Malwareerkennung im Firmennetz
Hallo Leute,
wir haben bei uns in letzter Zeit ein stärkeres Spamaufkommen, wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde durch eine Malware, welche solche Daten sammelt. Vom Verhalten her hat mich das schon stark an Emotet erinnert. Daher stellen sich mir nun folgende Frage:
Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht? Die Möglichkeit, den IP-Fluss mittels NetFlow oder sFlow an den Switches zu strukturieren, kenne ich bereits, allerdings hätte ich dann noch immer den Aufwand, das alles zu verstehen und zuzuordnen. Wenn mir ein Programm das im großen Teil abnehmen kann oder bspw. mir Anomalien im analysierten IP-Fluss anzeigt, wäre das eine große Hilfe.
Vielen Dank und eine frohe Adventszeit,
Bleppsatter
wir haben bei uns in letzter Zeit ein stärkeres Spamaufkommen, wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde durch eine Malware, welche solche Daten sammelt. Vom Verhalten her hat mich das schon stark an Emotet erinnert. Daher stellen sich mir nun folgende Frage:
Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht? Die Möglichkeit, den IP-Fluss mittels NetFlow oder sFlow an den Switches zu strukturieren, kenne ich bereits, allerdings hätte ich dann noch immer den Aufwand, das alles zu verstehen und zuzuordnen. Wenn mir ein Programm das im großen Teil abnehmen kann oder bspw. mir Anomalien im analysierten IP-Fluss anzeigt, wäre das eine große Hilfe.
Vielen Dank und eine frohe Adventszeit,
Bleppsatter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 394864
Url: https://administrator.de/forum/malwareerkennung-im-firmennetz-394864.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
8 Kommentare
Neuester Kommentar
Zitat von @BleppSatter:
Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht?
Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht?
Moin,
nennt sich IDS.
lks
@BleppSatter:
Hallo.
@Lochkartenstanzer hat Dir ja schon m. E. passend geantwortet.
Doch hierzu:
habe ich noch was:
Meine Leute kriegen auch SPAM von Kollegen. Oder von sich selbst! Da wird dann fix bei mir angerufen und vermutet, daß wir bzw. unser Mailserver "gehäckt" wurde, ich solle dringend etwas unternehmen. Mich läßt das kalt, denn ich kann dann zur Antwort geben, daß nicht wir oder unser Mailserver gehackt wurde, sondern bloß unsere Mailadressen, allerdings außerhalb unseres Hauses. Sobald ich mit einer E-Mail-Adresse auch nur ein einziges mal nach außen agiere, ist sie "in der Welt". Und ab dann kann sie auch "in der Welt" - außerhalb unseres eigenen LAN - irgendwo entwendet und weiterverwendet werden. Was manchmal die kuriose Folge hat, SPAM von vermeintlichen Kollegen zu kriegen, dabei hat der Spammer sich irgendwo außerhalb unseres Hauses die Mail-Adresse(n) "angeeignet". Dagegen ist nichts zu unternehmen, außer, sich neue Mailadressen zuzulegen bzw. diese zu ändern. Hält aber nicht lange und geht dann bald wieder von vorne los.
Schwankendes Spamaufkommen ist normal und entspricht in der Verteilung in etwa der Populationsverschiebung (zwei gegeneinander verschobene Sinuskurven mit ähnlich hohem Ambitus) zwischen Polarfuchs und Schneehase in der Arktis. Die Spammer kreieren neues Aussehen und Erscheinungsbild ihres SPAM, das die Anti-Spam-Software noch nicht kennt, das Spamaufkommen steigt. Die Anti-Spam-SW lernt hinzu und erkennt die neuen SPAM-Methoden, SPAM wird erstmal wieder weniger. Die Spammer erfinden was neues, SPAM steigt wieder. Rauf und runter, fast meßbar regelmäßig. Und das wird übrigens nie mehr aufhören .
Ich glaube nicht, daß ihr ein Spezialproblem habt, das besondere Beachtung braucht. Und falls Ihr doch auf Nummer sicher gehen wollt, dann analysiert gerne den IP-Fluß.
Viele Grüße
von
departure69
Hallo.
