Verschlüsselungstrojaner simulieren

AlbertMinrich
Hallo,

wir verwenden OfficeScan von TrendMicro und haben die Ransomware Protection so eingestellt, wie von TrendMicro empfohlen:
https://success.trendmicro.com/solution/1111377-enabling-the-ransomware- ...

In einem TrendMicro-Webinar, das kurz nach WannaCry stattfand, wurde gesagt, man sei von Stunde 0 an geschützt gewesen.
Jetzt würde ich doch gerne mal sehen, dass das tatsächlich so ist.
Man findet im Internet Ransomware-Simulatoren (Shinolocker, Ransim...). Leider (oder zum Glück) lässt OfficeScan die Installation bzw. den Start der Programme schon gar nicht zu.
Deshalb dachte ich, ich verschlüssele einfach mit GPG4Win massenhaft Dateien. Per CommandLine mehrere 100 innerhalb weniger Sekunden.
Leider interessiert das OfficeScan überhaupt nicht, also er lässt es zu.

Und jetzt steh ich da. Ist das normal? Ich war der Meinung, OfficeScan sollte das unterbinden.

Danke
Gruß
Martin

Content-Key: 338994

Url: https://administrator.de/contentid/338994

Ausgedruckt am: 25.01.2022 um 14:01 Uhr

Mitglied: 114685
114685 26.05.2017 um 14:09:43 Uhr
Goto Top
Hi

Warum Werbung lügen darf

Es gibt nur eine, wirklich eine Sache, die100% sicher ist: Der Tod.

Gruß
Mitglied: GuentherH
GuentherH 26.05.2017 um 14:11:11 Uhr
Goto Top
Ich war der Meinung, OfficeScan sollte das unterbinden.

Warum? Für OfficeScan ist dieses Programm kein bösartiger Prozess.

So einen Test wirst du auch mit einfachen Mitteln nicht durchführen können, da du ja nicht weißt, was OfficeScan als bösartigen Prozess einschätzt, bzw. welche Bedingungen erfüllt sein müssen, dass das ausführende Programm als bösartiger Prozess eingestuft wird. Siehe auch hier - http://docs.trendmicro.com/de-de/enterprise/officescan-110-sp1-server/u ...

LG Günther
Mitglied: AlbertMinrich
AlbertMinrich 26.05.2017 um 14:20:56 Uhr
Goto Top
Danke für die Antworten.
Den Teil mit "drei Dateien innerhalb eines bestimmten Zeitraums" dürfte ich ja erfüllt haben.
Nur was ist für OfficeScan ein Prozess, der nicht als sicher eingestuft wird? Wenn das nur Dateien/Prozesse sind, die OfficeScan bereits kennt, greifen ja die Patternfiles, dann brauche ich keine Verhaltensüberwachung.

Ich hab dazu parallel mal eine Anfrage bei TrendMicro gestellt. Bin gespannt.

Gruß
Martin
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.05.2017 um 14:27:44 Uhr
Goto Top
Zitat von @AlbertMinrich:

Nur was ist für OfficeScan ein Prozess, der nicht als sicher eingestuft wird? Wenn das nur Dateien/Prozesse sind, die OfficeScan bereits kennt, greifen ja die Patternfiles, dann brauche ich keine Verhaltensüberwachung.

Mach doch einfach mal eine Batchdatei, die die Dokumente mit Zufallsdaten überschreibt.

lks
Mitglied: AlbertMinrich
AlbertMinrich 26.05.2017 um 14:40:29 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @AlbertMinrich:

Nur was ist für OfficeScan ein Prozess, der nicht als sicher eingestuft wird? Wenn das nur Dateien/Prozesse sind, die OfficeScan bereits kennt, greifen ja die Patternfiles, dann brauche ich keine Verhaltensüberwachung.

Mach doch einfach mal eine Batchdatei, die die Dokumente mit Zufallsdaten überschreibt.

