Mittwoch, April 23, 2014
Text Size
++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++
Management
Die F-Secure Labs geben auf www.f-secure.com eine Schritt für Schritt Anweisung, wie man eine Malware-Infektion in einem lokalen Netzwerk beheben kann.

Um ein lokales Netzwerk von einer Malware-Infektion zu säubern, gehen Sie bitte folgendermaßen Schritt für Schritt vor (und lesen Sie bitte zuerst einmal die gesamte Anweisung durch, bevor Sie loslegen):

  1. Setzen Sie das gesamte, betroffene Netzwerk in Quarantäne
  2. Schließen Sie alle als verdächtig angesehenen Ports
  3. Scannen / Überprüfen Sie alle Computer
  4. Desinfizieren Sie die infizierten Computer
  5. Starten Sie diese Computer neu
  6. Deaktivieren Sie die System-Wiederherstellung
  7. Installieren Sie - falls notwendig - eine Firewall
  8. Installieren Sie alle Sicherheits-Updates
  9. Ändern Sie alle Passwörter von gemeinsamen Ressourcen
  10. Verbinden Sie das in Quarantäne gesetzte Netzwerk wieder mit dem restlichen Netzwerk und dem Internet

1. Setzen Sie das gesamte, betroffene Netzwerk in Quarantäne

Trennen Sie sofort das betroffene Netzwerk vom Internet und allen anderen Netzwerken. Dies dient als Vorsichtsmaßnahme vor einer weiteren Infektion über eine externe Quelle. Zudem schützt diese Isolierung davor, dass die sich im Netzwerk befindliche Malware mit externen Seiten verbinden kann, von denen die Malware weitere Instruktionen / Updates erhalten könnte.

Wenn möglich, dann sollten sie alle Verbindungen (intern wie extern) des infizierten lokalen Netzwerkes trennen, um die Malware daran zu hindern, sich zwischen den lokalen Rechnern weiter auszubreiten. Dies schließt ALLE drahtgebundenen wie drahtlosen Verbindungen mit ein.

Deaktivieren Sie zudem das Netzwerk Datei- & Drucker Sharing.

2. Schließen Sie alle als verdächtig angesehenen Ports

Wenn Sie den Malware-Typ, der ihr Netzwerk infiziert hat, bereits identifizieren konnten, dann blockieren Sie alle Ports, die bekanntermaßen von dieser Malware verwendet werden.

Um herauszufinden, welche Ports geschlossen werden müssen, nutzen Sie bspw. die Viren-Beschreibungen von F-Secure (http://www.f-secure.com/en_EMEA/security/security-threats/virus/) oder andere vertrauenswürdige Quellen mit detaillierten Informationen über spezifische Malware-Programme, die ebenfalls die Port-Informationen enthalten. Anmerkung: Die Informationssuche sollte über einen isolierten, sauberen Rechner mit separatem Internetzugang erfolgen, falls das infizierte Netzwerk erfolgreich vom Internet getrennt werden konnte.

Wenn das Abschalten des infizierten lokalen Netzwerkes oder das Schließen der von der Malware verwendeten Ports nicht möglich sein sollte, dann setzen Sie einen "On-Access Scanner" ein, um die Malware "automatisch" von allen Rechnern im Netzwerk zu entfernen. Dies ist eine reine weitere Vorsichtsmaßnahme und soll die Malware daran hindern, die bisher noch sauberen Rechner ebenfalls oder bereits gesäuberte Rechner erneut zu infizieren.

Bedenken Sie dabei, dass diese Maßnahmen nicht erfolgreich sind, wenn die Malware-Infektion aufgrund des Ausnutzens einer Schwachstelle auf einem ihrer Systeme, Programme oder ihres Netzwerkes erfolgt ist. Hier muss zuerst die betroffene Schwachstelle gepatcht werden, weil sonst die infizierten Rechner mit einer Netzwerkverbindung sofort neu starten und die Malware erneut im Netzwerk verbreiten.

