Da ich in diesem Monat drei Fälle hatte, in denen die IT von kleinen und mittelständischen Unternehmen schlecht beraten wurde und die Verluste hochgingen, habe ich für mich beschlossen diese Checkliste zu veröffentlichen.
Größere Firmen sollten (und eigentlich auch der Mittelstand) Containment, Rechte- und Netzseparation in ihr Zonenkonzept mit eingearbeitet haben.
Wenn ihr keine Containment-Zones etc. umgesetzt habt, geht kein Weg am Herunterfahren oder Trennen aller Systeme mit Speichern vorbei! (Ja! Es gibt einen Artikel von Russinovich, der sagt, dass man betroffene Systeme von unbehelligten unterscheiden darf, aber der bezieht sich auf eine perfekt gewartete Umgebung mit einer Crew mit Skilllevel 800+.)
- contain – Die Ausbreitung stoppen und die IT herunterfahren ohne weiteren Schaden hinzuzufügen.
- erradicate – Den Trojaner entfernen oder fernhalten
- recover – Wiederaufbau
- (Anwender und IT) Große Anzahl von Dateinamenänderungen
- (IT) Schreiblast auf File-Servern
- (IT) neue und unbekannte Benutzer
- (IT) neue und unbekannte Dienste und Tasks
- Diensthabende und rufbereite Admins
- CISO und CIO
- Aktuellen Bitlocker-Schlüssel anzeigen lassen (Erstens gibt es genug Trojaner, die zum Verschlüsseln Bitlocker nehmen und zweitens, kann es sein, dass die Domäne auf längere Zeit nicht zur Verfügung steht und somit „Network unlock“ nicht mehr funktioniert.)
- Eigenes Passwort ändern
- Netzwerk aus
- Hart ausschalten
- Internet aus (Die Verbindung zum Internet reicht erst mal.)
- Passwort-Datenbank und Zertifikate auf USB-Stick oder besser SD-Karte mit echtem Schreibschutz
- auf dem Whiteboard oder einem Flipchart eine Tabelle mit zwei Spalten: links „issue“, Rechts „assigned“ unten schreibt ihr das Interims-Passwort hin, das Ihr setzen werdet.
- Storage-Admins, falls Block-Storage mit Hardware-Snapshots vorhanden:
- Lokale Anmeldung erzwingen, Domänen-Accounts und SSO deaktivieren
- So viele LU(N)s wie möglich (Office Fileserver…) auf readonly setzen oder trennen.
- Virtualisierungs-Admins:
- Lokale Anmeldung erzwingen, Domänen-Accounts und SSO deaktivieren
- VMs mit Snapshot versehen & aus schalten (So hat man einen Stand mit laufender VM, auf den man zurückfallen kann und ggf. den Trojaner im RAM der VM, falls der Forensiker mal schauen will)
- Domänen-Admins:
- Domänen-Administratoren prüfen, fremde entfernen, Passwort ändern, deaktivieren
- GPOs prüfen, fremde deaktivieren
- Sicherheitsrichtlinien prüfen, fremde deaktivieren
- Anmeldeskripte prüfen
- auf neue / fremde Benutzer prüfen, fremde Konten deaktivieren, Passwort ändern
- Administrator-Passwort ändern
- System-Admins:
- Auf jedes Blech aufschalten
- Lokale Admins aufrufen
- Fremde Admin-Konten abmelden, aus Admingruppe entfernen, notieren, Passwort ändern, deaktivieren
- Passwort für lokalen Admin ändern
- Bitlocker-Status prüfen.
- Herunterfahren und gegen einschalten sichern (entweder Kabel raus oder auf der PDU aus
- Backup-Admins
- Status des Backups prüfen
- Fremde Admin-Konten abmelden, aus Admingruppe entfernen, notieren, Passwort ändern, deaktivieren
- Passwort für lokalen Admin ändern
- Tapes auswerfen oder Virtual Air Gap einschalten
- Netzwerk-Admins
- Wenn alle anderen OK melden: Alle non-Management-Ports auf allen Switchen aus.
An dieser Stelle ist sowas wie ein safe state erreicht. Jetzt ist Zeit für Pizza bestellen und zusätzliche Notebooks suchen. Falls eure Firma einen Erste-Hilfe-Raum hat, solltet ihr den Schlüssel organisieren und die Liege schon mal freiräumen.
Nehmt ein Flipchart und zeichnet auf, wen ihr jetzt absolut braucht und wer für 11 Stunden nach Hause kann. Niemand sollte länger als 12 Stunden arbeiten.
- Internet
- ein Notebook mit Festplatte und, wenn Windows, Rufus
- Notebooks ohne Festplatte
- USB-Sticks
- USB-Festplatten
- Neubau
- Entfernen der Trojaner vom eingefrorenen Stand
- Restore der Systeme mit Timewarp der Daten
- Neuinstallation der Betriebssysteme, aber Weiterverwendung der Daten
Alle bedingen, dass halbwegs bekannt ist, wie der Trojaner ins Netz gekommen ist. Idealerweise sind die genutzten Schwachstellen, der Exploit und alle Payloads gefunden und können im Storage gesucht werden. Die Leute hinter den Trojanern machen das im Gegensatz zu euch aber nicht zum ersten Mal. Deswegen holt euch Leute an Bord, die sich mit hoher See auskennen.
Eure jetzige Mission ist, eine Interims-Umgebung zu schaffen, mit der eure Firma über die nächsten Tage kommt.
Mein Ansatz ist den ältesten Stand des Domänencontrollers mit den FSMO-Rollen aus der Urne zu holen, den man zum Laufen bekommt und in dem die neuen Systeme und Anwender nachzupflegen.
Dafür braucht man allerdings ein Backup, das nicht Opfer des Trojaners wurde. (Und Nein! Tape-Roboter sind eben mittlerweile eher beliebtes Ziel, als Allheilmittel.)
Anschließend installiert man einen DC, überträgt dem die FSMO-Rollen und wirft den alten Weg. Jetzt noch einmal die Sicherheitsrichtlinien und GPOs prüfen. Dann hat man die alte Domäne und kann ggf. schon mal an die Wiederherstellung der Systeme für den nächsten Tag gehen.