Leider ist ihm das auch egal
Mitglied: BassFishFox
BassFishFox 26.05.2017 aktualisiert um 14:54:28 Uhr
Goto Top
Hallo,

Nur was ist für OfficeScan ein Prozess, der nicht als sicher eingestuft wird? Wenn das nur Dateien/Prozesse sind, die OfficeScan bereits kennt, greifen ja die Patternfiles, dann brauche ich keine Verhaltensüberwachung.

Das kannst Du u.U. vielleicht so testen.

Bau Dir einfach mit einer Programmiersprache Deiner Wahl einen Packer/Verschluessler, kompiliere den und lass das auf einen Testordner los. Die Theorie sagt, dass Officescan das Teil blocken muesste, weil unbekannt.

Dann lade Dein Programm mehrfach zu virustotal hoch oder melde es als False/Positive an Trendmicro und andere Hersteller. Gib denen ein paar Tage und teste Dein Programm nochmal.

Soweit zur Theorie. :-) face-smile

Am Ende funktioniert oder versagt Officescan an der Entscheidung ob der Prozess sicher oder unsicher ist.
Wird z.B. alles Unbekannte als unsicher deklariert und geblockt ist es fein, kann wie schon passiert voll in die Hose gehen nach z.B. einem Windows-Update.

Wie diese Entscheidung getroffen wird, wird nur TM wissen.
Ich kann mir vorstellen, das die Art des Startens, also als Makro aus einem Dokument mit Nachladen von etwas aus dem WWW oder Anzeigen der PDF-Mail-Anlage und dann extrahieren/ausfuehren einer boesen DOC auch eine Rolle spielt.

BFF
Mitglied: 114685
114685 26.05.2017 um 15:02:36 Uhr
Goto Top
IMO wieder mal eine dieser sinnfreie Diskussionen um Wirksamkeit und Nutzen von Antivirensoftware.

Hier mal zur Erinnerung ein Artikel aus 2014
Schutzlose Antiviren-Software ...

Wat de Buer nit kennt, dat fritt he nit.

Dir Firmen wollen verkaufen und versprechen dir das Blaue vom Himmel.
Wer's glaubt, wird selig und fühlt sich sicher. Ein Trugschluss.

Viel Spaß beim Weiterdiskutieren. ;-) face-wink
Mitglied: AlbertMinrich
AlbertMinrich 26.05.2017 um 15:03:00 Uhr
Goto Top
Hallo BassFishFox,

das hört sich interessant an. Werde ich testen und berichten.

Gruß
Martin
Mitglied: BassFishFox
BassFishFox 26.05.2017 aktualisiert um 15:49:16 Uhr
Goto Top
Hallo,

Und der TO will testen ob TM "schwindelt". Also gibt es Vorschlaege. ;-) face-wink

Dir Firmen wollen verkaufen und versprechen dir das Blaue vom Himmel.

Dazu meine Verschwoerungstheorie : ;-) face-wink

Die AV-Industrie baut die Viecher selbst und laesst sie in die Wildnis, damit die dummen User immer weiter an die so grosse Bedrohung glauben!

Und weil Du mit dem Verkaufen so recht hast! Solch Stick wurde mir gestern gezeigt und der Eigentuemer glaubt voll daran! https://www.fixmestick.com/fixmestick/

Schoenes WE
BFF
Mitglied: Apophis
Apophis 26.05.2017 aktualisiert um 15:52:21 Uhr
Goto Top
Hallo,

soviel zum Thema Werbegeklingel. OfficeScan kann schon aus Prinzip nicht entscheiden, ob der Dateizugriff legal ist oder nicht - Du könntest ja tatsächlich wollen, daß Dateiinhalte massenhaft verändert werden (warum auch immer).

Bei uns hat OfficeScan mittlerweile drei Angriffe nicht rechtzeitig erkannt und der fragliche Rechner war installationspflichtig. (Als nach nach ein paar Tagen in der Script-Datei mit einem Texteditor sehen wollte, wie der Angriff lief, hat er allerdings gemeckert - aber eben zu spät).

Bin dem Prgramm aber deswegen nicht böse - es hat auch schon einiges rechtzeitig blockiert und 100% Sicherheit gibt es nicht. Merke: wer glaubt, ein Virenscanner finde 100%, der glaubt auch, daß ein Zitronenfalter Zitronen faltet.

Gruß
Apophis
Mitglied: Apophis
Apophis 26.05.2017 um 16:34:37 Uhr
Goto Top
Zitat von @BassFishFox:

Und weil Du mit dem Verkaufen so recht hast! Solch Stick wurde mir gestern gezeigt und der Eigentuemer glaubt voll daran! https://www.fixmestick.com/fixmestick/


Schick! Das hat was von Schlangenöl. Sollten wir mal einen guten Marketingexperten brauchen, weiss ich jetzt, wo wir den finden.

Gruß
Apophis
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.05.2017, aktualisiert am 27.05.2017 um 08:32:39 Uhr
Goto Top
Zitat von @Apophis:

Schick! Das hat was von Schlangenöl. Sollten wir mal einen guten Marketingexperten brauchen, weiss ich jetzt, wo wir den finden.


Die ganzen Antivirenhersteller bieten eigentlich auch nur snake-oil an. Nur merkt das keiner.

lks
Mitglied: BassFishFox
BassFishFox 26.05.2017 aktualisiert um 17:50:45 Uhr
Goto Top
Halloele,

Und dann gibt es noch die Leute (u.A. der Gute der mir den Stick zeigte), die auf die teuren Abo's der AV-Verkaeufer schimpfen und sich aber diese Stick's oder halt gerade jetzt schnell die c't 12/2017 kaufen. Die wollen ja Geld dafuer ausgeben. ;-) face-wink

Eigentlich muesste sich die c't mal mit dem Stick beschaeftigen. Die Arbeitsweise ist so furchtbar gleich. ;-) face-wink

BFF
Mitglied: AlbertMinrich
AlbertMinrich 26.05.2017 um 17:53:23 Uhr
Goto Top
Oh Gott. Eine Grundsatzdiskussion wollte ich gar nicht auslösen.
Hier jedenfalls die Antwort von Trendmicro

To explain how behavior monitoring works:
If behavior Monitoring will find it suspicious if a certain application keeps on modifying files in a short period of time. This behavior triggers >Behavior Monitoring chain of countermeasures,
First it will check if application is in exceptions list. If it is, this event won’t be monitored further.
Otherwise, BM will continue observing the application’s behavior.
BM checks if the application triggers the threshold for file modification. For example, an application that writes three times in 30 seconds is >abnormal, suspicious activity. In this case, BM refers to GCL (Good Company List) to check if the application (and its parent processes) is signed by >a trusted vendor. If it is, the application is cleared of suspicion.
Otherwise BM will query Trend Micro servers to find if this file is know to us.
If application fails to pass the checks on our servers, it is considered a malicious application set for termination and quarantine.
In this case GPG$Win is well know application which is considered as safe.

Das erklärt natürlich, warum OfficeScan nicht gemeckert hat.
Mitglied: BassFishFox
BassFishFox 26.05.2017 aktualisiert um 19:01:36 Uhr
Goto Top
Hallo,

Oh Gott. Eine Grundsatzdiskussion wollte ich gar nicht auslösen.

Macht immer Spass auf nen Freitag. ;-) face-wink

is well know application which is considered as safe.

Und nun erkennst Du auch, dass dies absolut toedlich sein kann und das Konzept von TM dahinter nicht viel bringt.
Irgendjemand benutzt halt irgendwie eine gute Anwendung wie zip, crypt, gpg etc. und macht sich ueber erreichbare Dateien her. Und sind diese Anwendungen nicht auf er Kiste, dann werden sie nachgeladen von den offiziellen Downloadquellen. ;-) face-wink

Und wenn Du noch Lust hast, das mal selbst zu testen. Hier ein aelteres Beispiel von Dateien packen/verschluesseln mit AutoIT.
https://autoit.de/index.php/Thread/17032-Dateien-packen-und-verschl%C3%B ...

Muesste ich glatt mal, zum Ferienanfang, ein paar Leuten als Spiel unterjubeln. ;-) face-wink

Schoenes WE

BFF
Mitglied: pelzfrucht
pelzfrucht 26.05.2017 aktualisiert um 22:49:09 Uhr
Goto Top
Jetzt empfiehlt ihm doch nicht so'n Mist :-( face-sad

Es gibt nur eine Methode um zuverlässig
Chemtrails und Viren loszuwerden!!!!einself!!111!.

PS: Bitte lesen Sie auch die Kundenfragen und Bewertungen um sich von unserem Produkt zu überzeugen! :-) face-smile
Sehr lesenswert ist auch die Kundenbewertung ganz unten mit dem Vorher- / Nacherbild.

Viele Grüße
pelzfrucht

PPS: Diesen Beitrag gönne ich mir zu Freitag einfach mal :-D face-big-smile
Mitglied: Sheogorath
Sheogorath 26.05.2017 um 23:28:26 Uhr
Goto Top
Moin,

Ich weiß nicht wie gut es funktioniert, aber ich erinnerte mich an den Beitrag, vielleicht nützt es dir was:
https://www.administrator.de/link/ransomware-shinolocker-ausprobiert-dat ...

Gruß
Chris
Mitglied: BassFishFox
BassFishFox 27.05.2017 aktualisiert um 00:45:28 Uhr
Goto Top
Haettest lieber das Original zur Bekaempfung jeglicher Zipperleins nehmen sollen. ;-) face-wink
Ist bedeutend guenstiger zu haben. Oder Deinen Tip mit dem Original einrubbeln. Verstaerkt bestimmt ungemein die Wirkung ;-) face-wink

Schoenes WE
BFF
Heiß diskutierte Beiträge
question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 1 TagFrageRouter & Routing5 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
LTO-5 Bänder Löschen geht nichtkreuzbergerVor 1 TagFrageBackup23 Kommentare

Hallo ihr Helden, ich hab da ein blödes Problem: Ich habe einen Stapel gebrauchte LTO-5-Bänder bekommen, die soweit völlig i. O. sind. Mit welchem Programm ...

question
Teilenummer für weiße Esprimo Mini-PC?LochkartenstanzerVor 1 TagFrageHardware21 Kommentare

Moin, Ich habe eine eigenwillige Kundin, die einen weißen Fujitsu Esprimo Mini-PC haben will. Und der Kundin ist, wie sollte es anders sein, die Farbe ...

question
Ein Smartphone für privat und geschäftliche NutzungNebellichtVor 1 TagFragePeripheriegeräte5 Kommentare

Hallo, für die Firma werden aktuell Smartphone(s) gesucht, die da eine Dual Sim ermöglichen und zusätzlich trennende Sicherheit, d.h. ein Trennen von privaten Daten und ...

question
Tipp für Firewall mit mehreren DHCP-Instanzen für VLAN gesucht gelöst Holly484Vor 21 StundenFrageFirewall5 Kommentare

Hallo zusammen, hatte in einer Gemeinschaftspraxis bisher tolle Erfahrungen mit Netgear über die letzten vielen Jahre gesammelt. Jetzt ist Netgear aus dem Firewall-Business ausgestiegen. Bisher ...

question
Suche nach "Beschreibung"ThabeusVor 1 TagFrageVmware11 Kommentare

Moin, ich stehe gerade auf dem Schlauch bei der Suche nach einer Anleitung. Vielleicht kann mir jemand helfen die "Begrifflichkeit" zu finden. In meinem Netzwerk ...

question
User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016LauneBaerVor 1 TagFrageExchange Server10 Kommentare

Servus in die Runde, ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist. Und zwar verschickte ...

question
Windows Admin Center - Zugriff verweigertsaschakpVor 1 TagFrageWindows Update3 Kommentare

Hallo ich habe das Windows Admin Center Installiert, leider bekomme ich beim öffnen die Meldung: Zugriff verweigert Sie sind leider nicht zum Senden dieser Anforderung ...