Ransomware mittels Honeypot im Schadensausmass beschränken ?
Hi,
ich stelle mir folgendes Szenario auf meinem Windows-File-Server vor (w2k8r2):
-- auf einem Share, das alle Clients als Laufwerk (z.B. M:\) mounten, stehen unter anderem zwei Dateien "honeypot.docx" und "honeypot.xlsx"
-- ein Script am Server (mit Autohotkey schnell geschrieben) überwacht, ob sich diese zwei Dateien ändern (Flags, Grösse, Dateinamen usw.)
-- das Script holt sich die Info 24h/7Tage alle 30 Sekunden über die zwei Dateien
-- sobald eine Änderung von einer der 2 Dateien vom Script festgestellt wird, wird der Admin informiert (Email, SMS oder was auch immer) und der Server trennt sich mittels SNMP-Befehl (einfach den Switch-Port deaktivieren) an den HP-Procurve-Switch selbst vom Netz. Das System steht, die Ransomware kann keinen Schaden mehr anrichten, sofern sie nicht am Server läuft - was aber sehr unwahrscheinlich ist.
Dazu sollte ich jetzt aber u.a. wissen,
-- in welcher Reihenfolge verschlüsseln die Ransomware-Programme (Locky, Wanna Cry usw.) die Daten ?
-- bzw. mit welchen Laufwerken beginnt die Verschlüsselung ?
-- mit welchen Dateien beginnts (ev. alphabetisch) ?
So ein "System" kann Ransomware zwar nicht ganz blocken, aber ich denke doch, dass der Schaden der entstehen kann, doch stark reduziert wird, denn auch Ransomware kann in 30 Sekunden nie und nimmer alle Dateien verschlüsseln.
Ich muss noch ergänzen, dass es sich um ein KMU handelt und dass ein kurzer Stillstand für uns das kleinere Übel ist, als wie wenn alle Daten rückgesichert werden müssen infolge einer solchen Ransomware.
Was ist hier an Inputs verfügbar und was hält die Community von einem solchen Szenario ?
J. M.
ich stelle mir folgendes Szenario auf meinem Windows-File-Server vor (w2k8r2):
-- auf einem Share, das alle Clients als Laufwerk (z.B. M:\) mounten, stehen unter anderem zwei Dateien "honeypot.docx" und "honeypot.xlsx"
-- ein Script am Server (mit Autohotkey schnell geschrieben) überwacht, ob sich diese zwei Dateien ändern (Flags, Grösse, Dateinamen usw.)
-- das Script holt sich die Info 24h/7Tage alle 30 Sekunden über die zwei Dateien
-- sobald eine Änderung von einer der 2 Dateien vom Script festgestellt wird, wird der Admin informiert (Email, SMS oder was auch immer) und der Server trennt sich mittels SNMP-Befehl (einfach den Switch-Port deaktivieren) an den HP-Procurve-Switch selbst vom Netz. Das System steht, die Ransomware kann keinen Schaden mehr anrichten, sofern sie nicht am Server läuft - was aber sehr unwahrscheinlich ist.
Dazu sollte ich jetzt aber u.a. wissen,
-- in welcher Reihenfolge verschlüsseln die Ransomware-Programme (Locky, Wanna Cry usw.) die Daten ?
-- bzw. mit welchen Laufwerken beginnt die Verschlüsselung ?
-- mit welchen Dateien beginnts (ev. alphabetisch) ?
So ein "System" kann Ransomware zwar nicht ganz blocken, aber ich denke doch, dass der Schaden der entstehen kann, doch stark reduziert wird, denn auch Ransomware kann in 30 Sekunden nie und nimmer alle Dateien verschlüsseln.
Ich muss noch ergänzen, dass es sich um ein KMU handelt und dass ein kurzer Stillstand für uns das kleinere Übel ist, als wie wenn alle Daten rückgesichert werden müssen infolge einer solchen Ransomware.
Was ist hier an Inputs verfügbar und was hält die Community von einem solchen Szenario ?
J. M.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 338337
Url: https://administrator.de/contentid/338337
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
23 Kommentare
Neuester Kommentar
Hallo,
Ich selbst nur ein ROFLOL
Gruß,
Peter
Ich selbst nur ein ROFLOL
Gruß,
Peter
Zitat von @JMaier:
Dazu sollte ich jetzt aber u.a. wissen,
-- in welcher Reihenfolge verschlüsseln die Ransomware-Programme (Locky, Wanna Cry usw.) die Daten ?
Dazu sollte ich jetzt aber u.a. wissen,
-- in welcher Reihenfolge verschlüsseln die Ransomware-Programme (Locky, Wanna Cry usw.) die Daten ?
Frag den Malware-Programmierer!
-- bzw. mit welchen Laufwerken beginnt die Verschlüsselung ?
Frag den Malware-Programmierer!
-- mit welchen Dateien beginnts (ev. alphabetisch) ?
Frag den Malware-Programmierer!
Im Ernst - das kann bei jeder Ransaomware ganz anders sein. Du kannst Dich nicht darauf verlassen, daß das irgendein festgelegtes System ist.
So ein "System" kann Ransomware zwar nicht ganz blocken, aber ich denke doch, dass der Schaden der entstehen kann, doch stark reduziert wird, denn auch Ransomware kann in 30 Sekunden nie und nimmer alle Dateien verschlüsseln.
Wenn du Pech hast, fasst sie Deine Honigtöpfe als Letztes an und alles bis auf die Honigtöpfe ist schon verschlüsselt.
Was ist hier an Inputs verfügbar und was hält die Community von einem solchen Szenario ?
Nette Idee, aber ohne flankierende Maßnahmen ist das ein großer Witz, aber das ist einer Freitagsfrage angemessen.
Zumindest ist Dein Verfahren wirkungsvoller als diese Methode.
lks
Joa... ich schaue auf mein Laufwerk m:, sehe diese hochinteressanten Dateien und schreibe ein "hallo!" rein - nur so aus Spaß (denn Schreibrechte müsstest Du ja allen geben). 30 Sekunden später...kannst Du dir denken. Schlechte Idee.
Nimm doch einfach die bekannten Tipps mit Appwhitelisting, Updating, das reicht doch vollkommen.
Edit: siehe @SeaStorm - weitaus besser. Aber niemand weiß, was zuerst verschlüsselt wird.
Nimm doch einfach die bekannten Tipps mit Appwhitelisting, Updating, das reicht doch vollkommen.
Edit: siehe @SeaStorm - weitaus besser. Aber niemand weiß, was zuerst verschlüsselt wird.
Moin,
naja, was du da machst ist eine "zusammengescriptete IDS" bauen. Effektiver als die Dateien zu überwachen, wäre es die Anzahl der Filehandles pro Client über die Zeit zu überwachen und ein Threshold zu triggern. Hier läufst du halt in die üblichen Probleme die IDS hat. Mal ist es zu statisch, mal ist es zu dynamisch. Sind die Limits du zu niedrig, jammern die User und der Chef, weil sie nicht arbeiten können, sind sie zu hoch bringen sie nichts.
Die Honeypot-Datei-Idee rennt halt in die von @Lochkartenstanzer genannten Probleme. Du kannst halt weder sagen, wann, noch ob sie angefasst werden. Unter Windows halte ich die Erkennung übrigens nochmal für Umstänbdlicher als unter GNU/Linux oder BSD, weil man dort eben einfach mit ein paar Scripten größere Veränderungen erkennt.
Eine gute Variante, wäre ggf. ein CoW Dateisystem, welches ein Delta ermittelt. Nun kannst du einen threshold setzen, der erkennt, wenn das Detla ungewöhnlich groß wird (sich also viele Datenblöcke ändern). Der eigentliche Trick dabei ist nun zu schauen Was ändert sich denn zum Ursprünglichen Datenbild? Wenn dort nun die großen änderungen bei sämtlichen existierenden Dateien feststellst, triggerst du, sonst eher nicht. Quasi wenn mehr als 50% von 30% des gesamten Dateibestandes (als Beispiel, das muss man sich natürlich selbst anpassen) von einem einzelnen oder sehr wenigen Clients verändert werden, sollte man doch mal hellhörig werden.
Weiterer Vorteil dieser Variante: Der Schaden ist nur bedingt vorhanden, da alle Daten seit dem letzten Snapshot ja noch unverändert vorliegen, somit dauert auch das Rücksichern nur wenige Sekunden/Minuten.
