenscanner finde 100%, der glaubt auch, daß ein Zitronenfalter Zitronen faltet.
Gruß
Apophis
soviel zum Thema Werbegeklingel. OfficeScan kann schon aus Prinzip nicht entscheiden, ob der Dateizugriff legal ist oder nicht - Du könntest ja tatsächlich wollen, daß Dateiinhalte massenhaft verändert werden (warum auch immer).
Bei uns hat OfficeScan mittlerweile drei Angriffe nicht rechtzeitig erkannt und der fragliche Rechner war installationspflichtig. (Als nach nach ein paar Tagen in der Script-Datei mit einem Texteditor sehen wollte, wie der Angriff lief, hat er allerdings gemeckert - aber eben zu spät).
Bin dem Prgramm aber deswegen nicht böse - es hat auch schon einiges rechtzeitig blockiert und 100% Sicherheit gibt es nicht. Merke: wer glaubt, ein Virenscanner finde 100%, der glaubt auch, daß ein Zitronenfalter Zitronen faltet.
Gruß
Apophis
Zitat von @BassFishFox:
Und weil Du mit dem Verkaufen so recht hast! Solch Stick wurde mir gestern gezeigt und der Eigentuemer glaubt voll daran! https://www.fixmestick.com/fixmestick/
Und weil Du mit dem Verkaufen so recht hast! Solch Stick wurde mir gestern gezeigt und der Eigentuemer glaubt voll daran! https://www.fixmestick.com/fixmestick/
Schick! Das hat was von Schlangenöl. Sollten wir mal einen guten Marketingexperten brauchen, weiss ich jetzt, wo wir den finden.
Gruß
Apophis
Zitat von @Apophis:
Schick! Das hat was von Schlangenöl. Sollten wir mal einen guten Marketingexperten brauchen, weiss ich jetzt, wo wir den finden.
Schick! Das hat was von Schlangenöl. Sollten wir mal einen guten Marketingexperten brauchen, weiss ich jetzt, wo wir den finden.
Die ganzen Antivirenhersteller bieten eigentlich auch nur snake-oil an. Nur merkt das keiner.
lks
Halloele,
Und dann gibt es noch die Leute (u.A. der Gute der mir den Stick zeigte), die auf die teuren Abo's der AV-Verkaeufer schimpfen und sich aber diese Stick's oder halt gerade jetzt schnell die c't 12/2017 kaufen. Die wollen ja Geld dafuer ausgeben.
Eigentlich muesste sich die c't mal mit dem Stick beschaeftigen. Die Arbeitsweise ist so furchtbar gleich.
BFF
Und dann gibt es noch die Leute (u.A. der Gute der mir den Stick zeigte), die auf die teuren Abo's der AV-Verkaeufer schimpfen und sich aber diese Stick's oder halt gerade jetzt schnell die c't 12/2017 kaufen. Die wollen ja Geld dafuer ausgeben.
Eigentlich muesste sich die c't mal mit dem Stick beschaeftigen. Die Arbeitsweise ist so furchtbar gleich.
BFF
Oh Gott. Eine Grundsatzdiskussion wollte ich gar nicht auslösen.
Hier jedenfalls die Antwort von Trendmicro
To explain how behavior monitoring works:
If behavior Monitoring will find it suspicious if a certain application keeps on modifying files in a short period of time. This behavior triggers >Behavior Monitoring chain of countermeasures,
First it will check if application is in exceptions list. If it is, this event won’t be monitored further.
Otherwise, BM will continue observing the application’s behavior.
BM checks if the application triggers the threshold for file modification. For example, an application that writes three times in 30 seconds is >abnormal, suspicious activity. In this case, BM refers to GCL (Good Company List) to check if the application (and its parent processes) is signed by >a trusted vendor. If it is, the application is cleared of suspicion.
Otherwise BM will query Trend Micro servers to find if this file is know to us.
If application fails to pass the checks on our servers, it is considered a malicious application set for termination and quarantine.
In this case GPG$Win is well know application which is considered as safe.
Das erklärt natürlich, warum OfficeScan nicht gemeckert hat.
Hier jedenfalls die Antwort von Trendmicro
To explain how behavior monitoring works:
If behavior Monitoring will find it suspicious if a certain application keeps on modifying files in a short period of time. This behavior triggers >Behavior Monitoring chain of countermeasures,
First it will check if application is in exceptions list. If it is, this event won’t be monitored further.
Otherwise, BM will continue observing the application’s behavior.
