8
Trojaner ausfindig machen
Guten Abend Leute
Wie macht ihr in euren Netzwerken Trojaner ausfindig wenn die Security Software ala Kaspersky, Norton usw. nicht anschlägt. Aber z.B. die Routerlogs verdächtige Verbindungen aufweisen? Wie und mit welchen Tools Managed ihr eure Netzwerke?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 204511
Url: https://administrator.de/contentid/204511
Printed on: April 25, 2024 at 17:04 o'clock
8 Comments
Latest comment
Hallo LKS ok ist eine Möglichkeit und die anderen?
Ich sehe mir gerade alienvault an... sieht sehr gut aus, muss ich aber erst noch weiter testen um genaues sagen zu können.
http://communities.alienvault.com/
http://communities.alienvault.com/
Alienvault nutzt mehrere Sicherheitssysteme u. a. Snort weißt was über die Kosten die entstehen?
Hallo,
es wäre ja gar zu schön zu wissen ob das ein Heimnetzwerk oder ein betrieblich genutztes Netzwerk ist
und wie groß es ist und wie viele Leute oder Mitarbeiter damit versorgt werden.
man kann das sicherlich wie mein Vorredner geschrieben hat mit einem IDS/IPS System versuchen
zu erledigen, was sicherlich auch Sinn macht nur das würde ich gerade in Deinem Fall jetzt erst einmal
als zweitrangig einstufen, denn erst einmal muss ja der Trojaner weg und zwar am besten recht flott und
dann würde ich mir die Mühe machen einige IDS Sensoren und einen IDS Server auzusetzen.
Zur aktuellen Zeit würde ich mir eher die Mühe machen und einen separaten PC aufsetzen der recht potent
ist oder einen kleinen Server der kräftig genug ist und an dem Core Switch eine Monitor Port schalten
der auf den PC/Server zeigt oder besser dort endet und dann mit WireShark das ganze mir einmal aufzeichnen und näher anschauen, alternativ würde es auch eine TCPDUMP Aufzeichnung erledigen oder respektive die Protokolldateien vom Router damit abgleichen und dann den Trojaner entfernen.
- Trojaner lokalisieren (WireShark, Protokolldateien, TCPDUMP)
- Trojaner einfangen (Von einer Linux LifeCD booten und auf einen sauberen USB Stick kopieren)
- System säubern oder gleich neu aufsetzen (für ein besseres Gefühl und/oder Gewissen)
- Herausfinden woher der Trojaner stammt! (USB Stick, USB Festplatte, Smartphone,.....)
- IDS/IPS System aufsetzen
Je nach Betriebsgröße ist das aber sehr unterschiedlich und meist auch abhängig von der gesamten
Struktur des Netzwerkes, wie viele, wo und welche Sensoren man im Netzwerk verteilt.
Bei IDS/IPS Systemen gibt es derzeit zwei aktuelle Systeme Snort und Suricata,
Snort ist schon etwas älter und hat damals das Shadow System abgelöst und Suricata ist etwas jünger aber hat halt auch mächtige Verbündete und bekommt gerade auch noch recht potente Hardware Unterstützung,
also da tut sich demnächst noch etwas.
Zusätzlich kann man aber auch noch ein oder mehrere Hosts als Honeypot aufsetzen die ein verwundbares
Windows XP und/oder Windows Server System simulieren und diese Trojaner damit dann "anlocken" oder "Eindringlinge" ablenken.
Es ist halt auch immer mit einem gewissen Aufwand verbunden was man machen will und vor allem anderen was man machen darf sowie dem Faktum das was man bezahlt und genehmigt bekommt.
Gruß
Dobby
es wäre ja gar zu schön zu wissen ob das ein Heimnetzwerk oder ein betrieblich genutztes Netzwerk ist
und wie groß es ist und wie viele Leute oder Mitarbeiter damit versorgt werden.
man kann das sicherlich wie mein Vorredner geschrieben hat mit einem IDS/IPS System versuchen
zu erledigen, was sicherlich auch Sinn macht nur das würde ich gerade in Deinem Fall jetzt erst einmal
als zweitrangig einstufen, denn erst einmal muss ja der Trojaner weg und zwar am besten recht flott und
dann würde ich mir die Mühe machen einige IDS Sensoren und einen IDS Server auzusetzen.
Zur aktuellen Zeit würde ich mir eher die Mühe machen und einen separaten PC aufsetzen der recht potent
ist oder einen kleinen Server der kräftig genug ist und an dem Core Switch eine Monitor Port schalten
der auf den PC/Server zeigt oder besser dort endet und dann mit WireShark das ganze mir einmal aufzeichnen und näher anschauen, alternativ würde es auch eine TCPDUMP Aufzeichnung erledigen oder respektive die Protokolldateien vom Router damit abgleichen und dann den Trojaner entfernen.
- Trojaner lokalisieren (WireShark, Protokolldateien, TCPDUMP)
- Trojaner einfangen (Von einer Linux LifeCD booten und auf einen sauberen USB Stick kopieren)
- System säubern oder gleich neu aufsetzen (für ein besseres Gefühl und/oder Gewissen)
- Herausfinden woher der Trojaner stammt! (USB Stick, USB Festplatte, Smartphone,.....)
- IDS/IPS System aufsetzen
Je nach Betriebsgröße ist das aber sehr unterschiedlich und meist auch abhängig von der gesamten
Struktur des Netzwerkes, wie viele, wo und welche Sensoren man im Netzwerk verteilt.
Bei IDS/IPS Systemen gibt es derzeit zwei aktuelle Systeme Snort und Suricata,
Snort ist schon etwas älter und hat damals das Shadow System abgelöst und Suricata ist etwas jünger aber hat halt auch mächtige Verbündete und bekommt gerade auch noch recht potente Hardware Unterstützung,
also da tut sich demnächst noch etwas.
Zusätzlich kann man aber auch noch ein oder mehrere Hosts als Honeypot aufsetzen die ein verwundbares
Windows XP und/oder Windows Server System simulieren und diese Trojaner damit dann "anlocken" oder "Eindringlinge" ablenken.
Es ist halt auch immer mit einem gewissen Aufwand verbunden was man machen will und vor allem anderen was man machen darf sowie dem Faktum das was man bezahlt und genehmigt bekommt.
Gruß
Dobby
Es gibt eine Opensource Variante, der Unterschied zur kommerziellen Version afaik ist der Support und die Updates der Bedrohungssignaturen von Alienvault selbst (so wie ich das verstanden habe).
http://www.alienvault.com/ossim-vs-commercial/
Das ist halt ein sehr umfangreiches Monitoring mit vielen integrierten Tools, wie u.a. auch Nagios...
Mehr weiss ich bisher auch noch nicht... werde mich aber die nächsten Wochen evtl. weiter damit beschäftigen.
http://www.alienvault.com/ossim-vs-commercial/
Das ist halt ein sehr umfangreiches Monitoring mit vielen integrierten Tools, wie u.a. auch Nagios...
Mehr weiss ich bisher auch noch nicht... werde mich aber die nächsten Wochen evtl. weiter damit beschäftigen.
Ein gut gepflegtes Snort und sFlow auf dem Switch sind deine Freunde !
Hi, das:
http://www.amazon.de/Security-Information-Management-Implementation-Net ...
liegt bei mir auf dem Schreibtisch, es werden Systeme verschiedener Hersteller vorgestellt... sieht sehr sinnvoll aus.
Grüße
Daniel
http://www.amazon.de/Security-Information-Management-Implementation-Net ...
liegt bei mir auf dem Schreibtisch, es werden Systeme verschiedener Hersteller vorgestellt... sieht sehr sinnvoll aus.
Grüße
Daniel
