Click on the Category button to get more articles regarding that product.
Ransomware in der Schweiz
Lösungsansätze für mehr Cybersicherheit
Die Bedrohung durch Ransomware in der Schweiz erfordert intelligente Lösungen. Eine effektive Methode, die sich bewährt hat, ist der Einsatz von “Black/White-Listing” Technologien, wie sie beispielsweise von McAfee TIE bereitgestellt werden. Diese fortschrittliche Technologie, die auf intelligenter Listenführung basiert, stellt derzeit die einzige wirksame Lösung dar, um Ransomware und Erpressungstrojaner in den Griff zu bekommen.
McAfee TIE bietet eine umfassende Threat Intelligence Exchange, die es ermöglicht, Bedrohungen frühzeitig zu erkennen und zu bekämpfen. Der Einsatz von TIE in Kombination mit Advanced Threat Defense (ATD) Sandboxes verstärkt die Sicherheitsmaßnahmen und schafft eine robuste Verteidigungslinie gegen Cyberangriffe.
Es ist wichtig zu betonen, dass improvisierte Lösungen und halbherzige Ansätze nicht ausreichen, um den Herausforderungen der Ransomware wirksam zu begegnen. Durch den Einsatz von etablierten Technologien wie McAfee TIE können Unternehmen und Organisationen proaktiv handeln, anstatt ständig den Problemen hinterherzulaufen. Investitionen in solche bewährten Lösungen zahlen sich langfristig aus und tragen entscheidend zur Sicherheit der digitalen Infrastruktur bei.
|
|
|
Proof of concept mit Test Datei welche wir anpassen
|
Wir nehmen ein EXEcutable z.B. Superscan.exe und Machen dies auf um es anzupassen. |
|
|
|
Wir passen einige unrelevante Sachen mit eine HEX Editor im EXE an und speichern dies unter neuen Namen TIE_superscan.exe (HEX Editor z.B. http://hxd-hex-editor.soft32.com). Einfach die TEXT Partie “not be rund in DOS” anpassen. |
|
|
|
Die Software superscan.exe ist im Mcafee TIE nicht vorhanden (Obwohl Foundstone von Mcafee/Intel gekauft wurde ;-). Ca. 75-80% Aller Binaries sind aber in der GTI/TIE Datenbank vorhanden. (Durchschnitt Windows 7 64BIT client mit ca. 80 Applikationen Schweiz). |
|
|
|
Test client virtuel exclusions VSE (Normaler Virenschutz) Der Folder c:\Geheim_geheim ist exlcuded da sonst z.B. Internet Explorer IEAK9/11 Setups aber auch andere Software beim Setup Probleme machen. Aber auch Driver fuer das Installieren des OS selber sind dort vorhanden. Dieser Folder wird nicht gescannt da man dort zu 100% Vertrauenswürdige Files hat. User hat dort keine Schreibrechte. |
|
|
|
Im Mcafee TIE nicht sichtbar da in c:\geheim_geheim |
|
|
Update Mcafee > Force senden Infos an EPO
|
|
|
Kopieren des Files in c:\temp und ausführen Directory nicht Exlcuded und VSE > Daher TIE auch Scan |
|
Alarm auf client und Block des Files beim Öffnen.
|
|
Umgehend auch OHNE Force Framework Agent sichtbar in Mcafee EPO TIE |
|
|
|
Neue Datei unbekannt und Rating 50 > DAHER geblockt |
|
|
|
|
|
Die anderen Werte welche zur Einstufung der Reputation heran gezogen werden sind noch nicht ermittelt worden. Da es sich um einen Installer handelt wird dies zudem anders gewichtet. |
|
GTI (mcafee P2P/Cloud Datenbank) kennt das File noch nicht:
|
Anpassen der Reputation
|
Wir passen die Reputation des Files an da wir dieses File kennen und mit dem PLUGIN in TIE fuer VIRUSTOTAL.COM gescannt haben. Dies kann man durch einen Click auf einen Button automatisch machen lassen! |
||
|
|
|
Nach dem Anpassen der Reputation von “Unknown” to “File Known Trusted” PLUS zusätzlich einem Rename des EXE (TIE_superscan.exe zu superscan.exe) wird das File ausgeführt. Damit TIE das Binary intelligent einstufen kann muss es längere Zeit und in mehreren Versionen in der Firma sein ODER die TIE/GTI cloud kennt es.
|
|
Anzeige in MCAFEE EPO Konsole (Enforcement Events)
|
|
|
|
Mcafee EPO Konsole, DASHBOARD |
|
|
|
|
Alle Komponenten sind via Mcafee/Trellix Low Latency Netzwerk DXL verbunden. Dieses Netzwerk aus Trellix Linux Servern stell sicher, dass
alle Endpunkte in Sekundenschnelle die gleichen Infos haben. Dazu gehören EPO-Server, Trellix Security for Exchange, Webgateway, ATD-Sandbox usw.