BM checks if the application triggers the threshold for file modification. For example, an application that writes three times in 30 seconds is >abnormal, suspicious activity. In this case, BM refers to GCL (Good Company List) to check if the application (and its parent processes) is signed by >a trusted vendor. If it is, the application is cleared of suspicion.
Otherwise BM will query Trend Micro servers to find if this file is know to us.
If application fails to pass the checks on our servers, it is considered a malicious application set for termination and quarantine.
In this case GPG$Win is well know application which is considered as safe.
Das erklärt natürlich, warum OfficeScan nicht gemeckert hat.
Hallo,
Macht immer Spass auf nen Freitag.
Und nun erkennst Du auch, dass dies absolut toedlich sein kann und das Konzept von TM dahinter nicht viel bringt.
Irgendjemand benutzt halt irgendwie eine gute Anwendung wie zip, crypt, gpg etc. und macht sich ueber erreichbare Dateien her. Und sind diese Anwendungen nicht auf er Kiste, dann werden sie nachgeladen von den offiziellen Downloadquellen.
Und wenn Du noch Lust hast, das mal selbst zu testen. Hier ein aelteres Beispiel von Dateien packen/verschluesseln mit AutoIT.
https://autoit.de/index.php/Thread/17032-Dateien-packen-und-verschl%C3%B ...
Muesste ich glatt mal, zum Ferienanfang, ein paar Leuten als Spiel unterjubeln.
Schoenes WE
BFF
Oh Gott. Eine Grundsatzdiskussion wollte ich gar nicht auslösen.
Macht immer Spass auf nen Freitag.
is well know application which is considered as safe.
Und nun erkennst Du auch, dass dies absolut toedlich sein kann und das Konzept von TM dahinter nicht viel bringt.
Irgendjemand benutzt halt irgendwie eine gute Anwendung wie zip, crypt, gpg etc. und macht sich ueber erreichbare Dateien her. Und sind diese Anwendungen nicht auf er Kiste, dann werden sie nachgeladen von den offiziellen Downloadquellen.
Und wenn Du noch Lust hast, das mal selbst zu testen. Hier ein aelteres Beispiel von Dateien packen/verschluesseln mit AutoIT.
https://autoit.de/index.php/Thread/17032-Dateien-packen-und-verschl%C3%B ...
Muesste ich glatt mal, zum Ferienanfang, ein paar Leuten als Spiel unterjubeln.
Schoenes WE
BFF
Jetzt empfiehlt ihm doch nicht so'n Mist 
Es gibt nur eine Methode um zuverlässig
Chemtrails und Viren loszuwerden!!!!einself!!111!.
PS: Bitte lesen Sie auch die Kundenfragen und Bewertungen um sich von unserem Produkt zu überzeugen!
Sehr lesenswert ist auch die Kundenbewertung ganz unten mit dem Vorher- / Nacherbild.
Viele Grüße
pelzfrucht
PPS: Diesen Beitrag gönne ich mir zu Freitag einfach mal
Es gibt nur eine Methode um zuverlässig
Chemtrails und Viren loszuwerden!!!!einself!!111!.
PS: Bitte lesen Sie auch die Kundenfragen und Bewertungen um sich von unserem Produkt zu überzeugen!
Sehr lesenswert ist auch die Kundenbewertung ganz unten mit dem Vorher- / Nacherbild.
Viele Grüße
pelzfrucht
PPS: Diesen Beitrag gönne ich mir zu Freitag einfach mal
Moin,
Ich weiß nicht wie gut es funktioniert, aber ich erinnerte mich an den Beitrag, vielleicht nützt es dir was:
Ransomware mit ShinoLocker ausprobiert: Daten gegen Bares?
Gruß
Chris
Ich weiß nicht wie gut es funktioniert, aber ich erinnerte mich an den Beitrag, vielleicht nützt es dir was:
Ransomware mit ShinoLocker ausprobiert: Daten gegen Bares?
Gruß
Chris
Haettest lieber das Original zur Bekaempfung jeglicher Zipperleins nehmen sollen.
Ist bedeutend guenstiger zu haben. Oder Deinen Tip mit dem Original einrubbeln. Verstaerkt bestimmt ungemein die Wirkung
Schoenes WE
BFF
Ist bedeutend guenstiger zu haben. Oder Deinen Tip mit dem Original einrubbeln. Verstaerkt bestimmt ungemein die Wirkung
Schoenes WE
BFF
