"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Crypto, Locky usw... Virenbefall wird heftig

hachigatsu 21.04.2016 - 08:42 30925 174
Posts

UnleashThebeast

Mr. Midlife-Crisis
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 3446
Für sowas gibts halt hot & cold spares, und wenns die nicht gibt, würd ich direkt amal anfangen, den ISO und alle Infrastrukturverantwortlichen beim AMS anzumelden.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Zitat aus einem Post von UnleashThebeast
Semmerl hats eh schon gesagt.
Das System ist kompromittiert, da spiel ich keine Backups mehr ein sondern haus weg und fang vo vorne an, alles andere is grob fahrlässig.

Hm. Gibt schon Methoden wie du das hinbekommst. Oft genug gemacht mit monatelangen Intensiv Kontrollen ob noch etwas im Netzwerk auftaucht. Wichtig ist halt dass man die notwendige Sichtbarkeit und auch Werkzeug hat. Wenn es wirklich 10 Tage sind dann ist das eh nichts. In der Regel sind die Angreifer Monate voraus wenn sie zuschlagen.

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Du kannst nicht 100% im Coldstore vorhalten und dann ohne Spare für Jahre Live gehen

Wenn ich nicht irre haben wir im Server Bereich gut 15% Spare und im Infrastruktur um die 5-8%

Für beides wurden wir gerügt von unabhängigken Prüfern weils deutlich über der Ausfallrate ist.
(für Wachstum wurde von vornherein überprovisiniert um OPEX gering und Flexibilität hoch zu halten)

Michi

¯\_(ツ)_/¯
Avatar
Registered: Aug 2000
Location: nö
Posts: 2284
Zitat aus einem Post von UnleashThebeast
Semmerl hats eh schon gesagt.
Das System ist kompromittiert, da spiel ich keine Backups mehr ein sondern haus weg und fang vo vorne an, alles andere is grob fahrlässig.

... wenns blöd hergeht, kanns auch passieren, dass du die komplette Hardware kübeln kannst, wie es letztes Jahr einem großen Österr. Unternehmen passiert ist...

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
@Smut
Was für Werkzeuge empfiehlst du?

Zitat aus einem Post von Smut
Wenn es wirklich 10 Tage sind dann ist das eh nichts. In der Regel sind die Angreifer Monate voraus wenn sie zuschlagen.

Aktuell scheint sich die Frist zu verkürzen. Die Verschlüsselungsalgos sind deutlich flotter geworden (TB in Minuten) und die Früchte der Arbeit wollen gemolken werden. Sind ja auch Ressourcen die bei den Gruppen gebunden ist und die Lizenzkosten für die Frameworks und Exploits scheint auch in die Höhe zu gehen.

Nicht zu selten werden die zu gemietet oder Anteilig am Profit bezahlt.
Jedenfalls was ich aus den Whitehat Kreisen der CERT höre

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11890
Zitat aus einem Post von Viper780
Die Verschlüsselungsalgos sind deutlich flotter geworden (TB in Minuten)

DAS war aber echt noch nie ein Bottleneck bei der Sache.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Zitat aus einem Post von Viper780
@Smut
Was für Werkzeuge empfiehlst du?

Es hängt extrem von der Umgebung und eingesetzten ransomware toolchain ab. Wenn es keine application exploits sind sondern auf Systemebene, was imho am häufigsten ist bei ransomware, dann sofort eine EDR Software im prevention mode aufbringen. Dadurch hast du mal Sichtbarkeit und kannst zentral hosts Isolieren. Parallel schauen woher der Angriff gekommen ist und diese Lücken schließen. Wenn die Domäne kompromittiert wurde beginnen alle Privilegierten Accounts das Passwort zurückzusetzen inkl. Granting tickets etc. dann beobachten zb mit Microsoft ATA und mit zeitlichen abstand alle Accounts zurücksetzen. Gibt natürlich verschiedene vorgehensweisen und ist ganz stark abhängig davon was passiert ist, was eingesetzte wird und wieviel manpower+know how bereitsteht. EDR ist aber imho der fix startet weil es einfach extrem viel Sichtbarkeit bringt.
Zitat aus einem Post von COLOSSUS
DAS war aber echt noch nie ein Bottleneck bei der Sache.
ack. AES-NI in intel CPUs hat schon lange jeden storage outperformed. selbst ein einfacher laptop schafft da schnell mal 5gb/s.
problem heute ist eher der extrem performante NAS storage basierend auf flash speicher. da geht ein wipen heute leider verdammt schnell.
Bearbeitet von Smut am 28.05.2022, 13:09

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Zitat aus einem Post von COLOSSUS
DAS war aber echt noch nie ein Bottleneck bei der Sache.

Jein - damals so um 2015/2016 herum hatten wir einen recht einfachen Verschlüsselungs Trojaner (eingeschleust über ein Macro im Word) recht rasch erkennen können und entsprechend alles wichtige abgeschottet. Aber das Limit waren da vorallem die HDD.

