Hallo Gemeinde,

gestern ist es in der täglichen Hektik passiert, dass wir eine doc-Datei (in passwortgeschützter zip-Datei) entpackt haben und auch noch auf Nachfrage die Makros aktiviert

Die große Frage ist nun, ob die Aktion/das Makro soweit durchlief, dass die Datei aus dem Netz gezogen wurde. Auf dem Rechner (hängt im Netzwerk) läuft lokal Sophos Endpoint Security and Control. Seitens Sophos gab es keine Meldung. Auch keine Objekte in Quarantäne. Ein manueller Scan ergab ebenfalls nichts. Zusätzlich wurde auch noch ein Scan mit dem WindowsDefender durchgeführt. Ebenfalls keine Bedrohung gefunden. Und zu guter Letzt noch ein Scan mit Malwarebytes. Ebenfalls keine Elemente gefunden.

Die Durchsicht der laufenden Prozesse zeigte keine auffälligen Programme.
Auch die Durchsicht der Inhalte der potentiellen Ordner (Windows Temp, AppData Local etc.) sind nicht auffällig.

Für mich stellt sich nun folgende Frage:

1. Wurde der durch das Makro gestartete Zugriff auf das Netz durch Sophos detektiert und unterbunden?
2. Wenn Sophos die Aktion erkannt haben sollte: Wo finde ich in den LogFiles einen Indiz hierfür?

Betreffend der doc-Datei ist es so, dass diese von der Machart dem ursnif gleichkommt.


Ich danke euch im voraus für eure Hilfe.

MfG

Zitat:

1. Wurde der durch das Makro gestartete Zugriff auf das Netz durch Sophos detektiert und unterbunden?
2. Wenn Sophos die Aktion erkannt haben sollte: Wo finde ich in den LogFiles einen Indiz hierfür?

Wie denn wenn nichts erkannt wurde?
Die Makros wurden von dir aktiviert, also kannst du auch davon ausgehen, dass die ausgeführt wurden.


Mehr kann hier niemand sagen, weil du weder Logfiles noch Infos über die DOC-Datei gepostet hast.

Hallo,

mir ist bewusst dass durch Aktivierung der Bearbeitung und Inhalte das Makro/die Makros angestoßen werden. Ich frage mich nur, ob Sophos die Bedrohung erkennt, wenn dann etwas heruntergeladen wird und ins Netz will?

Mich wundert es sehr, dass alle Tools keine Elemnte auf dem Rechner finden.
Wenn durch die Aktivierung der Inhalte wirklich Makros ausgeführt worden sind und im Hintergrund entsprechende Files heruntergeladen (und anschließend ggf. in exe umbenannt) worden wären die anschließend ins Netz senden, dann sollte Sophos dies erkennen. Oder denke ich so oberflächlich?

Leider lässt sich im Nachfeld die einzelnen Zugriffe ins Netz nicht auslesen, oder? Dann könnte ich sehen, ob und was gestern alles an IPs "angesprochen" wurde.

Zitat:

Ich frage mich nur, ob Sophos die Bedrohung erkennt, wenn dann etwas heruntergeladen wird und ins Netz will?

Wenn die Malware bekannt ist. Wie Virenscanner funktionieren wirst du doch sicher wissen.

Zitat:

die anschließend ins Netz senden, dann sollte Sophos dies erkennen. Oder denke ich so oberflächlich?

Wieso soll ein Virenscanner erkennen ob etwas ins Netz sendet. Du versechselst hier die Aufgabe eines Paketfilters mit der eines Virenscanners.

Ok. In dem Fall kann ich mich weder auf das Scan Ergebnis von Sophos oder Malwarebyte verlassen

Somit also keine Chance als den PC clean aufzusetzen?

Ich weiß nicht was du überhaupt vorhast, was dein Ziel ist.
Falls du Angst hast, dass irgendwelche Daten abgeflossen sind, dann lässt sich das nicht mehr rückgängig machen. Auch eine Neuinstallation kann das nachträglich nicht ändern.

Das ist klar, dass ich es nicht mehr rückgängig machen kann.

Mich würde jedoch interessieren, ob ich irgendwie ermitteln kann ob hier etwas lief.
Vielleicht bin ich nicht gerade der Profi, aber ich ging davon aus, dass durch das aktivieren der Makros erst die Malware heruntergeladen und gestartet wird. Somit hätte ich dies in den laufenden Prozessen doch auch sehen müssen...das hier ein "unbekannter" Prozess läuft *hmm

Ich habe die Makros vorhin auf einem alten Spielrechner ohne Netzzugang mal ausgeführt...und aufgefallen ist mir hierbei, dass eine Tabletable.hta unter ProgramData erstellt wurde.

Ist dir in den Sinn gekommen, dass ohne Analyse deines Systems, überhaupt keine Chance ist, was zu erkennen? Wir haben keine Logs von deinem System und wissen auch nocht was das für eine DOC-Datei war. So kann doch nun echt niemand irgendwelche Aussagen treffen außer da kann was passiert sein oder nicht.

