Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ransomware mittels Honeypot im Schadensausmass beschränken ?

Frage Sicherheit Viren und Trojaner

Mitglied: JMaier

JMaier (Level 1) - Jetzt verbinden

19.05.2017, aktualisiert 14:09 Uhr, 508 Aufrufe, 23 Kommentare, 1 Danke

Hi,

ich stelle mir folgendes Szenario auf meinem Windows-File-Server vor (w2k8r2):

-- auf einem Share, das alle Clients als Laufwerk (z.B. M:\) mounten, stehen unter anderem zwei Dateien "honeypot.docx" und "honeypot.xlsx"

-- ein Script am Server (mit Autohotkey schnell geschrieben) überwacht, ob sich diese zwei Dateien ändern (Flags, Grösse, Dateinamen usw.)

-- das Script holt sich die Info 24h/7Tage alle 30 Sekunden über die zwei Dateien

-- sobald eine Änderung von einer der 2 Dateien vom Script festgestellt wird, wird der Admin informiert (Email, SMS oder was auch immer) und der Server trennt sich mittels SNMP-Befehl (einfach den Switch-Port deaktivieren) an den HP-Procurve-Switch selbst vom Netz. Das System steht, die Ransomware kann keinen Schaden mehr anrichten, sofern sie nicht am Server läuft - was aber sehr unwahrscheinlich ist.

Dazu sollte ich jetzt aber u.a. wissen,

-- in welcher Reihenfolge verschlüsseln die Ransomware-Programme (Locky, Wanna Cry usw.) die Daten ?

-- bzw. mit welchen Laufwerken beginnt die Verschlüsselung ?

-- mit welchen Dateien beginnts (ev. alphabetisch) ?

So ein "System" kann Ransomware zwar nicht ganz blocken, aber ich denke doch, dass der Schaden der entstehen kann, doch stark reduziert wird, denn auch Ransomware kann in 30 Sekunden nie und nimmer alle Dateien verschlüsseln.

Ich muss noch ergänzen, dass es sich um ein KMU handelt und dass ein kurzer Stillstand für uns das kleinere Übel ist, als wie wenn alle Daten rückgesichert werden müssen infolge einer solchen Ransomware.

Was ist hier an Inputs verfügbar und was hält die Community von einem solchen Szenario ?

J. M.
Mitglied: Pjordorf
19.05.2017 um 13:52 Uhr
Hallo,

Zitat von JMaier:
und was halt die Community von einem solchen Szenario ?
Ich selbst nur ein ROFLOL

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
19.05.2017, aktualisiert um 15:00 Uhr
Zitat von JMaier:

Dazu sollte ich jetzt aber u.a. wissen,

-- in welcher Reihenfolge verschlüsseln die Ransomware-Programme (Locky, Wanna Cry usw.) die Daten ?

Frag den Malware-Programmierer!

-- bzw. mit welchen Laufwerken beginnt die Verschlüsselung ?

Frag den Malware-Programmierer!

-- mit welchen Dateien beginnts (ev. alphabetisch) ?

Frag den Malware-Programmierer!

Im Ernst - das kann bei jeder Ransaomware ganz anders sein. Du kannst Dich nicht darauf verlassen, daß das irgendein festgelegtes System ist.

So ein "System" kann Ransomware zwar nicht ganz blocken, aber ich denke doch, dass der Schaden der entstehen kann, doch stark reduziert wird, denn auch Ransomware kann in 30 Sekunden nie und nimmer alle Dateien verschlüsseln.

Wenn du Pech hast, fasst sie Deine Honigtöpfe als Letztes an und alles bis auf die Honigtöpfe ist schon verschlüsselt.

Was ist hier an Inputs verfügbar und was hält die Community von einem solchen Szenario ?

Nette Idee, aber ohne flankierende Maßnahmen ist das ein großer Witz, aber das ist einer Freitagsfrage angemessen.

Zumindest ist Dein Verfahren wirkungsvoller als diese Methode.

lks
Bitte warten ..
Mitglied: SeaStorm
19.05.2017 um 14:11 Uhr
Hi

solche Scripts gibt es mittlerweile massig.
Deine Fragen können dir nur für aktuell bekannte n Varianten halbwegs beantwortet werden. Was sich die Programmierer in Zukunft ausdenken, kann leider keiner Glaskugeln.
Bitte warten ..
Mitglied: KMUlife
19.05.2017, aktualisiert um 14:16 Uhr
Hi

Bin der gleichen Meinung wie LKS...
...und Ich hätte vor allem Angst, dass die User diese Honigtöpfe anfassen... So ala: "Oh hier habe ich ja auch noch Platz zum was Speichern."

Und Schwups, Server weg...

Mindestens eine Aufklärung, für was das Zeug ist müsstest du dann machen...

LG KMUlife
Bitte warten ..
Mitglied: Vision2015
19.05.2017 um 14:17 Uhr
tach...
warum so umständlich ?
klopf doch Kaspersky Endpoint Security 10 für Windows (für File Server) auf deinen Server- und gut ist..
ordentlich eingerichtet hat Ransomware keine schnitte...Nachweißlich.

Frank
Bitte warten ..
Mitglied: SeaStorm
19.05.2017 um 14:18 Uhr
die üblichen, verfügbaren Scripts sind da ein bisschen weniger undurchdacht und sperren den User aus, der den Honigtopf abschleckt
Bitte warten ..
Mitglied: DerWoWusste
19.05.2017, aktualisiert um 14:20 Uhr
Joa... ich schaue auf mein Laufwerk m:, sehe diese hochinteressanten Dateien und schreibe ein "hallo!" rein - nur so aus Spaß (denn Schreibrechte müsstest Du ja allen geben). 30 Sekunden später...kannst Du dir denken. Schlechte Idee.
Nimm doch einfach die bekannten Tipps mit Appwhitelisting, Updating, das reicht doch vollkommen.

Edit: siehe @SeaStorm - weitaus besser. Aber niemand weiß, was zuerst verschlüsselt wird.
Bitte warten ..
Mitglied: Sheogorath
19.05.2017 um 14:24 Uhr
Moin,

naja, was du da machst ist eine "zusammengescriptete IDS" bauen. Effektiver als die Dateien zu überwachen, wäre es die Anzahl der Filehandles pro Client über die Zeit zu überwachen und ein Threshold zu triggern. Hier läufst du halt in die üblichen Probleme die IDS hat. Mal ist es zu statisch, mal ist es zu dynamisch. Sind die Limits du zu niedrig, jammern die User und der Chef, weil sie nicht arbeiten können, sind sie zu hoch bringen sie nichts.

Die Honeypot-Datei-Idee rennt halt in die von @Lochkartenstanzer genannten Probleme. Du kannst halt weder sagen, wann, noch ob sie angefasst werden. Unter Windows halte ich die Erkennung übrigens nochmal für Umstänbdlicher als unter GNU/Linux oder BSD, weil man dort eben einfach mit ein paar Scripten größere Veränderungen erkennt.

Eine gute Variante, wäre ggf. ein CoW Dateisystem, welches ein Delta ermittelt. Nun kannst du einen threshold setzen, der erkennt, wenn das Detla ungewöhnlich groß wird (sich also viele Datenblöcke ändern). Der eigentliche Trick dabei ist nun zu schauen Was ändert sich denn zum Ursprünglichen Datenbild? Wenn dort nun die großen änderungen bei sämtlichen existierenden Dateien feststellst, triggerst du, sonst eher nicht. Quasi wenn mehr als 50% von 30% des gesamten Dateibestandes (als Beispiel, das muss man sich natürlich selbst anpassen) von einem einzelnen oder sehr wenigen Clients verändert werden, sollte man doch mal hellhörig werden.

Weiterer Vorteil dieser Variante: Der Schaden ist nur bedingt vorhanden, da alle Daten seit dem letzten Snapshot ja noch unverändert vorliegen, somit dauert auch das Rücksichern nur wenige Sekunden/Minuten.

Gruß
Chris
Bitte warten ..
Mitglied: java667
19.05.2017 um 14:32 Uhr
KMUs against Ransomware:

  • Backup machen
  • Backup kontrollieren
  • Backup testen (also Restores machen)
  • Patch Management
  • Sinnvolles Rechte und Rollen Konzept (Need to know)
  • Content Filter im Web Proxy
  • SMTP Proxy mit AV
  • potenziell gefährliche Dateien blocken oder zumindest in Quarantäne schieben
  • Enduser schulen (Neudeutsch Awareness Training)
  • Endpoint AVs

Das meiste davon lässt sich mit Boardmitteln bzw. für kleines Geld umsetzten.
Bitte warten ..
Mitglied: JMaier
19.05.2017 um 15:06 Uhr
Hi.

fast alle der Tipps von java667 sind umgesetzt, es geht hier darum, den Schaden (weiter) zu begrenzen.

Dass

  • die 2 Honeypots im Root von M:\ stehen versteht sich von selbst (z.B. Dateiname "finger_weg.docx")

  • die User diese 2 Files in Ruhe lassen, das kann ich dauerhaft durchsetzen, sollte kein Problem sein

  • es bereits ein funktionierendes Backup (das nach dem Backup offline geht) gibt

versteht sich von selbst.

Ja klar, alle eurere Bedenken sind berechtigt, nur wir sind eine kleine Firma mit knapp 10 Leuten, da ist so was eher beherrschbar als in größeren Unternehmen. Mir geht es ja damit nur darum, einen möglichen Schaden mit vertretbarem Aufwand weiter zu reduzieren und die Situation somit weiter zu verbessern.
Bitte warten ..
Mitglied: keine-ahnung
19.05.2017 um 15:37 Uhr
Moin,
prinzipiell geht das und ist auch keine schlechte Idee, aber:

1. musst Du die Lockvögel direkt in die root des servers legen und
2. sind die Dateinnamen ScheiXXe!

Korrekt müssen die heissen:

000001_please_encrypt_first.docx
000001_please_encrypt_first.xlsx und

3. gehört dort natürlich auch noch die

000001_please_encrypt_first.pdf

mit rein. Weiss eigentlich jeder Viertklässler. Aber ansonsten ein gutes Konzept!

LG und schönen Freitag noch, Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
19.05.2017 um 15:48 Uhr
Zitat von keine-ahnung:

.._please_encrypt_first. ...

Das müßte eher heißen

..._very_important_file...

lks
Bitte warten ..
Mitglied: SeaStorm
19.05.2017 um 15:54 Uhr
...creditcard_information....
Bitte warten ..
Mitglied: JMaier
19.05.2017, aktualisiert um 16:30 Uhr
mit den vorgeschlagenen Dateinamen kann ich gut mit, auch das mit "0000001..." macht natürlich Sinn.

Lt. Googlesuche bzw. was ich dabei gefunden habe geht das Encrypten durch Ransomware recht schnell (1.000 Wordfiles mit total 70 MB teilweise in 18 Sec oder so), Quelle: Encryption-Speed Ransomware.

Hier stopping Ransomwareattacks on userdata gibts noch sehr viel Infos wie Ransomware funktioniert und vor allem im Kapitel 5 C Infos über die Zugriffssequenzen

Aber auch dann, kann man mit 30 Sec Überwachungsintervall bei 1 TB an Daten noch viel abfangen.

schönen Tag noch J.M.
Bitte warten ..
Mitglied: java667
19.05.2017 um 21:34 Uhr
Zitat von JMaier:

Aber auch dann, kann man mit 30 Sec Überwachungsintervall bei 1 TB an Daten noch viel abfangen.


Nicht böse gemeint, aber das was du versuchst fällt unter "Bastellösung" und wird aller Voraussicht nach nur mäßig funktionieren.

Schau dir mal Intercept X von Sophos an (gibts ggf. auch bei anderen Anbietern). Das wird vermutlich mehr abfangen als deine Lösung und kostet auch nicht die Welt bei 10 Leuten. Steck deine Energie lieber in die noch fehlenden Punkte, welche du noch nicht umgesetzt hast.
Bitte warten ..
Mitglied: BassFishFox
20.05.2017, aktualisiert um 01:52 Uhr
Halloele,

Mach es lieber wie Avast.
Schicke an alle Ransomware-Progger eine Mail wie die im Bild.
2017-05-19 16_07_46-avast security info on wannacry ransomware - posteingang - chs@krenzlin.us - moz - Klicke auf das Bild, um es zu vergrößern
Die werden mit Freuden auf den Klickmich klicken, der dann zu Deinem Honigtopf fuehrt.

Und...

Wie waere es mit der Idee, die "boese RansomWare" erst garnicht an den Server oder die WS zu lassen?
Einfach keine Verbindung der hochwichtigen Geraete nach aussen, keine moegliche Nutzung von irgendwelchen USB-Sticks usw. Einfach ein in sich geschlossenes funktionierendes Netzwerk.

BFF
Bitte warten ..
Mitglied: Herbrich19
20.05.2017 um 01:06 Uhr
Hallo,

Die User haben eine Netzwerk Freigabe als Netzlaufwerk im Computer / Arbeitsplatz aber sicherlich auch noch die Produktiv Daten. Wen du den Server trennst kann der Virtus von selben PC wo er hergekommen ist aber auch auf weitere Server, Rechner, Netzlaufwerke, Speicher, etc... gehen. Und was ist wen ein USB-Stick zum Einsatz kommen um Daten von A nach B zu schieben und dort der Virus sich einschleicht?

Auch zu Prüfen währen Sharepoint und natürlich der Exchange Server als Haupt Einfallstor im Form von Email Anhängen mit Macros drinnen. Wo bei gibt auch leute die eine exe anklicken die als Symbol ein WordDatei Icon hat. EXE sollte man eh Grundlegend als Anhänge verbieten (SMTP Firewall oder sowas)

Der Honnypod müsste sich in einem komplett anderen Netzwerk befinden (VLAN/LAN) und es darf keine möglichkeit geben ins Interne Netzwerk zu kommen aus diesem HonnyPod VLAN. Dann währe es eine gute Idee

Übrigens, Stadt die Verbindung zu Trennen würde ich ein Man in the Middle machen. Dass schöne ist du kannst auf den Fake Server nur eine einzige Trusted CA installieren und alles andere raus (Ist ja eh nur ein System was für dies Gruppe von Software also Vieren) eingesetzt wird. Und dann muss der Man in der Mitte nur noch das passende Cert liefern und gut ist. (Außer der Virus hat die Root CAkomoiliert).

Der Sinn und Zweck eines Honnypods ist es ja zu sehen was der Virus oder der Hacker macht^^

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: JMaier
20.05.2017 um 10:46 Uhr
Hallo,

wir haben keinen Sharepoint, Exchange oder sonstigen Server, simples Pop-Email mit allen Nach- aber auch Vorteilen.

"nicht reinlassen" .. ist doch - wenn man den dafür erforderlichen Aufwand, mal davon abgesehen, dass das fast unmöglich ist .. schon sehr hypothetisch.

Ja, mein Ansatz ist nicht perfekt und hat Lücken, aber verschlechtern wird er die Situation sicher nicht.

Genau da will ich ja hin, ich will eine "schlechte Situation" und das wird damit wohl trotz allen möglichen Ansätzen erreicht, verbessern.
Um mehr gehts nicht
Bitte warten ..
Mitglied: Vision2015
20.05.2017 um 13:46 Uhr
Zitat von JMaier:

Hallo,
Auch Hallo,

wir haben keinen Sharepoint, Exchange oder sonstigen Server, simples Pop-Email mit allen Nach- aber auch Vorteilen.
reicht doch...

