Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Malwareerkennung im Firmennetz

Mitglied: BleppSatter

BleppSatter (Level 1) - Jetzt verbinden

06.12.2018 um 12:27 Uhr, 742 Aufrufe, 8 Kommentare

Hallo Leute,

wir haben bei uns in letzter Zeit ein stärkeres Spamaufkommen, wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde durch eine Malware, welche solche Daten sammelt. Vom Verhalten her hat mich das schon stark an Emotet erinnert. Daher stellen sich mir nun folgende Frage:

Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht? Die Möglichkeit, den IP-Fluss mittels NetFlow oder sFlow an den Switches zu strukturieren, kenne ich bereits, allerdings hätte ich dann noch immer den Aufwand, das alles zu verstehen und zuzuordnen. Wenn mir ein Programm das im großen Teil abnehmen kann oder bspw. mir Anomalien im analysierten IP-Fluss anzeigt, wäre das eine große Hilfe.

Vielen Dank und eine frohe Adventszeit,
Bleppsatter
Mitglied: Lochkartenstanzer
06.12.2018 um 12:36 Uhr
Zitat von BleppSatter:

Gibt es spezielle Software oder Lösungen, die den gesamten IP-Fluss auswertet und zudem mit Verhaltenmustern bekannter Malware abgleicht?

Moin,

nennt sich IDS.

lks
Bitte warten ..
Mitglied: departure69
06.12.2018, aktualisiert um 14:18 Uhr
@BleppSatter:

Hallo.

@Lochkartenstanzer hat Dir ja schon m. E. passend geantwortet.

Doch hierzu:

wobei die Mails oftmals korrekte Mailadressen und Namen der Mitarbeiter enthalten. Daher haben wir die Vermutung, dass eventuell unser Netzwerk infiziert wurde

habe ich noch was:

Meine Leute kriegen auch SPAM von Kollegen. Oder von sich selbst! Da wird dann fix bei mir angerufen und vermutet, daß wir bzw. unser Mailserver "gehäckt" wurde, ich solle dringend etwas unternehmen. Mich läßt das kalt, denn ich kann dann zur Antwort geben, daß nicht wir oder unser Mailserver gehackt wurde, sondern bloß unsere Mailadressen, allerdings außerhalb unseres Hauses. Sobald ich mit einer E-Mail-Adresse auch nur ein einziges mal nach außen agiere, ist sie "in der Welt". Und ab dann kann sie auch "in der Welt" - außerhalb unseres eigenen LAN - irgendwo entwendet und weiterverwendet werden. Was manchmal die kuriose Folge hat, SPAM von vermeintlichen Kollegen zu kriegen, dabei hat der Spammer sich irgendwo außerhalb unseres Hauses die Mail-Adresse(n) "angeeignet". Dagegen ist nichts zu unternehmen, außer, sich neue Mailadressen zuzulegen bzw. diese zu ändern. Hält aber nicht lange und geht dann bald wieder von vorne los.

Schwankendes Spamaufkommen ist normal und entspricht in der Verteilung in etwa der Populationsverschiebung (zwei gegeneinander verschobene Sinuskurven mit ähnlich hohem Ambitus) zwischen Polarfuchs und Schneehase in der Arktis. Die Spammer kreieren neues Aussehen und Erscheinungsbild ihres SPAM, das die Anti-Spam-Software noch nicht kennt, das Spamaufkommen steigt. Die Anti-Spam-SW lernt hinzu und erkennt die neuen SPAM-Methoden, SPAM wird erstmal wieder weniger. Die Spammer erfinden was neues, SPAM steigt wieder. Rauf und runter, fast meßbar regelmäßig. Und das wird übrigens nie mehr aufhören .