Ich verstehe deine Einwände. Was genau an Information wären hilfreich? Ich kann ja nicht sämtliche LogFiles hier hochladen :/

Zur doc-Datei (bitte nicht den Zeigefinger heben - ich weiß, dass alles mehr als eindeutig ist!):
Die wurde gestern von einer bekannten Addy per Mail erhalten. Es war eine request.zip und in der Mail bereits das Passwort für die kennwortgeschützte doc-Datei. Nach öffnen und Eingabe des Passworts war der Hinweis, dass das Dokument mit einer alten Version erstellt wurde und man Makros aktivieren soll. Das wurde von der Person auch getan �� Aufbau der Mail und Art der Datei ist identisch zum Ursnif-Trojaner.
Was dann alles im Hintergrund ablief ist nicht bekannt. Erst 3 Stunden später bekam ich die Info (viel zu spät). Und ich habe dann u.a. geschaut, ob auffällige Prozesse im Taskmanager laufen. Anschließend eben Defender (der war komischerweise nicht aktiv - nur Sophos war aktiv) laufen lassen und Malwarebytes. Diese haben nix entdeckt.

Das ich den Rechner jetzt neu aufsetzen werde ist mir klar.
Ich dachte jedoch, dass ich zuvor noch etwas in Erfahrung bringen könnte, um das Ausmaß zu begreifen.

Zitat:

Zitat von schmik

Das ich den Rechner jetzt neu aufsetzen werde ist mir klar.
Ich dachte jedoch, dass ich zuvor noch etwas in Erfahrung bringen könnte, um das Ausmaß zu begreifen.

Wenn eine Neuinstallation (mach das so schnell wie möglich und ändere alle Passwörter von einem anderen System aus) sowieso geplant ist, dann erübrigt sich eine Analyse mit unseren Tools.

Etwas in Erfahrung bringen kann man vielleicht, wenn man Experte im Bereich Malwareanalyse ist... und auch das ist limitiert. Als normaler Nutzer ist das reine Zeitverschwendung.

Experte bin ich zwar nicht, aber mich interessiert/beschäftigt trotz alledem ob und was Sophos ggf. entdeckt und ggf. "blockiert" hat. Das würde mir helfen und meine Akzeptanz betreffend der Wahl des Endpoint bestärken.

Was könnte ich mit welchen Tools analysieren?

Zitat:

Zitat von schmik

Experte bin ich zwar nicht, aber mich interessiert/beschäftigt trotz alledem ob und was Sophos ggf. entdeckt und ggf. "blockiert" hat. Das würde mir helfen und meine Akzeptanz betreffend der Wahl des Endpoint bestärken.

Was Sophos ggf. entdeckt bzw. blockiert hast, findest du in den Berichten/Logdateien/etc. von Sophos selbst.

Zitat:

Zitat von schmik

Was könnte ich mit welchen Tools analysieren?

Wir nutzen hier "nur" Tools zum Aufspühren und Entfernen von Malware.

Wir analysieren hier keine Malware.
Hersteller von Anti-Viren- bzw. Anti-Malwareprogrammen verwenden Analysetools für Malware... da geht es aber dann ans Eingemachte... diverse Programmiersprachen, Analyse des Codes, etc.
Das übersteigt sowohl deine als auch unsere Kompetenzen.

Du möchtest wissen, was ggf. die Malware alles gemacht hat bzw. macht, etc. Dabei können wir nicht helfen.



Daher mein Rat:
Sichere deine privaten Daten extern und führe eine saubere Neuinstallation durch.
Alles andere ist zeitlich sinnfrei und kompetenztechnisch unmöglich.

Zitat:

Zitat von schmik

Das ich den Rechner jetzt neu aufsetzen werde ist mir klar.
Ich dachte jedoch, dass ich zuvor noch etwas in Erfahrung bringen könnte, um das Ausmaß zu begreifen.

Ich versteh doch immer noch nicht. Kein Tool hat irgendwas gefunden.
Du hast die DOC-Datei hier nicht hochgeladen und auch sonst keine Anhaltspunkte gebracht. Selbst wenn wir die DOC-Datei haben können wir wohl nur schwer bis garnicht irgendwelchen Code auseinderpflücken und analysieren was der macht. Das können nur Software-Ingeneure, die in AV-Labs zB bei Microsoft arbeiten. Was bitte sollen wir jetzt analysieren so komplett ohne Anhaltspunkte? Was genau soll das hier werden?

Hallo cosinus,

entschuldige, wenn ich keine zufrieden stellenden Infos biete. Ich bin neu hier und weiß nicht genau, was ich konkret zur Verfügung stellen soll.

Das gezippte doc-file kann ich doch hier nicht hochladen?!
Das die Makros enthält ist soweit klar. Und dass irgendeine tabletable.hta unter programdata abgelegt wird, habe ich auch rausgefunden. Jedoch auf einem offline-testrechner. Hier poppte gleich eine Meldung auf, dass das Skript die hta-Datei nicht finden kann (existiert hat diese jedenfalls...evtl. kam die Meldung, weil keine Internetverbindung existierte). Bei dem eigentlich betroffenen Rechner kam keine Meldung.

Die ganzen Sophos-Logs bin ich mal durchgegangen. Aber als Nicht-Experte aber eben auch schwer zu verstehen Nur soviel, dass Sophos sämtliche "normalen" Downloads entdeckt und gecheckt hat. Aber das versteht sich ja von selbst.

Zitat:

Zitat von schmik

Das gezippte doc-file kann ich doch hier nicht hochladen?!

Doch, kannst du... unter "Zusätzliche Einstellungen" > "Anhänge verwalten" wenn du einen neuen Beitrag schreibst... einfach ein wenig nach unten scrollen.

Zitat:

Und dass irgendeine tabletable.hta unter programdata abgelegt wird, habe ich auch rausgefunden.

Das klingt ein wenig wie die neue Malware, die ich kürzlich entdeckt habe cosinus.



Sollen wir denn den eigentlich betroffenen Rechner auf Malware hin überprüfen, d. h. mal einen Blick auf das System werfen?