3. Scannen / Überprüfen Sie alle Computer

Überprüfen / Scannen Sie alle Rechner bspw. mit F-Secure AntiVirus und setzen Sie dabei die aktuellsten AntiVirus Datenbank Signatur-Updates ein. Wenn einige Ihrer Workstations nicht über die aktuellsten Datenbank-Updates verfügen, dann laden Sie sich diese Updates manuell herunter und spielen die letzten Updates manuell (z.B. zuvor auf CD brennen) auf den jeweiligen Rechnern ein.

Wenn F-Secure Anti-Virus die Malware Infektion nicht erkennen konnte, dann versuchen Sie bitte, die Malware-Datei(en) zu lokalisieren und an die F-Secure Labs zur Analyse zu senden (https://analysis.f-secure.com/portal/login.html).

Malware-Dateien verursachen in der Regel einen enormen Netzwerk-Datenverkehr, nutzen sehr umfangreich die vorhandenen System-Ressourcen, installieren sich selbst in Windows oder Windows System Ordnern und erzeugen Startup-Schlüssel für ihre Dateien in der System-Registry. Diese Spuren können vielleicht wertvolle Hinweise oder Tipps für das Aufspüren der EXE-Dateien der Malware geben.

Wenn Sie keinerlei Hinweise auf die Malware-Dateien finden können, dann senden Sie bitte eine Nachricht an das F-Secure Support Team (wenn Sie die F-Secure AntiVirus Lösungen in ihrem Unternehmen / ihrer Organisation einsetzen). Beschreiben Sie genau den Virenvorfall und fragen Sie nach weiteren Möglichkeiten, wie man eine unbekannte Malware identifizieren kann (http://www.f-secure.com/en_EMEA/support/home-office/contact-support/index.html).

Es sind auch spezielle Desinfektions-Tools für bestimmte Malware-Arten verfügbar. Die Links auf diese Tools sind in den spezifischen Beschreibungen der Malware zu finden. Alternativ können Sie auch auf der F-Secure Removal Tools Seite nach einem passenden Desinfektions-Tool suchen (http://www.f-secure.com/en_EMEA/security/tools/removal-tools/).

4. Desinfizieren Sie die infizierten Computer

F-Secure Anti-Virus wird alle infizierten Dateien umbenennen. Wenn eine Umbenennung mittels der "Automatische Desinfektion"-Option nicht möglich ist, nutzen Sie die "Umbenennen" Desinfektions-Aktion. Sie können auch die "Löschen" Desinfektions-Aktion verwenden. Aber vergewissern Sie sich zuvor, dass dabei keine wichtigen Dateien gelöscht werden können (z.B. in ihrer Mailbox - AntiVirus Programme suchen auch in den Email Inboxen nach infizierten Dateien und löschen diese bei aktivierter Option automatisch).

5. Starten Sie diese Computer neu

Starten Sie en gesäuberten Rechner neu und löschen Sie anschließend alle umbenannten, infizierten Dateien. Zudem ist anzuraten, einen "sauberen" Computer noch ein bis zwei Mal nach der Säuberung zu scannen um sicherzustellen, dass wirklich keinerlei infizierende Dateien mehr übrig sind.

6. Deaktivieren Sie die Systemwiederherstellung

Wenn sich einige der infektiösen Dateien in den Systemwiederherstellungs-Ordnern enthalten waren, dann muss zuerst die Systemwiederherstellungsoption temporär deaktiviert und der Computer neu gestartet werden. Nach dem Neustart sollen die infektiösen Dateien in den Systemwiederherstellungsordnern entfernt sein. Genaue Anweisungen, wie das Systemwiederherstellungsfeature unter Windows deaktiviert werden kann, findet man bei Microsoft:

7. Installieren Sie - falls notwendig - eine Firewall

Installieren Sie eine Firewall auf dem Internet-Gateway oder auf allen Workstations, falls eine Gateway-Firewall in ihrer Netzwerk-Konfiguration nicht vorgesehen ist.

Wenn eine Firewall aber bereits installiert sein sollte, dann konfigurieren Sie diese derart, dass sie alle Ports, die von der Malware genutzt werden, automatisch blockiert. Ausgenommen sind hierbei gängige Ports wie der Port 80 - der Standard-Port für die Internet-Kommunikation.

8. Installieren Sie alle Sicherheits-Updates

Installieren Sie die aktuellsten Sicherheits-Updates, Patches und/oder Service-Packs für das Betriebssystem und andere installierte Programme - auf allen (!) Systemen. Dies ist sehr wichtig, um erneute Infektionen zu verhindern.

9. Ändern Sie alle Passwörter von gemeinsamen Ressourcen

Wenn Ihr Netzwerk von einer Malware befallen war, die sich über gemeinsam genutzte Ressourcen (z.B. gemeinsam genutzte Ordner oder Laufwerke) verbreitet oder auf ein Stehlen von Passwörtern abzielt, dann sollten Sie umgehend alle (!) Passwörter ihrer wichtigsten Applikationen ändern. Zudem sollten Sie für alle gemeinsam genutzten Ressourcen sehr starke, neue Passwörter (mindestens 8 Zeichen, Groß-/Kleinschreibung + Zahlen + Sonderzeichen - KEINE Wörter aus dem Lexikon) vergeben.

10. Verbinden Sie das in Quarantäne gesetzte Netzwerk wieder mit dem restlichen Netzwerk und dem Internet

Verbinden Sie das in Quarantäne befindliche Netzwerk wieder mit dem restlichen Netzwerk und aktivieren Sie auch wieder die Internetverbindung. Überwachen Sie anschließend den gesamten Datenverkehr innerhalb und aus/in das Netzwerk um sich zu versichern, dass das Netzwerk nicht erneut infiziert ist.

Quelle: F-Secure

Über F-Secure
Innovation, Zuverlässigkeit und Schnelligkeit – diese drei Qualitäten haben F-Secure seit der Gründung 1988 zu einem der führenden IT-Sicherheitsanbieter weltweit gemacht. Heute vertrauen sowohl Millionen Privatanwender als auch Unternehmen auf die mehrfach ausgezeichneten Lösungen von F-Secure. Der effektive Echtzeitschutz arbeitet zuverlässig und unbemerkt im Hintergrund und macht das vernetzte Leben von Computer- und Smartphone-Nutzern sicher und einfach.

Die Lösungen von F-Secure sind als Service-Abonnement über mehr als 200 Internet Service Provider und Mobilfunkbetreiber weltweit zu beziehen. Die umfangreichen Partnerschaften machen F-Secure zum Marktführer in diesem Bereich. Seit 1999 ist das Unternehmen an der Börse in Helsinki notiert (NASDAQ OMQ Helsinki Ltd.). Seitdem wächst F-Secure schneller als viele andere börsennotierte Mitbewerber. Weitere Informationen zu den Lösungen von F-Secure finden Sie auf der deutschen Webseite von F-Secure und natürlich hier auf Info-Point-Security.
Veröffentlicht in Hersteller News
- Acronis Disk Director bietet Tools für Partitionierung und Festplatten-Management auf Servern und Workstations -

Acronis, Anbieter von Backup-, Recovery- und Security-Lösungen für physische, virtuelle und Cloud-Umgebungen, hat die nächste Generation seiner Unternehmenslösungen für Festplatten-Management veröffentlicht: Acronis Disk Director 11 Advanced Server und Acronis Disk Director 11 Advanced Workstation. Laut Hersteller können IT-Administratoren damit die Effizienz bei der Verwaltung und Pflege ihrer Festplatten-Laufwerke steigern sowie die Festplattenleistung und die Sicherheit von Unternehmensdaten erhöhen.

