Leitfaden zur erfolgreichen Virenabwehr
Kapitel 4: Ausbruchskontrolle und Wiederherstellung
Auf dieser SeiteEinführungDieses Kapitel enthält ausführliche Informationen, die Ihnen beim Identifizieren einer Malwareinfektion, dem Eindämmen eines Ausbruchs sowie beim anschließenden Wiederherstellen der infizierten Systeme Ihrer Umgebung behilflich sein können. Wie wichtig es ist, einen konsistenten und eindeutig definierten Ansatzes für die Reaktion auf Sicherheitsverletzungen und deren Wiederherstellung zu besitzen, kann nicht genug betont werden. Denn Malwareangriffe erzeugen in der Regel eine Dringlichkeit, die zur Einrichtung sorgfältig durchdachter und langfristig effektiver Prozeduren nicht beiträgt. Einen weiteren wichtigen Aspekt gilt es in diesem Zusammenhang zu beachten. Da die Komplexität von Malwareangriffen zugenommen hat und viele unterschiedliche Nutzlasten verwendet werden, kann es keinen universellen Prozess zum Entfernen der Malware aus Ihren Systemen geben. Jeder unterschiedliche Malwareangriff erfordert wahrscheinlich eigene Maßnahmen. Dies ändert jedoch nichts an der Tatsache, dass ein konsistenter Prozess zur Identifizierung und Eindämmung von Angriffen sowie zur anschließenden Wiederherstellung erforderlich ist. Der Wiederherstellungsprozess für einen Malwareausbruch umfasst die folgenden übergeordneten Schritte:
Schritt 1: Bestätigung der InfektionEine Systeminfektion schnell erkennen zu können hat entscheidenden Einfluss auf die Fähigkeit Ihrer Organisation, die Auswirkungen von Infektionen zu minimieren. Durch eine schnelle Bestätigung der Infektion sowie der Identifizierung ihrer vermutlichen Eigenschaften lässt sich die Ausbreitung der Infektion und ihre Auswirkungen auf die Benutzer reduzieren. Viele unterschiedliche Arten von Computerstörungen können als virusartiges Verhalten fehlgedeutet werden. Wenn von einem Benutzer ein Anruf oder eine E-Mail mit der Aussage "Ich glaube, mein System hat einen Virus" eingeht, muss das Supportteam zunächst feststellen, ob das Verhalten tatsächlich durch böswilligen Code verursacht wird. Die folgende Liste enthält einige typische von Benutzern mitunter als "virusartiges" Verhalten gemeldete Symptome:
Beobachtungen und Feedback von den Benutzern sind wichtig, da ungewöhnliche Aktivitäten wahrscheinlich als Erstes von ihnen bemerkt werden. Da die Geschwindigkeit von Malwareausbrüchen weiterhin zunimmt, gewinnt das Zeitfenster zwischen der anfänglichen Infektion und der Verfügbarkeit einer effektiven Verteidigung an Bedeutung. Die meisten Infektionen finden in diesem Zeitraum statt. Daher ist die Fähigkeit Ihrer Organisation, eine Infektion schnell zu identifizieren und zu bestätigen, entscheidend für die Minimierung der Ausbreitung des Ausbruchs und der möglichen Schäden. Im folgenden Abschnitt werden einige Schritte beschrieben, mit deren Hilfe Sie schneller feststellen können, ob es sich bei ungewöhnlichem Verhalten tatsächlich um einen Angriff oder Ausbruch handelt. Wenn ein neuer Malwaretyp ein System infiziert, stellt der Benutzer dieses Systems wahrscheinlich als Erster ein ungewöhnliches Verhalten fest. Wie in Kapitel 3, Erfolgreiche Virenabwehr, dieses Leitfadens beschrieben, besteht im Allgemeinen eine gewisse Verzögerung zwischen dem Erscheinen einer neuen Malware und der entsprechenden Aktualisierung der Virenscananwendung zum Erkennen und Bekämpfen dieser Malware. Die beste Methode zur Bereitstellung eines Frühwarnsystems ist, Benutzer über die möglichen Anzeichen von Malwareangriffen aufzuklären und einen Kommunikationsweg einzurichten, über den Beobachtungen so schnell wie möglich gemeldet werden können. InfektionsberichterstattungNachdem ein Anruf eingegangen ist oder eine Warnung zu einem möglichen neuen Malwareangriff generiert wurde, ist es für den Helpdesk in der Regel von Vorteil, wenn es einen definierten Prozess gibt, anhand dessen sich so schnell wie möglich feststellen lässt, ob die Warnung sich auf einen neuen Angriff bezieht. Das folgende Flussdiagramm zeigt die wichtigsten Schritte in diesem Prozess:  Abbildung 4.1 Berichterstattungsprozess für Malwareinfektionen Bericht über ungewöhnliche AktivitätenAnhand der folgenden Fragen sollte festgestellt werden, ob es sich bei der ungewöhnlichen Aktivität wahrscheinlich um einen neuen Malwareangriff handelt. Dabei wird davon ausgegangen, dass diese Fragen von einem Mitarbeiter des IT-Helpdesks Ihrer Organisation an einen Benutzer mit geringen technischen Kenntnissen gerichtet werden. Erfassen der grundlegenden InformationenDie Antworten auf die ersten Fragen sollten es ermöglichen, möglichst schnell die tatsächliche Beschaffenheit der Warnung sowie die Wahrscheinlichkeit zu bestimmen, ob es sich um einen neuen Malwareangriff handelt. Die folgenden Beispielfragen können als Ausgangspunkt für diesen Prozess dienen. Ändern Sie die Fragen entsprechend den Anforderungen Ihrer Organisation:
Diese letzte Frage ist wichtig, da vorhergehende Angriffe häufig Sicherheitslücken erzeugen. Wenn solche Lücken nicht behoben werden, können sie nachfolgende Angriffe verursachen. Wenn die Antwort auf diese Frage "Ja" lautet, sollten Sie ggf. die folgenden zusätzlichen Fragen stellen:
Auswerten der DatenNachdem die Antworten auf diese Fragen erfasst wurden, sollte der Supporttechniker die Daten anhand der folgenden Fragen auswerten, um festzustellen, ob es sich um einen Malwareangriff handeln kann:
Zum Schluss sollte durch eine Überprüfung der externen Antivirusquellen (siehe hierzu den Abschnitt "Proaktive interne Kommunikation" im Kapitel 3, Erfolgreiche Virenabwehr) festgestellt werden, ob diese Beobachtung mit einer vorhandenen, bekannten Virus- oder Wurmwarnung übereinstimmt. Erfassen der DetailsZu diesem Zeitpunkt kann möglicherweise bereits festgestellt werden, ob ein neuer Malwareangriff die wahrscheinliche Ursache des Problems darstellt. Ist dies nicht der Fall, sind u. U. weitere technische Informationen erforderlich und ein Supporttechniker muss das betroffene System vor Ort (oder, falls möglich, per Fernsteuerung) untersuchen. Sie können die folgenden technischen Beispielfragen verwenden, um detailliertere Informationen zu erfassen und kategorisch zu bestimmen, ob das System von einem Hacker oder böswilligen Code angegriffen wurde:
Reaktion auf ungewöhnliche AktivitätenNachdem die Ausgangsinformationen erfasst wurden, um die Art der Warnung zu bestimmen, sollte der Helpdesk entscheiden können, ob es sich um einen falschen Alarm, einen Kettenbrief oder einen echten Malwareangriff handelt. Da das Erstellen eines gefälschten Malwareberichts sehr viel einfacher ist als das Entwickeln eines Virus oder Wurmes, werden leider viele falsche Malwarewarnungen ausgegeben. Die durch solche falschen Warnungen hervorgerufenen Kettenbriefe und Anrufe kosten Zeit und Geld. Kettenbriefe werden von Benutzern als störend empfunden und können dazu führen, dass Benutzer beginnen, den Nutzen einer Berichterstattung über potenzielle Angriffe in Frage zu stellen. Die folgenden Überlegungen sollten angestellt werden, um eine korrekte Handhabung der Warnung zu gewährleisten.
Die Aufgabe des Helpdesks ist hiermit erledigt. Die Verantwortlichkeit wird an den Krisenprozess übergeben, und die Mitglieder des Krisenteams für Computersicherheitsverletzungen (CSIRT) müssen benachrichtigt werden. Schritt 2: Reaktion auf die SicherheitsverletzungWie in Kapitel 3, Erfolgreiche Virenabwehr, beschrieben, muss das Krisenteam (CSIRT) der Organisation so schnell wie möglich ein Notfallmeeting einberufen, um die nächste Phase des Krisenprozesses zu organisieren. Ausführlichere Erläuterungen zum Einrichten eines Krisenteams und Informationen zu den allgemeinen Sicherheits- und Notfallwiederherstellungsprozessen finden Sie ebenfalls in Kapitel 3 dieses Leitfadens. In diesem Leitfaden wird davon ausgegangen, dass ein Krisenteam vorhanden ist. Zu diesem Zeitpunkt sollte das erste Ziel des Teams darin bestehen, einen Mechanismus zur unmittelbaren Kontrolle des Ausbruchs auszuwählen. Der folgende Abschnitt enthält Informationen, um Optionen für diesen Mechanismus und seine Komponenten festzulegen. NotfallausbruchskontrolleNachdem der Malwareangriff bestätigt wurde, besteht der erste Schritt der Ausbruchskontrolle in der Isolierung der infizierten Computer von anderen Geräten. Die Isolierung von infizierten Computern ist wichtig, da dadurch eine weitere Ausbreitung des böswilligen Codes verhindert wird. Für diese Isolierung stehen unterschiedliche Mechanismen zur Auswahl, die sich alle auf den normalen Betrieb der Organisation auswirken. Wichtig:Wenn Sie glauben, dass Ihre Organisation straf- oder zivilrechtliche Prozesse führen muss, empfiehlt Ihnen Microsoft, vor der Ergreifung weiterer Maßnahmen Rücksprache mit der Rechtsabteilung bzw. mit Ihren Anwälten zu halten. Wenn der Ausbruch von Antivirusspezialisten aus der IT-Branche erkannt wurde, folgen Sie den Empfehlungen der Hersteller Ihrer Antiviruslösungen, um die Schwere des Ausbruchs zu ermitteln. Handelt es sich um einen derzeit noch nicht bekannten Ausbruch, sollten Sie den Zwischenfall so schnell wie möglich den Herstellern Ihrer Antiviruslösungen melden. Möglicherweise werden Sie gebeten, zu Analysezwecken Beispiele der Malware in einer komprimierten und kennwortgeschützten Datei zu senden. Die Suche nach solchen Beispielen ist nicht immer einfach und sollte idealerweise ensprechend vorbereitet werden. Informationen zum Vorbereiten von Malwarebeispielen finden Sie im Abschnitt "Schritt 3: Analyse der Malware" dieses Kapitels. Die nächsten Aktionen dienen der Eindämmung des unmittelbaren Angriffs. Folgende grundlegende Optionen stehen zur Auswahl:
Darüber hinaus können viele weitere technische Schritte unternommen werden. Durch eine Überwachung des Netzwerks können z. B. die vom Angriff betroffenen Netzwerkports und IP-Adressen identifiziert werden. Wenn die detaillierte Analyse der Malware noch nicht abgeschlossen ist, besteht jedoch das Risiko, dass eine Angriffsmöglichkeit übersehen wird, die zu einer größere Infektion führen kann. Nur mittels eines vollständigen Risikoanalyseberichts können Sie feststellen, ob dieses Risiko für Ihre Organisation akzeptabel ist. Mit einem solchen Bericht lassen sich die Folgerisiken bestimmen, wenn ein Angriff nicht gestoppt wird (diese Risiken beinhalten die mögliche Infektion von Kunden oder Partnerorganisationen respektive die Verwendung Ihrer Systeme, um ohne Ihr Wissen Angriffe gegen Kunden und Partner zu starten). Wenn Sie diese Risikoanalyse nicht vor einem Angriff abgeschlossen haben, sollten Sie sich für die vorsichtige Variante entscheiden und die Möglichkeit zur Ausbreitung des Angriffs durch die höchstmögliche Isolierung minimieren. Die hier aufgeführten Optionen sind nur Leitlinien. Ihre spezifische Aktionsfolge kann sich von dem hier beschriebenen Ablauf unterscheiden. Neben den Umständen des Ausbruchs hängt dies von Faktoren wie den Geschäftsanforderungen, dem Gebietsschema, den Auswirkungen, der Schwere und anderen für Ihre Organisation geltenden Aspekten ab. Vorbereitung für die WiederherstellungNachdem der Mechanismus zur Ausbruchskontrolle aktiviert wurde, sollten Sie den Prozess der aktiven Wiederherstellung starten. Generelles Ziel des Wiederherstellungsprozesses ist es, Folgendes zu erreichen:
Unglücklicherweise erfordern die ersten beiden Punkte einen schnellen Lösungsansatz, während für die anderen drei Punkte Zeit investiert werden muss, um Informationen über den Angriff zu erfassen und diesen vollständig zu verstehen. Um beiden Anforderungen gerecht zu werden, d. h., das Problem schnell zu lösen und dennoch alle erforderlichen Daten zu erfassen, sollten Sie in Erwägung ziehen, den in der folgenden Abbildung dargestellten Prozess zu verwenden. Dieser Prozess gewährleistet, dass ein infiziertes System so schnell wie möglich zur Wiederherstellung freigegeben wird. Gleichzeitig ist sichergestellt, dass keine forensischen Daten verloren gehen. Diese ist aus zwei Gründen wichtig: Anhand dieser Daten stellt Ihre Organisation fest, ob die wiederhergestellten Systeme gegen zukünftige Angriffe abgesichert sind. Des Weiteren dienen sie im Fall einer zivil- oder strafrechtlichen Verfolgung als Beweis. Die Prozesse der Systemwiederherstellung und Virenanalyse sollten parallel ausgeführt werden, um eine Wiederherstellung möglichst schnell vornehmen zu können. Am schnellsten lassen sich alle Systeme wiederherstellen, wenn Sie ein infiziertes System zur Analyse verwenden können. Besteht diese Möglichkeit, sollte dieses System unter Quarantäne gestellt und analysiert werden. (Informationen zum Analyseprozess finden Sie im Abschnitt "Schritt 3: Analyse der Malware" dieses Kapitels.) Wenn keine Quarantäne und Analyse möglich ist, stellt die Erstellung eine Klones des infizierten Systems mit einer Imagingsoftware die nächstbeste Option dar. Auf diese Weise können Sie ein Abbild ("Image") des infizierten Systems erfassen, den Originalcomputer zur Wiederherstellung freigeben und dann einen Klon des infizierten Systems erstellen. In Fällen, in denen Beweise gesammelt werden oder eine detailliertere Analyse durchführbar ist, muss so bald wie möglich ein Abbild der betroffenen Computer erstellt werden (vor der Einleitung der Wiederherstellungsmaßnahmen), damit die Infektion identifiziert, berichtigt und auf die geeignete Weise behandelt werden kann. Ist schließlich auch das Erstellen eines Abbilds nicht möglich, sollte vor der Freigabe des Systems zur Wiederherstellung ein Minimum an forensischen Daten erfasst werden. Im Idealfall sollte das Sicherheitsteam Ihrer Organisation eine Art Krisen-Toolkit entwickeln und dieses regelmäßig pflegen. Mithilfe eines solchen Toolkits können flüchtige und permanente Systemdaten erfasst werden, die zur forensischen Bereitstellung geeignet sind. Dieses Toolkit kann Teil eines umfassenderen Malwareanalyse-Toolkits sein, das im nächsten Abschnitt dieses Kapitels verwendet wird, um alle Elemente der Malware aufzudecken und zu dokumentieren. Das wichtigste Merkmal eines Krisen-Toolkits ist jedoch die schnellstmögliche Erfassung der mindestens erforderlichen Systeminformationen, damit das System so bald wie möglich zur Wiederherstellung freigegeben werden kann. Schritt 3: Analyse der MalwareSobald die Ausbreitung des Malwareangriffs eingedämmt wurde, sollte sich das Krisenteam unbedingt die Zeit nehmen, sich mit der Beschaffenheit des Ausbruchs vertraut zu machen und eine detailliertere Analyse der Malware durchzuführen. Wird dieser Schritt übersprungen, erhöht sich die Wahrscheinlichkeit einer erneuten Infektion. Nur wenn die Funktionsweise der Malware verstanden wird, kann die Bereinigung und Absicherung der Systeme gegen weitere Angriffe gewährleistet werden. Im Idealfall wird die Malwareanalyse von einem Mitglied des Sicherheitsteams mit einem dedizierten Satz von Anwendungen und Dienstprogrammen ausgeführt, die eine möglichst automatisierte Erfassung der erforderlichen Informationen zulassen. Die folgenden Schritte helfen Ihnen, die Beschaffenheit des Angriffs zu verstehen. Untersuchen der BetriebssystemelementeVersuchen Sie festzustellen, welche Betriebssystemdateien durch den Angriff eingeführt oder geändert wurden. Suchen Sie bei dieser Analyse nach Änderungen in den folgenden Bereichen:
Techniken zum Überprüfen dieser Betriebssystemelemente werden in den folgenden Abschnitten erläutert. Überprüfen von aktiven Prozessen und DienstenIn den Arbeitsspeicher von infizierten Systemen wurden wahrscheinlich neue Prozesse eingeführt. Spezialisierte Tools, z. B. PsTools und das kostenlose Programm Process Explorer, erlauben es, Prozesse über eine benutzerfreundliche Oberfläche aufzulisten. Diese Tools sind auf der Sysinternals-Website unter http://www.sysinternals.com/ verfügbar und ermöglichen nicht nur die Anzeige des Pfades einer Datei, sondern auch der Prozessstruktur. Schließen Sie alle gültigen Anwendungen und Hintergrundanwendungen wie Instant Messenger, E-Mail-Überwahungsprogramme oder speicherresidente Dienstprogramme anderer Hersteller, um die Anzahl von Einträgen in der Prozessliste zu minimieren und die Identifikation von böswilligen Prozessen zu vereinfachen. Wenn kein spezialisiertes Tool verfügbar ist, kann zur schnellen Überprüfung der auf dem System ausgeführten aktiven Prozesse auch der in allen Microsoft Windows-Systemen enthaltene Windows Task-Manager verwendet werden. Da jedoch der Pfad der Datei, durch die ein Prozess gestartet wurde, nicht im Task-Manager angezeigt wird, kann hiermit nicht festgestellt werden, ob es sich um einen legitimem Prozess oder aber einen als "svrhost" gestarteten Malwareangriff handelt. Führen Sie die folgenden Schritte aus, um die aktiven Prozesse mit dem Task-Manager zu analysieren: So analysieren Sie aktive Prozesse auf einem Computer mit dem Betriebssystem Windows
Sie können die Reihenfolge der Spalten sortieren, indem Sie auf eine Spaltenüberschrift klicken. Verwenden Sie diese Sortiermethode für jede der aufgelisteten Spalten zur Prüfung, welche Ressourcen von den einzelnen Prozessen verwendet werden. Hinweis: Sie können diese Liste zur zukünftigen Referenz drucken, indem Sie das Process Explorer- bzw. Windows Task-Manager-Fenster aktivieren und die Tasten ALT+DRUCK S-ABF drücken. Daraufhin wird ein Bildschirmfoto von der Liste in der Zwischenablage des Computers erstellt. Dieses Abbild kann in Windows Paint oder Microsoft Word eingefügt und gedruckt werden. Die folgende Abbildung zeigt die Prozessdetails des Wurmes "Blaster" als aktiven Prozess im Microsoft Windows 2000® Server Task-Manager.  Abbildung 4.3 Windows 2000 Task-Manager mit dem Wurm "Blaster" als aktiver Prozess Hinweis: Einige Malwaretypen versuchen u. U., den Start des Task-Manager zu ihrer Verteidigung zu blockieren. Wenn dies der Fall ist, kann das Befehlszeilendienstprogramm TaskList auf Computern mit dem Betriebssystem Microsoft Windows® XP und Windows Server™ 2003 (oder das Befehlszeilendienstprogramm TList auf Computern mit Windows 2000) verwendet werden, um eine Auflistung als einfache Textdatei zu generieren, die zur weiteren Analyse auf Wechselmedien kopiert werden kann. Verwenden Sie die folgende Befehlszeilensyntax, um eine Textdatei mit einer Liste aller aktiven Prozesse zu generieren: tasklist /v >TaskList.txt Diese Befehlszeile erzeugt eine Datei mit dem Namen TaskList.txt im aktuellen Arbeitsverzeichnis. Verwenden Sie die folgenden Tipps, um Prozesse auf einem Computer zu überprüfen, auf dem Malware vermutet wird:
Neben dem in der obigen Abbildung dargestellten Prozess msblast.exe können folgende verdächtige Prozesse auftreten:
Überprüfen der StartordnerMöglicherweise hat die Malware versucht, sich selbst durch Verändern der Startordner des Systems zu starten. Hinweis: Der genaue Pfad dieser Ordner hängt vom analysierten Betriebssystem ab. Die folgenden Informationen gelten für die Betriebssysteme Windows XP, Windows Server 2003 oder Windows 2000. Zwei Bereiche des Startordners sollten überprüft werden. Der erste Bereich ist der Ordner All Users an folgendem Standardspeicherort: C:\Dokumente und Einstellungen\All Users\Startmenü Der zweite Bereich ist der Benutzerprofilpfad für das Konto des derzeit angemeldeten Benutzers. Allerdings muss nicht nur dieser Pfad überprüft werden, sondern alle auf dem System erstellten Benutzerprofile. Diese Informationen finden Sie unter C:\Dokumente und Einstellungen\<Benutzername>\Startmenü, wobei <Benutzername> die Anmeldekennung der Benutzer, die im überprüften System definiert sind. Hinweis: Unter Microsoft Windows® 95 und Windows® 98 kann Malware den Startordner umbenennen. Weitere Informationen zu diesem Thema finden Sie im Microsoft Knowledge Base-Artikel "141900: Folder Other Than StartUp Launches Programs" (in Englisch) auf der Microsoft-Website unter: http://support.microsoft.com/?kbid=141900 Überprüfen Sie jeden Eintrag in allen Startordnern, um sicherzustellen, dass keine Malware vorhanden ist, die sich während eines Systemstarts zu starten versucht. Überprüfen von geplanten AnwendungenGenauso ist es möglich (wenn auch seltener), dass Malware den Windows-Planerdienst zum Starten einer nicht autorisierten Anwendung verwendet. Mit der folgenden Überprüfung der Planerwarteschlange können Sie leicht feststellen, ob dies der Fall ist: So überprüfen Sie die Planerwarteschlange
