zurück zur Übersicht

Skript: Clean-Up nach einem Sicherheitsvorfall leicht gemacht

Achtung: Das hier vorgestellte Skript kann einen Computer in wenigen Sekunden lahmlegen! Denken Sie daran: mit großer Macht kommt große Verantwortung*.

Ich möchte hier ein Skript teilen, das ich geschrieben habe, um Maschinen nach einer Infektion aufzuräumen. Die Idee entstand während eines kürzlichen Responseeinsatzes, an dem ich arbeitete, und bemerkte, dass sich zwar die Dateihashes nicht änderten, allerdings die Dateipfade je nach Maschine unterschiedlich waren. In diesem speziellen Fall konnten wir aufgrund deren Rolle innerhalb der Organisation nicht alle infizierten Rechner ersetzen.

Das brachte mich dazu, darüber nachzudenken, wie ich ein Low-Tech-Skript schreiben kann, das Maschinen auf Basis von Datei-Hashes anstelle von Dateipfaden bereinigen kann und mich über den Fortschritt auf dem Laufenden hält. Version eins wurde erstellt, um Dateien basierend auf Datei-Hashes (md5, sha1, sha256, sha384 oder sha512) zu löschen. Die Hashes könnten in einer Eingabedatei auf einer zentralen Dateifreigabe gespeichert werden und es wurde eine Logdatei erstellt, die den Fortschritt in Bezug auf fehlgeschlagene oder erfolgreiche Dateilöschungen und den entsprechenden Pfad anzeigte, oder wenn keine Hashes auf der Maschine gefunden wurden.

04/10/2018 10:11:00: File with hash DD4E641F015B62815103330927B77B65DFEA92E9 found, removed C:\Badstuff\bad1.exe from host W10V
04/10/2018 10:11:00: File with hash DA39A3EE5E6B4B0D3255BFEF95601890AFD80709 found, removed C:\Badstuff\final3.exe from host W10V
04/10/2018 10:11:27: File with DD4E641F015B62815103330927B77B65DFEA92E9 not found on host W10V
04/10/2018 10:11:27: File with DA39A3EE5E6B4B0D3255BFEF95601890AFD80709 not found on host W10V

Also dachte ich, „OK, das funktioniert, aber was ist mit der Registry?“. So wurde die Version 1.1 geboren mit der wir nun in der Lage sind, Registryeinträge zu entfernen.

04/10/2018 10:11:00: registery key found, removed HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\Catalyst Control Center from host W10V
04/10/2018 10:11:00: registery key found, removed HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\CryptoMiner from host W10V
04/10/2018 10:11:27: registery key HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\Catalyst Control Center not found on host W10V
04/10/2018 10:11:27: registery key HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\CryptoMiner not found on host W10V

Nachfolgend finden Sie ein Video des Skripts in der Praxis und das Skript selbst wird auf GitHub veröffentlicht, weil ich es weitergeben möchte und ich bisher nichts dergleichen online finden konnte. Die Kommentare innerhalb des Skripts sollten ausreichen, um Ihnen bei der Verwendung zu helfen.

Das Skript in Aktion

SecureRespond

Der Securelink SecureResond Service ermöglicht es jedem Unternehmen, rund um die Uhr auf bösartige Cyber-Bedrohungen zu reagieren. Kunden sind dadurch in der Lage, vorhandene Ressourcen mit erstklassiger Kompetenz zu ergänzen, um ihr Geschäft abzusichern.

  • SecureRespond Endpoint Quarantine
  • SecureRespond Malware Analysis

Mehr informationen hier >>


*: für Schäden an Daten, Soft- oder Hardware durch die Nutzung übernehmen weder SecureLink noch der Autor irgendeine Haftung. Die Benutzung ist auf eigene Gefahr!

Links:

https://securelink.nl/blog/easy-clean-up-after-an-incident/

Auf Tour mit der Cyber-Feuerwehr

https://www.securelink.de/services/securerespond/

Bild: ©iT-CUBE SYSTEMS AG 2018

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer