ComputerBase Menü
Aktuelles

Suchen Testvirus zum Stressen der Infrastruktur

Status
Für weitere Antworten geschlossen.
Sithys

Sithys

Captain Pro
Registriert
Dez. 2010
Beiträge
3.482
Moin zusammen,
wenn man sie nicht braucht, bekommt man sie, aber wenn man wirklich mal einen vernünftigen Virus sucht, findet man keinen. :rolleyes:

Wir haben eine kleine, abgeschottete Infrastruktur aufgesetzt um unserer Sophos Intercept X Geschichte mal auf den Zahn zu fühlen und zu gucken, wie gut das mit dem Heartbeat und der Isolation der Clients funktioniert.

Jetzt bin ich gerade auf der Suche nach ordentlichen Viren die entweder mal alles durchverschlüsseln oder den PC so zermartern, dass das Ding nicht mehr booted oder halt ohne Ende PopUps aufgehen bspw. Die bekannten EICAR-Testdateien reichen hier natürlich nicht aus.

Ich habe im Netz bereits ein Git Repo gefunden, in welchem sich etliche Trojaner, Viren, Würmer und was auch immer finden lassen, allerdings scheinen die da alle ziemlich alt zu sein. Es muss doch möglich sein, mal einen ordentlichen Virus auf das System loslassen zu können um genau das zu prüfen.
 
Ne, dieses hier ->

Ist aber alles nicht das Wahre... zumindest sind das alles Würmer bzw. Trojaner... ich brauch eher 'n richtigen Virus, wie gesagt, mit PopUps, löschen von Systemdateien oder sowas.
 
Zuletzt bearbeitet:
Jeder, der dir hier einen sinnvollen Link o.ä. schickt, steht mit einem Bein im Knast weil wir inkompetente Gesetzgeber haben. Der Hacker-Paragraph §202 StGB ist da leider eindeutig.
Eine reine anonyme Anfrage in einem Forum ist für Helfende nicht automatisch eine Freigabe/Beauftragung um als befugt/berechtigt zu gelten. Bedankt euch bei eurem zuständigen Lobbyschmiergeld- & Nebeneinkunftsempfänger.

Du könntest dein Glück im nicht-deutschen Raum versuchen oder müsstest tatsächlich auf eigene Faust Ransomware Simulatoren oder Malware- und Virensamples finden.
 
  • Gefällt mir
Reaktionen: Yesman9277
Wenn das tatsächlich der Fall ist, bitte ich den Beitrag zu entschuldigen. Wäre aber ziemlich traurig... wie machen das IT-Admins denn? Aktuell haben wir das gesamte Repository ausgeführt in der ersten VM und bis jetzt ist das einzige was der Heartbeat von Sophos anzeigt: Grün, keine Feststellungen.
 
Versucht mal über einen Security Dienstleister einen Pen-Test zu beauftragen. Das Know How kann man auch intern aufbauen, allerdings ist das nichts, was man über Nacht hin bekommt.

Was nutzt ihr von Sophos? Die Endpoint Protection mit Sandstorm/InterceptX?

Grüße
 
  • Gefällt mir
Reaktionen: Raijin
Einfach mal bei Youtube suchen. Da gibt es diverse Leute, die Viren "testen" bzw. für die Öffentlichkeit einfach mal zeigen, was die so anstellen.
 
RedGunPanda schrieb:
wie machen das IT-Admins denn?
Zum Vergrößern anklicken....
Beauftragen entsprechende White Hats und Pentesting Firmen. Dann sind diese ja befugt und berechtigt, da ein Vertrag und klarer Arbeitsauftrag besteht.

Wenn ein Hacker eine Lücke in der Firma entdeckt und sich meldet, kann dieser von guten Firmen auch belohnt werden (bug bounty) und/oder lädt den Hacker ein um intern zu zeigen wie er es machte damit man daraus lernen kann. Wie gesagt, gute Firmen können dies so machen. Es gibt aber auch Firmen, die deswegen oder bei Erkennung solcher "Tests" direkt Anzeige erstatten.

RedGunPanda schrieb:
gesamte Repository ausgeführt in der ersten VM
Zum Vergrößern anklicken....
Gut gemachte Viren haben eine Erkennung ob diese auf VMs laufen, gucken wie alt das System ist ob noch irgendwelche Windows Services oder Serveranwendungen laufen und einige andere Hinweise, die auf einen Honeypot hindeuten und machen dann nix.
 
nosti schrieb:
Was nutzt ihr von Sophos? Die Endpoint Protection mit Sandstorm/InterceptX?
Zum Vergrößern anklicken....
Wir haben eine XG 135 mit TotalProtect Plus und Intercept X Advanced auf allen Clients. Eigentlich soll das ja alles so schön funktionieren mit der Isolation der Clients bei Infektion etc.