Mit Acronis Disk Director 11 Advanced Server und Acronis Disk Director 11 Advanced Workstation können Partitionen auf lokalen und Remote-Maschinen erstellt, verschoben und in ihrer Größe verändert werden. Mit dem neuen Set an Werkzeugen lassen sich zudem lokale oder entfernte Volumes schneller konvertieren, in ihrer Größe ändern, kopieren, aufteilen und zusammenführen. Die Disk Director Unternehmenslösungen bieten Unterstützung für "Striped Volumes" und ermöglichen die Durchführung und Verwaltung aller Operationen über eine zentrale Management-Konsole. Nicht zuletzt wurde die Benutzeroberfläche komplett überarbeitet, um den Einsatz noch effizienter zu gestalten und die Leistung zu erhöhen.

Neue Funktionen und Erweiterungen in Acronis Disk Director 11:
  • Unterstützung dynamischer Datenträger - Aufteilen von Volumes über mehrere Festplatten und Konvertierung bestehender Basisdatenträger in dynamische Datenträger
  • Unterstützung von GPT-Festplatten - Erstellung von Volumes von über 2 TB und zusätzlicher Schutz der Festplatten gegen Datenverlust
  • Hinzufügen, Entfernen oder Aufteilen gespiegelter Partitionen - Erhöhung der Fehlertoleranz von Basisdatenträgern oder einfachen Volumes. Einfaches Entfernen von Spiegeln, falls zusätzlicher, nicht zugewiesener Speicherplatz auf einer Festplatte benötigt wird.
  • Verteilen von Volumes über mehrere physische Festplatten - Optimierung des Systems durch Kombination von freiem Speicherplatz auf unterschiedlichen Festplatten-Laufwerken, um größere Volumes zu erstellen
  • Konvertierung von MBR-Festplatten in GPT-Festplatten und umgekehrt: Diese Konvertierung kommt in Frage, wenn ein Volume, das größer als 2 TB ist, benötigt wird, oder wenn mehr als vier primäre Volumes auf einer Festplatte erforderlich sind.
  • Klonen von Festplatten - Der Assistent zum Klonen bietet Unterstützung beim Ersetzen der alten MBR-Basisfestplatte ohne Neuinstallation von Betriebssystem und Anwendungen
  • Remote Management - Verwaltung von Festplatten und Volumes auf lokalen und Remote-Maschinen

"Mit unseren neuen Disk-Management-Lösungen für Unternehmen können wir IT-Administratoren ein effizientes Set an Partitions-Werkzeugen bieten, um Datenträger im Unternehmen besser zu verwalten und zu pflegen", so Lisa Robinson Schoeller, Director Product Marketing bei Acronis. "Technisch Verantwortliche, die die richtigen Lösungen zur Hand haben, können durch intelligentes Partitions-Management sowohl lokale und Remote-Umgebungen als auch bestehende Backup-Strategien deutlich optimieren".

Preise und Verfügbarkeit Acronis Disk Director 11 Advanced Server ist zum Preis von 463,00 EUR (netto) erhältlich und bietet Unterstützung für die Betriebssysteme Windows Server 2008, Windows Server 2008 R2, Windows Server 2003 und Windows Server 2003 R2. Der Nettopreis für Acronis Disk Director 11 Advanced Workstation beträgt 69,95 EUR. Die Workstation-Version unterstützt Windows 7, Windows Vista und Windows XP. Beide Produkte beinhalten pro Lizenz den Maintenance- und Support-Service "Acronis Advantage Premier" (AAP) für jeweils ein Jahr. Anwender der Vorgängerversionen von Acronis Disk Director 10 Server beziehungsweise Workstation haben die Möglichkeit für ein vergünstigtes Upgrade. Alle Informationen zu Upgrade-Preisen sowie weiterführende Produktdetails, Handbücher und Datenblätter sind auf der Website von Acronis unter http://www.acronis.de/enterprise/products/diskdirector/ erhältlich.

Über Acronis Germany GmbH
Acronis ist ein führender Hersteller einfach bedienbarer Backup-, Recovery- und Security-Lösungen für physische, virtuelle und Cloud-Umgebungen. Unternehmen jeder Größenordnung sowie Privatanwender schützen mit der patentierten Disk-Imaging-Technologie ihre digitalen Systeme und geschäftskritischen Informationen. Mit der Disaster-Recovery-, Deployment- und Migrations-Software von Acronis werden digitale Informationen zuverlässig abgesichert, eine hohe Verfügbarkeit und Geschäftskontinuität von Unternehmensdaten sowie der IT-Infrastruktur gewährleistet und Ausfallzeiten minimiert. Acronis Software wird in mehr als 180 Ländern vertrieben und ist in 13 Sprachen verfügbar. Mehr Informationen können auf der Website des Herstellers abgerufen werden: www.acronis.de.

Veröffentlicht in Management
Mittwoch, den 07. November 2007 um 00:00 Uhr

McAfee: Es gibt nicht nur ein böses "externes" Netz

Der IT-Security Experte Matthew Wollenweber beschreibt im McAfee Avert Labs Weblog den trügerischen Schluss vieler Unternehmen, nur das gute "interne" Netzwerk gegen das "Böse" externe Netzwerk absichern zu wollen / können...

Das gängigste IT-Security Thema in amerikanischen Unternehmen (Anmerkung: eher bei allen Unternehmen) ist die Absicherung des "sicheren" Intranets vor dem "ausserhalb befindlichen" gefährlichen Internet. Als Penetration Tester kann ich (Anmerkung: der Verfasser des Original Weblog Eintrages Matthew Wollenweber) Ihnen sagen, dass wenn ein Unternehmen mehr als 1.000 Mitarbeiter hat, es kein wirklich "ausserhalb" befindliches böses Netzwerk mehr gibt.

Firewalls, NAT Devices und Anti-Exploitation Techniken haben die Anwendung traditionellen Remote Exploit Verfahren extrem schwierig gemacht. Reine Remote Exploitation mittels einer Technologie wie RPC, IIS etc. gibt es zwar immer noch, sie werden aber kaum noch beobachtet. Statt dessen setzten die Angreifer mittlerweile auf zielgerichtete Attacken gegen einzelne Netzwerknutzer mittels Phishing, gefährlichen E-Mails, gefährlichen Webseiten oder gefährlichen Dokumenten. Die Grundidee ist hierbei die Netzwerknutzer dazu zu bewegen, ihr Gerät für den Angreifer zu öffnen. Wenn ein Netzwerknutzer auf solch eine Attacke hereinfällt, dann hat der Angreifer die Kontrolle über eine Workstation innerhalb des Netzwerkes. Wenn sich in Ihrem Netzwerk über 1.000 Workstations befinden, dann ist die Wahrscheinlichkeit, dass einem Mitarbeiter dieser Fehler passiert und eine Workstation infiziert ist, bei nahezu 100%. Wenn Sie zudem USB Sticks, WiFi, VPN Zugriffe und Laptops in Ihrem Unternehmensnetzwerk einsetzen / zulassen, dann kann man vor allem bei großen Netzwerken nicht mehr davon ausgehen, dass eine scharfe Trennung zwischen dem internen und dem Internet existiert.

Nun - wir haben nun gezeigt, dass das Internet prinzipiell bei großen Unternehmen immer ins interne Netzwerk gelangen kann. Aber kann es auch wieder heraus?

Brad Antoniewicz hat in seinem letzten Weblog Eintrag verschiedene Daten Exfiltrations-Techniken beschrieben. Sehen wir uns doch einmal die DNS Tunneling Methode an. Fast jede Firewall erlaubt ausgehenden DNS Datenverkehr und die Technologie gilt als allgemein stabil. Wenn eine lokale Workstation im Netzwerk erfolgreich angegriffen wurde, dann können mittels DNS Tunneling auch wieder Daten nach "draussen" gesendet werden. Mein absoluter Favorit ist aber ganz einfaches HTTP. Prinzipiell sind ausgehende HTTP Datenströme genauso unproblematisch wie ausgehende DNS Datenströme. Es gibt aber für mich aber zusätzliche Vorteile des HTTP Datenverkehrs gegenüber dem DNS Tunneling Datenverkehr:
  1. DNS Tunneling ist natur gegeben annormal - die Nachrichten sind zudem entsprechend größer und häufiger als bei anderen Protokollen. Genauso müssten Sie bei der Versendung von größeren Datenmengen TTL Werte ignorieren. Dies könnten alles leicht erkennbare Zeichen für eine "Bedrohung" sein.
  2. Die Programmierung von HTTP Tunneln ist viel einfacher. Sie setzen einfach eine gefälschte Webseite auf, kreiieren einen Auslösewert für den Datentransfer und versenden / ziehen die Daten zwischen der Workstation und der Webseite hin und her wie Sie es wünschen. Sie benötigen hierzu lediglich die MS InternetOpen() und ein paar andere ähnliche Funktionen.
  3. Bei vielen Hosts sind mittlerweile Firewalls integriert, die den ausgehenden Datenverkehr von Applikationen generell erlauben. Ganz allgemein: Verwenden Sie hierfür die DLL Injection Methode, um ihre Callback Funktion im Internet Explorer zu verankern und Zugriff zu erhalten und sie können nahezu jede Proxy Authentisierung verwenden, die gerade benötigt wird. Diese Technik ermöglicht mir auf alle Fälle, Zugriff von einer Workstation auf das Internet zu erhalten.
Bei unzähligen Penetration Tests habe ich sehr erfolgreich Remote Access Tools verwendet, die den HTTP Traffic über den Internet Expllorer verankern. Dies war wirklich ÄUSSERST effektiv. Haben Sie in Ihrem Unternehmen eine Technologie im Einsatz, die diese Remote Kommandos und Kontrollen verhindert?

Wenn Sie also zukünftig ihre Netzwerk Security Policies überarbeiten sollten und an neue Technologien zur Absicherung Ihres internen Netzwerkes denken: Beachten Sie nicht nur die Bedrohungen, die von Außen in Ihr Netzwerk gelangen könnten, sondern bedenken Sie auch, wie diese nach draussen kommunizieren würden. Da ein Angreifer immer diese beiden Möglichkeiten - in Abhängigkeit von Ihrer Perimeter-Security - hat, schreit dies geradezu nach einem Sicherheitsrisiko.

Quelle: McAfee Avert Labs Weblog
Veröffentlicht in Hersteller News
Dienstag, den 25. November 2008 um 00:00 Uhr

Neues Lizenzmodell ab Januar 2009 mit Version 8.2

GFI führt im Januar ein neues Lizenzmodell für GFI EventsManager ein, um Kunden verbesserte Einkaufsmöglichkeiten basierend auf der Anzahl der Server und Workstations zu bieten.

Kunden werden in der Lage sein, jede Anzahl von Workstations und/oder Server IPs zu lizenzieren. Die Lizenzen für Workstation IPs, können für den Scan von Windows Events auf Windows XP/Vista Maschinen verwendet werden. Die Server Lizenz wird benötigt um Events von jedem Gerät durchzuführen.

Beispiel: Ein Kunde lizenziert 5 Server und 23 Workstations und ist damit in der Lage 23 Windows XP oder Vista Maschinen und 5 Netzwerk Geräte / Windows Servers oder Workstations / Linux Maschinen zu scannen.

Bestandskunden verlieren durch ein Upgrade keine Funktionalitäten. Clients, die von ESM 8 upgraden behalten die Anzahl der erworbenen Lizenzen. Diese werden als Server Lizenzen gewertet. Demzufolge ist ein Kunde mit 50 seat GFI EventsManager 8.1 Lizenzen nach einem Upgrade auf GFI EventsManager 8.2 in der Lage jeden Server oder Workstation, bis zu einer Anzahl von 50 Geräten, zu scannen.
Veröffentlicht in Produkt News/FAQ
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6