Malwareerkennung im Firmennetz

bleppsatter
Goto Top
Hallo Leute,

wir haben bei uns in letzter Zeit ein stärkeres Spamaufkommen, wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde durch eine Malware, welche solche Daten sammelt. Vom Verhalten her hat mich das schon stark an Emotet erinnert. Daher stellen sich mir nun folgende Frage:

Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht? Die Möglichkeit, den IP-Fluss mittels NetFlow oder sFlow an den Switches zu strukturieren, kenne ich bereits, allerdings hätte ich dann noch immer den Aufwand, das alles zu verstehen und zuzuordnen. Wenn mir ein Programm das im großen Teil abnehmen kann oder bspw. mir Anomalien im analysierten IP-Fluss anzeigt, wäre das eine große Hilfe.

Vielen Dank und eine frohe Adventszeit,
Bleppsatter

Content-Key: 394864

Url: https://administrator.de/contentid/394864

Ausgedruckt am: 17.08.2022 um 16:08 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.12.2018 um 12:36:39 Uhr
Goto Top
Zitat von @BleppSatter:

Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht?

Moin,

nennt sich IDS.

lks
Mitglied: departure69
departure69 06.12.2018 aktualisiert um 14:18:48 Uhr
Goto Top
@BleppSatter:

Hallo.

@Lochkartenstanzer hat Dir ja schon m. E. passend geantwortet.

Doch hierzu:

wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde

habe ich noch was:

Meine Leute kriegen auch SPAM von Kollegen. Oder von sich selbst! Da wird dann fix bei mir angerufen und vermutet, daß wir bzw. unser Mailserver "gehäckt" wurde, ich solle dringend etwas unternehmen. Mich läßt das kalt, denn ich kann dann zur Antwort geben, daß nicht wir oder unser Mailserver gehackt wurde, sondern bloß unsere Mailadressen, allerdings außerhalb unseres Hauses. Sobald ich mit einer E-Mail-Adresse auch nur ein einziges mal nach außen agiere, ist sie "in der Welt". Und ab dann kann sie auch "in der Welt" - außerhalb unseres eigenen LAN - irgendwo entwendet und weiterverwendet werden. Was manchmal die kuriose Folge hat, SPAM von vermeintlichen Kollegen zu kriegen, dabei hat der Spammer sich irgendwo außerhalb unseres Hauses die Mail-Adresse(n) "angeeignet". Dagegen ist nichts zu unternehmen, außer, sich neue Mailadressen zuzulegen bzw. diese zu ändern. Hält aber nicht lange und geht dann bald wieder von vorne los.

Schwankendes Spamaufkommen ist normal und entspricht in der Verteilung in etwa der Populationsverschiebung (zwei gegeneinander verschobene Sinuskurven mit ähnlich hohem Ambitus) zwischen Polarfuchs und Schneehase in der Arktis. Die Spammer kreieren neues Aussehen und Erscheinungsbild ihres SPAM, das die Anti-Spam-Software noch nicht kennt, das Spamaufkommen steigt. Die Anti-Spam-SW lernt hinzu und erkennt die neuen SPAM-Methoden, SPAM wird erstmal wieder weniger. Die Spammer erfinden was neues, SPAM steigt wieder. Rauf und runter, fast meßbar regelmäßig. Und das wird übrigens nie mehr aufhören face-wink.

Ich glaube nicht, daß ihr ein Spezialproblem habt, das besondere Beachtung braucht. Und falls Ihr doch auf Nummer sicher gehen wollt, dann analysiert gerne den IP-Fluß.


Viele Grüße

von

departure69
Mitglied: BleppSatter
BleppSatter 06.12.2018 aktualisiert um 14:39:05 Uhr
Goto Top
@Lochkartenstanzer Okay, danke für den Hinweis. Und können Sie mir auch Empfehlungen für bestimmte Produkte geben? Wir haben uns mit dem Thema bisher kaum auseinandergesetzt, brauchen jetzt aber eine Lösung, die nach möglichen Viren im Netzwerk scannt. Zugegeben, die Beschränkung auf den IP-Fluss macht da nicht viel Sinn, daher sollte es meines Erachtens nach eine hybride IDS/IPS-Lösung geben, die sowohl auf zentralen Komponenten als auch in der Netzwerkkommunikation nach verdächtigen Aktivitäten sucht. Die Ausgangslage soll dabei sein, dass unser System bereits von uns unbemerkt infiziert wurde. Nach dem Wiki-Artikel schien mir Snort als am interessanten aus der Auswahl, allerdings scheint die Konfiguration dieses Programm sehr viel Wissen zu IDS/IPS vorauszusetzen und zudem ziemlich umfangreich zu sein.
Im Prinzip suche ich ein Programm, dass kein allzu tiefes Fachwissen über IDS/IPS voraussetzt (sicherlich führt kein Weg daran vorbei, sich damit auseinanderzusetzen, allerdings arbeite ich hier als Admin für Alles, da habe ich nicht die Zeit, mich intensiv und ausführlich da einzuarbeiten), sondern evtl. einiges an Arbeit und Analyse abnimmt. Es ist dabei zweitrangig, ob es eine kommerzielle Software oder Opensource ist, ich setze da lieber auf die Nutzererfahrungen und wende mich auch deshalb hier an die Community.

BleppSatter
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.12.2018 um 14:48:36 Uhr
Goto Top
Zitat von @BleppSatter:

@Lochkartenstanzer Okay, danke für den Hinweis. Und können Sie mir auch Empfehlungen für bestimmte Produkte geben?

Moin,

Wir Duzen uns hier alle. Alse kanst Du Du zu mir sagen. face-smile

Produkte gibt es viele, z.B. von Cisco, Astaro, CA, Checkpoint, etc. Hier ist ein (etwas älterer) Überblick.

Um das richtige Produkt für Dich zu finden, solltest Du ein Systemhaus in Deiner Nähe konsultieren, denn so einfach aus dem Forum heraus ist es etwas schwierig eine Empfehlung auszusprechen, ohne die Gegebenheiten vor Ort zu kennen.

lks

PS: Du kannst mich oder die anderen Kollegen aus dem Forum, die das auch anbieten, natürlich auch konsultieren. Allerdings ist das meist mit kosten verbunden.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 06.12.2018 um 15:46:44 Uhr
Goto Top
Hallo Lochkartenstanzer,

da da Sophos UTM noch als Astaro hinterlegt ist, kannst du den Überblick in die Tonne treten, da das dann pi mal Daumen schon 5 Jahre alt ist.. Allerdings, Sophos bevorzuge ich heute noch. face-wink

Viele Grüße,

Christian
Mitglied: BleppSatter
BleppSatter 06.12.2018 um 15:54:28 Uhr
Goto Top
@departure69

Das kann auch sehr gut sein, dass ich mich einfach von der Vielzahl an Spam-Nachrichten irritieren haben lasse. Da ich bei einer genaueren Analyse dieser Mails festgestellt habe, dass Returnpath und FROM komplett verschiedene Mailadressen beinhalten, werde ich als eine Maßnahme schauen, ob ich einen automatisierten Abgleich der Mail-Domain aus diesen beiden Feldern vornehmen kann. Zwar würden dann auch etliche Mails von Konzernen als Spam markiert werden, aber da ist es mir lieber, diese FalsePositive-Mails händisch freizuschalten, als das Risko einer Virus-Infektion einzugehen.
Mitglied: St-Andreas
St-Andreas 06.12.2018 um 17:59:14 Uhr
Goto Top
Neben einer technischen Basis braucht man hier vor allem eine fundierte Ausbildung und viel Erfahrung.
Einfach eine Software kaufen die das „erledigt“ bringt nur eine trügerische Sicherheit.
Anhand der Frage vermute ich das Dir Wissen und Erfahrungen fehlen, daher der dringende Rat: Kauft Euch ein Paket aus Konzept, Hard-/Software und Service.
Alles andere verbrennt in der Regel nur Geld.
Mitglied: dark.cube
dark.cube 06.12.2018 um 23:43:39 Uhr
Goto Top
IBM QRadar und sonstige Konsorten. Stichwort SIEM.