theoberlin
Goto Top

Geschwindigkeit Verschlüsselungstrojaner

Hallo zusammen,

hat jemand eine Erfahrungswert (mein Beileid wenn aus erster Hand) wie schnell Verschlüsselungstrojaner álá Wannacry etc. Dateien verschlüsseln? Also eine pro Minute / 10 pro Sekunde. ich nehme jetzt mal die üblichen Office Dateigrößen an.

EDIT: Es geht um Serverfreigaben. Gehobene Office PCs mit i3/i5 Prozessor und Gigabit Anbindung.

lg
Theo

Content-ID: 458515

Url: https://administrator.de/forum/geschwindigkeit-verschluesselungstrojaner-458515.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Kraemer
Kraemer 03.06.2019 um 16:57:27 Uhr
Goto Top
Moin,

Zitat von @theoberlin:
ich nehme jetzt mal die üblichen Office Dateigrößen an.
und was nimmst du nun als Hardware an? Nen üblichen grauen PC?

Gruß
itisnapanto
itisnapanto 03.06.2019 um 17:06:11 Uhr
Goto Top
Moin ,

kann man so schlecht sagen . Hängt ja stark von der Hardware ab.
Bei ner SSD geht das Ratz fatz . Willst du Erfahrungswerte, verschlüssle deine HDD mal komplett mit Bitlocker o.Ä. Dann siehst du den Speed.


Gruss
theoberlin
theoberlin 03.06.2019 um 17:10:16 Uhr
Goto Top
Hallo zusammen,

Die lokalen Rechner sind nicht das Problem, mir gehts um die Serverfreigaben. Hätte ich mal schreiben können.
Rechner sind gehobene Office PCs i3-i5 mit Gigabit Anbindung an die Server.

lg
Theo
itisnapanto
itisnapanto 03.06.2019 um 17:25:37 Uhr
Goto Top
Was juckt die eigentlich der Speed ?

Wenn ein Verschlüsselungstrojaner wütet, ist glaube ich die Geschwindigkeit noch das kleinere Problem.

Wir kennen den Speed deinen Netzwerkes auch nicht , um das zu beurteilen.

Gruss
theoberlin
theoberlin 03.06.2019 aktualisiert um 18:06:28 Uhr
Goto Top
Die Geschwindigkeit steht oben. Gigabit Linespeed und das machen die Server natürlich auch mit.

Kurzes Wort zum Hintergrund:

Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.

Der Wert wird natürlich weit über der üblichen Nutzung liegen die ich seit ca. zwei Wochen analysiere.

Das ganze soll neben allen anderen üblichen Schutzmaßnahmen quasi als letzte Bastion dienen.

LG
Theo
NetzwerkDude
NetzwerkDude 03.06.2019 um 18:37:28 Uhr
Goto Top
Kommt drauf an wie effizient die cryptotrojaner eben geschrieben sind, mein bauchgefühl sagt das das bottleneck die SMB Performance des Servers ist, die sich aus Platte und Netzwerk zusammensetzt.

Da die meisten Datei für Datei mit asynchronen Schlüsseln verschlüsseln, kann man das verhalten mit z.b. GnuPG simulieren, indem du eine Dateiliste an gpg pipest und einen öffentlichen schlüssel zur crypten verwendest
theoberlin
theoberlin 03.06.2019 um 18:51:48 Uhr
Goto Top
Na siehste an gnupg hab ich noch garnicht gedacht obwohl am naheliegendsten...
Das werde ich wohl morgen mal auf einen Test Share loslassen.

Lg Theo
StefanKittel
StefanKittel 03.06.2019 um 21:45:32 Uhr
Goto Top
Moin,

das hängt davon ab face-smile
Im Normalfall in der gleichen Geschwindigkeit wie Du Dateien auf den Server schreiben kannsts.
Aber gehen wir mal von 40 MB/Sekunde.

Es soll auch Trojaner geben die nur die ersten und letzten 2 MB verschlüsseln.
Dann schaffen die deutlich mehr Dateien in Abhängigkeit von den Dateigrößen.

Stefan
theoberlin
theoberlin 03.06.2019 um 22:08:06 Uhr
Goto Top
Das ist auch nochmal ne interessante Info. Auch wenn für mich eher die Differenz von „Normaler Nutzung“ zu „Trojaner verschlüsselt“ interessant ist. Alles was schneller ist wird ja sowieso erkannt.
BassFishFox
BassFishFox 04.06.2019 aktualisiert um 00:41:41 Uhr
Goto Top
Hi,

Den Schnelltest kannst Du selber machen.
Nimm ein beliebiges Pack-Programm (ohne GUI) und lass das auf die Ordnerstruktur los.
Ein optimierter Trojaner ist u.U. schneller. face-wink

Im Endeffekt ist es unerheblich, wie schnell das "Tierchen" ist.
Erheblich ist, wie schnell Du das merkst.

BFF
theoberlin
theoberlin 04.06.2019 aktualisiert um 06:19:09 Uhr
Goto Top
Hi BFF,

packen die Trojaner denn? Ich meine die Verschlüsseln jede Datei einzeln. In dem Fall müsste ich Umdenken, da ich „read“ Ereignisse aktuell außen vor lasse um keinen zu hohen Count zu bekommen. Das geht nämlich auch mal schnell wenn man die Windows Suche auf ein höheres Verzeichnis loslässt.

Und merken tue ich es sofort. Die Auswertung erfolgt in Echtzeit und 10 Sekunden später ist der Client aus. Hängt natürlich auch davon ab welche Schwellen wie schnell überschritten werden.

LG
Theo
127132
127132 04.06.2019 um 07:48:12 Uhr
Goto Top
Bei einer zugekauften Firma hat sich eine Mitarbeiterin letztes Jahr mal den Grandcrab V4 eingefangen.
Dort konnte man tatsächlich zuschauen, wie die Dateien irgendwo im Sekundentakt verschlüsselt wurden. Ja, da hab ich mt Teamviewer draufschauen können.
Vorgegangen wurde ordnerweise, aber die Reihenfolge war nachträglich nicht wirklich ersichtlich. Der mischte auch lokale und gemappte Ordner auf dem Server.

Insgesamt ging da nicht viel verloren innerhalb von ca. 30 Minuten. Es kam auf, weil ziemlich schnell der Programmordner eines Bankingprogramms verschlüsselt wurde und das nicht mehr funktionierte.

Es war natürlich ein Bewerbungsschreiben. Gezippt.

h.
StefanKittel
StefanKittel 04.06.2019 um 08:22:01 Uhr
Goto Top
Zitat von @theoberlin:
packen die Trojaner denn?
Vergleiche diese Trojaner mit 7zip.
Verzeichnis komprimierung, dabei mit Kennwort verschlüsseln und Dateien danach löschen.

Bei einem Kunden hat so ein Ding innerhalb von 12 Minuten ca. 60 GB Daten verschlüsselt (SSD).

Stefan
theoberlin
theoberlin 04.06.2019 aktualisiert um 08:42:16 Uhr
Goto Top
Spätestens wenn die ersten Files gelöscht werden, werden Sie ja wieder erfasst.
Es geht ja auch nicht darum, dass sofort zu verhindern. Dafür gibt es ja Backups. Aber halt schnell zu beenden. Und ich möchte halt nicht in die unangenehme Situation kommen, dass mehrere verschlüsselte Versionen in den Backups landen und sich die Katze dann nach ein paar Tagen in den ### beißt.

Dann werde ich mehrere Kriterien festlegen:

Generell Änderungen f/sec, f/min, f/h.

Und für Read Vorgänge einen wirklich hohen Wert um Fehlalarme zu vermeiden. Mal sehen was da die Erfahrungswerte zeigen wenn ich die mit auswerte.

Mit GnuPG Verschlüsselung habe ich hier ungefähr 80 files/sec bei Word/Excel files von rund 1-1,5 MB. Also quasi Netzwerk Vollauslastung.

Edit: Interessant zu sehen, dass Administrator.de Wörter "wegpiept" :D
Dilbert-MD
Dilbert-MD 04.06.2019 um 10:09:52 Uhr
Goto Top
Zitat von @theoberlin:
Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.

Dann denke doch mal anders herum:
Wie viele Dateien / Änderungen an Dateien würde ein normaler User schreiben, wenn er bzw. seine Software intensiv arbeitet?
- bei Word und Excel 5 bis 10x Speichern pro Minute incl. Temp-Datei und Sicherungsdatei
- bei BranchenSoftware 3 bis 4x Speichern pro Minute x 10 Dateien
- CAD/CAM mit diversen Verknüpfungen und Anbindung an Datenbanken ... ??
Danach setzt Du das Limit für Änderungen und neue Dateien +10% und probierst es aus. Kommen Beschwerden von Nutzern, musst Du schauen, welche Software da so sehr aktiv ist.

Dann musst Du ggf. noch Sonderfälle beachten, z.B. wenn ein Ordner mit vielen Daten verschoben oder kopiert wird oder wenn ein Mitarbeiter von einem Ortstermin 100 Fotos mitbringt und diese kopiert oder bei vorhandenen Fotos alle Fotos im Verzeichnis in einem Rutsch verkleinert oder wenn Dateien von Projektpartnern importiert werden oder wenn eine altes Projekt in einem ZIP-Archiv ausgepackt wird... usw.

Gruß
theoberlin
theoberlin 04.06.2019 um 12:59:09 Uhr
Goto Top
Hi Dilbert,

genauso mache ich es auch. Seit ca. zwei Wochen analysiere ich das Verhalten. Aber dennoch ist es ja wichtig zu wissen was der Trojaner veranstaltet. Wenn die beiden Aktivitäten zu nah beieinander liegen müsste ich mir zusätzliche Methoden zurechtlegen um das auseinanderzuhalten.

lg
Theo
Globetrotter
Globetrotter 19.01.2020 um 18:27:11 Uhr
Goto Top
Hi..
Ich hatte mal so einen Fall und da interessiert es nicht wirklich wie schnell das Ding ist. Bis die User Ihren Kaffee ausgetrunken haben und sich unterhalten haben ob dies oder das bei den anderen noch geht, ist das Ding durch.. Viele User merken auch erst Tage später, daß etwas nicht stimmt...
Da die Platten mittlerweile nicht wirklich teuer sind, hilft hier auch einen Storage mit Filesystem-Versioning zu hinterlegen (wie Synology o.ä.)
Zielsystem hat hier keine normale Freigabe für Admin oder normalen User... via Script nen Robocopy mit speziellem User laufen lassen und das halt für etliche Tage vorhalten... bisher ToiToiToi..
Man muss aber auch sagen, daß die Endpointsecurity von etlichen AV-Herstellern auch gut geworden ist - leider auf kosten der Performance...

Gruss Globe!