Ich glaube nicht, daß ihr ein Spezialproblem habt, das besondere Beachtung braucht. Und falls Ihr doch auf Nummer sicher gehen wollt, dann analysiert gerne den IP-Fluß.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: BleppSatter
06.12.2018, aktualisiert um 14:39 Uhr
@Lochkartenstanzer Okay, danke für den Hinweis. Und können Sie mir auch Empfehlungen für bestimmte Produkte geben? Wir haben uns mit dem Thema bisher kaum auseinandergesetzt, brauchen jetzt aber eine Lösung, die nach möglichen Viren im Netzwerk scannt. Zugegeben, die Beschränkung auf den IP-Fluss macht da nicht viel Sinn, daher sollte es meines Erachtens nach eine hybride IDS/IPS-Lösung geben, die sowohl auf zentralen Komponenten als auch in der Netzwerkkommunikation nach verdächtigen Aktivitäten sucht. Die Ausgangslage soll dabei sein, dass unser System bereits von uns unbemerkt infiziert wurde. Nach dem Wiki-Artikel schien mir Snort als am interessanten aus der Auswahl, allerdings scheint die Konfiguration dieses Programm sehr viel Wissen zu IDS/IPS vorauszusetzen und zudem ziemlich umfangreich zu sein.
Im Prinzip suche ich ein Programm, dass kein allzu tiefes Fachwissen über IDS/IPS voraussetzt (sicherlich führt kein Weg daran vorbei, sich damit auseinanderzusetzen, allerdings arbeite ich hier als Admin für Alles, da habe ich nicht die Zeit, mich intensiv und ausführlich da einzuarbeiten), sondern evtl. einiges an Arbeit und Analyse abnimmt. Es ist dabei zweitrangig, ob es eine kommerzielle Software oder Opensource ist, ich setze da lieber auf die Nutzererfahrungen und wende mich auch deshalb hier an die Community.

BleppSatter
Bitte warten ..
Mitglied: Lochkartenstanzer
06.12.2018 um 14:48 Uhr
Zitat von BleppSatter:

@Lochkartenstanzer Okay, danke für den Hinweis. Und können Sie mir auch Empfehlungen für bestimmte Produkte geben?

Moin,

Wir Duzen uns hier alle. Alse kanst Du Du zu mir sagen.

Produkte gibt es viele, z.B. von Cisco, Astaro, CA, Checkpoint, etc. Hier ist ein (etwas älterer) Überblick.

Um das richtige Produkt für Dich zu finden, solltest Du ein Systemhaus in Deiner Nähe konsultieren, denn so einfach aus dem Forum heraus ist es etwas schwierig eine Empfehlung auszusprechen, ohne die Gegebenheiten vor Ort zu kennen.

lks

PS: Du kannst mich oder die anderen Kollegen aus dem Forum, die das auch anbieten, natürlich auch konsultieren. Allerdings ist das meist mit kosten verbunden.
Bitte warten ..
Mitglied: certifiedit.net
06.12.2018 um 15:46 Uhr
Hallo Lochkartenstanzer,

da da Sophos UTM noch als Astaro hinterlegt ist, kannst du den Überblick in die Tonne treten, da das dann pi mal Daumen schon 5 Jahre alt ist.. Allerdings, Sophos bevorzuge ich heute noch.

Viele Grüße,

Christian
Bitte warten ..
Mitglied: BleppSatter
06.12.2018 um 15:54 Uhr
@departure69

Das kann auch sehr gut sein, dass ich mich einfach von der Vielzahl an Spam-Nachrichten irritieren haben lasse. Da ich bei einer genaueren Analyse dieser Mails festgestellt habe, dass Returnpath und FROM komplett verschiedene Mailadressen beinhalten, werde ich als eine Maßnahme schauen, ob ich einen automatisierten Abgleich der Mail-Domain aus diesen beiden Feldern vornehmen kann. Zwar würden dann auch etliche Mails von Konzernen als Spam markiert werden, aber da ist es mir lieber, diese FalsePositive-Mails händisch freizuschalten, als das Risko einer Virus-Infektion einzugehen.
Bitte warten ..
Mitglied: St-Andreas
06.12.2018 um 17:59 Uhr
Neben einer technischen Basis braucht man hier vor allem eine fundierte Ausbildung und viel Erfahrung.
Einfach eine Software kaufen die das „erledigt“ bringt nur eine trügerische Sicherheit.
Anhand der Frage vermute ich das Dir Wissen und Erfahrungen fehlen, daher der dringende Rat: Kauft Euch ein Paket aus Konzept, Hard-/Software und Service.
Alles andere verbrennt in der Regel nur Geld.
Bitte warten ..
Mitglied: dark.cube
06.12.2018 um 23:43 Uhr
IBM QRadar und sonstige Konsorten. Stichwort SIEM.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
VPN, Lager, Firmennetz
Frage von DomFryNetzwerke6 Kommentare

Hallo zusammen, aktuell würde ich gerne folgende Anforderung erfüllen: VPN-Verbindung zwischen Lager (Dyndns, Fritzbox 7390) und Hauptgebäude (Fixe Ip, ...

Tipps & Tricks

Veranstaltungsnotebook zurück ins Firmennetz

Frage von WindowsUser1Tipps & Tricks13 Kommentare

Guten Morgen zusammen, mobile Rechner werden auf Veranstaltungen/Events mitgenommen, es wird gesurft, USB Sticks werden verwendet. Nun muss sichergestellt ...

Webbrowser

Firmennetz: Zertifikatsprobleme bei anderen Browsern

Frage von DennisWeberWebbrowser15 Kommentare

Hallo, im Unternehmen haben wir alle Rechner auf Windowsbasis. Als Standard ist der Internet Explorer 11 installiert. Da mir ...

Humor (lol)

Der Raspberry Pi im Firmennetz

Information von KuemmelHumor (lol)6 Kommentare

;-) Gruß Kümmel

Neue Wissensbeiträge
Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 9 StundenInternet3 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Router & Routing

Zyxel VMG 1312 B30A - Firmwareupdate nur im "privaten" Firefox Modus möglich

Tipp von the-buccaneer vor 23 StundenRouter & Routing2 Kommentare

Hatte hier ein Zyxel 1312 das ums verrecken kein Firmwareupdate durchführen wollte. Datei ist auswählbar, dann kommt der Fortschrittskreisel ...

Windows 7

Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019

Information von kgborn vor 2 TagenWindows 75 Kommentare

Kleine Info für die Admins der oben genannten Maschinen. Ab Juli 2019 werden Updates von Microsoft nur noch mit ...

Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 4 TagenFirewall2 Kommentare

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Heiß diskutierte Inhalte
Hardware
IT-Werkzeugkoffer bis 50,- EUR
gelöst Frage von departure69Hardware53 Kommentare

Hallo. Ich bin als IT-Systembetreuer einer Gemeinde zusätzlich auch der IT-Systembetreuer einer Grund- und Hauptschule. Dort muß ich jedoch ...

Netzwerke
Verteilung von Programmdaten außerhalb des internen Netzwerkes
Frage von mertaufmbergNetzwerke27 Kommentare

Guten Morgen liebe Administratoren, ich versuche zurzeit eine möglichst sichere und einfache Lösung zu suchen, um ein Programmverzeichnis über ...

Datenbanken
PHP Fatal error: Uncaught Error: Call to undefined function oci connect
Frage von PlanitecXDatenbanken19 Kommentare

Hallo Zusammen, ich sitze seit Tagen am Problem das ich keine PHP Anwendung mit Anbindung zu Oracle zum laufen ...

Hardware
PC im Selbstbau, Workstation, mittelklasse Gaming
gelöst Frage von MrRobot1997Hardware19 Kommentare

Hallöchen Leute, ich bin seit einigen Jahren leider nicht mehr wirklich im Bild, wenn es um die Hardware und ...