11
Isolierte Umgebung für Viren-Analyse
Hallo zusammen,
ich hoffe mal, alle sind gut in die erste Adventswoche gekommen?
Ich suche schon einige Zeit eine gute Lösung um bei uns im Unternehmen in einer isolierten Umgebung verdächtige Programme, Anhänge und Mails zu analysieren.
Wir bekommen immer wieder USB-Sticks, Mails oder Dateien "zugetragen", die eventuelle Schadsoftware beinhalten.
Manchmal sind wir uns selbst nicht sicher und möchten die Daten ohne Risiko öffnen und prüfen.
Mein gegenwärtiges Konzept würde wie folgt aussehen.
- Eigenständiger PC ohne Zugriff auf das Produktivnetzwerk (Komplett physikalisch getrennt!!)
- Eigenständiger Zugang ins Internet mit nur dedizierten Ports (HTTP, HTTPS, POP3, SMTP)
- Virenscanner installiert (ist irgendwie klar )
- Eventuell Browser und andere Anwendungen in Sandbox laufen lassen?
- Vielleicht besser den Rechner generell gegen Änderungen schützen, die bei einem Neustart verworfen werden (z.B: HDD-Sheriff etc.)?
- Netzwerkmonitor (Fiddler, Wireshark) um Verbindungen zu tracken
- verschiedene Analysetools (TCPDUMP, PROCESS-Monitor, etc.)
- Internetzugriff nur über Proxy
- spezielle Virenmail-Adresse angelegt, die nur über diesen Rechner geholt werden kann. Die Benutzer können dann potenzielle Mails direkt an diese Adresse weiterleiten.
Ich wollte bewusst keine VM nehmen, da ich gelesen habe, dass manche Viren bei virtuellen System nicht ausbrechen, da es sich eben um eine Analyse-Umgebung handeln könnte.
Hat jemand eine solche Umgebung in Betrieb und kann mir hier einen guten Tipp geben?
Bin ich vielleicht komplett auf dem falschen Weg und es gibt da bessere Lösungen?
Gibt es vielleicht schon fertige Linux-Systeme, die ich von Stick/DVD booten kann und die das beinhalten (Kali??)
Ich hoffe, ich konnte mein Anliegen verständlich vorbringen und freue mich über Eure Tipps.
Vielen Dank dafür schon mal im Voraus!
Grüße,
dng-alt
ich hoffe mal, alle sind gut in die erste Adventswoche gekommen?
Ich suche schon einige Zeit eine gute Lösung um bei uns im Unternehmen in einer isolierten Umgebung verdächtige Programme, Anhänge und Mails zu analysieren.
Wir bekommen immer wieder USB-Sticks, Mails oder Dateien "zugetragen", die eventuelle Schadsoftware beinhalten.
Manchmal sind wir uns selbst nicht sicher und möchten die Daten ohne Risiko öffnen und prüfen.
Mein gegenwärtiges Konzept würde wie folgt aussehen.
- Eigenständiger PC ohne Zugriff auf das Produktivnetzwerk (Komplett physikalisch getrennt!!)
- Eigenständiger Zugang ins Internet mit nur dedizierten Ports (HTTP, HTTPS, POP3, SMTP)
- Virenscanner installiert (ist irgendwie klar
)- Eventuell Browser und andere Anwendungen in Sandbox laufen lassen?
- Vielleicht besser den Rechner generell gegen Änderungen schützen, die bei einem Neustart verworfen werden (z.B: HDD-Sheriff etc.)?
- Netzwerkmonitor (Fiddler, Wireshark) um Verbindungen zu tracken
- verschiedene Analysetools (TCPDUMP, PROCESS-Monitor, etc.)
- Internetzugriff nur über Proxy
- spezielle Virenmail-Adresse angelegt, die nur über diesen Rechner geholt werden kann. Die Benutzer können dann potenzielle Mails direkt an diese Adresse weiterleiten.
Ich wollte bewusst keine VM nehmen, da ich gelesen habe, dass manche Viren bei virtuellen System nicht ausbrechen, da es sich eben um eine Analyse-Umgebung handeln könnte.
Hat jemand eine solche Umgebung in Betrieb und kann mir hier einen guten Tipp geben?
Bin ich vielleicht komplett auf dem falschen Weg und es gibt da bessere Lösungen?
Gibt es vielleicht schon fertige Linux-Systeme, die ich von Stick/DVD booten kann und die das beinhalten (Kali??)
Ich hoffe, ich konnte mein Anliegen verständlich vorbringen und freue mich über Eure Tipps.
Vielen Dank dafür schon mal im Voraus!
Grüße,
dng-alt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 289876
Url: https://administrator.de/contentid/289876
Printed on: April 19, 2024 at 19:04 o'clock
11 Comments
Latest comment
Moin,
ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.
lks
ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.
lks
Zitat von @Lochkartenstanzer:
Moin,
ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.
lks
Moin,
ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.
lks
Ev. bin ich einfach zu doof zum Suchen, aber gibts irgendwo einen Link wo ich mir das aktuelle desinfect runteralden kann (gerne auch gegen Bezahlung)?
Ich habe bisher nur einen offiziellen Link von heise gefunden wo ich mir online das Heft kaufen kann inklusive der DVD eben.
Gruß
Hi michi,
"Das System stamm von der Zeitschrift c't und wird dort regelmäßig in den Heft-CDs/DVDs beigelegt, als Download ist es nicht erhältlich."
Grüße
"Das System stamm von der Zeitschrift c't und wird dort regelmäßig in den Heft-CDs/DVDs beigelegt, als Download ist es nicht erhältlich."
Grüße
Zitat von @michi1983:
Ev. bin ich einfach zu doof zum Suchen, aber gibts irgendwo einen Link wo ich mir das aktuelle desinfect runteralden kann (gerne auch gegen Bezahlung)?
Ich habe bisher nur einen offiziellen Link von heise gefunden wo ich mir online das Heft kaufen kann inklusive der DVD eben.
Zitat von @Lochkartenstanzer:
Moin,
ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.
lks
Moin,
ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.
lks
Ev. bin ich einfach zu doof zum Suchen, aber gibts irgendwo einen Link wo ich mir das aktuelle desinfect runteralden kann (gerne auch gegen Bezahlung)?
Ich habe bisher nur einen offiziellen Link von heise gefunden wo ich mir online das Heft kaufen kann inklusive der DVD eben.
Genau der.
Die Download-Version enthält nur einen freien Scanner, ich empfehle aber die Heftversion mit der DVD. Mit der DVD kann man einen Bootstick erstellen, mit der man die Scankiste dann aufbauen kann. ich bestell emeist einige Hefte on der jeweiligen Ausgabe, die ich dann Kunden in die hand drücke.
lks
Moin,
laut FAQ aus dem desinfec't-Forum:
"Wegen der enthaltenen Antiviren-Software, dürfen wir Desinfec't leider nicht zum Download anbieten."
Aber wenn Du mutig bist, kannst Du ja mal bei
desinfec't 2015 Download??
vorbeischauen.
Gruß J chem
laut FAQ aus dem desinfec't-Forum:
"Wegen der enthaltenen Antiviren-Software, dürfen wir Desinfec't leider nicht zum Download anbieten."
Aber wenn Du mutig bist, kannst Du ja mal bei
desinfec't 2015 Download??
vorbeischauen.
Gruß J
chemZitat von @Jochem:
"Wegen der enthaltenen Antiviren-Software, dürfen wir Desinfec't leider nicht zum Download anbieten."
"Wegen der enthaltenen Antiviren-Software, dürfen wir Desinfec't leider nicht zum Download anbieten."
Es gibt auch eine Desinfect-Version zum Downloa, die nur clamav enthält.
lks
Okay danke für die Infos Leute.
Na, wenn, dann möchte ich heise schon auch unterstützen für ihre Arbeit.
Die 4,50 € machen mich zum Glück nicht arm
Na, wenn, dann möchte ich heise schon auch unterstützen für ihre Arbeit.
Die 4,50 € machen mich zum Glück nicht arm
Guten Morgen Lochkartenstanzer,
vielen Dank für Deine schnelle Antwort.
Die Idee mit Desinfect hatte ich auch schon. Da meine Linux-Kenntnisse, sagen wir mal, übersichtlich sind, war das nicht meine erste Wahl!
Aber ich habe heute früh in der c't 26/2015, die endlich zu mir durchgedrungen ist, ein Notfall-Windows unter Windows PE gefunden:
http://www.heise.de/ct/ausgabe/2015-26-c-t-Notfall-Windows-zusammenbaue ...
Dann werde ich erst mal mit Desinfect und Windows PE experimentieren und schauen, was meine Vorstellungen besser erfüllt!
Vielen Dank für Deine Hilfe!
Grüße,
dng-alt
vielen Dank für Deine schnelle Antwort.
Die Idee mit Desinfect hatte ich auch schon. Da meine Linux-Kenntnisse, sagen wir mal, übersichtlich sind, war das nicht meine erste Wahl!
Aber ich habe heute früh in der c't 26/2015, die endlich zu mir durchgedrungen ist, ein Notfall-Windows unter Windows PE gefunden:
http://www.heise.de/ct/ausgabe/2015-26-c-t-Notfall-Windows-zusammenbaue ...
Dann werde ich erst mal mit Desinfect und Windows PE experimentieren und schauen, was meine Vorstellungen besser erfüllt!
Vielen Dank für Deine Hilfe!
Grüße,
dng-alt
Zitat von @dng-alt:
Guten Morgen Lochkartenstanzer,
vielen Dank für Deine schnelle Antwort.
Die Idee mit Desinfect hatte ich auch schon. Da meine Linux-Kenntnisse, sagen wir mal, übersichtlich sind, war das nicht meine erste Wahl!
Aber ich habe heute früh in der c't 26/2015, die endlich zu mir durchgedrungen ist, ein Notfall-Windows unter Windows PE gefunden:
http://www.heise.de/ct/ausgabe/2015-26-c-t-Notfall-Windows-zusammenbaue ...
Dann werde ich erst mal mit Desinfect und Windows PE experimentieren und schauen, was meine Vorstellungen besser erfüllt!
Guten Morgen Lochkartenstanzer,
vielen Dank für Deine schnelle Antwort.
Die Idee mit Desinfect hatte ich auch schon. Da meine Linux-Kenntnisse, sagen wir mal, übersichtlich sind, war das nicht meine erste Wahl!
Aber ich habe heute früh in der c't 26/2015, die endlich zu mir durchgedrungen ist, ein Notfall-Windows unter Windows PE gefunden:
http://www.heise.de/ct/ausgabe/2015-26-c-t-Notfall-Windows-zusammenbaue ...
Dann werde ich erst mal mit Desinfect und Windows PE experimentieren und schauen, was meine Vorstellungen besser erfüllt!
Ich würde trotzdem zu der desinfect-Lösung raten. Mit dem Linux kommst Du nur insoweit in Berührung, als daß Du da auch nur auf irgendwelche Icons klickst, genauso wie bei Windows auch. Die WinPE-Version ist allerdings imho für so eine Station zu eingeschränkt. Da sollte man sich gleich ein ordentliches Windows installieren und diverse Virenscanner um damit eine Scanstation zu erstellen.
lks
Hallo Lochkartenstanzer,
nochmals Danke für Deine Einschätzung...
Ich habe mir desinfect heute mal angeschaut und finde es "ganz knuffig". Die Ubuntu-Oberfläche ist gut verständlich!
Damit werde ich jetzt mal starten und versuchen meine Umgebung zu installieren!
Vielen Dank für Deine Hilfe und Mühe!
Grüße,
dng-alt
nochmals Danke für Deine Einschätzung...
Ich habe mir desinfect heute mal angeschaut und finde es "ganz knuffig". Die Ubuntu-Oberfläche ist gut verständlich!
Damit werde ich jetzt mal starten und versuchen meine Umgebung zu installieren!
Vielen Dank für Deine Hilfe und Mühe!
