Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Malwareerkennung im Firmennetz

Mitglied: BleppSatter

BleppSatter (Level 1) - Jetzt verbinden

06.12.2018 um 12:27 Uhr, 1027 Aufrufe, 8 Kommentare

Hallo Leute,

wir haben bei uns in letzter Zeit ein stärkeres Spamaufkommen, wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde durch eine Malware, welche solche Daten sammelt. Vom Verhalten her hat mich das schon stark an Emotet erinnert. Daher stellen sich mir nun folgende Frage:

Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht? Die Möglichkeit, den IP-Fluss mittels NetFlow oder sFlow an den Switches zu strukturieren, kenne ich bereits, allerdings hätte ich dann noch immer den Aufwand, das alles zu verstehen und zuzuordnen. Wenn mir ein Programm das im großen Teil abnehmen kann oder bspw. mir Anomalien im analysierten IP-Fluss anzeigt, wäre das eine große Hilfe.

Vielen Dank und eine frohe Adventszeit,
Bleppsatter
Mitglied: Lochkartenstanzer
06.12.2018 um 12:36 Uhr
Zitat von BleppSatter:

Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht?

Moin,

nennt sich IDS.

lks
Bitte warten ..
Mitglied: departure69
06.12.2018, aktualisiert um 14:18 Uhr
@BleppSatter:

Hallo.

@Lochkartenstanzer hat Dir ja schon m. E. passend geantwortet.

Doch hierzu:

wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde

habe ich noch was:

Meine Leute kriegen auch SPAM von Kollegen. Oder von sich selbst! Da wird dann fix bei mir angerufen und vermutet, daß wir bzw. unser Mailserver "gehäckt" wurde, ich solle dringend etwas unternehmen. Mich läßt das kalt, denn ich kann dann zur Antwort geben, daß nicht wir oder unser Mailserver gehackt wurde, sondern bloß unsere Mailadressen, allerdings außerhalb unseres Hauses. Sobald ich mit einer E-Mail-Adresse auch nur ein einziges mal nach außen agiere, ist sie "in der Welt". Und ab dann kann sie auch "in der Welt" - außerhalb unseres eigenen LAN - irgendwo entwendet und weiterverwendet werden. Was manchmal die kuriose Folge hat, SPAM von vermeintlichen Kollegen zu kriegen, dabei hat der Spammer sich irgendwo außerhalb unseres Hauses die Mail-Adresse(n) "angeeignet". Dagegen ist nichts zu unternehmen, außer, sich neue Mailadressen zuzulegen bzw. diese zu ändern. Hält aber nicht lange und geht dann bald wieder von vorne los.

Schwankendes Spamaufkommen ist normal und entspricht in der Verteilung in etwa der Populationsverschiebung (zwei gegeneinander verschobene Sinuskurven mit ähnlich hohem Ambitus) zwischen Polarfuchs und Schneehase in der Arktis. Die Spammer kreieren neues Aussehen und Erscheinungsbild ihres SPAM, das die Anti-Spam-Software noch nicht kennt, das Spamaufkommen steigt. Die Anti-Spam-SW lernt hinzu und erkennt die neuen SPAM-Methoden, SPAM wird erstmal wieder weniger. Die Spammer erfinden was neues, SPAM steigt wieder. Rauf und runter, fast meßbar regelmäßig. Und das wird übrigens nie mehr aufhören .

Ich glaube nicht, daß ihr ein Spezialproblem habt, das besondere Beachtung braucht. Und falls Ihr doch auf Nummer sicher gehen wollt, dann analysiert gerne den IP-Fluß.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: BleppSatter
06.12.2018, aktualisiert um 14:39 Uhr
@Lochkartenstanzer Okay, danke für den Hinweis. Und können Sie mir auch Empfehlungen für bestimmte Produkte geben? Wir haben uns mit dem Thema bisher kaum auseinandergesetzt, brauchen jetzt aber eine Lösung, die nach möglichen Viren im Netzwerk scannt. Zugegeben, die Beschränkung auf den IP-Fluss macht da nicht viel Sinn, daher sollte es meines Erachtens nach eine hybride IDS/IPS-Lösung geben, die sowohl auf zentralen Komponenten als auch in der Netzwerkkommunikation nach verdächtigen Aktivitäten sucht. Die Ausgangslage soll dabei sein, dass unser System bereits von uns unbemerkt infiziert wurde. Nach dem Wiki-Artikel schien mir Snort als am interessanten aus der Auswahl, allerdings scheint die Konfiguration dieses Programm sehr viel Wissen zu IDS/IPS vorauszusetzen und zudem ziemlich umfangreich zu sein.
Im Prinzip suche ich ein Programm, dass kein allzu tiefes Fachwissen über IDS/IPS voraussetzt (sicherlich führt kein Weg daran vorbei, sich damit auseinanderzusetzen, allerdings arbeite ich hier als Admin für Alles, da habe ich nicht die Zeit, mich intensiv und ausführlich da einzuarbeiten), sondern evtl. einiges an Arbeit und Analyse abnimmt. Es ist dabei zweitrangig, ob es eine kommerzielle Software oder Opensource ist, ich setze da lieber auf die Nutzererfahrungen und wende mich auch deshalb hier an die Community.

BleppSatter
Bitte warten ..
Mitglied: Lochkartenstanzer
06.12.2018 um 14:48 Uhr
Zitat von BleppSatter:

@Lochkartenstanzer Okay, danke für den Hinweis. Und können Sie mir auch Empfehlungen für bestimmte Produkte geben?

Moin,

Wir Duzen uns hier alle. Alse kanst Du Du zu mir sagen.

Produkte gibt es viele, z.B. von Cisco, Astaro, CA, Checkpoint, etc. Hier ist ein (etwas älterer) Überblick.

Um das richtige Produkt für Dich zu finden, solltest Du ein Systemhaus in Deiner Nähe konsultieren, denn so einfach aus dem Forum heraus ist es etwas schwierig eine Empfehlung auszusprechen, ohne die Gegebenheiten vor Ort zu kennen.

lks

PS: Du kannst mich oder die anderen Kollegen aus dem Forum, die das auch anbieten, natürlich auch konsultieren. Allerdings ist das meist mit kosten verbunden.
Bitte warten ..
Mitglied: certifiedit.net
06.12.2018 um 15:46 Uhr
Hallo Lochkartenstanzer,

da da Sophos UTM noch als Astaro hinterlegt ist, kannst du den Überblick in die Tonne treten, da das dann pi mal Daumen schon 5 Jahre alt ist.. Allerdings, Sophos bevorzuge ich heute noch.

Viele Grüße,

Christian
Bitte warten ..
Mitglied: BleppSatter
06.12.2018 um 15:54 Uhr
@departure69

Das kann auch sehr gut sein, dass ich mich einfach von der Vielzahl an Spam-Nachrichten irritieren haben lasse. Da ich bei einer genaueren Analyse dieser Mails festgestellt habe, dass Returnpath und FROM komplett verschiedene Mailadressen beinhalten, werde ich als eine Maßnahme schauen, ob ich einen automatisierten Abgleich der Mail-Domain aus diesen beiden Feldern vornehmen kann. Zwar würden dann auch etliche Mails von Konzernen als Spam markiert werden, aber da ist es mir lieber, diese FalsePositive-Mails händisch freizuschalten, als das Risko einer Virus-Infektion einzugehen.
Bitte warten ..
Mitglied: St-Andreas
06.12.2018 um 17:59 Uhr
Neben einer technischen Basis braucht man hier vor allem eine fundierte Ausbildung und viel Erfahrung.
Einfach eine Software kaufen die das „erledigt“ bringt nur eine trügerische Sicherheit.
Anhand der Frage vermute ich das Dir Wissen und Erfahrungen fehlen, daher der dringende Rat: Kauft Euch ein Paket aus Konzept, Hard-/Software und Service.
Alles andere verbrennt in der Regel nur Geld.
Bitte warten ..
Mitglied: dark.cube
06.12.2018 um 23:43 Uhr
IBM QRadar und sonstige Konsorten. Stichwort SIEM.
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Trojaner durch Firmennetz
gelöst Frage von JanRaHHViren und Trojaner6 Kommentare

Guten Abend, bisher ist es reine Spekulation. Ich möchte aber für den Fall gewappnet sein. Anscheinend haben wir im ...

Tipps & Tricks

Veranstaltungsnotebook zurück ins Firmennetz

Frage von WindowsUser1Tipps & Tricks13 Kommentare

Guten Morgen zusammen, mobile Rechner werden auf Veranstaltungen/Events mitgenommen, es wird gesurft, USB Sticks werden verwendet. Nun muss sichergestellt ...

Router & Routing

UDP Multicast in geroutetem Firmennetz

Frage von sporexRouter & Routing8 Kommentare

Ich muss für einen Kunden eine SW liefern welche ein Signalisierungsprotokoll über UDP Multicast an 40 Hosts mit statischen ...

Webbrowser

Firmennetz: Zertifikatsprobleme bei anderen Browsern

Frage von DennisWeberWebbrowser15 Kommentare

Hallo, im Unternehmen haben wir alle Rechner auf Windowsbasis. Als Standard ist der Internet Explorer 11 installiert. Da mir ...

Neue Wissensbeiträge
Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 2 TagenSicherheit15 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Viren und Trojaner
Trend Micro WFBS 10 SP1 Patch 2185
Tipp von Abramelin vor 2 TagenViren und Trojaner3 Kommentare

Hi, Hab gerade gesehen das Patch 2185 für TM WFBS 10 SP1 erschienen ist! Werde mal Morgen den Patch ...

Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

Tipp von transocean vor 3 TagenViren und Trojaner7 Kommentare

Moin, lest selbst. Grüße Uwe

Sicherheit
Böser Bug in Domänenkennwortrichtlinie!
Information von DerWoWusste vor 3 TagenSicherheit2 Kommentare

Ich spiegele mal Borncity: In Kürze: Nutzt Ihr eine Domänen-Kennwortrichtlinie der herkömmlichen Art (keine PSO-Richtlinie)? Ja? Und plant Ihr, ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerkstruktur für Zuhause 1Anschluss 2 Netze
Frage von chrishaefNetzwerke27 Kommentare

Hallo liebes Forum, Ich hätte da mal eine Frage an die Profis. Bei uns liegt ein DSL Anschluss im ...

Windows 7
Windows 7 - Ein DSL Speedtest - Mehrere Browser - Unterschiedliche Ergebnisse
Frage von AusAltwirdNeuWindows 725 Kommentare

Hallo zusammen, mein PC hat zwei Rj45 Anschlüsse. Beide sind auf Gigabit Vollduplex eingestellt. An beiden Anschlüssen erreiche ich ...

Batch & Shell
Eingabeaufforderung macht Pause bei Datensicherung mit Robocopy auf DVD
Frage von anmelderBatch & Shell23 Kommentare

Hallo, ich sichere einige Daten per Robocopy auf DVD-RAM. Wenn ich nicht am Rechner sitze macht der Befehl nach ...

Windows Server
Neuinstallation Windows Server 2016 - wie würdet Ihr vorgehen
Frage von mollyneoWindows Server21 Kommentare

Moin, ich habe gerade ein kleines Problem mit einer bestehenden Installation eines "Fachmanns" und möchte gern wissen, wie ihr ...