Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Malwareerkennung im Firmennetz

Mitglied: BleppSatter

BleppSatter (Level 1) - Jetzt verbinden

06.12.2018 um 12:27 Uhr, 479 Aufrufe, 8 Kommentare

Hallo Leute,

wir haben bei uns in letzter Zeit ein stärkeres Spamaufkommen, wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde durch eine Malware, welche solche Daten sammelt. Vom Verhalten her hat mich das schon stark an Emotet erinnert. Daher stellen sich mir nun folgende Frage:

Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht? Die Möglichkeit, den IP-Fluss mittels NetFlow oder sFlow an den Switches zu strukturieren, kenne ich bereits, allerdings hätte ich dann noch immer den Aufwand, das alles zu verstehen und zuzuordnen. Wenn mir ein Programm das im großen Teil abnehmen kann oder bspw. mir Anomalien im analysierten IP-Fluss anzeigt, wäre das eine große Hilfe.

Vielen Dank und eine frohe Adventszeit,
Bleppsatter
Mitglied: Lochkartenstanzer
06.12.2018 um 12:36 Uhr
Zitat von BleppSatter:

Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht?

Moin,

nennt sich IDS.

lks
Bitte warten ..
Mitglied: departure69
06.12.2018, aktualisiert um 14:18 Uhr
@BleppSatter:

Hallo.

@Lochkartenstanzer hat Dir ja schon m. E. passend geantwortet.

Doch hierzu:

wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde

habe ich noch was:

Meine Leute kriegen auch SPAM von Kollegen. Oder von sich selbst! Da wird dann fix bei mir angerufen und vermutet, daß wir bzw. unser Mailserver "gehäckt" wurde, ich solle dringend etwas unternehmen. Mich läßt das kalt, denn ich kann dann zur Antwort geben, daß nicht wir oder unser Mailserver gehackt wurde, sondern bloß unsere Mailadressen, allerdings außerhalb unseres Hauses. Sobald ich mit einer E-Mail-Adresse auch nur ein einziges mal nach außen agiere, ist sie "in der Welt". Und ab dann kann sie auch "in der Welt" - außerhalb unseres eigenen LAN - irgendwo entwendet und weiterverwendet werden. Was manchmal die kuriose Folge hat, SPAM von vermeintlichen Kollegen zu kriegen, dabei hat der Spammer sich irgendwo außerhalb unseres Hauses die Mail-Adresse(n) "angeeignet". Dagegen ist nichts zu unternehmen, außer, sich neue Mailadressen zuzulegen bzw. diese zu ändern. Hält aber nicht lange und geht dann bald wieder von vorne los.

Schwankendes Spamaufkommen ist normal und entspricht in der Verteilung in etwa der Populationsverschiebung (zwei gegeneinander verschobene Sinuskurven mit ähnlich hohem Ambitus) zwischen Polarfuchs und Schneehase in der Arktis. Die Spammer kreieren neues Aussehen und Erscheinungsbild ihres SPAM, das die Anti-Spam-Software noch nicht kennt, das Spamaufkommen steigt. Die Anti-Spam-SW lernt hinzu und erkennt die neuen SPAM-Methoden, SPAM wird erstmal wieder weniger. Die Spammer erfinden was neues, SPAM steigt wieder. Rauf und runter, fast meßbar regelmäßig. Und das wird übrigens nie mehr aufhören .

Ich glaube nicht, daß ihr ein Spezialproblem habt, das besondere Beachtung braucht. Und falls Ihr doch auf Nummer sicher gehen wollt, dann analysiert gerne den IP-Fluß.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: BleppSatter
06.12.2018, aktualisiert um 14:39 Uhr
@Lochkartenstanzer Okay, danke für den Hinweis. Und können Sie mir auch Empfehlungen für bestimmte Produkte geben? Wir haben uns mit dem Thema bisher kaum auseinandergesetzt, brauchen jetzt aber eine Lösung, die nach möglichen Viren im Netzwerk scannt. Zugegeben, die Beschränkung auf den IP-Fluss macht da nicht viel Sinn, daher sollte es meines Erachtens nach eine hybride IDS/IPS-Lösung geben, die sowohl auf zentralen Komponenten als auch in der Netzwerkkommunikation nach verdächtigen Aktivitäten sucht. Die Ausgangslage soll dabei sein, dass unser System bereits von uns unbemerkt infiziert wurde. Nach dem Wiki-Artikel schien mir Snort als am interessanten aus der Auswahl, allerdings scheint die Konfiguration dieses Programm sehr viel Wissen zu IDS/IPS vorauszusetzen und zudem ziemlich umfangreich zu sein.
Im Prinzip suche ich ein Programm, dass kein allzu tiefes Fachwissen über IDS/IPS voraussetzt (sicherlich führt kein Weg daran vorbei, sich damit auseinanderzusetzen, allerdings arbeite ich hier als Admin für Alles, da habe ich nicht die Zeit, mich intensiv und ausführlich da einzuarbeiten), sondern evtl. einiges an Arbeit und Analyse abnimmt. Es ist dabei zweitrangig, ob es eine kommerzielle Software oder Opensource ist, ich setze da lieber auf die Nutzererfahrungen und wende mich auch deshalb hier an die Community.

