Notfallplanung Virenbefall

Hacking,Sicherheit
Vorwort

Sehr geehrte Damen und Herren,

Seit vielen Jahren arbeite ich auch in der Notfallbetreuung und habe entsprechende Erfahrung sammeln dürfen. Jeder Virenbefall ist anderes, da auch die Kunden und deren Netzwerke anders sind.

Aber eines ist immer gleich: Je besser ein Kunde vorbereitet ist, desto geringer ist der Schaden, die Schadensdauer und die Kosten.

Die folgenden Punkte sollten Ihnen helfen, meine Erfahrungen in Ihren Notfallplan zu betrachten.

Und wenn nur ein Punkt helfen sollten, Ihr Netzwerk schneller wieder am laufen zu haben, so sollte es das “lesen” wert sein.

Erkennung

Erkennen eines Virus kann am einfachsten sein, wenn dieser sich selber am Bildschirm meldet. Das ist nicht immer so.

Virenmeldung am Bildschirm: Handlungsweisen an die Mitarbeiter im Vorfeld:

Wenn eine Meldung am Bildschirm kommen sollte, kann diese echt oder gefaked sein. Für die Mitarbeiter:

 

  1. wenn geht Foto machen
  2. nichts anklicken, sehr wichtig (ein Counter beim Hacker könnte gestartet werden, nebst dem Nachladen weiterer Viren)
  3. keine Mail schreiben
  4. am besten den Netzwerkstecker ziehen, wenn möglich:
    1. Gerät ausschalten, nicht runter fahren (dabei werden noch Daten mit in das Pagefile geschrieben)
    2. Laptop nicht zuklappen, lange den Ausschalter drücken.
      1. WLAN können Sie trotzdem vorher manuell ausschalten (wenn der Benutzer weiß wie das geht? ;-).
    3. Kollegen in der unmittelbaren Nähe informieren, Netzwerkstecker ziehen lassen
    4. IT Notfall anrufen

Ohne eine Virenwarnung:

 

Keine eindeutige Meldung, “nur” Fehler unterschiedlichster Art,

Der Service geht von da, aber nicht von da, asynchrone Meldungen, Fehler aus den verschiedensten Bereichen und verschiedensten Kommunikationen.

Fehlermeldung die Sinnfrei zu scheinen sein, aber zunehmend sind.

Meldeverfahren – Wer informiert wen wann?

Das Notfallmeldeverfahren sollte im Vorfeld integriert und getestet sein.
Die Notrufnummer muss einfach zu merken sein.
Das darf nicht die gleiche Nummer wie der Support oder die “normale” IT sein
Nummern wie *99 oder ähnliche, einfach zu merken und am besten per Aufkleber auf den Geräten.
Die Kommunikation ist extrem wichtig, jede Verzögerung bedeutet einen Anstieg der Schäden und der Reparaturdauer.
Informationsketten starten
Info an IT Leitung
Info an alle IT Mitarbeiter. Vorsicht Mail könnte den Virus weiter verbreiten oder schon gar nicht mehr funktionieren, ggf. Lautsprecherdurchsagen durch das Gebäude oder die Gebäude
Info an andere Abteilungen, Außenstellen, Netzwerke, Provider
Presseabteilung, Öffentlichkeitsarbeit
Ggf. GF / Vorstand oder besser später, wenn der Schaden bekannt und die Wiederanlaufzeit berechnet ist.
Das funktioniert nur, wenn dieser Prozess individuell erarbeitet und vorbereitet wurde.
Notfallteam sollte zeitnah zusammen kommen können
Vielleicht geht das noch Online, aber eher nicht mehr oder nicht mehr lange
Dokumentation auf Papier führen
Meldeverfahren beinhaltet zeitnahe Bestätigungen, Rückrufe oder SMS Kommunikation haben sich als stabil erwiesen.
Ggf. müssen Behörden (KRITIS) informiert werden.
Externe Hilfe informieren

Erste schnelle Maßnahmen

Schadensbegrenzung / Eingrenzen des Virus /Virusverbreitung intern und extern unterbinden.

Schnellstes Handeln ist extrem wichtig:

  1. Trennung der Netzwerke
  2. isolieren der befallenen Geräte
    1. Wiedereinschalten verhindern
  3. 802.1x oder manuell am Switch, FW, Router, Stecker ziehen…
  4. Kommunikation nach Außen stoppen, FW Router etc.
  5. Sind entsprechende Geräte erreichbar?
    1. Die Admins auch?
    2. Schlüssel zum RZ erreichbar?
    3. Für den Schrank auch?
    4. Alles schon gehabt, leider
    5. Bedenken Sie, dass Türschließanlagen möglicherweise keine Server mehr haben und nicht mehr funktionieren.
  6. keine weitere Verbreitung ermöglichen
  7. Andere Server vom Netzwerk nehmen.
  8. Sollten bei einem bekannten Windows Virus auch Apple, Linux und weitere Geräte (IOT) vom Netz genommen werden?
    1. Sicher, nur weil die keinen Schaden haben, könnten die den Schadcode weiterleiten.

Lieber einmal alles gezogen und wieder gestartet als ein Riesenschaden.

Eine Reparatur dauert schnell mehrere Tage, eine “grundloses wieder anfahren nur Stunden”.

Schadenfeststellung

Alle Informationen zentral sammeln, protokollieren und auswerten. Festhalten und weiterführen für Testszenario und Wiederanlauf.

