jmaier
Goto Top

Ransomware mittels Honeypot im Schadensausmass beschränken ?

Hi,

ich stelle mir folgendes Szenario auf meinem Windows-File-Server vor (w2k8r2):

-- auf einem Share, das alle Clients als Laufwerk (z.B. M:\) mounten, stehen unter anderem zwei Dateien "honeypot.docx" und "honeypot.xlsx"

-- ein Script am Server (mit Autohotkey schnell geschrieben) überwacht, ob sich diese zwei Dateien ändern (Flags, Grösse, Dateinamen usw.)

-- das Script holt sich die Info 24h/7Tage alle 30 Sekunden über die zwei Dateien

-- sobald eine Änderung von einer der 2 Dateien vom Script festgestellt wird, wird der Admin informiert (Email, SMS oder was auch immer) und der Server trennt sich mittels SNMP-Befehl (einfach den Switch-Port deaktivieren) an den HP-Procurve-Switch selbst vom Netz. Das System steht, die Ransomware kann keinen Schaden mehr anrichten, sofern sie nicht am Server läuft - was aber sehr unwahrscheinlich ist.

Dazu sollte ich jetzt aber u.a. wissen,

-- in welcher Reihenfolge verschlüsseln die Ransomware-Programme (Locky, Wanna Cry usw.) die Daten ?

-- bzw. mit welchen Laufwerken beginnt die Verschlüsselung ?

-- mit welchen Dateien beginnts (ev. alphabetisch) ?

So ein "System" kann Ransomware zwar nicht ganz blocken, aber ich denke doch, dass der Schaden der entstehen kann, doch stark reduziert wird, denn auch Ransomware kann in 30 Sekunden nie und nimmer alle Dateien verschlüsseln.

Ich muss noch ergänzen, dass es sich um ein KMU handelt und dass ein kurzer Stillstand für uns das kleinere Übel ist, als wie wenn alle Daten rückgesichert werden müssen infolge einer solchen Ransomware.

Was ist hier an Inputs verfügbar und was hält die Community von einem solchen Szenario ?

J. M.

Content-Key: 338337

Url: https://administrator.de/contentid/338337

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: Pjordorf
Pjordorf 19.05.2017 um 13:52:37 Uhr
Goto Top
Hallo,

Zitat von @JMaier:
und was halt die Community von einem solchen Szenario ?
Ich selbst nur ein ROFLOL

Gruß,
Peter
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.05.2017 aktualisiert um 15:00:11 Uhr
Goto Top
Zitat von @JMaier:

Dazu sollte ich jetzt aber u.a. wissen,

-- in welcher Reihenfolge verschlüsseln die Ransomware-Programme (Locky, Wanna Cry usw.) die Daten ?

Frag den Malware-Programmierer!

-- bzw. mit welchen Laufwerken beginnt die Verschlüsselung ?

Frag den Malware-Programmierer!

-- mit welchen Dateien beginnts (ev. alphabetisch) ?

Frag den Malware-Programmierer!

Im Ernst - das kann bei jeder Ransaomware ganz anders sein. Du kannst Dich nicht darauf verlassen, daß das irgendein festgelegtes System ist.

So ein "System" kann Ransomware zwar nicht ganz blocken, aber ich denke doch, dass der Schaden der entstehen kann, doch stark reduziert wird, denn auch Ransomware kann in 30 Sekunden nie und nimmer alle Dateien verschlüsseln.

Wenn du Pech hast, fasst sie Deine Honigtöpfe als Letztes an und alles bis auf die Honigtöpfe ist schon verschlüsselt.

Was ist hier an Inputs verfügbar und was hält die Community von einem solchen Szenario ?

Nette Idee, aber ohne flankierende Maßnahmen ist das ein großer Witz, aber das ist einer Freitagsfrage angemessen.

Zumindest ist Dein Verfahren wirkungsvoller als diese Methode.

lks
Mitglied: SeaStorm
SeaStorm 19.05.2017 um 14:11:38 Uhr
Goto Top
Hi

solche Scripts gibt es mittlerweile massig.
Deine Fragen können dir nur für aktuell bekannte n Varianten halbwegs beantwortet werden. Was sich die Programmierer in Zukunft ausdenken, kann leider keiner Glaskugeln.
Mitglied: KMUlife
KMUlife 19.05.2017 aktualisiert um 14:16:06 Uhr
Goto Top
Hi

Bin der gleichen Meinung wie LKS...
...und Ich hätte vor allem Angst, dass die User diese Honigtöpfe anfassen... So ala: "Oh hier habe ich ja auch noch Platz zum was Speichern."

Und Schwups, Server weg... face-smile

Mindestens eine Aufklärung, für was das Zeug ist müsstest du dann machen...

LG KMUlife
Mitglied: Vision2015
Vision2015 19.05.2017 um 14:17:10 Uhr
Goto Top
tach...
warum so umständlich ?
klopf doch Kaspersky Endpoint Security 10 für Windows (für File Server) auf deinen Server- und gut ist..
ordentlich eingerichtet hat Ransomware keine schnitte...Nachweißlich.

Frank
Mitglied: SeaStorm
SeaStorm 19.05.2017 um 14:18:00 Uhr
Goto Top
die üblichen, verfügbaren Scripts sind da ein bisschen weniger undurchdacht und sperren den User aus, der den Honigtopf abschleckt face-smile
Mitglied: DerWoWusste
DerWoWusste 19.05.2017 aktualisiert um 14:20:26 Uhr
Goto Top
Joa... ich schaue auf mein Laufwerk m:, sehe diese hochinteressanten Dateien und schreibe ein "hallo!" rein - nur so aus Spaß (denn Schreibrechte müsstest Du ja allen geben). 30 Sekunden später...kannst Du dir denken. Schlechte Idee.
Nimm doch einfach die bekannten Tipps mit Appwhitelisting, Updating, das reicht doch vollkommen.

Edit: siehe @SeaStorm - weitaus besser. Aber niemand weiß, was zuerst verschlüsselt wird.
Mitglied: Sheogorath
Sheogorath 19.05.2017 um 14:24:59 Uhr
Goto Top
Moin,

naja, was du da machst ist eine "zusammengescriptete IDS" bauen. Effektiver als die Dateien zu überwachen, wäre es die Anzahl der Filehandles pro Client über die Zeit zu überwachen und ein Threshold zu triggern. Hier läufst du halt in die üblichen Probleme die IDS hat. Mal ist es zu statisch, mal ist es zu dynamisch. Sind die Limits du zu niedrig, jammern die User und der Chef, weil sie nicht arbeiten können, sind sie zu hoch bringen sie nichts.

Die Honeypot-Datei-Idee rennt halt in die von @Lochkartenstanzer genannten Probleme. Du kannst halt weder sagen, wann, noch ob sie angefasst werden. Unter Windows halte ich die Erkennung übrigens nochmal für Umstänbdlicher als unter GNU/Linux oder BSD, weil man dort eben einfach mit ein paar Scripten größere Veränderungen erkennt.

Eine gute Variante, wäre ggf. ein CoW Dateisystem, welches ein Delta ermittelt. Nun kannst du einen threshold setzen, der erkennt, wenn das Detla ungewöhnlich groß wird (sich also viele Datenblöcke ändern). Der eigentliche Trick dabei ist nun zu schauen Was ändert sich denn zum Ursprünglichen Datenbild? Wenn dort nun die großen änderungen bei sämtlichen existierenden Dateien feststellst, triggerst du, sonst eher nicht. Quasi wenn mehr als 50% von 30% des gesamten Dateibestandes (als Beispiel, das muss man sich natürlich selbst anpassen) von einem einzelnen oder sehr wenigen Clients verändert werden, sollte man doch mal hellhörig werden.

Weiterer Vorteil dieser Variante: Der Schaden ist nur bedingt vorhanden, da alle Daten seit dem letzten Snapshot ja noch unverändert vorliegen, somit dauert auch das Rücksichern nur wenige Sekunden/Minuten.

Gruß
Chris
Mitglied: java667
java667 19.05.2017 um 14:32:25 Uhr
Goto Top
KMUs against Ransomware:

  • Backup machen
  • Backup kontrollieren
  • Backup testen (also Restores machen)
  • Patch Management
  • Sinnvolles Rechte und Rollen Konzept (Need to know)
  • Content Filter im Web Proxy
  • SMTP Proxy mit AV
  • potenziell gefährliche Dateien blocken oder zumindest in Quarantäne schieben
  • Enduser schulen (Neudeutsch Awareness Training)
  • Endpoint AVs

Das meiste davon lässt sich mit Boardmitteln bzw. für kleines Geld umsetzten.
Mitglied: JMaier
JMaier 19.05.2017 um 15:06:31 Uhr
Goto Top
Hi.

fast alle der Tipps von java667 sind umgesetzt, es geht hier darum, den Schaden (weiter) zu begrenzen.

Dass

  • die 2 Honeypots im Root von M:\ stehen versteht sich von selbst (z.B. Dateiname "finger_weg.docx")

  • die User diese 2 Files in Ruhe lassen, das kann ich dauerhaft durchsetzen, sollte kein Problem sein

  • es bereits ein funktionierendes Backup (das nach dem Backup offline geht) gibt

versteht sich von selbst.