Grüße,
dng-alt
Hallo zusammen,
ich wollte nur noch mal mitteilen, wie ich meine "isolierte" Umgebung nun eingerichtet und bereits auch erfolgreich getestet habe:
- Standard-PC mit 120 GB SSD, damit das booten nicht ewig dauert
- Windows 8.1 wie einen Client eingerichtet
- Alle Policies von Office etc. wie am Standard-Client eingerichtet
- Standard-Virenscanner wie auf Clients installieren (Bei uns TrendMicro WFBS 9.0 SP2)
- Proxy mit gleichen Rechten wie Clients
- Anbindung ans Internet über eigenständiges Netzwerk
- PC geschützt mit PC-Sheriff Easy
- Neue Mailadresse "Virus@....." an die die zu prüfende Mail vom Benutzer weitergeleitet werden kann.
- Über Web-Oberfläche auf Mail-Adresse zugreifen und Anhang herunterladen.
Ich habe mir noch ein paar nette Tools installiert um eventuell das Verhalten vom Virus nachzugehen:
- Fiddler, Network Monitor, TCPView
- Process-Monitor, Process-Explorer
- verschiedene Tools um Viren zu finden
Mit dem PC-Sheriff kann man seinen PC sehr schön absichern. Nach jedem Neustart wird die Kiste auf den Anfangszustand zurückgesetzt und somit ist ein verseuchter Rechner leicht wieder herstellbar. PC-Sheriff Easy kostet ca. 50 Euro pro Device und kann über Amazon bezogen werden.
Hier der Link zum Hersteller, wo man sich eine 14-Tage-Testversion anfordern kann:
Schwarz: PC-Sheriff
Kleiner Tipp noch:
Was man nicht vergessen darf, wenn die Mail wirklich virenverseucht ist: Man muss dem Benutzer sagen, dass er die Mail und auch die weitergeleitete Mail sofort endgültig löschen muss. Am besten macht man das mit dem Benutzer zusammen um sicher zu sein! Sonst taucht die Mail in zwei Wochen irgendwo wieder auf und wird doch noch geöffnet!
Viel Erfolg und gute Jagd!
Grüße,
dng-alt
ich wollte nur noch mal mitteilen, wie ich meine "isolierte" Umgebung nun eingerichtet und bereits auch erfolgreich getestet habe:
- Standard-PC mit 120 GB SSD, damit das booten nicht ewig dauert
- Windows 8.1 wie einen Client eingerichtet
- Alle Policies von Office etc. wie am Standard-Client eingerichtet
- Standard-Virenscanner wie auf Clients installieren (Bei uns TrendMicro WFBS 9.0 SP2)
- Proxy mit gleichen Rechten wie Clients
- Anbindung ans Internet über eigenständiges Netzwerk
- PC geschützt mit PC-Sheriff Easy
- Neue Mailadresse "Virus@....." an die die zu prüfende Mail vom Benutzer weitergeleitet werden kann.
- Über Web-Oberfläche auf Mail-Adresse zugreifen und Anhang herunterladen.
Ich habe mir noch ein paar nette Tools installiert um eventuell das Verhalten vom Virus nachzugehen:
- Fiddler, Network Monitor, TCPView
- Process-Monitor, Process-Explorer
- verschiedene Tools um Viren zu finden
Mit dem PC-Sheriff kann man seinen PC sehr schön absichern. Nach jedem Neustart wird die Kiste auf den Anfangszustand zurückgesetzt und somit ist ein verseuchter Rechner leicht wieder herstellbar. PC-Sheriff Easy kostet ca. 50 Euro pro Device und kann über Amazon bezogen werden.
Hier der Link zum Hersteller, wo man sich eine 14-Tage-Testversion anfordern kann:
Schwarz: PC-Sheriff
Kleiner Tipp noch:
Was man nicht vergessen darf, wenn die Mail wirklich virenverseucht ist: Man muss dem Benutzer sagen, dass er die Mail und auch die weitergeleitete Mail sofort endgültig löschen muss. Am besten macht man das mit dem Benutzer zusammen um sicher zu sein! Sonst taucht die Mail in zwei Wochen irgendwo wieder auf und wird doch noch geöffnet!
Viel Erfolg und gute Jagd!
Grüße,
dng-alt
