Microsoft Security Tool Kit: Kompromittierte Systeme
(Engl. Originaltitel: Microsoft Security Tool Kit: Compromised Systems)
Das Microsoft Security Tool Kit enthält Software, Tools und Informationen. Diese sollen Sie dabei unterstützen, Windows-Systeme nach dem neusten Stand zu installieren und so zu konfigurieren, dass diese durch bekannte oder zukünftige Angriffe, welche die gleichen Sicherheitslücken ausnutzen, weniger gefährdet sind. Microsoft ist bekannt, dass einige Kunden Fragen oder Bedarf hierfür haben, da ihre Systeme schon Angriffen von Nimda, SQLSlammer oder anderen Programmen ausgesetzt waren.
Dieses Dokument gibt Ihnen grundlegende Antworten auf vier Fragen:
- Wie kann ich feststellen, ob ein bösartiger Benutzer oder schädliche Software mein System erfolgreich angegriffen hat?
- Mein System wurde angegriffen. Was soll ich jetzt machen?
- Wie kann ich feststellen, ob mein Netzwerk kompromittiert wurde?
- Wie kann ich meine Software sicher neu installieren?
Weitere Artikel aus dem Microsoft Security Toll Kit:
DownloadArtikel im Word-Format
Artikel im PDF-Format
|
Auf dieser Seite
 | Wurde ich angegriffen? |
| Was soll machen, wenn ich angegriffen wurde? |
| Wie kann ich feststellen ob mein Netzwerk kompromittiert wurde? |
| Wie kann ich meine Software sicher neu installieren? |
Das Microsoft Security Tool Kit enthält Software, Tools und Informationen. Diese sollen Sie dabei unterstützen, Windows-Systeme nach dem neusten Stand zu installieren und so zu konfigurieren, dass diese durch bekannte oder zukünftige Angriffe, welche die gleichen Sicherheitslücken ausnutzen, weniger gefährdet sind. Microsoft ist bekannt, dass einige Kunden Fragen oder Bedarf hierfür haben, da ihre Systeme schon Angriffen von Nimda, SQLSlammer oder anderen Programmen ausgesetzt waren.
Dieses Dokument gibt Ihnen grundlegende Antworten auf vier Fragen:
| • | Wie kann ich feststellen, ob ein bösartiger Benutzer oder schädliche Software mein System erfolgreich angegriffen hat? |
| • | Mein System wurde angegriffen. Was soll ich jetzt machen? |
| • | Wie kann ich feststellen, ob mein Netzwerk kompromittiert wurde? |
| • | Wie kann ich meine Software sicher neu installieren? |
Wurde ich angegriffen?
Der grundlegende Weg um festzustellen ob Ihr System kompromittiert wurde, ist es mit einem aktuellen Virenscanner zu scannen. Virenscanner prüfen Ihr System auf Anzeichen für Aktivitäten bösartiger Software, wie z. B. neue oder modifizierte Dateien, verräterische Signaturen innerhalb von Dateien und (in einigen Fällen) geänderte Berechtigungen. Scanner sind zum Erkennen von schädlicher Software brauchbarer als zu Erkennung von bösartigen Benutzern. Solche Benutzer installieren gewöhnlich erst schädliche Software, nachdem Sie das System kompromittiert haben.
Auch wenn der Virenscanner keine infizierten Dateien findet, möchten Sie eventuell weitere Nachforschungen anstellen, wenn Sie Änderungen am Systeme entdecken für die Sie nicht verantwortlich sind. Das könnten z. B. neue Benutzerkonten, ausführbare Dateien, geänderte Berechtigungen oder neue Freigaben sein. Andere Symptome könnten sein: Hohe Prozessorauslastung ohne geöffnete Programme, konstante Netzwerkaktivitäten oder eigenartiges Verhalten der Benutzerschnittstelle. Weiter Informationen erhalten Sie über die Checkliste zur Erkennung von Eindringlingen (englischsprachig) des CERT Coordination Center. Eine Liste von Virenscannern die das Zertifizierungsprogramm der ICSA Labs bestanden haben erhalten Sie auf deren Webseite. Die meisten Virenscanner sind zur Erkennung von neuen Viren von Signaturdateien abhängig. Es ist wichtig, dass Sie diese Signaturdateien regelmäßig aktualisieren und nicht nur einfach den Virenscanner ausführen. Diese Signaturdateien erhalten Sie normalerweise vom Hersteller des Virenscanners.
Sie sollten zusätzlich zum Einsatz von Virenscannern die Veröffentlichungen des CERT Coordination Center über schädliche Software und andere Gefährdungen verfolgen. Das CERT Coordination Center wurde von der U.S.-Regierung gegründet, um Sicherheitsproblemen im Internet zu begegnen. Es bietet Internet-Benutzern Informationen zum Umgang mit solchen Problemen.
Was soll machen, wenn ich angegriffen wurde?
Wenn Sie wissen, dass ihr System von einem Angreifer oder einem schädlichen Programm (beides wird im Weiteren als "Angreifer" bezeichnet) kompromittiert wurde, sollten Sie Sich für die korrekte Vorgehensweise an die Sicherheitsrichtlinien Ihrer Organisation halten. Der erste Schritt ist häufig nicht technischer Natur, aber dennoch berechtigt.
Bevor irgendeine weitere Aktion auf dem System vorgenommen wird, sollten Sie es physikalisch vom Netzwerk trennen. Entfernen Sie alle Netzwerkkabel, Modemverbindungen und Wireless-Netzwerkkarten. Das Entfernen vom Netzwerk verhindert, dass der Angreifer weiteren Schaden anrichtet, oder das wiederhergestellte System kompromittiert und hierdurch Informationen über Ihren Wiederherstellungsprozess erlangt. Abhängig von der Sicherheitsrichtlinie Ihrer Organisation, kann der nächste Schritt z. B. ein Duplizieren aller Daten auf den Systemen sein. So können später eine Analyse und weitere wichtige Aktionen vorgenommen werden. Dieser Abschnitt beschränkt sich auf das Wiederherstellen des Systems, und beschreibt nicht die notwendigen Schritt zur Analyse des Angriffs oder das Sichern von Beweisen.
Es gibt zwei grundlegende Methoden, um ein System zu bereinigen und es wieder verfügbar zu machen: Sie könnte entweder versuchen die Auswirkungen des Angriffs zu beseitigen, oder Sie können Sich entscheiden, die Software und die Daten aus einer nicht kompromittierten Kopie neu zu installieren. Einige Virenscanner bieten die Möglichkeit, die Auswirkungen einer schädlichen Software zu beseitigen, indem sie die durch die Software vorgenommenen Änderungen erkennen und entfernen. Zusätzliche gibt es einige frei verfügbare Tools um ein System zu bereinigen, oder die Auswirkungen einiger der bekannteren schädlichen Programme zu entfernen.
Obwohl Virenscanner möglicherweise die Auswirkungen von schädlicher Software effektiv entfernen können, gibt es einige bedeutende Punkte zu berücksichtigen:
| • | Die schädliche Software ist möglicherweise sehr kompliziert. Das Tool könnte bei der Bereinigung des Systems nicht in der Lage sein alle Effekte zu entfernen. |
| • | Manche Programme (wie z. B. Code Red oder der Wurm Nimda) öffnen das System nach außen. Jeder mit Netzwerkzugriff auf das System kann vollständige Kontrolle über dieses System erlangen und jede mögliche Änderung vornehmen. Auch wenn der Virenscanner die schädliche Software entfernen kann, kann er jedoch nicht erkennen, ob nicht authorisierter Benutzer bereits Änderungen am System vorgenommen hat. |
| • | Auch wenn ein Virenscanner-Hersteller eine neue Signatur veröffentlicht hat, die den Virus entdeckt und beseitigt, könnte es mehrere Stunden dauern bis diese zum Herunterladen zur Verfügung steht. Da schädliche Programme sehr kompliziert sein können und umfangreiche Auswirkungen haben können, kann es einige Zeit dauern bis einen Hersteller eine Signaturdatei erstellt hat, welche die Auswirkungen des Programms vollständig beseitigt. |
Jeder dieser drei Punkte spricht für eine Neuformatierung aller Partitionen eines Systems, und einer neuen Installation der gesamten Software. Die Vorschläge des CERT Coordination Center zur Wiederherstellung nach einem Angriff schlagen dies ebenfalls so vor.