Ja klar, alle eurere Bedenken sind berechtigt, nur wir sind eine kleine Firma mit knapp 10 Leuten, da ist so was eher beherrschbar als in größeren Unternehmen. Mir geht es ja damit nur darum, einen möglichen Schaden mit vertretbarem Aufwand weiter zu reduzieren und die Situation somit weiter zu verbessern.
Mitglied: keine-ahnung
keine-ahnung 19.05.2017 um 15:37:59 Uhr
Goto Top
Moin,
prinzipiell geht das und ist auch keine schlechte Idee, aber:

1. musst Du die Lockvögel direkt in die root des servers legen und
2. sind die Dateinnamen ScheiXXe!

Korrekt müssen die heissen:

000001_please_encrypt_first.docx
000001_please_encrypt_first.xlsx und

3. gehört dort natürlich auch noch die

000001_please_encrypt_first.pdf

mit rein. Weiss eigentlich jeder Viertklässler. Aber ansonsten ein gutes Konzept!

LG und schönen Freitag noch, Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.05.2017 um 15:48:22 Uhr
Goto Top
Zitat von @keine-ahnung:

.._please_encrypt_first. ...

Das müßte eher heißen

..._very_important_file...

lks
Mitglied: SeaStorm
SeaStorm 19.05.2017 um 15:54:32 Uhr
Goto Top
...creditcard_information....
Mitglied: JMaier
JMaier 19.05.2017 aktualisiert um 16:30:53 Uhr
Goto Top
mit den vorgeschlagenen Dateinamen kann ich gut mit, auch das mit "0000001..." macht natürlich Sinn.

Lt. Googlesuche bzw. was ich dabei gefunden habe geht das Encrypten durch Ransomware recht schnell (1.000 Wordfiles mit total 70 MB teilweise in 18 Sec oder so), Quelle: Encryption-Speed Ransomware.

Hier stopping Ransomwareattacks on userdata gibts noch sehr viel Infos wie Ransomware funktioniert und vor allem im Kapitel 5 C Infos über die Zugriffssequenzen

Aber auch dann, kann man mit 30 Sec Überwachungsintervall bei 1 TB an Daten noch viel abfangen.

schönen Tag noch J.M.
Mitglied: java667
java667 19.05.2017 um 21:34:49 Uhr
Goto Top
Zitat von @JMaier:

Aber auch dann, kann man mit 30 Sec Überwachungsintervall bei 1 TB an Daten noch viel abfangen.


Nicht böse gemeint, aber das was du versuchst fällt unter "Bastellösung" und wird aller Voraussicht nach nur mäßig funktionieren.

Schau dir mal Intercept X von Sophos an (gibts ggf. auch bei anderen Anbietern). Das wird vermutlich mehr abfangen als deine Lösung und kostet auch nicht die Welt bei 10 Leuten. Steck deine Energie lieber in die noch fehlenden Punkte, welche du noch nicht umgesetzt hast.
Mitglied: BassFishFox
BassFishFox 20.05.2017 aktualisiert um 01:52:37 Uhr
Goto Top
Halloele,

Mach es lieber wie Avast.
Schicke an alle Ransomware-Progger eine Mail wie die im Bild.
2017-05-19 16_07_46-avast security info on wannacry ransomware - posteingang - chs@krenzlin.us - moz
Die werden mit Freuden auf den Klickmich klicken, der dann zu Deinem Honigtopf fuehrt. face-wink

Und...

Wie waere es mit der Idee, die "boese RansomWare" erst garnicht an den Server oder die WS zu lassen?
Einfach keine Verbindung der hochwichtigen Geraete nach aussen, keine moegliche Nutzung von irgendwelchen USB-Sticks usw. Einfach ein in sich geschlossenes funktionierendes Netzwerk.

BFF
Mitglied: Herbrich19
Herbrich19 20.05.2017 um 01:06:33 Uhr
Goto Top
Hallo,

Die User haben eine Netzwerk Freigabe als Netzlaufwerk im Computer / Arbeitsplatz aber sicherlich auch noch die Produktiv Daten. Wen du den Server trennst kann der Virtus von selben PC wo er hergekommen ist aber auch auf weitere Server, Rechner, Netzlaufwerke, Speicher, etc... gehen. Und was ist wen ein USB-Stick zum Einsatz kommen um Daten von A nach B zu schieben und dort der Virus sich einschleicht?

Auch zu Prüfen währen Sharepoint und natürlich der Exchange Server als Haupt Einfallstor im Form von Email Anhängen mit Macros drinnen. Wo bei gibt auch leute die eine exe anklicken die als Symbol ein WordDatei Icon hat. EXE sollte man eh Grundlegend als Anhänge verbieten (SMTP Firewall oder sowas) face-smile

Der Honnypod müsste sich in einem komplett anderen Netzwerk befinden (VLAN/LAN) und es darf keine möglichkeit geben ins Interne Netzwerk zu kommen aus diesem HonnyPod VLAN. Dann währe es eine gute Idee face-smile

Übrigens, Stadt die Verbindung zu Trennen würde ich ein Man in the Middle machen. Dass schöne ist du kannst auf den Fake Server nur eine einzige Trusted CA installieren und alles andere raus (Ist ja eh nur ein System was für dies Gruppe von Software also Vieren) eingesetzt wird. Und dann muss der Man in der Mitte nur noch das passende Cert liefern und gut ist. (Außer der Virus hat die Root CAkomoiliert).

