14
Offline Antivirus Lösung (Multiple Scanners)
Guten Nachmittag
Ich suche nach einer guten Lösung um Dateien Offline mit mehren Antiviren Scanner zu scannen. Kennt jemand dort eine gute On Prem Lösung, welche eventuell noch in einer isolierten VM läuft?
Mein Problem is nämlich das mir Mitarbeiter Emails weiterleiten, wo sie nicht sicher sind ob es ein Virus enthalten könnte. Die meisten sind zum Glück offensichtlich, aber es gibt einige wo ich selber nicht genau sagen ob es eines enthalten könnte oder nicht. Es wird zwar mit zwei verschiedenen Antivirenscans gescannt, bevor es bei uns in der Mailbox landet. Jedoch würde ich gerne noch einen Schritt weiter gehen. Leider darf ich nicht CloudDienste wie VirusTotal verwenden, da es sich um sensitive Daten handeln könnte.
Bin für jeden guten Tipp dankbar.
Ich suche nach einer guten Lösung um Dateien Offline mit mehren Antiviren Scanner zu scannen. Kennt jemand dort eine gute On Prem Lösung, welche eventuell noch in einer isolierten VM läuft?
Mein Problem is nämlich das mir Mitarbeiter Emails weiterleiten, wo sie nicht sicher sind ob es ein Virus enthalten könnte. Die meisten sind zum Glück offensichtlich, aber es gibt einige wo ich selber nicht genau sagen ob es eines enthalten könnte oder nicht. Es wird zwar mit zwei verschiedenen Antivirenscans gescannt, bevor es bei uns in der Mailbox landet. Jedoch würde ich gerne noch einen Schritt weiter gehen. Leider darf ich nicht CloudDienste wie VirusTotal verwenden, da es sich um sensitive Daten handeln könnte.
Bin für jeden guten Tipp dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33324342323
Url: https://administrator.de/contentid/33324342323
Printed on: April 27, 2024 at 06:04 o'clock
14 Comments
Latest comment
Moin,
You should use desinfect from ct/heise.
Einfach damit eine VM oder einen standalone-PC aufsetzen.
lks
PS: wrong language
You should use desinfect from ct/heise.
Einfach damit eine VM oder einen standalone-PC aufsetzen.
lks
PS: wrong language
2
You should use desinfect from ct/heise.
+1das kann man auch immer schön für den schnellen Check in einer VM vorhalten.
Zudem kann man für einen ersten Eindruck auch die Windows-Sandbox nutzen. Die prüft zwar nicht auf Viren, aber man kann erstmal recht entspannt schauen, was der Anhang da so ausspuckt. Wenn das gut aussieht, sollte im Alltag auch der Defender reichen. Passieren kann immer was. Dafür ist dann das Backup
Viele Grüße, commodity
1
Es gibt neben erwähntem Desinfe'ct auch andere ...
Bestenfalls booten die ein eigenes OS von CD/DVD/USB, etc. und erkennen dadurch auch Schadsoftware, die sich sonst verstecken kann...
Aber:
Einmal komprimiert - nie wieder vertraut:
heißt:
- Platte putzen, inkl Boot-Sektor!
- BIOS/UEFI ÜBERSPIELEN
- auch dann nochmal weitere Tests fahren!
Bestenfalls booten die ein eigenes OS von CD/DVD/USB, etc. und erkennen dadurch auch Schadsoftware, die sich sonst verstecken kann...
Aber:
Einmal komprimiert - nie wieder vertraut:
heißt:
- Platte putzen, inkl Boot-Sektor!
- BIOS/UEFI ÜBERSPIELEN
- auch dann nochmal weitere Tests fahren!
1
Da BIOS/UEFI in der Regel nicht OpenSource ist, kannst du dem eigentlich auch nicht vertrauen, bzw das könnte vom Hersteller aus schon "kompromittiert" sein.
Oder auf dem Übertragungsweg vom Hersteller auf deine Hardware.
Auch Checksummen könnten ausgehebelt werden, wenn das Bios-Flash Programm kompromittiert ist.
Schwierig, schwierig ...
Oder auf dem Übertragungsweg vom Hersteller auf deine Hardware.
Auch Checksummen könnten ausgehebelt werden, wenn das Bios-Flash Programm kompromittiert ist.
Schwierig, schwierig ...
2
Moin.
Wäre Schadcode im Mailbody, wäre der schon ausgeführt, wenn der MA die Mail weiterleitet. Und auch dieser Code würde etwas nachladen müssen, um "schädlich" zu sein. Virenverseuchte Anhänge sind eine andere Nummer, ok. Je nach dem, wie aktuell der im potentiellen Anhang versteckte Schadcode ist, wird der erstmal von keinem Scanner erkannt - das klappt erst dann, wenn deren Pattern und Erkennungsroutinen aktualisiert wurden.