BleppSatter
Bitte warten ..
Mitglied: Lochkartenstanzer
06.12.2018 um 14:48 Uhr
Zitat von BleppSatter:

@Lochkartenstanzer Okay, danke für den Hinweis. Und können Sie mir auch Empfehlungen für bestimmte Produkte geben?

Moin,

Wir Duzen uns hier alle. Alse kanst Du Du zu mir sagen.

Produkte gibt es viele, z.B. von Cisco, Astaro, CA, Checkpoint, etc. Hier ist ein (etwas älterer) Überblick.

Um das richtige Produkt für Dich zu finden, solltest Du ein Systemhaus in Deiner Nähe konsultieren, denn so einfach aus dem Forum heraus ist es etwas schwierig eine Empfehlung auszusprechen, ohne die Gegebenheiten vor Ort zu kennen.

lks

PS: Du kannst mich oder die anderen Kollegen aus dem Forum, die das auch anbieten, natürlich auch konsultieren. Allerdings ist das meist mit kosten verbunden.
Bitte warten ..
Mitglied: certifiedit.net
06.12.2018 um 15:46 Uhr
Hallo Lochkartenstanzer,

da da Sophos UTM noch als Astaro hinterlegt ist, kannst du den Überblick in die Tonne treten, da das dann pi mal Daumen schon 5 Jahre alt ist.. Allerdings, Sophos bevorzuge ich heute noch.

Viele Grüße,

Christian
Bitte warten ..
Mitglied: BleppSatter
06.12.2018 um 15:54 Uhr
@departure69

Das kann auch sehr gut sein, dass ich mich einfach von der Vielzahl an Spam-Nachrichten irritieren haben lasse. Da ich bei einer genaueren Analyse dieser Mails festgestellt habe, dass Returnpath und FROM komplett verschiedene Mailadressen beinhalten, werde ich als eine Maßnahme schauen, ob ich einen automatisierten Abgleich der Mail-Domain aus diesen beiden Feldern vornehmen kann. Zwar würden dann auch etliche Mails von Konzernen als Spam markiert werden, aber da ist es mir lieber, diese FalsePositive-Mails händisch freizuschalten, als das Risko einer Virus-Infektion einzugehen.
Bitte warten ..
Mitglied: St-Andreas
06.12.2018 um 17:59 Uhr
Neben einer technischen Basis braucht man hier vor allem eine fundierte Ausbildung und viel Erfahrung.
Einfach eine Software kaufen die das „erledigt“ bringt nur eine trügerische Sicherheit.
Anhand der Frage vermute ich das Dir Wissen und Erfahrungen fehlen, daher der dringende Rat: Kauft Euch ein Paket aus Konzept, Hard-/Software und Service.
Alles andere verbrennt in der Regel nur Geld.
Bitte warten ..
Mitglied: dark.cube
06.12.2018 um 23:43 Uhr
IBM QRadar und sonstige Konsorten. Stichwort SIEM.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
VPN, Lager, Firmennetz
Frage von DomFryNetzwerke6 Kommentare

Hallo zusammen, aktuell würde ich gerne folgende Anforderung erfüllen: VPN-Verbindung zwischen Lager (Dyndns, Fritzbox 7390) und Hauptgebäude (Fixe Ip, ...

Tipps & Tricks

Veranstaltungsnotebook zurück ins Firmennetz

Frage von WindowsUser1Tipps & Tricks13 Kommentare

Guten Morgen zusammen, mobile Rechner werden auf Veranstaltungen/Events mitgenommen, es wird gesurft, USB Sticks werden verwendet. Nun muss sichergestellt ...

Webbrowser

Firmennetz: Zertifikatsprobleme bei anderen Browsern

Frage von DennisWeberWebbrowser15 Kommentare

Hallo, im Unternehmen haben wir alle Rechner auf Windowsbasis. Als Standard ist der Internet Explorer 11 installiert. Da mir ...

Webbrowser

Homepage wird im Firmennetz langsam geöffnet

gelöst Frage von Dr.CornwallisWebbrowser11 Kommentare

Hallo Gemeinde! Ich habe folgendes Problem in meinem Netzwerk. Unsere Homepage funktioniert vom eigenen Firmennetz aus sehr langsam(ca.1-3 min ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 1 TagHumor (lol)2 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 1 TagErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 5 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 5 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
SSD zeigt falsche Werte
Frage von karl2014Festplatten, SSD, Raid25 Kommentare

Ich habe ein Problem mit der SSD in meinem Laptop mit Windows 10. Es ist eine 1Tb Platte die ...

Ubuntu
Installation freerdp 2.0.0-rc4
Frage von kristovUbuntu20 Kommentare

Hallo, möchte freerdp 2.0.0-rc4 auf linux mint 18.3 installieren, habe aber keine Ahnung, wie das funktioniert. freerdp 1.1 ist ...

Router & Routing
VPN u. WLAN Router für Reisen
Frage von stephan902Router & Routing17 Kommentare

Hallo, ich bin auf der Suche nach einem VPN/WLAN-Router für unterwegs. Und zwar möchte ich auf Reisen einfach den ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1013 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...