Die letztendliche Wahl bleibt natürlich dem Systemverantwortlichen überlassen. Wenn der Angriff auf das System nicht schwerwiegend war, oder wenn sich das System in einer abgesicherten Umgebung befindet und nicht Ziel weiterer Eindringversuche war, mag das Bereinigen des Systems die richtige Wahl sein. Eine Neuinstallation des Systems ist natürliche immer die konservativere Wahl.
Wie kann ich feststellen ob mein Netzwerk kompromittiert wurde?
Wenn Sie ein System zur Einbruchserkennung in Ihrem Netzwerk ausführen, sollte es in der Lage sein, Netzwerkverkehr, der von schädlichen Programmen wie z. B. Code Red oder Nimda erzeugt wird, zu erkennen. Wenn Sie ein solches System nicht besitzen, sollten Sie den Status der einzelnen Maschinen Ihres Netzwerkes überwachen. Wenn eine von ihnen durch schädliche Programme infiziert wurde, ist es wahrscheinlich, dass dieses versuchen wird weitere Maschinen in Ihrem Netzwerk anzugreifen. Nur wenn alle infizierten Maschinen vom Netzwerk entfernt, oder neu installiert und gegen zukünftige Infektionen abgesichert wurden, können Sie davon ausgehen das Ihr Netzwerk gesichert ist.
Wie kann ich meine Software sicher neu installieren?
Ein Dokument des CERT Coordination Center enthält eine kurze Betrachtung zur sicheren Neuinstallation von Software und Daten über ein vertrauenswürdiges Medium. Natürlich hängen die genauen Verfahren zur Neuinstallation von Ihrer spezifischen Umgebung, Ihrer Software und Ihrer Netzwerkkonfiguration ab. Generell können Sie jedoch folgendes berücksichtigen:
| • | Prüfen Sie, ob Ihr System möglicherweise während des Prozesses der Neuinstallation wieder infiziert werden könnte. Dies könnte passieren, wenn ungepatchte oder ungesicherte Systeme während des Installationsprozesses eine Netzwerkverbindung aufbauen, oder wenn bösartige Software im Netzwerk in den Installationsprozess eingreifen kann. |
| • | Ein sicheres Verfahren besteht darin, die Software - inklusive des Betriebssystems und aller passenden Servicepacks und Sicherheitspatches - zu installieren, während das System nicht mir dem Netzwerk verbunden ist. Sie sollten Sich das letzte Servicepack und alle kritischen Updates seit diesem für Ihr Betriebssystem herunterladen. Kopieren Sie diese auf ein Wechselmedium, welches das Zielsystem lesen kann. Z. B. eine CD-ROM. Dann führen Sie die Installation über die originale Betriebssystem-CD und die von Ihnen erstellte CD durch. Sie können diesen Prozess durch das Einbinden der Updates und Servicepacks in die Betriebssystemdateien beschleunigen. Im Microsoft Security Tool Kit finden Sie genaue Anweisungen, um Ihr System vor der erneuten Verbindung mit dem Netzwerk sicher zu konfigurieren. |
| • | Es könnte passieren, dass Sie die benötigten Sicherheitsupdates nur über das Netzwerk installieren können. In dieser Situation müssen Sie versuchen, die Möglichkeit eines Angriffes bis zur Installation der Updates so gering wie möglich zu halten. Sie sollten die Basisinstallation des Betriebssystems immer ohne eine Netzwerkverbindung durchführen. Wenn Sie jedoch zur Installation der zusätzlichen Updates eine Netzwerkverbindung aufbauen müssen, sollten Sie vorher einige grundlegende Vorsichtsmaßnahmen ergreifen: |
| • | Entfernen Sie alle Freigaben von Ihrem System. |
| • | Lesen Sie auf diesem System keine EMails. |
| • | Verwenden Sie den Browser nur zum Herunterladen der Hotfixes. Vermeiden Sie unnötiges Browsen. |
| • | Deaktivieren Sie den IIS und alle anderen unnötigen Dienste. |
| • | Wenn Sie den IIS auf diese Maschine nicht benötigen, stellen Sie sicher, dass Sie ihn vollständig entfernt haben. |
| • | Aktivieren Sie den IIS und die anderen Dienste erst, nachdem Sie die entsprechenden Servicepacks und Updates installiert haben. |