Durch die Ausführung dieses Befehls wird eine Textdatei im Stammverzeichnis des Laufwerks C: erstellt, die zur späteren Analyse auf ein Wechseldatenträger verschoben werden sollte. Überprüfen Sie anhand dieser Textdatei, ob in der Warteschlange des Windows-Planerdienstes nicht autorisierte Anwendungen enthalten sind. Nach der vollständigen Analyse der aktiven und geplanten Prozesse können Sie möglicherweise die durch den Angriff eingeführten Prozesse identifizieren. Sobald diese Prozesse dokumentiert sind, sollte ein Systemneustart durchgeführt und die Analyse wiederholt werden. Dadurch können Sie feststellen, ob der Angriff andere Bereiche des Systems gefährden konnte und beim Start böswillige Prozesse gestartet worden sind. Ist dies der Fall, muss der Mechanismus, der die böswilligen Prozesse verwaltet, durch eine Analyse der Startdateien und der Registrierung des Systems ermittelt werden. Analysieren der lokalen RegistrierungDa es sich bei der vollständigen Systemregistrierung (kurz "Registrierung" genannt) um einen großen und komplexen Datenspeicher handelt, ist es u. U. von Vorteil, nach der Ausführung des Wiederherstellungsprozesses eine Kopie der gesamten Systemregistrierung für eine detaillierte Analyse zu erstellen. Das in allen Versionen von Windows enthaltene Sicherungsprogramm kann zum Sichern und Wiederherstellen der gesamten Registrierung verwendet werden. Wenn Sie das Sicherungsprogramm bereits regelmäßig zum Sichern der Festplatte verwenden, kann die Registrierung auf einfache Weise in diese Sicherungen eingeschlossen werden. Dazu wählen Sie zum Sichern der Registrierung mit dem diesem Programm bei der Auswahl der zu berücksichtigenden Laufwerke, Dateien und Ordner die Option Systemstatus aus. Da der Systemstatus sowohl andere systemspezifische Informationen als auch die Registrierung beinhaltet, können diese Sicherungsdateien Hunderte von MB groß sein. Eine weitere Möglichkeit zur Sicherung der Registrierung ist die Verwendung der ebenfalls in allen Versionen von Windows enthaltenen Registrierungs-Editordienstprogramme. Diese Dienstprogramme eignen sich ideal zum Erstellen von Kopien der Registrierung. Windows XP und Windows Server 2003 enthalten zwei Registrierungs-Editorprogramme: Regedit.exe und das Befehlszeilenprogramm Reg.exe. Hinweis: Die Betriebssysteme Windows 2000 und Windows NT® verwenden Regedt32.exe und erfordern die Resource Kit-Programme RegBack.exe und RegRest.exe, um die gleichen Funktionen wie Regedit.exe und Reg.exe bereitzustellen. Weitere Informationen zu diesen Programmen finden Sie auf der Seite "Backing up and Restoring the Windows 2000 Registry" (in Englisch) der Windows 2000 Resource Kit-Seite auf der Microsoft-Website unter folgender Adresse: So erstellen Sie mit "Regedit" eine Sicherungskopie der Registrierung
Ausführliche Informationen zur Verwendung von Regedit.exe und Reg.exe finden Sie auf der Seite "Registry Reference for Windows Server 2003" (in Englisch) in der Windows Server 2003-Bereitstellungsanleitung unter folgender Adresse: Wichtig: Da der Datenträger, der die Sicherung der Registrierung enthält, der Malware ausgesetzt wird, müssen Sie sicherstellen, dass er nicht mit anderen Systemen in Berührung kommt, bevor eine effektive Methode zur Ausbruchskontrolle definiert worden ist. Nachdem eine Sicherung der Registrierung erstellt wurde, überprüfen Sie, ob die folgenden Bereiche ungewöhnliche Dateireferenzen enthalten: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\KnownDLLs
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" line)
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" value)
Diese Bereiche der Registrierung sind häufig das Ziel von böswilligem Code, da sie es der Malware ermöglichen, sich selbst beim Systemstart zu starten. Der Wurm "W32@.Mydoom.G@mm" fügte z. B. den Wert: "(Default)" = "%System%\<zufälliger_Dateiname>" den folgenden Registrierungsschlüsseln hinzu: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ein weiterer kürzlich von Malware angegriffener Bereich betrifft den folgenden Schlüssel: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
Dieser Schlüssel steuert, welche DLL-Dateien vom Microsoft Internet Explorer (Explorer.exe) geladen werden. Der Wurm "Mydoom" und dessen Varianten würden z. B. an dieser Stelle einen Eintrag hinzufügen, um eine DLL-Datei zu laden, die eine Sicherheitslücke öffnet und dadurch die Durchführung eines Hintertürangriffs ermöglicht. Der Wurm "W32.Netsky.D@mm" würde diesen Schlüssel und die folgenden Schlüssel löschen: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
Überprüfen von Malware und beschädigten DateienDie meisten Malwaretypen ändern Dateien auf der Festplatte eines Computers, und die Suche nach den betroffenen Dateien kann schwierig sein. Erfolgte die Installation des Computers über ein Image-Abbild , können Sie das infizierte System u. U. direkt mit einem neuen aus diesem Abbild erstellten System vergleichen. Wenn dies nicht möglich ist, können die betroffenen Dateien anhand einer systemweiten Suche ermittelt werden. Dabei gilt es, alle seit der Einführung der Malware in das System geänderten Dateien zu ermitteln. Eine solche Suche kann mit dem Windows-Suchtool ausgeführt werden. Das folgende Bildschirmabbild zeigt, wie Sie die Suche nach infizierten Dateien mit den erweiterten Optionen im Bereich Suchergebnisse beschränken können. Sind die Suchoptionen wie in dieser Abbildung eingestellt, werden alle Dateien aufgelistet, die an dem Tag der Einführung der Malware in das Hostsystem erstellt wurden (in diesem Beispiel der 27. April 2004). Sie können auch eine Textdatei mit einer Liste aller Dateien erstellen, die sich im aktuellen Verzeichnis und in den zugehörigen Unterverzeichnissen befinden. Diese Liste kann allerdings sehr lang sein. So erstellen Sie eine Liste aller Dateien in einem Verzeichnis und den Unterverzeichnissen
Dieser Befehl erstellt im aktuellen Verzeichnis eine Textdatei mit dem Namen FileList.txt, die zur weiteren Analyse auf ein Wechselmedium kopiert werden sollte. Hinweis: Für die Erstellung einer solchen Liste stehen viele weitere Methoden zur Verfügung, die andere Tools oder Skripts verwenden. In diesem Abschnitt geht es jedoch um die schnelle Erfassung von Informationen unter Verwendung von Tools, die auf dem Computer in jedem Fall verfügbar sind. Wenn Sie die Zeit hatten, ein Krisen-Toolkit vorzubereiten, das entsprechende Tools oder Skripts beinhaltet, können Sie diese anstelle des hier beschriebenen Verfahrens ebenso verwenden. Um die Identifizierung von ausführbaren Dateien zu erleichtern (diese sind im Allgemeinen das Ziel von Malware), lassen sich die Suchergebnisse nach ihrem Typ sortieren. Die folgende Liste enthält einige der weiter verbreiteten Dateitypen, die ausführbaren Code enthalten können: *.exe *.html *.cmd *.htm *.bat *.cpl *.pif *.pot *.vbs *.vbe *.js *.jse *.scr *.jpg *.doc *.xls *.mdb *.com *.ocx Hinweis: Die Suchliste kann viele Einträge enthalten. Möglicherweise ist in dieser Phase des Prozesses die Zeit zu knapp, um alle Änderungen zu überprüfen. Sie sollten jedoch unbedingt eine Kopie dieser Liste speichern oder ausdrucken, damit Sie zu einem späteren Zeitpunkt die möglichen Zieldateien überprüfen können. Die folgenden Dateien weisen auf das Vorhandensein von Malware im System hin:
