dng-alt
Goto Top

Isolierte Umgebung für Viren-Analyse

Hallo zusammen,

ich hoffe mal, alle sind gut in die erste Adventswoche gekommen? face-smile

Ich suche schon einige Zeit eine gute Lösung um bei uns im Unternehmen in einer isolierten Umgebung verdächtige Programme, Anhänge und Mails zu analysieren.
Wir bekommen immer wieder USB-Sticks, Mails oder Dateien "zugetragen", die eventuelle Schadsoftware beinhalten.
Manchmal sind wir uns selbst nicht sicher und möchten die Daten ohne Risiko öffnen und prüfen.
Mein gegenwärtiges Konzept würde wie folgt aussehen.

- Eigenständiger PC ohne Zugriff auf das Produktivnetzwerk (Komplett physikalisch getrennt!!)
- Eigenständiger Zugang ins Internet mit nur dedizierten Ports (HTTP, HTTPS, POP3, SMTP)
- Virenscanner installiert (ist irgendwie klar face-smile )
- Eventuell Browser und andere Anwendungen in Sandbox laufen lassen?
- Vielleicht besser den Rechner generell gegen Änderungen schützen, die bei einem Neustart verworfen werden (z.B: HDD-Sheriff etc.)?
- Netzwerkmonitor (Fiddler, Wireshark) um Verbindungen zu tracken
- verschiedene Analysetools (TCPDUMP, PROCESS-Monitor, etc.)
- Internetzugriff nur über Proxy
- spezielle Virenmail-Adresse angelegt, die nur über diesen Rechner geholt werden kann. Die Benutzer können dann potenzielle Mails direkt an diese Adresse weiterleiten.

Ich wollte bewusst keine VM nehmen, da ich gelesen habe, dass manche Viren bei virtuellen System nicht ausbrechen, da es sich eben um eine Analyse-Umgebung handeln könnte.
Hat jemand eine solche Umgebung in Betrieb und kann mir hier einen guten Tipp geben?
Bin ich vielleicht komplett auf dem falschen Weg und es gibt da bessere Lösungen?
Gibt es vielleicht schon fertige Linux-Systeme, die ich von Stick/DVD booten kann und die das beinhalten (Kali??)

Ich hoffe, ich konnte mein Anliegen verständlich vorbringen und freue mich über Eure Tipps.
Vielen Dank dafür schon mal im Voraus!

Grüße,
dng-alt

Content-ID: 289876

Url: https://administrator.de/forum/isolierte-umgebung-fuer-viren-analyse-289876.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

Lochkartenstanzer
Lösung Lochkartenstanzer 02.12.2015, aktualisiert am 03.12.2015 um 07:57:26 Uhr
Goto Top
Moin,

ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.

lks
michi1983
michi1983 02.12.2015 um 15:32:01 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.

lks

Ev. bin ich einfach zu doof zum Suchen, aber gibts irgendwo einen Link wo ich mir das aktuelle desinfect runteralden kann (gerne auch gegen Bezahlung)?
Ich habe bisher nur einen offiziellen Link von heise gefunden wo ich mir online das Heft kaufen kann inklusive der DVD eben.

Gruß
IrunGoldstein
IrunGoldstein 02.12.2015 um 15:50:05 Uhr
Goto Top
Hi michi,


"Das System stamm von der Zeitschrift c't und wird dort regelmäßig in den Heft-CDs/DVDs beigelegt, als Download ist es nicht erhältlich."

Grüße
Lochkartenstanzer
Lochkartenstanzer 02.12.2015 aktualisiert um 15:55:29 Uhr
Goto Top
Zitat von @michi1983:

Zitat von @Lochkartenstanzer:

Moin,

ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.

lks

Ev. bin ich einfach zu doof zum Suchen, aber gibts irgendwo einen Link wo ich mir das aktuelle desinfect runteralden kann (gerne auch gegen Bezahlung)?
Ich habe bisher nur einen offiziellen Link von heise gefunden wo ich mir online das Heft kaufen kann inklusive der DVD eben.


Genau der.

Die Download-Version enthält nur einen freien Scanner, ich empfehle aber die Heftversion mit der DVD. Mit der DVD kann man einen Bootstick erstellen, mit der man die Scankiste dann aufbauen kann. ich bestell emeist einige Hefte on der jeweiligen Ausgabe, die ich dann Kunden in die hand drücke.

lks
Jochem
Jochem 02.12.2015 um 15:55:30 Uhr
Goto Top
Moin,

laut FAQ aus dem desinfec't-Forum:

"Wegen der enthaltenen Antiviren-Software, dürfen wir Desinfec't leider nicht zum Download anbieten."

Aber wenn Du mutig bist, kannst Du ja mal bei
desinfec't 2015 Download??
vorbeischauen.

Gruß J face-smile chem
Lochkartenstanzer
Lochkartenstanzer 02.12.2015 um 15:57:32 Uhr
Goto Top
Zitat von @Jochem:

"Wegen der enthaltenen Antiviren-Software, dürfen wir Desinfec't leider nicht zum Download anbieten."

Es gibt auch eine Desinfect-Version zum Downloa, die nur clamav enthält.

lks
michi1983
michi1983 02.12.2015 um 15:57:42 Uhr
Goto Top
Okay danke für die Infos Leute.
Na, wenn, dann möchte ich heise schon auch unterstützen für ihre Arbeit.
Die 4,50 € machen mich zum Glück nicht arm face-big-smile
dng-alt
dng-alt 03.12.2015 um 07:57:08 Uhr
Goto Top
Guten Morgen Lochkartenstanzer,

vielen Dank für Deine schnelle Antwort.
Die Idee mit Desinfect hatte ich auch schon. Da meine Linux-Kenntnisse, sagen wir mal, übersichtlich sind, war das nicht meine erste Wahl! face-wink
Aber ich habe heute früh in der c't 26/2015, die endlich zu mir durchgedrungen ist, ein Notfall-Windows unter Windows PE gefunden:

http://www.heise.de/ct/ausgabe/2015-26-c-t-Notfall-Windows-zusammenbaue ...

Dann werde ich erst mal mit Desinfect und Windows PE experimentieren und schauen, was meine Vorstellungen besser erfüllt!
Vielen Dank für Deine Hilfe!

Grüße,
dng-alt
Lochkartenstanzer
Lösung Lochkartenstanzer 03.12.2015 aktualisiert um 13:40:05 Uhr
Goto Top
Zitat von @dng-alt:

Guten Morgen Lochkartenstanzer,

vielen Dank für Deine schnelle Antwort.
Die Idee mit Desinfect hatte ich auch schon. Da meine Linux-Kenntnisse, sagen wir mal, übersichtlich sind, war das nicht meine erste Wahl! face-wink
Aber ich habe heute früh in der c't 26/2015, die endlich zu mir durchgedrungen ist, ein Notfall-Windows unter Windows PE gefunden:

http://www.heise.de/ct/ausgabe/2015-26-c-t-Notfall-Windows-zusammenbaue ...

Dann werde ich erst mal mit Desinfect und Windows PE experimentieren und schauen, was meine Vorstellungen besser erfüllt!


Ich würde trotzdem zu der desinfect-Lösung raten. Mit dem Linux kommst Du nur insoweit in Berührung, als daß Du da auch nur auf irgendwelche Icons klickst, genauso wie bei Windows auch. Die WinPE-Version ist allerdings imho für so eine Station zu eingeschränkt. Da sollte man sich gleich ein ordentliches Windows installieren und diverse Virenscanner um damit eine Scanstation zu erstellen.

lks
dng-alt
dng-alt 03.12.2015 um 13:37:19 Uhr
Goto Top
Hallo Lochkartenstanzer,

nochmals Danke für Deine Einschätzung...
Ich habe mir desinfect heute mal angeschaut und finde es "ganz knuffig". Die Ubuntu-Oberfläche ist gut verständlich!
Damit werde ich jetzt mal starten und versuchen meine Umgebung zu installieren!

Vielen Dank für Deine Hilfe und Mühe! face-smile

Grüße,
dng-alt
dng-alt
dng-alt 18.12.2015 um 12:12:09 Uhr
Goto Top
Hallo zusammen,

ich wollte nur noch mal mitteilen, wie ich meine "isolierte" Umgebung nun eingerichtet und bereits auch erfolgreich getestet habe:

- Standard-PC mit 120 GB SSD, damit das booten nicht ewig dauert
- Windows 8.1 wie einen Client eingerichtet
- Alle Policies von Office etc. wie am Standard-Client eingerichtet
- Standard-Virenscanner wie auf Clients installieren (Bei uns TrendMicro WFBS 9.0 SP2)
- Proxy mit gleichen Rechten wie Clients
- Anbindung ans Internet über eigenständiges Netzwerk
- PC geschützt mit PC-Sheriff Easy
- Neue Mailadresse "Virus@....." an die die zu prüfende Mail vom Benutzer weitergeleitet werden kann.
- Über Web-Oberfläche auf Mail-Adresse zugreifen und Anhang herunterladen.

Ich habe mir noch ein paar nette Tools installiert um eventuell das Verhalten vom Virus nachzugehen:
- Fiddler, Network Monitor, TCPView
- Process-Monitor, Process-Explorer
- verschiedene Tools um Viren zu finden

Mit dem PC-Sheriff kann man seinen PC sehr schön absichern. Nach jedem Neustart wird die Kiste auf den Anfangszustand zurückgesetzt und somit ist ein verseuchter Rechner leicht wieder herstellbar. PC-Sheriff Easy kostet ca. 50 Euro pro Device und kann über Amazon bezogen werden.

Hier der Link zum Hersteller, wo man sich eine 14-Tage-Testversion anfordern kann:
Schwarz: PC-Sheriff

Kleiner Tipp noch:
Was man nicht vergessen darf, wenn die Mail wirklich virenverseucht ist: Man muss dem Benutzer sagen, dass er die Mail und auch die weitergeleitete Mail sofort endgültig löschen muss. Am besten macht man das mit dem Benutzer zusammen um sicher zu sein! Sonst taucht die Mail in zwei Wochen irgendwo wieder auf und wird doch noch geöffnet! face-sad

Viel Erfolg und gute Jagd! face-smile
Grüße,
dng-alt