@smut
Vielen Dank. Endpoint security Software sollte eh recht flott Standard sein.
Bei uns sind alle Admin Zugänge über 2FA gesichert und nur intern oder per VPN (ebenfalls 2FA nicht in einer Domain) verwendbar

UnleashThebeast

Mr. Midlife-Crisis
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 3446
Zitat aus einem Post von Viper780
Du kannst nicht 100% im Coldstore vorhalten und dann ohne Spare für Jahre Live gehen

Wenn ich nicht irre haben wir im Server Bereich gut 15% Spare und im Infrastruktur um die 5-8%

Für beides wurden wir gerügt von unabhängigken Prüfern weils deutlich über der Ausfallrate ist.
(für Wachstum wurde von vornherein überprovisiniert um OPEX gering und Flexibilität hoch zu halten)
Also wenn man Business Critical Infrastructure hat mit 5Jahren Lieferzeit, dann hat man da schon 100% coldspare zu haben, egal was so ein Firmanzugträger con McKinsey dazu sagt…

spunz

Super Moderator
Super Moderator
Avatar
Registered: Aug 2000
Location: achse des bösen
Posts: 11109
Sorry, aber ich kenne niemanden der seine redundante Umgebung nochmals komplett als "Coldspare" vorhält. Die meisten Unternehmen haben ja nicht mal redundante Systeme. Wenn die verbauten Fortigate Firewalls eines der möglichen Einfallstore waren, würde ich die Coldspares eher entsorgen als damit eine neue Umgebung aufzubauen ;)

UnleashThebeast

Mr. Midlife-Crisis
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 3446
Naja, welche Fortigate (brrr) hat denn 1-5Jahre Lieferzeit? ;)

spunz

Super Moderator
Super Moderator
Avatar
Registered: Aug 2000
Location: achse des bösen
Posts: 11109
Ich weiß jetzt nicht was du überhaupt mit diesen random Liferzeiten willst? Ev reden wir gerade aneinander vorbei.

Hättest du vor 2 Jahren mit 200-250 Tagen Lieferzeit für einen 08/15 Cisco ISR4300 oder 8300 gerechnet?

böhmi

Administrator
Spießer
Avatar
Registered: May 2004
Location: Wels Land
Posts: 4469
Ich stell mir gerade unsere GF vor, wenn ich unsere gesamten Siemens OT-Linienswitches als Coldspare noch einmal bestelle, weil‘s plötzlich 12 Monate Lieferzeit haben :D
Am besten alle S7-1200 und 1500 auch dazu.
Da kann ich mich auch gleich beim AMS anmelden :D

UnleashThebeast

Mr. Midlife-Crisis
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 3446
Zitat aus einem Post von spunz
Ich weiß jetzt nicht was du überhaupt mit diesen random Liferzeiten willst? Ev reden wir gerade aneinander vorbei.

Hättest du vor 2 Jahren mit 200-250 Tagen Lieferzeit für einen 08/15 Cisco ISR4300 oder 8300 gerechnet?

Ich hab nicht damit angefangen ;)

Zitat aus einem Post von Viper780
Wir haben das mal durchgerechnet und für das bissl was wir haben würden wir trotz Hilfe der Muttergesellschaft Lieferzeiten von 1-5 Jahre haben. Vom Finanziellen sprechen wir da nicht mal (wären eh CAPEX und würden nur die Zinsen relevant sein)


Zitat aus einem Post von böhmi
Ich stell mir gerade unsere GF vor, wenn ich unsere gesamten Siemens OT-Linienswitches als Coldspare noch einmal bestelle, weil‘s plötzlich 12 Monate Lieferzeit haben :D
Am besten alle S7-1200 und 1500 auch dazu.
Da kann ich mich auch gleich beim AMS anmelden :D


Ich stell mir auch eure GF vor, wenn die tollen Siemensdinger auf einmal alle hinich sind und die Bude dann 12 Monate steht...
Aber das is halt das Standardproblem in der IT. Wenn alles läuft und funktioniert, kannst dir anhören, wofür du eigentlich bezahlt wirst. Und wenn was hinich is dann auch...

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Wurscht welche Netzwerk Hardware ab einer gewissen größe musst mit 2-9 Monaten rechnen.
Alleine unsere Cisco Top of Rack Switches haben über ein Jahr Lieferzeit.
November 2021 bestellt und aktuell siehts so aus dass sie erst 2023 geliefert werden.

Eine kleine Palo Alto Firewall mit VPN für unsere OOB Verbindung hatte jetzt ein 3/4 Jahr gedauert.

HP DL380 Gen8 oder Gen10 3Monate (für kleine Mengen)

Fortigates hab ich jetzt kein aktuelles Angebot. Würd mich aber wundern wennst da 2-3 Stück welche 100Gbit können heuer noch bekommst.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz