Risikoeinschätzung Virensystem

[Sebbi]

Hallo zusammen,

ich habe mal eine Frage für einen Freund von mir:

Folgendes ist passiert:

Bei seiner kleinen Firma hat sich leider Ransomware breitgemacht und alle Systeme verschlüsselt. Danach wurden alle Netzwerke getrennt.
Ein neuen Win 10 22H2 Rechner (der vorher nie im Netzwerk etc war) wurde aufgesetzt und mit allen Updates und Patches versorgt. Mit diesem Rechner wurde via LAN auf das NAS sowie mit RDP auf den einige Verschlüsselte Systeme zugegriffen, um Sicherungs und Servicearbeiten für die Forensiche Untersuchung durchzuführen. Dabei wurden auch Logeinträge über die RDP Verbindung kopiert und auf diesen Neuen Rechner gespeichert.
Der verwendete User war auch nur ein normaler User, kein Administrativer User auf dem neuen Windows System.

Dann wurde mit einen USB Stick die Logdaten von dem Windows auf einen Linuxrechner transferiert. An dem Windowsrechner wurde anschließend mit Diskpart der USB Stick mit Clean gelöscht und an dem Linuxgerät seine "Live Flashrettungsmedium" erstellt (sprich MBR + ein Teil der Daten überschrieben)


Ich selbst habe das System noch nicht gesehen, würde aber von euch gerne folgendes Wissen:

• inwieweit kann man den USB Stick noch vertrauen nach dem löschen mit Diskpart und den überschreiben des MBR auf dem Linux Rechner
• inwieweit kann man dem Windowsrechner noch vertrauen (Einschätzung Sicherheit RDP Verbindung / LAN Verbindung )
• inwieweit kann man dem Linuxrechner noch vertrauen.

Für mich würden natürlich alle Systeme zunächst einmal als kompromiert gelten, aber es stellt sich mir noch weiterhin Fragen:

• wie verbreitet derzeit BOOT / UEFI Viren sind, ob diese ein Extra OS benötigen, damit die das UEFI infizieren können oder ob es ausreicht, das der Stick schon nur angesteckt wird (OS unabhängig oder das UEFI BIOS den Stick versucht zu lesen?
• kann man UEFI Viren erkennen?
• kann man UEFI Viren entfernen? Reicht dazu ein Reset ?

Vielen Dank schon einmal für eure Antworten.

 

[Sebbi]

OK, McAfee Stinger ist wohl ein Piece of crap ...

Er scannt zwar, bringt verdachtfälle (alles Artemis! Viren,also Heuristikfälle, aber lt Virus total kein Viren da nur von McAfee erkannt )

Das beste ist aber, nicht nur auf dem Rechner mit Hirens Boot CD, sondern auch auf diversen anderen Rechnern (auch einen frisch aufgesetzten!) kommt das in den Results obwohl die Suche danach angehakt wurde oder egal wie die Einstellungen waren: Rootkit scan result : Not Scanned.

McAfee ist und bleibt wohl das was ich schon immer davon gehalten habe .... die Hoffnung das sich das die Quali mal vergessert hatte ich ja aber so.

p.s. Avira hatte nichts gefunden

 

[Drewkev]

Hm, ich war mit dem bisher zufrieden, ist aber schon etwas her, danke für den Erfahrungsbericht.

 

[Sebbi]

OK, nun hat sich eine ganz neue Entwicklung ergeben, da der Experte, der die Daten erhoben hat, entgegen der Behauptung von meinen Freund 2 Windowskisten dafür verwendet und zwar folgender Maßen:

1. Windowskiste (die ich hier habe) für RDP auf die VM zum Logs etc sichern. Diese Logs wurde nicht auf dem USB Stick gespeichert sondern auf einer speziellen Freigabe auf dem NAS

2. Windowskiste (die ich hier nicht habe) wurde via Putty und sFTP auf das NAS verbunden, die Daten auf den Rechner kopiert und von da aus auf den schon genannten Linux Rechner.