Wichtig leider auch: Feststellen, wenn möglich, ob die Dateien auch versendet wurden.

Informationsphase, starten einer Mini-Reparatur

Nachdem die Teams zusammengestellt sind, fängt ein Team an, mit

 

  • Informationen über den Virus
    • Dafür benötigen Sie virenfreie Geräte und einen “anderen” Admin? Internetzugriff
  • Schadensarten
  • Verbreitung
  • Reparaturmöglichkeiten
  • Testgeräte für die Reparatur vorbereiten

 

Da der Virus zugeschlagen hat, ist der aktuelle Virenscanner leider nicht in der Lage dieses Virus abzuwehren.

Vielleicht reicht ein einfaches Update, aber das wäre auch schwach.

 

Einige Virenscanner reagieren bei unbekannten Viren sehr unglücklich.

So hat einer einmal die Dateien fälschlicherweise als infiziert erkannt und die Dateien:

 System.exe, Windows.exe etc. in die Quarantäne geschoben.

Der Schaden durch den Virenscanner war entsprechend hoch, da die Systeme nicht mehr gebootet haben (USB Reparatur weltweit).

 

Es sollten mehrere Reparaturmöglichkeiten in Betracht gezogen werden.

Am schönsten wäre es, wenn das System durch 802.1x in die Quarantäne geschoben würde, neue AV Signatur, reboot und nach einem Test wieder in das Netzwerk zurückgeschoben werden könnte.

Ja, schön, sehr schön, dann bräuchten Sie hier nicht weiter lesen.

 

Die meisten Viren kommen via Mail und oder Office Dokumente in das Netzwerk.

Also brauchen Sie ein “mini” System ohne Mail und ohne Office.

Das “mini” System sollte Netzwerk haben, damit AV und OS upgedaten werden können.

Installieren Sie nur Applikation die im mini Betrieb funktionieren müssen.


Weniger ist mehr, Sie können die System später nachinstallieren.

 

Dafür braucht es selbstverständlich einfache Installations-Software, vorbereitet auf mini Einsatz.

 

Sinnvoll ist es vorwiegend die reparierten Geräte in ein temporären VLAN: “Ich_bin_mir_nicht_sicher” aber zum Testen sollten es schon gehen Netz im Vorfeld zu erstellen.

Reparatur und Testszenarien

Es besteht immer die Gefahr, dass reparierte Systeme wieder befallen werden können. Das nervt ziemlich.

Die Applikation, die das Eintrittstor für den Virus war, muss nicht (sollte auch nicht) im ersten Schritt wieder installiert werden.

 

Ein “mini” Betrieb, der im Vorfeld definiert wurde, sollte für einige Stunden Zeit bringen können.

Der Betrieb kann im Wesentlichen weiter arbeiten und die Reparatur kann weiter geführt werden.

Welche Phasen wie lange dauern dürfen, sollte im Vorfeld abgeklärt worden sein.

 

Die Dauer der einzelnen Phasen ist abhängig:

  • vom Virus selber
  • dem entstandene Schaden
  • und einer funktionierenden Reparaturmethode

 

Möglicherweise ist eine Neuinstallation der Geräte nicht nötig, wäre aber sauberer.

 

Wenn “mini” oder “Default” Testsysteme laufen, kommt das Testteam.

Die Tests müssen im Vorfeld vorbereitet worden sein und aktuell sein.

 

In dieser engen Zeitspanne können nicht Tests erfunden werden. Die wichtigsten Funktionen der “mini” Applikationen sollten bekannt und testbar sein.

Wiederanlaufverfahren

Ein Wiederanlaufverfahren legt fest:

Welche Systeme werden in welcher Reihenfolge (Abhängigkeiten) wieder ans Netz genommen.

Ein sehr wichtiger Vorbereitungspunkt, der oft unterschätzt wird.

Nachbereitung und Vorbereitung

Was lief gut, was geht besser? 

Die Nachbereitung ist die Vorbereitung für den nächsten Virus.

Nachsatz

Mein letzter Fehler in einem Noteinsatz:

 

Ich habe bei der Teambildung auch die Ruhephasen der Mitarbeiter definiert aber nicht kontrolliert.

 

Jeder IT Mitarbeiter ist durchaus in der Lage 16 Stunden zu arbeiten und mit 8 Stunden Ruhepause wieder relativ frisch ans Werk zu gehen. Nicht auf Dauer, aber ein paar Tage halten wir das aus.

 

Leider habe ich die Arbeitszeiten der Teammitglieder nicht kontrolliert. Am zweiten Tag, gegen späten Nachmittag, nach circa 30-34 Stunden durchgehender Tätigkeit waren die Teams sehr “müde” und kein Team war mehr mit dem Minimum vertreten.

 

Die Teams brauchen neben Kaffee, Bier, Essen auch Ruhe, Erfolge und Motivation.

Es macht sich immer gut, wenn die GF mit einem Abendessen oder ähnlichem vorbei schaut.

 

Gut war, dass wir Nachts um drei Uhr durch den Betrieb laufen mussten und alle Rechner per USB mit neuem Antivirus-SW rebooten mussten. Das macht wach ;-).

 

Wie immer: Wenn Sie Kommentare, Fragen oder Anregungen haben: feel free and call or send mail to peter(add)pka.de

Leave a comment

Your email address will not be published.

Aktuelle Beiträge

Haben Sie Fragen ?

Kontaktieren Sie uns unter