Der Sinn und Zweck eines Honnypods ist es ja zu sehen was der Virus oder der Hacker macht^^

Gruß an die IT-Welt,
J Herbrich
Mitglied: JMaier
JMaier 20.05.2017 um 10:46:02 Uhr
Goto Top
Hallo,

wir haben keinen Sharepoint, Exchange oder sonstigen Server, simples Pop-Email mit allen Nach- aber auch Vorteilen.

"nicht reinlassen" .. ist doch - wenn man den dafür erforderlichen Aufwand, mal davon abgesehen, dass das fast unmöglich ist .. schon sehr hypothetisch.

Ja, mein Ansatz ist nicht perfekt und hat Lücken, aber verschlechtern wird er die Situation sicher nicht.

Genau da will ich ja hin, ich will eine "schlechte Situation" und das wird damit wohl trotz allen möglichen Ansätzen erreicht, verbessern.
Um mehr gehts nicht
Mitglied: Vision2015
Vision2015 20.05.2017 um 13:46:41 Uhr
Goto Top
Zitat von @JMaier:

Hallo,
Auch Hallo,

wir haben keinen Sharepoint, Exchange oder sonstigen Server, simples Pop-Email mit allen Nach- aber auch Vorteilen.
reicht doch...

"nicht reinlassen" .. ist doch - wenn man den dafür erforderlichen Aufwand, mal davon abgesehen, dass das fast unmöglich ist .. schon sehr hypothetisch.
hypothetisch, nein- unmöglich, auch nicht! Kaspersky arbeitet Schutz vor Verschlüsselung schneller als deine scripte.. das habe ich jetzt schon bei einigen Kunden festellen können.. Eine EMail AV Lösung- wo Dateianhänge gesperrt werden können ist heutzutage auch normal, und einen Proxy mit AV Filter ist auch kein Hexenwerk mehr...

Ja, mein Ansatz ist nicht perfekt und hat Lücken, aber verschlechtern wird er die Situation sicher nicht.
das nicht, könnte dich aber in falsche Sicherheit wiegen...

Genau da will ich ja hin, ich will eine "schlechte Situation" und das wird damit wohl trotz allen möglichen Ansätzen erreicht, verbessern.
Um mehr gehts nicht
na dann...

Frank
Mitglied: Herbrich19
Herbrich19 20.05.2017 um 13:55:55 Uhr
Goto Top
Hallo,

Wie gesagt, wen man ein Honnypod aufsetzt dann nicht im Internen Netzwerk sondern in einen Klinisch Isolierten Labornetzwerk. Ok, zu Klinisch muss es auch nicht sein, ein V-Lan reicht aus. Aber das was du vorhast ist schwachsinn. Weil User können das ding ausversehen auslösen und wer garantiert dass der Erpresser als erstes in den Honigtopf schaut und nicht einfach ein Server aus dem Produktiven System befällt.

Lieber auf eine anständige AV Lösung setzen die den Email Verkehr auf verdächtige Anhänge scannt und gut ist. Und so oder so jede exe ist böse wen sie über eMail Anhänge rein kommt.

Gruß an die IT-Welt,
J Herbrich
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.05.2017 aktualisiert um 14:41:14 Uhr
Goto Top
pod
pot
Honny
Honey


einmal geht als vertipper durch, aber mehrmaliges wiederholen läßt auf etwas anderes schließen.

lks

PS: Das Forum hat eine Edit-Funktion (Die ich auch sehr oft wegen meiner Vertipper nutze).
Mitglied: keine-ahnung
keine-ahnung 20.05.2017 um 16:58:14 Uhr
Goto Top
Moin,
Das Forum hat eine Edit-Funktion
stimmt.
Die ich auch sehr oft wegen meiner Vertipper nutze
Wann habt Ihr angefangen zu grillen? Und vor allem: was gab/gibt es als Nebentrunk face-smile?

LG, Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.05.2017 um 17:00:11 Uhr
Goto Top
Zitat von @keine-ahnung:

Wann habt Ihr angefangen zu grillen?

Weiß ich nciht mehr. Ist aber im prinzip egal.

Und vor allem: was gab/gibt es als Nebentrunk face-smile?

Natürlich Single-Malts aus dem Maßkrug.

lks