"nicht reinlassen" .. ist doch - wenn man den dafür erforderlichen Aufwand, mal davon abgesehen, dass das fast unmöglich ist .. schon sehr hypothetisch.
hypothetisch, nein- unmöglich, auch nicht! Kaspersky arbeitet Schutz vor Verschlüsselung schneller als deine scripte.. das habe ich jetzt schon bei einigen Kunden festellen können.. Eine EMail AV Lösung- wo Dateianhänge gesperrt werden können ist heutzutage auch normal, und einen Proxy mit AV Filter ist auch kein Hexenwerk mehr...

Ja, mein Ansatz ist nicht perfekt und hat Lücken, aber verschlechtern wird er die Situation sicher nicht.
das nicht, könnte dich aber in falsche Sicherheit wiegen...

Genau da will ich ja hin, ich will eine "schlechte Situation" und das wird damit wohl trotz allen möglichen Ansätzen erreicht, verbessern.
Um mehr gehts nicht
na dann...

Frank
Bitte warten ..
Mitglied: Herbrich19
20.05.2017 um 13:55 Uhr
Hallo,

Wie gesagt, wen man ein Honnypod aufsetzt dann nicht im Internen Netzwerk sondern in einen Klinisch Isolierten Labornetzwerk. Ok, zu Klinisch muss es auch nicht sein, ein V-Lan reicht aus. Aber das was du vorhast ist schwachsinn. Weil User können das ding ausversehen auslösen und wer garantiert dass der Erpresser als erstes in den Honigtopf schaut und nicht einfach ein Server aus dem Produktiven System befällt.

Lieber auf eine anständige AV Lösung setzen die den Email Verkehr auf verdächtige Anhänge scannt und gut ist. Und so oder so jede exe ist böse wen sie über eMail Anhänge rein kommt.

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: Lochkartenstanzer
20.05.2017, aktualisiert um 14:41 Uhr
pod
pot
Honny
Honey


einmal geht als vertipper durch, aber mehrmaliges wiederholen läßt auf etwas anderes schließen.

lks

PS: Das Forum hat eine Edit-Funktion (Die ich auch sehr oft wegen meiner Vertipper nutze).
Bitte warten ..
Mitglied: keine-ahnung
20.05.2017 um 16:58 Uhr
Moin,
Das Forum hat eine Edit-Funktion
stimmt.
Die ich auch sehr oft wegen meiner Vertipper nutze
Wann habt Ihr angefangen zu grillen? Und vor allem: was gab/gibt es als Nebentrunk ?

LG, Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
20.05.2017 um 17:00 Uhr
Zitat von keine-ahnung:

Wann habt Ihr angefangen zu grillen?

Weiß ich nciht mehr. Ist aber im prinzip egal.

Und vor allem: was gab/gibt es als Nebentrunk ?

Natürlich Single-Malts aus dem Maßkrug.

lks
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
Ransomware ?Deaktivierung SMBv1? (6)

Frage von padimonu zum Thema Netzwerkprotokolle ...

Viren und Trojaner
Ransomware orientiert sich an der Kaufkraft der Nutzer (2)

Link von transocean zum Thema Viren und Trojaner ...

Viren und Trojaner
Ransomware: Alles was schief gehen konnte (25)

Link von Frank zum Thema Viren und Trojaner ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Webbrowser
Windows 7 unbeliebte Internetseite sperren (15)

Frage von Daoudi1973 zum Thema Webbrowser ...

ISDN & Analoganschlüsse
gelöst Splitter - RJ45 zu RJ11? (13)

Frage von Waishon zum Thema ISDN & Analoganschlüsse ...

LAN, WAN, Wireless
gelöst Suche Firmware Image für Cisco Aironet 1252 (10)

Frage von Herbrich19 zum Thema LAN, WAN, Wireless ...

Netzwerke
VLAN Verständnissproblem (9)

Frage von Dragan123 zum Thema Netzwerke ...