Gruß
Chris
naja, was du da machst ist eine "zusammengescriptete IDS" bauen. Effektiver als die Dateien zu überwachen, wäre es die Anzahl der Filehandles pro Client über die Zeit zu überwachen und ein Threshold zu triggern. Hier läufst du halt in die üblichen Probleme die IDS hat. Mal ist es zu statisch, mal ist es zu dynamisch. Sind die Limits du zu niedrig, jammern die User und der Chef, weil sie nicht arbeiten können, sind sie zu hoch bringen sie nichts.
Die Honeypot-Datei-Idee rennt halt in die von @Lochkartenstanzer genannten Probleme. Du kannst halt weder sagen, wann, noch ob sie angefasst werden. Unter Windows halte ich die Erkennung übrigens nochmal für Umstänbdlicher als unter GNU/Linux oder BSD, weil man dort eben einfach mit ein paar Scripten größere Veränderungen erkennt.
Eine gute Variante, wäre ggf. ein CoW Dateisystem, welches ein Delta ermittelt. Nun kannst du einen threshold setzen, der erkennt, wenn das Detla ungewöhnlich groß wird (sich also viele Datenblöcke ändern). Der eigentliche Trick dabei ist nun zu schauen Was ändert sich denn zum Ursprünglichen Datenbild? Wenn dort nun die großen änderungen bei sämtlichen existierenden Dateien feststellst, triggerst du, sonst eher nicht. Quasi wenn mehr als 50% von 30% des gesamten Dateibestandes (als Beispiel, das muss man sich natürlich selbst anpassen) von einem einzelnen oder sehr wenigen Clients verändert werden, sollte man doch mal hellhörig werden.
Weiterer Vorteil dieser Variante: Der Schaden ist nur bedingt vorhanden, da alle Daten seit dem letzten Snapshot ja noch unverändert vorliegen, somit dauert auch das Rücksichern nur wenige Sekunden/Minuten.
Gruß
Chris
KMUs against Ransomware:
Das meiste davon lässt sich mit Boardmitteln bzw. für kleines Geld umsetzten.
- Backup machen
- Backup kontrollieren
- Backup testen (also Restores machen)
- Patch Management
- Sinnvolles Rechte und Rollen Konzept (Need to know)
- Content Filter im Web Proxy
- SMTP Proxy mit AV
- potenziell gefährliche Dateien blocken oder zumindest in Quarantäne schieben
- Enduser schulen (Neudeutsch Awareness Training)
- Endpoint AVs
Das meiste davon lässt sich mit Boardmitteln bzw. für kleines Geld umsetzten.
Moin,
prinzipiell geht das und ist auch keine schlechte Idee, aber:
1. musst Du die Lockvögel direkt in die root des servers legen und
2. sind die Dateinnamen ScheiXXe!
Korrekt müssen die heissen:
000001_please_encrypt_first.docx
000001_please_encrypt_first.xlsx und
3. gehört dort natürlich auch noch die
000001_please_encrypt_first.pdf
mit rein. Weiss eigentlich jeder Viertklässler. Aber ansonsten ein gutes Konzept!
LG und schönen Freitag noch, Thomas
prinzipiell geht das und ist auch keine schlechte Idee, aber:
1. musst Du die Lockvögel direkt in die root des servers legen und
2. sind die Dateinnamen ScheiXXe!
Korrekt müssen die heissen:
000001_please_encrypt_first.docx
000001_please_encrypt_first.xlsx und
3. gehört dort natürlich auch noch die
000001_please_encrypt_first.pdf
mit rein. Weiss eigentlich jeder Viertklässler. Aber ansonsten ein gutes Konzept!
LG und schönen Freitag noch, Thomas
Das müßte eher heißen
..._very_important_file...
lks
Zitat von @JMaier:
Aber auch dann, kann man mit 30 Sec Überwachungsintervall bei 1 TB an Daten noch viel abfangen.
Aber auch dann, kann man mit 30 Sec Überwachungsintervall bei 1 TB an Daten noch viel abfangen.
Nicht böse gemeint, aber das was du versuchst fällt unter "Bastellösung" und wird aller Voraussicht nach nur mäßig funktionieren.
Schau dir mal Intercept X von Sophos an (gibts ggf. auch bei anderen Anbietern). Das wird vermutlich mehr abfangen als deine Lösung und kostet auch nicht die Welt bei 10 Leuten. Steck deine Energie lieber in die noch fehlenden Punkte, welche du noch nicht umgesetzt hast.
Halloele,
Mach es lieber wie Avast.
Schicke an alle Ransomware-Progger eine Mail wie die im Bild.
Die werden mit Freuden auf den Klickmich klicken, der dann zu Deinem Honigtopf fuehrt.
Und...
Wie waere es mit der Idee, die "boese RansomWare" erst garnicht an den Server oder die WS zu lassen?
Einfach keine Verbindung der hochwichtigen Geraete nach aussen, keine moegliche Nutzung von irgendwelchen USB-Sticks usw. Einfach ein in sich geschlossenes funktionierendes Netzwerk.
BFF
Mach es lieber wie Avast.
Schicke an alle Ransomware-Progger eine Mail wie die im Bild.
Die werden mit Freuden auf den Klickmich klicken, der dann zu Deinem Honigtopf fuehrt.
Und...
Wie waere es mit der Idee, die "boese RansomWare" erst garnicht an den Server oder die WS zu lassen?
Einfach keine Verbindung der hochwichtigen Geraete nach aussen, keine moegliche Nutzung von irgendwelchen USB-Sticks usw. Einfach ein in sich geschlossenes funktionierendes Netzwerk.
BFF
Hallo,
Die User haben eine Netzwerk Freigabe als Netzlaufwerk im Computer / Arbeitsplatz aber sicherlich auch noch die Produktiv Daten. Wen du den Server trennst kann der Virtus von selben PC wo er hergekommen ist aber auch auf weitere Server, Rechner, Netzlaufwerke, Speicher, etc... gehen. Und was ist wen ein USB-Stick zum Einsatz kommen um Daten von A nach B zu schieben und dort der Virus sich einschleicht?
Auch zu Prüfen währen Sharepoint und natürlich der Exchange Server als Haupt Einfallstor im Form von Email Anhängen mit Macros drinnen. Wo bei gibt auch leute die eine exe anklicken die als Symbol ein WordDatei Icon hat. EXE sollte man eh Grundlegend als Anhänge verbieten (SMTP Firewall oder sowas)
Der Honnypod müsste sich in einem komplett anderen Netzwerk befinden (VLAN/LAN) und es darf keine möglichkeit geben ins Interne Netzwerk zu kommen aus diesem HonnyPod VLAN. Dann währe es eine gute Idee
Übrigens, Stadt die Verbindung zu Trennen würde ich ein Man in the Middle machen. Dass schöne ist du kannst auf den Fake Server nur eine einzige Trusted CA installieren und alles andere raus (Ist ja eh nur ein System was für dies Gruppe von Software also Vieren) eingesetzt wird. Und dann muss der Man in der Mitte nur noch das passende Cert liefern und gut ist. (Außer der Virus hat die Root CAkomoiliert).
Der Sinn und Zweck eines Honnypods ist es ja zu sehen was der Virus oder der Hacker macht^^
Gruß an die IT-Welt,
J Herbrich
Die User haben eine Netzwerk Freigabe als Netzlaufwerk im Computer / Arbeitsplatz aber sicherlich auch noch die Produktiv Daten. Wen du den Server trennst kann der Virtus von selben PC wo er hergekommen ist aber auch auf weitere Server, Rechner, Netzlaufwerke, Speicher, etc... gehen. Und was ist wen ein USB-Stick zum Einsatz kommen um Daten von A nach B zu schieben und dort der Virus sich einschleicht?
Auch zu Prüfen währen Sharepoint und natürlich der Exchange Server als Haupt Einfallstor im Form von Email Anhängen mit Macros drinnen. Wo bei gibt auch leute die eine exe anklicken die als Symbol ein WordDatei Icon hat. EXE sollte man eh Grundlegend als Anhänge verbieten (SMTP Firewall oder sowas)
Der Honnypod müsste sich in einem komplett anderen Netzwerk befinden (VLAN/LAN) und es darf keine möglichkeit geben ins Interne Netzwerk zu kommen aus diesem HonnyPod VLAN. Dann währe es eine gute Idee
Übrigens, Stadt die Verbindung zu Trennen würde ich ein Man in the Middle machen. Dass schöne ist du kannst auf den Fake Server nur eine einzige Trusted CA installieren und alles andere raus (Ist ja eh nur ein System was für dies Gruppe von Software also Vieren) eingesetzt wird. Und dann muss der Man in der Mitte nur noch das passende Cert liefern und gut ist. (Außer der Virus hat die Root CAkomoiliert).
Der Sinn und Zweck eines Honnypods ist es ja zu sehen was der Virus oder der Hacker macht^^
Gruß an die IT-Welt,
J Herbrich
Auch Hallo,
wir haben keinen Sharepoint, Exchange oder sonstigen Server, simples Pop-Email mit allen Nach- aber auch Vorteilen.
reicht doch...
"nicht reinlassen" .. ist doch - wenn man den dafür erforderlichen Aufwand, mal davon abgesehen, dass das fast unmöglich ist .. schon sehr hypothetisch.
hypothetisch, nein- unmöglich, auch nicht! Kaspersky arbeitet Schutz vor Verschlüsselung schneller als deine scripte.. das habe ich jetzt schon bei einigen Kunden festellen können.. Eine EMail AV Lösung- wo Dateianhänge gesperrt werden können ist heutzutage auch normal, und einen Proxy mit AV Filter ist auch kein Hexenwerk mehr...
Ja, mein Ansatz ist nicht perfekt und hat Lücken, aber verschlechtern wird er die Situation sicher nicht.
das nicht, könnte dich aber in falsche Sicherheit wiegen...
Genau da will ich ja hin, ich will eine "schlechte Situation" und das wird damit wohl trotz allen möglichen Ansätzen erreicht, verbessern.
Um mehr gehts nicht
na dann...
Frank
wir haben keinen Sharepoint, Exchange oder sonstigen Server, simples Pop-Email mit allen Nach- aber auch Vorteilen.
"nicht reinlassen" .. ist doch - wenn man den dafür erforderlichen Aufwand, mal davon abgesehen, dass das fast unmöglich ist .. schon sehr hypothetisch.
Ja, mein Ansatz ist nicht perfekt und hat Lücken, aber verschlechtern wird er die Situation sicher nicht.
Genau da will ich ja hin, ich will eine "schlechte Situation" und das wird damit wohl trotz allen möglichen Ansätzen erreicht, verbessern.
Um mehr gehts nicht
Frank
Hallo,
Wie gesagt, wen man ein Honnypod aufsetzt dann nicht im Internen Netzwerk sondern in einen Klinisch Isolierten Labornetzwerk. Ok, zu Klinisch muss es auch nicht sein, ein V-Lan reicht aus. Aber das was du vorhast ist schwachsinn. Weil User können das ding ausversehen auslösen und wer garantiert dass der Erpresser als erstes in den Honigtopf schaut und nicht einfach ein Server aus dem Produktiven System befällt.
Lieber auf eine anständige AV Lösung setzen die den Email Verkehr auf verdächtige Anhänge scannt und gut ist. Und so oder so jede exe ist böse wen sie über eMail Anhänge rein kommt.
Gruß an die IT-Welt,
J Herbrich
Wie gesagt, wen man ein Honnypod aufsetzt dann nicht im Internen Netzwerk sondern in einen Klinisch Isolierten Labornetzwerk. Ok, zu Klinisch muss es auch nicht sein, ein V-Lan reicht aus. Aber das was du vorhast ist schwachsinn. Weil User können das ding ausversehen auslösen und wer garantiert dass der Erpresser als erstes in den Honigtopf schaut und nicht einfach ein Server aus dem Produktiven System befällt.
Lieber auf eine anständige AV Lösung setzen die den Email Verkehr auf verdächtige Anhänge scannt und gut ist. Und so oder so jede exe ist böse wen sie über eMail Anhänge rein kommt.
Gruß an die IT-Welt,
J Herbrich
Weiß ich nciht mehr. Ist aber im prinzip egal.
Und vor allem: was gab/gibt es als Nebentrunk ?
Natürlich Single-Malts aus dem Maßkrug.
lks