@Lochkartenstanzer hat Dir ja schon m. E. passend geantwortet.
Doch hierzu:
wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde
habe ich noch was:
Meine Leute kriegen auch SPAM von Kollegen. Oder von sich selbst! Da wird dann fix bei mir angerufen und vermutet, daß wir bzw. unser Mailserver "gehäckt" wurde, ich solle dringend etwas unternehmen. Mich läßt das kalt, denn ich kann dann zur Antwort geben, daß nicht wir oder unser Mailserver gehackt wurde, sondern bloß unsere Mailadressen, allerdings außerhalb unseres Hauses. Sobald ich mit einer E-Mail-Adresse auch nur ein einziges mal nach außen agiere, ist sie "in der Welt". Und ab dann kann sie auch "in der Welt" - außerhalb unseres eigenen LAN - irgendwo entwendet und weiterverwendet werden. Was manchmal die kuriose Folge hat, SPAM von vermeintlichen Kollegen zu kriegen, dabei hat der Spammer sich irgendwo außerhalb unseres Hauses die Mail-Adresse(n) "angeeignet". Dagegen ist nichts zu unternehmen, außer, sich neue Mailadressen zuzulegen bzw. diese zu ändern. Hält aber nicht lange und geht dann bald wieder von vorne los.
Schwankendes Spamaufkommen ist normal und entspricht in der Verteilung in etwa der Populationsverschiebung (zwei gegeneinander verschobene Sinuskurven mit ähnlich hohem Ambitus) zwischen Polarfuchs und Schneehase in der Arktis. Die Spammer kreieren neues Aussehen und Erscheinungsbild ihres SPAM, das die Anti-Spam-Software noch nicht kennt, das Spamaufkommen steigt. Die Anti-Spam-SW lernt hinzu und erkennt die neuen SPAM-Methoden, SPAM wird erstmal wieder weniger. Die Spammer erfinden was neues, SPAM steigt wieder. Rauf und runter, fast meßbar regelmäßig. Und das wird übrigens nie mehr aufhören .
Ich glaube nicht, daß ihr ein Spezialproblem habt, das besondere Beachtung braucht. Und falls Ihr doch auf Nummer sicher gehen wollt, dann analysiert gerne den IP-Fluß.
Viele Grüße
von
departure69
Zitat von @BleppSatter:
@Lochkartenstanzer Okay, danke für den Hinweis. Und können Sie mir auch Empfehlungen für bestimmte Produkte geben?
@Lochkartenstanzer Okay, danke für den Hinweis. Und können Sie mir auch Empfehlungen für bestimmte Produkte geben?
Moin,
Wir Duzen uns hier alle. Alse kanst Du Du zu mir sagen.
Produkte gibt es viele, z.B. von Cisco, Astaro, CA, Checkpoint, etc. Hier ist ein (etwas älterer) Überblick.
Um das richtige Produkt für Dich zu finden, solltest Du ein Systemhaus in Deiner Nähe konsultieren, denn so einfach aus dem Forum heraus ist es etwas schwierig eine Empfehlung auszusprechen, ohne die Gegebenheiten vor Ort zu kennen.
lks
PS: Du kannst mich oder die anderen Kollegen aus dem Forum, die das auch anbieten, natürlich auch konsultieren. Allerdings ist das meist mit kosten verbunden.
Neben einer technischen Basis braucht man hier vor allem eine fundierte Ausbildung und viel Erfahrung.
Einfach eine Software kaufen die das „erledigt“ bringt nur eine trügerische Sicherheit.
Anhand der Frage vermute ich das Dir Wissen und Erfahrungen fehlen, daher der dringende Rat: Kauft Euch ein Paket aus Konzept, Hard-/Software und Service.
Alles andere verbrennt in der Regel nur Geld.
Einfach eine Software kaufen die das „erledigt“ bringt nur eine trügerische Sicherheit.
Anhand der Frage vermute ich das Dir Wissen und Erfahrungen fehlen, daher der dringende Rat: Kauft Euch ein Paket aus Konzept, Hard-/Software und Service.
Alles andere verbrennt in der Regel nur Geld.