Diese Dateien wurden bereits von Malwareangriffen verwendet und dienen hier zur Veranschaulichung der Benennungstechniken, denen sich Malwaredateien bedienen. Wenn Sie sich bezüglich eines bestimmten Dateinamens nicht sicher sind, können Sie ggf. mithilfe einer Internetsuche die Funktion der betreffenden Datei überprüfen und dadurch feststellen, ob sie mit Malware im Zusammenhang steht. Eine solche Suche muss jedoch auf einem nicht infizierten System ausgeführt werden, da ein Malwareangriff auch das Internetsuchverhalten verändern kann. Beachten Sie des Weiteren, dass einige Malwareangriffen gültige Systemdateinamen verwenden. Um die Erkennung durch den Windows-Dateischutz zu verhindern, wurden die Dateien jedoch in einem anderen Ordner platziert. In der Vergangenheit verwendete Malware z. B. die Datei Svchost.exe, die normalerweise im Ordner %WINDIR%\System32 installiert und daher geschützt ist. Malwareangriffe, bei denen eine gleichnamige Datei direkt im Ordner %WINDIR% erstellt wurde, wurden ebenfalls beobachtet. Daher ist es wichtig, sowohl den vollständigen Pfad als auch die Dateinamen zu überprüfen. Folgende Bereiche sind häufige Angriffsziele von Malware, um dort Dateien zu platzieren oder zu ändern:
Wenn Ihre Analyse der Systemdateien infizierte Dateien aufdeckt, sollten Sie die Dateien zur weiteren Analyse auf ein Wechselmedium kopieren. Da diese Dateien infiziert sind, muss natürlich durch entsprechende Schritte sichergestellt werden, dass sie ausschließlich für den geplanten Prozess verfügbar sind und keine anderweitige Verwendung finden können. Zum Schutz der Kopien lassen sich z. B. die folgenden Schritte durchgeführen:
Überprüfen von Benutzern und GruppenEinige Malwareangriffe versuchen, die Berechtigungen von vorhandenen Benutzern im System zu erhöhen oder neue Konten zu erstellen und diese Gruppen mit Administratorrechten hinzuzufügen. Überprüfen Sie, ob die folgenden ungewöhnlichen Einstellungen vorhanden sind:
Überprüfen Sie mit dem MMC-Snap-In Lokale Benutzer und Gruppen, ob der lokalen Administratorgruppe ungewöhnliche Konten hinzugefügt wurden. Überprüfen Sie auch, ob das Sicherheitsprotokoll des lokalen Computers ungewöhnliche Einträge enthält. Einträge der Kategorie "Kontenverwaltung" wie das Ereignis 636 geben z. B. an, dass einer lokalen Gruppe ein Mitglied hinzugefügt wurde. Diesen Protokollen können Sie auch das Datum und die Uhrzeit der Änderung entnehmen. Wenn es sich bei dem untersuchten System um einen Windows-Server handelt, verwenden Sie das MMC-Snap-In Active Directory-Benutzer und -Computer, um auch die Gruppenmitgliedschaften der Domäne zu überprüfen. Weitere Informationen zu Standardbenutzern und -gruppen für Windows 2000 finden Sie auf der Seite "Default User Accounts and Groups" (in Englisch) auf der Microsoft TechNet-Website unter folgender Adresse: Hinweis: In den Artikeln wird Windows 2000 beschrieben. Da die grundlegenden Standardgruppen nicht geändert wurden, sind sie auch für Windows 2003 relevant. In Windows Server 2003 wurden jedoch zusätzliche Standardgruppen eingeführt, z. B. die speziellen Gruppen Netzwerkdienst und Lokaler Dienst. Für weitere Details hierzu können Sie bei Bedarf Ihre Standardsystemkonfiguration überprüfen. Überprüfen von freigegebenen OrdnernEin weiteres allgemeines Symptom von Malware ist die Verwendung von freigegebenen Ordnern zur Ausbreitung der Infektion. Mit dem MMC-Snap-In Computerverwaltung oder über die Befehlszeile NetShareüberprüfen Sie den Status der freigegebenen Ordner im infizierten System. Die folgenden Tabellen enthalten die Standardfreigaben auf Windows-Clients und Servern. Hinweis: Computer mit Windows 9x-Betriebssystemen geben standardmäßig nur dann Dateien oder Ordner frei, wenn die Dateifreigabefunktion aktiviert wurde. Zudem enthalten Windows 9x-Clients nicht "admin$" oder andere verborgene Freigaben. Nur freigegebene Ordner oder Volumes sind über das Netzwerk verfügbar (dadurch wird verhindert, dass das System gefährdet oder Remotesteuerungssoftware darauf installiert wird). Tabelle 4.1: Standardfreigaben (Ordner) unter Windows XP
Tabelle 4.2: Standardfreigaben (Ordner) für Windows Server 2003 und Windows 2000 Server
Die Berechtigungen für diese Freigaben können Sie auch mit dem Befehlszeilenprogramm SrvCheck aus dem Microsoft Windows Server 2003 Resource Kit untersuchen. Informationen hierzu (in Englisch) finden Sie auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=4544. Andere Dienstprogramme von Drittanbietern, z. B. Dumpsec, das über das Website SystemTools.com unter der Adresse: http://www.somarsoft.comverfügbar ist, lassen sich hierzu ebenfalls verwenden. Überprüfen von geöffneten NetzwerkportsViele Malwareangriffe versuchen, ein betroffenes System zu schwächen, um zukünftige Angriffe zu erleichtern. Eine häufig verwendete Technik in diesem Zusammenhang betrifft das Öffnen von Netzwerkports auf dem Host, die dann später vom Malwareangreifer verwendet werden, um mit dem Host in Kontakt zu treten. Es gibt zahlreiche Tools, mit denen Sie eine Liste der aktuellen Netzwerkporteinstellungen eines Systems abrufen können, u. a. PortQRY aus den Microsoft Windows Server 2003-Supporttools. Weitere Informationen zu diesem Tool finden Sie im Knowledge Base-Artikel "832919: New features and functionality in PortQry version 2.0" (in Englisch) auf der Microsoft-Website unter http://support.microsoft.com/?kbid=832919. Ein weiteres Tool ist das Befehlszeilenprogramm FPort von Foundstone. Dieses Tool ist unter folgender Adresse verfügbar: http://www.foundstone.com. Ebenso können Sie das in Windows enthaltene Befehlszeilenprogramm NetStat verwenden, um den Status der aktuellen Netzwerkverbindungen und überwachten Netzwerkports zu dokumentieren. Mit diesem Programm erhalten Sie einen vollständigen Bericht über die Netzwerkverbindungen und sowie den Portstatus. So erstellen Sie einen NETSTAT-Bericht
Hierdurch wird eine Textdatei mit dem Namen netstat_report.txt (Sie können dem Dateinamen bei Bedarf das Datum hinzufügen) wird im Stammverzeichnis von Laufwerk C erstellt. Diese Datei sollte zur späteren Analyse auf einem Wechselmedium gespeichert werden. Verwenden eines Netzwerkprotokoll-AnalyseprogrammsEin Netzwerkprotokoll-Analyseprogramm lässt sich dazu verwenden, um ein Netzwerkverkehrsprotokoll der zum und vom infizierten Host übertragenen Daten zu erstellen. Die Ablaufverfolgungsdatei für das Netzwerk sollte zusammen mit den Informationsdateien zur späteren Analyse gespeichert werden. Es gibt eine Reihe von Netzwerkprotokoll-Analyseprogrammen, mit denen sich entsprechende Ablaufverfolgungsdateien für das Netzwerk erstellen lassen. Hierzu zählen die Netzwerkmonitor-Komponente von Microsoft Systems Management Server (SMS) und Drittanbietertools wie das Ethereal-Analyseprogramm. Dieses Tool ist auf der Ethereal-Website unter folgender Adresse verfügbar: http://www.ethereal.com/. Überprüfen und Exportieren von SystemereignisprotokollenÜber die Windows-Systemereignisprotokolle lassen sich mitunter ebenfalls ungewöhnliche Verhaltensmuster entdecken. Im Idealfall können dadurch sowohl die von Malware durchgeführten Änderungen als auch der Zeitpunkt dieser Änderungen identifiziert werden. Verwenden Sie die Ereignisanzeige-Verwaltungskonsole, um jeden Ereignisprotokolldateityp (Anwendung, Sicherheit und System) zur späteren Analyse auf Wechselmedien zu speichern. Diese Dateien werden standardmäßig im Verzeichnis C:\Winnt\System32\Config\ unter den Namen AppEvent.evt, SecEvent.evt und SysEvent.evt gespeichert. Während das System aktiv ist, sind diese Dateien jedoch gesperrt. Sie sollten mit dem Ereignisanzeige-Verwaltungstool exportiert werden. Die folgenden Tipps bieten Informationen dazu, wie die Auswirkungen eines Malwareangriffs mithilfe dieser Protokolle ermittelt werden können:
Am Ende des Malwareanalyseprozesses können – je nach Malwaretyp – die isolierten Netzwerke möglicherweise schon wieder verbunden werden. Ergibt die Analyse beispielsweise, dass sich die Malware über eine bestimmte Peer-to-Peer-Anwendung (P2P) ausbreitet, können die Netzwerke und anderen Dienste wiederhergestellt werden, indem die von der betroffenen P2P-Anwendung verwendeten Netzwerkports durch eine entsprechende Änderung der Perimeterfirewallfilter blockiert werden. Eine solche Maßnahme ermöglicht der Organisation bereits während des Systemwiederherstellungsprozesses die Rückkehr zu einer normalen Kommunikation. Schritt 4: SystemwiederherstellungNachdem Sie die erforderlichen Informationen zum Angriff erfasst und diesen vollständig verstanden haben, können Sie mit dem Prozess der Entfernung der Malware sowie der Wiederherstellung von beschädigten Daten bei den infizierten Computern beginnen. Wichtig: Auch wenn Sie über eine Antivirusanwendung verfügen, die einen Malwareangriff erkennen und von einem Computer entfernen kann, sollten Sie feststellen, wann (Datum und Uhrzeit) und wie die Infektion stattgefunden hat. Ohne diese Informationen ist es schwierig, andere Systeme, Sicherungsmedien oder Wechselmedien zu ermitteln, die dem Angriff möglicherweise ebenfalls ausgesetzt waren. Die genaue Durchführung dieses Prozesses hängt weitgehend von der Beschaffenheit des jeweiligen Malwareangriffs ab. Sie können jedoch den folgenden grundlegenden Prozess verwenden, um eine vollständige Wiederherstellung der Daten und Computersysteme zu gewährleisten:
Die Bestätigung des einwandfreien Zustands des Systems (frei von Malware) ist ein wichtiger Schritt, der nicht übersehen werden darf. Viele Malwarebedrohungen sind so ausgelegt, dass sie über einen längeren Zeitraum unerkannt bleiben. Zudem ist denkbar, dass zu Sicherungszwecken erstellte Images oder Systemwiederherstellungspunkte ebenfalls die infizierten Systemdateien enthalten. Dies bedeutet, dass eine weitere Infektion ausgelöst werden kann, falls ein infiziertes Sicherungsabbild für die Wiederherstellung verwendet wird. Aus diesen Gründen sollten Sie nach Möglichkeit das Datum und die Uhrzeit der ersten Instanz des Malwareangriffs ermitteln. Wenn Sie zum Vergleich über einen Zeitstempel verfügen, können Sie anhand der Datumsangaben der Sicherungsabbilder feststellen, ob diese wahrscheinlich den gleichen Malwareschaden enthalten. Bereinigen oder Neuerstellen?Bei der Auswahl der Wiederherstellungsmethode für das System stehen Ihnen zwei Optionen zur Verfügung. Die erste Option ist die Bereinigung des Systems. Dieser Ansatz stützt sich auf die bekannten Eigenschaften des Angriffs und macht systematisch den Schaden rückgängig, den jeder Eigenschaft verursacht hat. Die zweite Option wird häufig als Neuerstellen oder Ebnen eines Systems bezeichnet. Die Auswahl der zu verwendenden Option ist jedoch nicht einfach. Sie sollten sich nur dann für eine Systembereinigung entscheiden, wenn Sie absolut sicher sind, dass alle Elemente des Angriffs umfassend dokumentiert und durch das Bereinigungsverfahren erfolgreich beseitigt worden sind. Die erforderliche Dokumentation wird normalerweise vom Hersteller der Antiviruslösung bereitgestellt, jedoch benötigt dieser u. U. mehrere Tage, um den Angriff vollständig zu verstehen. Die Bereinigung des Systems wird häufig vorgezogen, da dadurch ein sauberer Systemstatus mit intakten Anwendungen und Daten hergestellt wird. Bei diesem Ansatz ist die Rückkehr zum normalen Betrieb in der Regel schneller möglich als bei einer Neuerstellung des Systems. Ohne eine detaillierte Analyse des Malwarecodes wird die Malware jedoch beim Bereinigen des Systems u. U. nicht vollständig entfernt. Das grundsätzliche Risiko bei der Bereinigung eines Systems besteht in der Möglichkeit, dass ein nicht dokumentiertes Element der ursprünglichen Infektion – oder möglicherweise einer sekundären Infektion bzw. eines sekundären Angriffs – nicht erkannt oder dokumentiert wurde, wodurch das System weiterhin infiziert oder anfällig gegenüber Malwaremechanismen bleibt. Aufgrund dieses Risikos entscheiden sich viele Unternehmen für die Neuerstellung der infizierten Systeme, um so absolut sicherzugehen, dass diese frei von Malware sind. Im Allgemeinen empfiehlt Microsoft die Neuerstellung des Systems, wenn bei einem Angriff eine Hintertür oder ein Rootkit auf dem System installiert wurde. Weitere Informationen zu diesen Angriffstypen finden Sie in Kapitel 2, Bedrohungen durch Malware, in diesem Leitfaden. Die zuverlässige Erkennung der verschiedenen Komponenten dieser Angriffstypen ist schwierig. Mitunter treten sie nach dem Versuch, sie zu entfernen, wieder auf. Diese Angriffe werden häufig verwendet, um nicht autorisierten Zugriff auf ein gefährdetes System zu erhalten. Dieser Zugang ermöglicht dann ggf. weitere Angriffe auf das System, um Berechtigungen zu erhöhen oder eigene Software zu installieren. Die einzige Methode, um absolut sicherzustellen, dass Ihre Computersysteme frei von solchen Malwareangriffen sind, ist daher die Neuerstellung. Hierbei sind vertrauenswürdige Medien zu verwenden und die Systeme anschließend so zu konfigurieren, dass die für den Angriff verantwortliche Sicherheitslücke (z. B. ein fehlendes Sicherheitsupdate oder unsicheres Benutzerkennwort) geschlossen wird. Dieser Prozess erfordert auch eine sorgfältige Erfassung und Bewertung aller erforderlichen Benutzerdaten aus dem infizierten System, die Reparatur aller Schäden, die Überprüfung der Daten auf Malware und schließlich die Wiederherstellung der bereinigten Daten auf dem neu erstellten System. Das Neuerstellen eines Systems beinhaltet ferner die Neuinstallation aller zuvor auf dem System verfügbaren Anwendungen sowie deren Konfiguration. Die Neuerstellung bietet somit hinsichtlich der Beseitigung der Infektion oder des Angriffs zwar die höchste Sicherheitsstufe, ist im Allgemeinen aber auch aufwändiger als eine Bereinigung. Die Auswahl der Wiederherstellungsoption für das System sollte in erster Linie davon abhängen, inwieweit Sie davon überzeugt sind, dass die jeweilige Option die Infektion vollständig beseitigen kann. Die Zeit, die die Reparatur eines Systems in Anspruch nimmt, sollte sekundär sein, da die Gewährleistung der Integrität und Stabilität im Vordergrund steht. Tabelle 4.3: Vor- und Nachteile der Bereinigung und Neuerstellung des Systems
Hinweis: Wenn Sie sich für die Bereinigung eines infizierten Systems entscheiden, sollten die Verwaltungsteams und die Rechtsabteilung Ihrer Organsiation einer Risikoanalysedurchführen. So lässt sich feststellen, ob das im Fall einer unvollständigen Entfernung des böswilligen Codes entstehende, erhöhte Risiko eines zukünftigen Angriffs akzeptabel ist. SystembereinigungEine Systembereinigung sollten Sie nur dann in Erwägung ziehen, wenn sowohl Angriffe und Verhalten der Malware umfassend dokumentiert als auch und die Bereinigungsverfahren getestet und bestätigt wurden. Sorgfältig dokumentierte Anweisungen für Administratoren oder automatisierte Tools zum Entfernen der Infektion aus dem System sind ggf. von Microsoft und den Anbietern von Antiviruslösungen erhältlich. Beide Optionen sind dafür ausgelegt, jede während der Infektion ausgeführte Aktion rückgängig zu machen und den ursprünglichen Betriebsstatus des Systems wiederherzustellen. Diese Verfahren werden im Allgemeinen nur für Viren oder Würmer mit größerer Verbreitung bereitgestellt und sind meistens erst einige Tage nach der ursprünglichen Malwareinfektion verfügbar. Hinweis: Da viele Malwareangriffe in Wellen stattfinden, z. B. "MyDoom@A", "MyDoom@B" usw., ist es sehr wichtig, dass nur Bereinigungsverfahren oder -tools für die Entfernung der spezifischen Version der Malware verwendet werden. Ist kein automatisiertes Tool zum Bereinigen der jeweiligen Malware verfügbar, müssen für eine manuelle Bereinigung des Systems die folgenden grundlegenden Schritte ausgeführt werden:
Wenn Sie sich für die manuelle Bereinigung des Systems entscheiden, sollten Sie Ihre Maßnahmen mit denen vergleichen, die zur Bereinigung des jeweiligen Malwareangriffs veröffentlicht werden. Nur so lässt sich sicherstellen, dass Sie alle erforderlichen Schritte durchgeführt haben.. Wenn Ihre Organisation über ein Antivirus-Supportteam verfügt, muss dieses genauso sicherstellen, dass die verwendeten Inspektions- und Korrekturverfahren ausreichend und geeignet sind, alle Angriffsmöglichkeiten zu identifizieren und einzudämmen. Die Verwendung ungeeigneter Verfahren kann schnell eine erneute Infektion zur Folge haben. Wiederherstellen oder Neuinstallieren?Wenn Sie sich für eine Neuerstellung des Systems entscheiden, können Sie entweder ein vorher erstelltes Image-Abbild bzw. eine einwandfreie Systemsicherung zur Wiederherstellung verwenden oder aber das System von den Originalmedien komplett neu installieren. Wenn das System von einem vorherigen Image-Abbild wiederhergestellt werden soll, sollten Sie ggf. versuchen, die aktuellsten Benutzerdaten auf dem infizierten System zu retten. Auf diese Weise können Sie verhindern, dass die seit der Abbilderstellung vorgenommenen Änderungen und Aktualisierungen verloren gehen. Wenn Sie keine Sicherung wiederherstellen, sondern das System von Originalmedien neu erstellen, können Sie einen Datenverlust nur dann vermeiden, indem Sie die relevanten Daten des infizierten System vorher speichern. Wiederherstellen von Daten vom infizierten SystemAm wertvollsten bei einem Computersystem sind wahrscheinlich die darauf gespeicherten Daten. Aus diesem Grund müssen Sie sorgfältig überlegen und planen, wie die Daten gespeichert, wiederhergestellt oder repariert, gesichert und dann nach der Neuerstellung auf dem System wiederhergestellt werden sollen. Für eine vollständige Wiederherstellung des Systems müssen die folgenden Datentypen entsprechend erfasst werden:
Sichern Sie alle Daten auf einem sicheren Medium oder an einem sicheren Ort, sodass sie weder ausgeführt werden können noch für unautorisierte Benutzer oder Systeme zugänglich sind. Verwenden Sie ggf. Tools oder andere Mittel, um die Daten wiederherzustellen. Bewahren Sie die Daten dann an einem sicheren Ort, bis Sie sie auf dem neu erstellten System wiederherstellen können. Wiederherstellen von einem Abbild oder einer SicherungDie Wiederherstellung von Daten von einem Image-Abbild oder einer Sicherung setzt voraus, dass vor der Infektion des Systems mit einem entsprechendem Tool ein solches Abbild bzw. eine Sicherung erstellt wurde. Es gibt zahlreiche Tools, mit denen die Sicherung und Wiederherstellung von Daten Ihrer Systeme erheblich vereinfacht werden kann. Diese Tools bieten ein hohes Maß an Sicherheit. Sie schützen die Systeme nicht nur vor Malwareinfektionen, sondern auch vor Hardwarefehlern und anderen potenziellen Systembedrohungen. Die Konfiguration einer vollständigen Notfallwiederherstellungs-Infrastruktur geht über den Rahmen dieses Leitfadens hinaus. In den folgenden Abschnitten werden jedoch einige wichtige Technologien beschrieben, die Sie dazu verwenden können, virusspezifische Probleme zu adressieren. Windows-SystemwiederherstellungDie Windows-Systemwiederherstellung (WSR) schützt wichtige System- und Anwendungsdateien, indem diese überwacht und in einigen Fällen vor der Durchführung von Änderungen gesichert werden. Stellen Sie unbedingt fest, ob Ihre Antivirusanwendung die Windows-Systemwiederherstellung unterstützt. Die Windows-Systemwiederherstellung kann einen Wiederherstellungspunkt erstellen, der von Malware infiziert werden kann, wenn Sie ihn nach dem ursprünglichen Malwareangriff zum Bereinigen eines Systems verwenden. Ist dies der Fall, kann die Malware über den infizierten Wiederherstellungspunkt erneut in das System eingeführt werden. Glücklicherweise erkennt eine WSR-fähige Antivirusanwendung die Malware während eines Wiederherstellungsprozesses. Wenn infizierte Dateien erkannt werden, versucht die Antiviruslösung, diese Dateien zu ändern, zu verschieben oder zu löschen. Im Fall einer erfolgreichen Bereinigung der Dateien stellt die Windows-Systemwiederherstellung die jeweiligen Dateien wieder her. Wenn eine Datei jedoch nicht bereinigt werden kann und daher gelöscht oder unter Quarantäne gestellt wird, schlägt der Wiederherstellungsprozess fehl, da die Isolierung einer Datei einen inkonsistenten Status zur Folge hat. In diesem Fall stellt die Windows-Systemwiederherstellung den vorherigen Zustand des Systems (vor dem Start der Wiederherstellung) wieder her. Weitere Informationen zur Verwendung von Antivirusanwendungen mit diesem Dienst finden Sie im Knowledge Base-Artikel "831829: How antivirus software and System Restore work together" (in Englisch) auf der Microsoft-Website unter http://support.microsoft.com/?kbid=831829. Hinweis: Nachdem die Virussignaturdateien aktualisiert wurden, um einen Malwareangriff zu erkennen, kann eine Tage zuvor fehlgeschlagene Wiederherstellung möglicherweise gelingen. Umgekehrt kann der Wiederherstellungsprozess fehlschlagen, wenn Sie eine zuvor problemlos mögliche Wiederherstellung vornehmen, eine neue Signaturdatei nun aber die Erkennung eines Angriff gegen eine gesicherte Datei ermöglicht, die nicht bereinigt werden kann. Weitere Informationen zur Windows-Systemwiederherstellung finden Sie auf der Seite "How to Restore Windows XP to a Previous State" (in Englisch) auf der Microsoft-Website unter folgender Adresse: Automatische SystemwiederherstellungDie Automatische Systemwiederherstellung (ASR) bietet eine einfache Methode zum schnellen Sichern der Start- und Systemdatenträger Ihres Computers. Dies ermöglicht eine schnellere Wiederherstellung des Systems im Fall einer Infektion oder Störung. Wie bei anderen Sicherungsverfahren besteht jedoch auch hier die Möglichkeit, dass die ASR-Sicherungsdateien von der Malware infiziert sind. Weitere Informationen zur automatischen Systemwiederherstellung und zu den Verwendungsmöglichkeiten in Ihrer Organisation finden Sie im Whitepaper "How ASR Works" (in Englisch) auf der Microsoft-Website unter: http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/sdcbc_sto_axho.asp. Windows-SicherungslösungDie Betriebssysteme der Windows-Familie bieten eine einfache Sicherungslösung, die sich für den Einsatz auf Abteilungsebene oder in kleinen bis mittelgroßen Geschäftsumgebungen eignet. Wie bei der Windows-Systemwiederherstellung und der automatischen Systemwiederherstellung ist auch hier denkbar, dass die Sicherungsdateien selbst Malware enthalten. Aus diesem Grund müssen Sie bei Verwendung dieser Lösung sicherstellen, dass Sie die Malware nicht auf dem System wiederherstellen und dadurch den Malwareangriff erneut auslösen. Alle Sicherungsdateien müssen mit einer aktualisierten Antivirusanwendung, die die Malware erkennen und entfernen kann, überprüft und gescannt werden, bevor Sie das Sicherungsabbild zum Wiederherstellen des Systems verwenden. Eine detaillierte Dokumentation zur Notfallwiederherstellung mit Sicherungs- und Wiederherstellungsverfahren finden Sie im Abschnitt "Notfallplanung" des Windows Server 2003 Deployment Kit auf der Microsoft-Website unter http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/sdcbc_sto_gqda.asp. Neuinstallation des SystemsSobald Sie sich vergewissert haben, dass die Sicherungsdaten für Ihr System vertrauenswürdig und einwandfrei sind, können Sie mit der Neuerstellung des Systems beginnen. Dieser Zeitpunkt eignet sich ideal zum Neuformatieren von Laufwerken, Ändern von Partitionsgrößen und Durchführen anderer erforderlicher Systemwartungsaufgaben, um eine optimale Leistung des Systems nach der Wiederherstellung zu gewährleisten. Wenn möglich, sollten Sie Ihre Server unter Verwendung von vollständig aktualisierten Installationsdateien neu erstellen. Weitere Informationen zur Erstellung aktualisierter Installationsdateien von Windows finden Sie in den folgenden Quellen:
Wenn die Neuerstellung von einer aktualisierten Installationsquelle nicht möglich ist, besteht das Risiko, dass das System von netzwerkbasierter Malware infiziert wird, bevor Sie eine Verbindung mit der Windows Update-Website herstellen und die entsprechenden Service Packs und Sicherheitsupdates von dort downloaden können. In diesem Fall führen Sie die Neuinstallation anhand folgender Schritte aus:
Nachdem Sie das System neu erstellt und durch entsprechende Prüfungen sichergestellt haben, dass es keine infizierten Dateien mehr enthält, können Sie die Benutzerdaten wiederherstellen. Schritt 5: Schritte nach der WiederherstellungIn diesem Abschnitt werden spezifische Schritte beschrieben, die Sie ausführen sollten, nachdem Sie den ursprünglichen Malwareangriff unter Kontrolle gebracht und die Systeme wiederhergestellt haben. Diese Phase ist wichtig, um die übergeordneten Mitarbeiter-, Prozess- und Technologierichtlinien Ihrer Organisation einzuhalten und zu stärken. Meeting nach dem AngriffAn diesem Meeting sollten alle betroffenen Parteien teilnehmen. Wichtig hierbei ist, die neuen, aus dem Angriff gewonnenen Erkenntnisse auszutauschen. Folgende Themen sollte bei diesem Meeting behandelt werden:
Updates nach einem AngriffPrüfen Sie die im Meeting entwickelten Empfehlungen. Stellen Sie anschließend sicher, dass diese so schnell wie möglich in der gesamten Organisation implementiert werden. Nachdem eine bestimmte Sicherheitslücke aufgedeckt wurde, lassen sich häufig mehrere Ansätze gleichzeitig zur Eindämmung anwenden. Bedenken Sie, dass sich solche Änderungen in der Regel auf die Mitarbeiter, Prozesse und Technologien der Organisation auswirken. Durch eine Überprüfung der geschätzten Kosten des Angriffs für die Organisation sollte deutlich werden, welche Kostenvorteil sich künftig realisieren lassen, wenn proaktive Maßnahmen eine Wiederholung des Angriffs verhindern. Falls Ihre Organisation zu diesem Zeitpunkt noch keine Strategie zur erfolgreichen Virenabwehr implementiert hat, lesen Sie in Kapitel 3, Erfolgreiche Virenabwehr, dieses Leitfadens nach, welche Elemente dieser Strategie für Ihre Organisation die meisten Vorteile bieten. ZusammenfassungIn diesem Kapitel wurden Richtlinien und Empfehlungen für die durchdachte, konsistente Wiederherstellung nach einem Malwareangriff vorgestellt. Die konsequente Befolgung der vorgeschlagenen Schritte ist wichtig, da Ihre Organisation andernfalls u. U. weiterhin nicht vor Malwareangriffen geschützt ist. Zudem ist die Ergreifung rechtlicher Schritte gegen den Angreifer schwer oder sogar unmöglich, wenn diese Anweisungen nicht befolgt werden. Wenn Ihre Organisation eine Antivirus-Tiefenverteidigungslösung implementiert hat, werden die Fälle weitgehend minimiert, in denen diese Lösung tatsächlich zum Eindämmen von Angriffen eingesetzt werden muss. Wird die Vorgehensweise für "Worst Case"-Szenarios nicht vorab geplant, besteht jedoch die Gefahr, dass Ihre Organisation schwerwiegende Fehler begeht, wenn es einem Angriff gelingt, Ihre Antivirusverteidigung zu durchbrechen. Hat Ihre Organisation eine Lösung zur erfolgreichen Virenabwehr implementiert, hat dies eine weitgehende Minimierung der Fälle zur Folge, in denen diese Lösung tatsächlich zum Eindämmen von Angriffen eingesetzt werden muss. Findet keine vorherige Planung für die Vorgehensweise bei einem "Worst Case"-Szenario statt, besteht jedoch die Gefahr, dass Ihrer Organisation schwerwiegende Fehler unterlaufen, falls es einem Angriff gelingt, Ihre Virenabwehr zu durchbrechen. Bereiten Sie sich für solche Situationen vor, indem Sie das Sicherheitspersonal in allgemeinen Malwaretechniken wie den in diesem Kapitel behandelten Techniken schulen. Erstellen Sie ggf. auch ein Malwareanalyse-Toolkit, das einige der hier beschriebenen Tools, Skripts und andere Dienstprogramme enthält, um wichtige Informationen aus infizierten Systemen zur schnell zu erfassen und zu dokumentieren Durch diese Vorbereitung können Sie die Auswirkungen auf Ihre Geschäftsabläufe reduzieren, sollten Ihre Systeme das Opfer eines Malwareangriffs werden. Jeder neue Angriff kann sich anderer Methoden bedienen, um Ihre Systeme zu gefährden oder zu beschädigen. Microsoft empfiehlt daher, die Microsoft Security Antivirus Information-Website (in Englisch) unter http://opmg2/security/antivirus/ regelmäßig zu besuchen. Auf dieser Site finden Sie neben aktuellen Antivirusinformationen auch Anleitungen, um neueste Malwareangriffe zu adressieren. Die in diesem Kapitel des Leitfadens vorgestellten Ressourcen ermöglichen es Ihnen, die möglichen Auswirkungen eines Malwareangriffs auf Ihre Organisation effektiv zu kontrollieren und im Falle eines Falles eine Wiederherstellung effizient und zuverlässig durchzuführen.
|
In diesem Beitrag
|