Oder geht es um die Links, die in der Mail enthalten sind? Dann nutzt dir ein Offline-Scanner auch nix, weil die erst "gefährlich" sind, wenn man draufklickt. Und dann meist auch erst, wenn man tut, was einem auf der präsentierten Website gesagt wird.
Worauf ich hinaus will: Wie verbessert dein Vorhaben die Sicherheit? Was genau ist anders oder besser, wenn du die Mails nochmals durch weitere Scanner jagst?
Die Anzahl an Mails, die mit virenverseuchtem Anhang in den letzten Jahren bei uns eingegangen sind, geht stark gegen Null....
Cheers,
jsysde
Zitat von @Mineralwasser:
[...]wo sie nicht sicher sind ob es ein Virus enthalten könnte. Die meisten sind zum Glück offensichtlich[...]
Wie ist denn "offensichtlich", dass die Mail einen Virus _enthält_?[...]wo sie nicht sicher sind ob es ein Virus enthalten könnte. Die meisten sind zum Glück offensichtlich[...]
Wäre Schadcode im Mailbody, wäre der schon ausgeführt, wenn der MA die Mail weiterleitet. Und auch dieser Code würde etwas nachladen müssen, um "schädlich" zu sein. Virenverseuchte Anhänge sind eine andere Nummer, ok. Je nach dem, wie aktuell der im potentiellen Anhang versteckte Schadcode ist, wird der erstmal von keinem Scanner erkannt - das klappt erst dann, wenn deren Pattern und Erkennungsroutinen aktualisiert wurden.
Oder geht es um die Links, die in der Mail enthalten sind? Dann nutzt dir ein Offline-Scanner auch nix, weil die erst "gefährlich" sind, wenn man draufklickt. Und dann meist auch erst, wenn man tut, was einem auf der präsentierten Website gesagt wird.
Worauf ich hinaus will: Wie verbessert dein Vorhaben die Sicherheit? Was genau ist anders oder besser, wenn du die Mails nochmals durch weitere Scanner jagst?
Die Anzahl an Mails, die mit virenverseuchtem Anhang in den letzten Jahren bei uns eingegangen sind, geht stark gegen Null....
Cheers,
jsysde
1
Vielen Dank für die vielen Rückmeldungen. Ich habe mehr an eine Enterprise-Lösung gedacht, aber ich werde mir das ct'desinfect einmal genauer anschauen. Mein Ziel ist es jedoch nicht ein PC von Viren zu befreien sondern vorher schon eine verdächtigte Datei mit mehreren Antivirenscanner zu scannen und in einer sicheren Umgebung zu öffnen. Meistens handelt es sich dabei sowieso nur um Word/PDF Dateien.
Die Sandbox von Windows überzeugt mich nicht so. Siehe:
Windows Defender Sandbox vs Malware
Da die meisten Viren sowieso für Windows geschrieben sind würde ich ein Linuxlösung/Appliance bevorzugen.
Die Sandbox von Windows überzeugt mich nicht so. Siehe:
Windows Defender Sandbox vs Malware
Da die meisten Viren sowieso für Windows geschrieben sind würde ich ein Linuxlösung/Appliance bevorzugen.
Wie ist denn "offensichtlich", dass die Mail einen Virus _enthält_?
Also nicht direkt Virus aber potentielles gefährliches Mail. Wir haben einige Mitarbeiter älteren Semesters (60+) und die erkennen zum Teil Spam nicht, welche für uns offensichtlich ist und das trotz Awareness-Training.Worauf ich hinaus will: Wie verbessert dein Vorhaben die Sicherheit? Was genau ist anders oder besser, wenn du die Mails nochmals durch weitere Scanner jagst?
Die Hoffnung das vielleicht ein anderer anschlägt und ich etwas schlimmeres verhindern konnte.Die Anzahl an Mails, die mit virenverseuchtem Anhang in den letzten Jahren bei uns eingegangen sind, geht stark gegen Null....
Bei uns zum Glück auch, aber nur weil die erste Instanz von unserem SPAM-Filter es bis jetzt verhindern konnte. Hier geht es jedoch um die Mails die trotzdem durchgekommen sind und an mich weitergeleitet wurden für eine tiefere Untersuchung.Einmal komprimiert - nie wieder vertraut:
Sehe ich auch so.
Moin,
Gruß,
Dani
Ich habe mehr an eine Enterprise-Lösung gedacht, aber ich werde mir das ct'desinfect einmal genauer anschauen.
nach dem du bis dato keine genauen Rahmenbedingungen genannt hast, werfe ich einfach mal zwei Produkte in Ring: Senitel One Sandbox und CrowdStrike Falcon Sandbox. Beides sehr gute Produkte und absolute Enterprise Lösungen sind. Vermutlich hat es sich erledigt, sobald du die Preise sieht. Diese sind durchaus auch Enterprise. Gruß,
Dani
1
VirusTotal gibt es zudem auch als Enterprise-Variante mit besserem Datenschutz
Viele Grüße, commodity
Viele Grüße, commodity
1
Moin,
ergänzend kannst Du Dir auch von zu überprüfenden Dateien den Hashwert ziehen (z.B. mit Powershell oder auf einem separaten Linuxsystem) und den Hashwert in VirusTotal hochladen. So kannst Du prüfen, ob die Datei ggf. bekannt ist und eine erste Bewertung vornehmen.
Durch den reinen Hashwertabgleich werden die sensiblen Daten nicht hochgeladen, dennoch kannst Du dann VT zur Befragung heranziehen.
ergänzend kannst Du Dir auch von zu überprüfenden Dateien den Hashwert ziehen (z.B. mit Powershell oder auf einem separaten Linuxsystem) und den Hashwert in VirusTotal hochladen. So kannst Du prüfen, ob die Datei ggf. bekannt ist und eine erste Bewertung vornehmen.
Durch den reinen Hashwertabgleich werden die sensiblen Daten nicht hochgeladen, dennoch kannst Du dann VT zur Befragung heranziehen.
1Zitat von @commodity:
VirusTotal gibt es zudem auch als Enterprise-Variante mit besserem Datenschutz
Viele Grüße, commodity
VirusTotal gibt es zudem auch als Enterprise-Variante mit besserem Datenschutz
Viele Grüße, commodity
Super, muss ich wohl intern klären ob dies genügen wird. Wäre für uns sowieso Sinnvoll, da es mit Wazuh zusammenarbeiten kann für den Hashwert, der laufenden Prozesse zu kontrollieren.
Zitat von @eggired:
Moin,
ergänzend kannst Du Dir auch von zu überprüfenden Dateien den Hashwert ziehen (z.B. mit Powershell oder auf einem separaten Linuxsystem) und den Hashwert in VirusTotal hochladen. So kannst Du prüfen, ob die Datei ggf. bekannt ist und eine erste Bewertung vornehmen.
Durch den reinen Hashwertabgleich werden die sensiblen Daten nicht hochgeladen, dennoch kannst Du dann VT zur Befragung heranziehen.
Yep, finde ich eine gute Idee. Zumindest werden damit die bekannten abgedeckt.Moin,
ergänzend kannst Du Dir auch von zu überprüfenden Dateien den Hashwert ziehen (z.B. mit Powershell oder auf einem separaten Linuxsystem) und den Hashwert in VirusTotal hochladen. So kannst Du prüfen, ob die Datei ggf. bekannt ist und eine erste Bewertung vornehmen.
Durch den reinen Hashwertabgleich werden die sensiblen Daten nicht hochgeladen, dennoch kannst Du dann VT zur Befragung heranziehen.
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Ich habe mehr an eine Enterprise-Lösung gedacht, aber ich werde mir das ct'desinfect einmal genauer anschauen.
nach dem du bis dato keine genauen Rahmenbedingungen genannt hast, werfe ich einfach mal zwei Produkte in Ring: Senitel One Sandbox und CrowdStrike Falcon Sandbox. Beides sehr gute Produkte und absolute Enterprise Lösungen sind. Vermutlich hat es sich erledigt, sobald du die Preise sieht. Diese sind durchaus auch Enterprise. Gruß,
Dani
Danke, werde ich mir einmal genauer anschauen und Preise einholen. Ich bin mir mittlerweile die astronomischen Preise schon gewohnt
Zitat von @Mineralwasser:
Vielen Dank für die vielen Rückmeldungen. Ich habe mehr an eine Enterprise-Lösung gedacht, aber ich werde mir das ct'desinfect einmal genauer anschauen. Mein Ziel ist es jedoch nicht ein PC von Viren zu befreien sondern vorher schon eine verdächtigte Datei mit mehreren Antivirenscanner zu scannen und in einer sicheren Umgebung zu öffnen. Meistens handelt es sich dabei sowieso nur um Word/PDF Dateien.
Vielen Dank für die vielen Rückmeldungen. Ich habe mehr an eine Enterprise-Lösung gedacht, aber ich werde mir das ct'desinfect einmal genauer anschauen. Mein Ziel ist es jedoch nicht ein PC von Viren zu befreien sondern vorher schon eine verdächtigte Datei mit mehreren Antivirenscanner zu scannen und in einer sicheren Umgebung zu öffnen. Meistens handelt es sich dabei sowieso nur um Word/PDF Dateien.
Man kann desinfect durchaus als scanstation nutzen. Man muß nur einstellen, daß das Ding Dateien in bestimmten Pfaden scannt. Sandb8x bietet es halt leider nicht.
lks