Beide Rechner hatten den Windowsdefender + aktuellen Patchstand

jetzt nochmal meine Frage:

wie hoch ist das Risiko für das jeweilige Gerät für eine Infektion:

• Windowsrechner 1 (RDP)
• Windowsrechner 2 (Putty / sFTP)
• USB Stick, der nur am 2 Rechner angeschlossen wurde

 

[TomH22]

Warum setzt Ihr nicht einfach die Windows Rechner, die für die forensische Analyse benutzt wurden, neu auf?
Ich verstehe die ganze Diskussion darum nicht.
Oder geht es um das Risiko, das damit erhobene Daten, bzw. gesicherte Dateien infiziert sein könnten?

 

[Sebbi]

das wird so oder so gemacht. ggf aber auch neu angeschafft.

Uns ansich geht es aber einfach um die Theorie, ob eine Kompromitierung der angegebenen Systeme im Bereich des normal möglichen liegt bzw ob ein automatisierter Angriffsvektor derzeit bekannt ist, der via RDP, via Putty / sFTP Clientsysteme oder via LAN (wenn ein System zwar in das Netzwerk gehangen wird, aber keine Verbindung zu dem komprimitieren Systemen aufbaut) nach Systemen sucht und versucht diese zu kompromitieren.

 

[TomH22]

via LAN (wenn ein System zwar in das Netzwerk gehangen wird, aber keine Verbindung zu dem komprimitieren Systemen aufbaut) nach Systemen sucht und versucht diese zu kompromitieren.

Generell sollte man LAN immer als Angriffsvektor betrachten. Wenn man sieht was in einem typischen LAN an "legitimen" Traffic stattfindet, ist es leicht möglich dort was zu verstecken. Es gibt ja z.B. alle möglichen "Discovery" Protokolle mit denen z.B. SMB (also Samba und Windows Fileserver) sich gegenseitig finden, aber auch DHCP, IPv6 Router Advertisements , UPnP, usw.

Exploits nutzen ja nun gerade Bugs (wie Buffer-Overflows) in den Implementierungen solcher Protokolle. Des weiteren ist nicht bei allen Protokollen immer sichergestellt, dass sie kryptografisch resistent gegen Replay-Attacken, etc. sind. Also wenn z.B. jemand den verschlüsselten RDP Traffic aufgezeichnet hat.

Es ist auch nicht so schwer, mittels ARP-Spoofing Verkehr auf einen Rechner umzuleiten. Solange sich also ein kompromittierter Rechner in einem LAN Segment ist, muss man das gesamte Segment kompromittiert betrachten und damit auch alle darin befindlichen System als extrem gefährdet.

Natürlich kann man argumentieren, das z.B. die Windows Firewall im Profil "public" schon recht sicher ist, und ein aktuell gepatchter Windows 11 Rechner auch nicht trivial anzugreifen ist.

Aber Du fragst ja nach der Theorie, nicht nach der Wahrscheinlichkeit, dass etwas passiert ist.

Gemeinerweise hatte einer die Idee, Bitlocker zu aktivieren, so das man nichts aus den vHDDs auslesen kann, wenn das OS nicht läuft. Klasse gemacht.

Grundsätzlich ist Bitlocker eine gute Idee, bei uns ist das auch in VMs "mandatory". Wenn man ein System HDD (egal ob physisch oder virtuell) nach so einem Angriff oder anderen Desastern auslesen muss, dann gibt es Fehler im Backup Konzept. Wenn es natürlich darum geht Logs etc zur forensischen Analyse auszulesen, ist es was anderes. Aber auch da müsste man, sofern man den Recovery Key hat, die Images noch auslesen können.

 

[cumulonimbus8]

Zu #18: „Oh, Scheiße…“

Wenn das ein so empfindliches Unternehmen war müsste man schon tief ansetzen.
Andererseits - ist es so empfindlich wird kaum ein Krypto-Trojaner das Mittel der Wahl sein anzugreifen. Ich mache es mir einfach: einfach aus Backup restaurieren, da hat jemand geschlafen und wurde geangelt.

BitLocker hat für mich den Ironiefaktor, dass der Trojaner die Inhalte verschlüsselt während BitLocker dann noch mal das Dateisystem verschlüsselt. Kurz: dieser Schutz war keiner, höchstens einer vor der eigenen IT.

Saubere Recoverysticks, Backups\Images nach Extern. Das ist das vernünftig Mögliche wenn man denn nicht Geheimdienstparanoia ansetzt. Aber das hieße für mich, dass hinter jedem… Operator… ein Aufpasser steht. Oder Zwei.

CN8

 

[Sebbi]

Wenn das ein so empfindliches Unternehmen war müsste man schon tief ansetzen.

jup, die Clients weren auch gerade entsprechende untersucht von richtigen Profis, da es sich bei den Windows Rechnern aber nicht zum Firmeninventar gehören, wird das nicht übernommen die Prüfung.

Daher eben auch die Frage nach der Risikobewertung, Chance und Theorie.

Aktuell konnte ich, nach dem die Hirens Boot CD so ein Reinfall war, eine Desinfect 2022 in meine Finger bekommen und die Scans laufen gerade.

BitLocker hat für mich den Ironiefaktor, dass der Trojaner die Inhalte verschlüsselt während BitLocker dann noch mal das Dateisystem verschlüsselt. Kurz: dieser Schutz war keiner, höchstens einer vor der eigenen IT.

100 % ACK

Ich mache es mir einfach: einfach aus Backup restaurieren, da hat jemand geschlafen und wurde geangelt.

wie gesagt, ich denke genauso, aber man wird die Ergebnisse der Logs dann sehen.

Saubere Recoverysticks, Backups\Images nach Extern.

da ist man nun dran, diese Backups gegenzuchecken, ob die Infektion ggf schon eher im System geschlummert hat.

Also wenn z.B. jemand den verschlüsselten RDP Traffic aufgezeichnet hat.

naja mir ging es hier eher jetzt darum, ob ein Rechner, der zu den kompromitieren System eine RDP Verbindung im LAN aufbaut, über diese Verbindung infiziert werden könnte.
Die Verbindungen nach außen ist eh gekappt, sprich der Angreifer sind eh physisch ausgesperrt und kann der Schadware keine Anweisungen mehr geben

 

[cumulonimbus8]

👍 Viel Glück & Erfolg 👍
(Oder mehr: kein Erfolg noch Pfui! aufzustöbern...)

CN8

 

[Sebbi]

so. mal als Zusammenfassung:

nach die Rechner und der USB Stick mit diversen Virenscannern und Rootkit Scannern bearbeitet wurde ohne Befund gehe ich davon aus, das beide Windows Rechner + der USB Stick sauber

Virenscanner:

ClamAV
ESET (ist aber irgendwie broken der Scan auf desinfect CD)
Oben Threat Scanner
Sophos
ESET Online Scanner (via Hirens Boot CD)

Rootkit

rkhunter
chkrootkit
Scanner via den AV Scanner

Auch im Normalsystem (auch wenn man dem dann nicht so vertrauen sollte:

Norton Power Eraser
Malware Bytes
noch weitere Scanner, wo ich aber nicht mehr den Name weiß

----

Beide Rechner werden nun frisch installiert und werden dennoch nur noch für den privaten Gebrauch verwendet.
Auch der USB Stick ( 1 TB und was nicht so billig, war aber gerade nix anderes da zu der Zeit und musste schnell gehen ) wird privat weiterverwendet, da aus nichts weiter auf BAD USB hindeutet. (wurde analysiert mit Process Monitior, was für Befehle etc beim Anstecken durchgeführt werden)

-----

Falls ihr dazu noch Anmerkungen oder Hinweise habt, würde ich euch bitten, diese zu äußern.