Blog

Grippewelle? Infiziert? #botnet #virus #trojaner

Manchmal erwischt es mich, Dich oder den Rest von uns. Trojaner und Viren finden ihren Weg auf unsere Systeme. Das Worst-Case Scenario ist dann der Fall, wenn das eigene Netzwerk Bestandteil eines Botnetzes ist. Muah! Himmlisch! Die eigene digitale Grippewelle in einem Netzwerk ist der Höhepunkt einer Arbeitswoche.

Die Einfallstore sind in der Regel manipulierte Webseiten, sehr oft Werbung (Firefox: Hilfe hier; Chrome: hier), Javascript (Firefox: Hilfe hier; Chrome: hier), E-Mail und natürlich USB-Sticks. Wenn jede Warnung, jede Aufklärung und jede Vorsichtsmaßnahme, sowie jedes Sicherheitskonzept mal schlapp macht und die Schadsoftware den Weg in die eigenen Netze gefunden hat, müssen wir reagieren.

Wie stellen wir den Befall mit Schadsoftware fest? Da gibt es eigentlich nur vier relevante Wege:

  • Unsere Sicherheitssoftware schlägt Alarm und kriegt das Problem möglicherweise nicht in den Griff. Ab und zu reagiert der Nutzer falsch und lehnt Säuberungen ab. Fällt dann unter die Kategorie “selbst Schuld”.
  • Unser Hardware-Firewall registriert steigenden Traffic in so völlig harmlose Länder im Ostblock, Asien oder namenlose Server in den USA. Im besten Fall identifiziert der Hardwarefirewall (inklusive Virenschutz, Intrusion-Protection etc.) die Malware anhand der angesprochenen Server und des Kommunikationsinhaltes. In Firmennetzwerken üblich (also da, wo man weiß was man tut), bei Privathaushalten zu 99,99% völlig ausgeschlossen, weil die Router und Modems der Provider in der Regel die letzte Gülle sind und schlicht keine Sicherheitsfunktionen anbieten, die den Namen wert sind.
  • Das eigene System wird plötzlich gekapert, verschlüsselt, stürzt ab und Daten werden gegrillt. Also der Zeitpunkt wo alles zu spät ist.
  • Unser Provider oder andere Personen oder Organisationen, die von Deinem System per E-Mail, DDoS-Beschuss oder durch andere Möglichkeiten angegriffen werden, rufen Dich einfach mal an und Du hast keine Ahnung was die Person am anderen Ende der Leitung von Dir will.

In so einem Fall reagieren Leute ganz unterschiedlich:

  • Privatpersonen reagieren gar nicht und nutzen ihre infizierten Malwareschleudern weiter. Das ist nicht selten.
  • Privatpersonen bekommen Panik und löschen einfach Alles. Eine sehr brutale Möglichkeit.
  • Privatpersonen suchen sich professionellen Rat und zahlen mal ordentlich Kohle. Landen sie bei einem seriösen Service bekommen sie eine Empfehlung für die Sicherheitssoftware, die sie aufgrund ihres Verhaltens benötigen und die Höhe des Preises in Bezug auf den Service-Stundensatz ist dann nicht gleich so hoch.
  • Firmenadmins reagieren auch ziemlich unterschiedlich. Einige schalten mal den Firewall ab und lassen das Ganze mal ein bis zwei Tage so brummen, bevor das große Reinemachen beginnt. Man muss ja wissen wo es kratzt. (Kein Scherz)
  • Dann gibt es die, die ganz langsam mal Rechner für Rechner abchecken, wenn jemand im Urlaub ist auch mal abwarten, und hoffen, dass sie einen Treffer landen. Dann wird ein Virencheck gemacht und der Rechner gesäubert. Eine unsichere Methode die häufig anzutreffen ist.
  • Dann kommen die Schnuckligsten: User: “Ich habe eine Virenmeldung” Admin: “Ignorieren sie es”. Also Admins, die tatsächlich gar nichts tun und hoffen, dass es der Admin nach ihnen regelt.

Wie macht man es richtig? Na ganz einfach:

  • Analysieren des betroffenen Netzwerkes bzw. Subnetzes. Bspw.: Abteilung, Referat, Standort.
  • Verbindung in das Internet und zwischen dem betroffenen Netzwerk und sauberen Netzwerken konsequent trennen. Damit werden Angriffe gegen Außenstehende unterbunden, Datenabfluss verhindert und der Schaden wird eingegrenzt.
  • Anhand der Logdaten “abschätzen” wie viele Systeme betroffen sind. Warum nur “abschätzen”? Weil niemand weiß wo sich eine Malware noch so hingebeamt haben kann und welche Komponenten zusätzlich durch die Schadsoftware installiert und verteilt wurden.
  • Es kann danach nur eine Entscheidung geben: Betroffene, gefährdete und möglicherweise Systeme bei denen man sich unsicher ist, plattmachen und neu installieren. Konsequent! Alles andere ist ein Wagnis und Geschäftsrisiko.
  • Das gilt in Firmen und Organisationen, genau wie bei Privatpersonen. Wenn die Möglichkeit einer Analyse besteht, sollte auch geprüft werden wo der Ursprung liegt. Es könnte eine Sicherheitslücke vorliegen oder menschliches Versagen.

Wo gibt es in so einem Fall die meisten Probleme?

  • Bei allen Betroffenen die eingesetzte Spezialsoftware. Die muss man schon irgendwie griffbereit haben, wenn man die Systeme plattmachen will.
  • Bei allen Betroffenen die zu sichernden Daten.

Wie sichert man die Daten?

  • Die beste Lösung ist eine grundsätzliche routinemäßig wiederkehrende Sicherung bereits vorweisen zu können. Sicherungsbänder, mobile Datenträger, optische Datenträger oder bspw. Raid-Systeme (NAS / Netzwerkspeicher). Je nach Konzept oder Anspruch. Alles ist machbar und im Ernstfall richtig. Aus Sicherheitsgründen scannt man diese Sicherungen nach der Neuinstallation des Hauptsystems auf Schadsoftware. Könnte ja ein Schläfer irgendwo festsitzen. Der Scan sollte mit zwei unterschiedlichen Antiviren-Scannern erfolgen. Die infizierte Platte wird platt gemacht.
  • Sollte keine Sicherung vorhanden sein, müssen die Daten von der infizierten Platte geholt werden. Das läuft entweder über eine Linux-Live-CD und Kopie der Daten auf einen externen Datenträger, der anschließend wie im vorherigen Punkt gescannt wird. Die andere Alternative ist die betroffene Festplatte gesondert an ein System anzuschließen (Livesystem oder ein als abwehrbereit eingestuftes System) und ebenfalls wie eben beschrieben zu scannen, bevor die Daten zurück auf das neue System kommen. Grundsätzlich darf die infizierte Platte vor einem Scan jedoch nicht gebootet werden.

Das sind Maßnahmen die auch Privatpersonen mit Hausmitteln durchführen können. In Firmen werden in der Regel relativ schnell Festplattenimages verteilt. Daten liegen auf Netzwerkservern, die eigene Abwehrmechanismen besitzen. Mit Arbeitsausfall ist jedoch grundsätzlich zu rechnen.

Es gibt keinen 100%igen Schutz. Deshalb sollte man im Fall der Fälle mit anderen Leuten oder mit sich selbst nicht so hart ins Gericht gehen. Viele Infektionen geschehen ungewollt und unbemerkt. Natürlich sind die Fehler der Nutzer ebenfalls Quell all des Glückes für Admins die zum Saubermachen anreisen müssen. Das Leben ist eben so …

Tagged , , , , , , , , , , , , , , , , ,