Generell überlegen wir, ob wir auf eine XGS 2100 Upgraden und dann unseren Terminalserver und das NAS hinter die Firewall hängen (mit 10G). Wenn dann Sophos was erkennt, wäre der Zugriff auf den TS und das NAS nicht mehr möglich. Aktuell hängen die Kisten halt vor der Firewall, da bringt mir der Heartbeat (außer dem Kappen der Internetverbindung) recht wenig.

Wir wollen aber einfach mal ein bisschen ausprobieren, wie gut und zuverlässig das alles funktioniert. Für ein paar "kaputte" Rechner und jemanden, der in dem abgeschotteten Netz einen Virus ausführt brauch ich noch keine Pen Test Firma würd ich sagen.

snaxilian schrieb:
Gut gemachte Viren haben eine Erkennung ob diese auf VMs laufen, gucken wie alt das System ist ob noch irgendwelche Windows Services oder Serveranwendungen laufen und einige andere Hinweise, die auf einen Honeypot hindeuten und machen dann nix.
Zum Vergrößern anklicken....
Die Vermutung hatten wir auch schon... schön oder auch schade, dass du das so bestätigst. Dann nehmen wir 4 Notebooks und lassen das direkt auf den Kisten laufen.
 
Einen Pen-Tester könnte man anfragen, ggf. hat der ein paar Malware Samples. Kali Linux bringt afaik auch welche mit, aber keine Ransomware Trojaner. Wenn man das nicht unbedingt im Dreammarket kaufen möchte, würde ich mein Glück mal bei https://app.any.run/ probieren - ich weiß nicht ob ein normaler Account ausreicht oder ob man bezahlen muss um die Samples die dort analysiert worden sind, herunterladen zu können.

@snaxilian hat das nicht ganz unrecht, aber so eindeutig ist die Lage auch nicht. Es steht zwar im Gesetz was drin von wegen, wer sich beschafft, überlässt, usw. ein Programm mit dem man Straftaten nach X vorbereiten oder durchführen kann, aber es kommt trotzdem auf die Intention an. Sonst wären viele Pen-Test Tools auch nicht erlaubt und man darf sie aber trotzdem einsetzen.

Ich finde das eine gute Idee, die Software so zu evaluieren.

Deinen Link hast du wohl entfernt, meintest du theZoo?
 
RedGunPanda schrieb:
Wir wollen aber einfach mal ein bisschen ausprobieren, wie gut und zuverlässig das alles funktioniert. Für ein paar "kaputte" Rechner und jemanden, der in dem abgeschotteten Netz einen Virus ausführt brauch ich noch keine Pen Test Firma würd ich sagen.
Zum Vergrößern anklicken....
Das wird ein bisschen witzlos enden...
Bei klassischen Viren wird das Ding so oder so Signaturen gegen alles Bekannte haben und anschlagen.
Von unbekannten Viren wirst nicht so einfach Samples bekommen ;)
Bleiben noch Bugs im OS oder installierter Software, da könntest du gucken ob du die SAM oder SECURITY Datenbank von Windows 10 auslesen kannst (https://www.heise.de/news/HiveNight...dows-Passwort-Datenbank-auslesen-6143746.html).
Wird dies erkannt und im besten Fall unterbunden: gut. Wenn nicht: Warum nicht denn dann hat die Detektion eindeutig versagt...
Was ist mit Installation per Powershell und sc.exe? Ja, ist häufig von Admins im Einsatz aber was ist mit der Verwendung abseits der üblichen und zu erwartenden Pfade?
Was ist wenn man ein bisschen mit mimikatz herum spielt?
Ransomware kann man mit ein bisschen Powershell auch selbst gut simulieren, gerade in abgeschotteten Umgebungen. Wie viele Dateien kann ein User (pro definierter Zeiteinheit) verändern und/oder umbenennen bis die Detektion anschlägt?
 
  • Gefällt mir
Reaktionen: NJay
snaxilian schrieb:
Gut gemachte Viren haben eine Erkennung ob diese auf VMs laufen, gucken wie alt das System ist ob noch irgendwelche Windows Services oder Serveranwendungen laufen und einige andere Hinweise, die auf einen Honeypot hindeuten und machen dann nix.
Zum Vergrößern anklicken....
Ja und die Hersteller versuchen ihre Sandboxes / VMs immer besser zu verschleiern und den Virus zur Ausführung zu bewegen. Ist ein ewiges Katz- und Maus Spiel, gerade daher ist so eine Malware Analyse ja spannend.
 
Leider hat sich der Support und die Unterstützung bei Sophos in den letzten Jahren so verschlechtert, dass wir von unserer SG310 weg sind.
Grundsätzlich hat das schon funktioniert mit dem Clientmanagement, aber gegen bekannte Bedrohungen ist das auch nicht wirklich schwer.

Du könntest, wie @Falc410 schon gesagt hat, mit Kali testen...so kann man z.B. Reverse Shell oder ähnliches ohne viel Aufwand testen, wie Aussagekräftig das ist, steht jedoch in den Sternen. Gerade mit den Spooler Zero Days der letzten Wochen....

InterceptX soll ja eigentlich auch vor unbekannten Bedrohungen schützen, allerdings zu Kosten der Performance auf den Clients und wie hoch die Erkennungsrate Schlussendlich ist, kann auch niemand wirklich sagen.

Die sonstige Windows Security Best Practise habt ihr bereits umgesetzt?

Grüße
 
  • Gefällt mir
Reaktionen: snaxilian
Falc410 schrieb:
Sonst wären viele Pen-Test Tools auch nicht erlaubt und man darf sie aber trotzdem einsetzen.
Zum Vergrößern anklicken....
Nicht die Tools sind das böse (naja schon) aber die stehen nicht unter Strafe sondern die Person, die dabei hilft solche Tools herzustellen, zu beschaffen, verkauft, überlässt, verbreitet oder sonstwie zugänglich macht. §202c sagt bereits: Wer etwas vorbereitet was zu $202a/b führen kann, macht sich bereits strafbar.

Wenn ich dem TE also hier einen Link zu einer lauffähigen Schadsoftware gebe, er führt dies aus, das Testnetz war doch nicht so abgeschottet wie gedacht oder dem Chef ist das so oder so nicht mehr geheuer dann hat die Firma die Möglichkeit, mich anzuzeigen. Staatsanwaltschaft fragt dann bei cb nach weiteren Daten von mir, geht zum Mailprovider und/oder ISP bis man mich namentlich erkannt hat und kann mich dann deswegen anzeigen.
Natürlich ist das Gesetzt völliger murks weil auch Tools wie nmap, curl und andere darunter fallen, ändert aber leider nix an der aktuellen Situation.

So. Der TE kann uns hier das die Hucke volllügen oder die Wahrheit und nichts als die Wahrheit erzählen. Wir wissen es nicht und im schlimmsten Fall will er seinen ehemaligen Arbeitgeber oder Konkurrenten vielleicht schädigen oder ist ein Scriptkiddie was sein Zeugnis umändern will. Da niemand hier eine entsprechende Arbeitsanweisung oder Vertrag mit der Firma des TEs hat, ist und bleibt es verdammt dünnes Eis.
 
Das ist eine OT Diskussion, aber ich denke trotzdem, dass du da übertreibst, denn wie gesagt, die Intention spielt eine Rolle. Gab vor ein paar Jahren auch einen Recht guten Vortrag beim 36c3:
https://media.ccc.de/v/36c3-10977-hackerparagraph_202c_stgb_reality_check#t=1901

Ich arbeite meistens nur mit Exploits, entweder die die in Kali bzw. Metasploit schon dabei sind, oder eben neue (PoC)Exploits wenn es eine interessante Schwachstelle gibt. Das ist alles legal sofern die Intention eben Forschung / Analyse ist. Du hast natürlich Recht, dass wir die Intention des TE nicht kennen und er auch nicht unbedingt die Wahrheit sagen muss.

Und nmap etc. fällt garantiert nicht drunter, das sind alles sog. Dual-Use Tools. Du kannst mit einem Messer Brot schneiden oder jemanden erstechen - genauso nmap.

Sonst dürftest du auch keine HoneyPots betreiben oder Malware Analyse Systeme wie Cuckoo etc.
 
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

C
Infrastruktur mit Home-NAS, Offsite-Backup und VPN-Schutzschirm
Antworten
18
Aufrufe
886
chrigu
chrigu
Pash0r
Profesionelle Hardware für IT Infrastruktur gesucht...
2
Antworten
20
Aufrufe
2.017
dMopp
dMopp
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz