NACH OBEN

IT-Sicherheitsvorfall/IT-Notfall | A-Z | Kontakt/Beratung

Sofort-Maßnahmen bei Verdacht auf Infektion mit Schadsoftware (Malware)

Die aufgeführten Maßnahmen sollten durch IT-Fachpersonal erfolgen. Durchgeführte Maßnahmen und Ergebnisse der Vorfallsanalyse sind zu dokumentieren und dem ISB-/RUB-Cert-Team mitzuteilen.

Isolation des betroffenen Systems

 Ein infiziertes System darf nicht im Netzwerk der RUB betrieben werden!

  • Das verdächtige System ist umgehend vom RUB-Netz (LAN/Wifi/Eduroam/Mobilfunknetz) zu trennen.
  • Das verdächtige System muss sofort abgeschaltet werden, wenn der Verdacht auf Verschlüsselung besteht ('Ransomware'-Angriff).

Informationen zum Weiterbetrieb bzw. der Wiederaufnahme sind unter den Punkten Datenrettung, Beseitigung, Forensik zu finden.

Detektion
  1.  Das verdächtige System ist in einer isolierten Umgebung und in einem abgesicherten Modus zu starten - möglichst via (schreibgeschützter) boot-disk.
  2.   Grundsätzlich ist das verdächtige System zunächst auf offensichtliche Belege für eine Kompromittierung (s.g. Indicator of Compromise : IoC) zu kontrollieren. Dazu zählen u.a.:
    • unberechtigt installierte neue Accounts
    • installierte dienst-fremde Software (z.B. Toolkits)
    • unberechtigt veränderte oder gelöschte System- und Nutzer-Daten
    • unberechtigte Verschlüsselung von Informationen und Geräten
  3.   Danach ist eine Untersuchung des verdächtigen Systems mit zwei unterschiedlichen, professionellen Malware-Analyse-Tools durchzuführen:
    • Alle mit dem System verwendeten lokalen Datenträger (Festplatten, Partitionen, USB-Geräte, etc.) sind auf IoCs zu durchsuchen.
  4. Führen Sie gemeinsam mit dem Nutzer eine Analyse auf allen, mit dem verdächtigen System genutzten Netzwerkspeichern (Fileshares, Cloud-Speicher) durch.
  5. Falls das System mit der zentralen RUB EDR-Software ausgestattet ist, sind relevante Log-Meldungen des Systems zu sichern und zu dokumentieren.
    • Ansprechpartner ist die lokale IT-Adminstration oder das IT.SERVICES IT-Security-Team (Mail-Kontakt).
Dokumentation

Der gesamte Prozess der Vorfallsanalyse und -behandlung ist zu dokumentieren (siehe Dokumentation).

Reaktion (notwendige Meldungen)
  • Wurde ein IoC gefunden ist dies als Finding zu dokumentieren. Damit bestätigt sich der Verdacht auf Kompromittierung und es folgt die Hochstufung zum Sicherheitsvorfall.
  • Findings müssen durch den IT-Support unverzüglich an das ISB-/RUB-Cert-Team gemeldet werden. Diese Meldung ist unabhängig von der Dokumentation der Vorfallsanalyse und dient ggf. zur schnellen Eskalation der Vorfallsbehandlung.
  • Abhängig von der Art des Finding sollte das IT-Team vor Ort ggf. sofort notwendige Maßnahmen zur Eindämmung im Netzwerk einleiten.
  • Nutzende sollten auf ihre Pflichten aufmerksam gemacht werden - verweisen Sie auf die Zusammenfassung zu Nutzerinformationen im Verdachtsfall
    • unverzügliche Durchführung von Passwortwechseln
    • Pflicht zur Auskunftserteilung zu Datenschutz-Aspekten
      Diese Meldung ist obligatorisch und unabhängig von der Meldung von Findings durch den IT-Support vom Nutzer durchzuführen.
    • Information von vorgesetzten Personen über den Sicherheitsvorfall
  • Mitarbeitende des Bereichs sind - in der Regel in Abstimmung mit vorgesetzten Personen - zu informieren und über ähnliche Verdachtsfälle zu befragen. Ist die Ursache der Infektion bekannt, sind alle Mitarbeitenden des Bereichs entsprechend zu warnen und zu instruieren.
Beseitigung

Sind Findings vorhanden, ist denoch nicht sichergestellt, dass alle unberechtigten Modifikationen identifiziert und automatisch bereinigt werden können.

  • Erklären Sie gegenüber dem Nutzer, dass das System nicht weiter betrieben werden darf. Klären Sie den Benutzer über die Verbreitungswege von Schadsoftware auf.
  • Prüfen Sie die Möglichkeit einer Datenrettung. Bieten Sie dem Nutzer eine Datenrettung an. Jede weitere Verwendung des infizierten Systems durch den Nutzer selbst ist unzulässig.
  • Klären Sie den Nutzer auf, dass das System / Betriebssystem neu installiert werden muss (siehe Hinweise zur Beseitigung).
  • Unterstützen Sie den Nutzer beim Passwortwechsel -> Hinweise zum Passwortwechsel
  • Unterstüzen Sie den Nutzer ggf. beim Zurückziehen (Revoke) von S/MIME-Zertifikaten, privaten PGP- und SSH-Schlüsseln.
Datenrettung

Eine Datenrettung ist von IT-Fachpersonal durchzuführen.

  •  Das infizierte System ist in einer isolierten Umgebung und in einem abgesicherten Modus zu starten - möglichst via (schreibgeschützter) 'boot-disk'.
  •  Die zu rettenden Daten sind auf neue oder überprüfte, schadcodefreie Wechseldatenträger zu kopieren.
  •  Anschließend sind die Wechseldatenträger erneut auf Schadcode zu überprüfen (siehe Isolation und Detektion)
  •  Erst wenn sichergestellt ist, dass die Wechseldatenträger frei von Schadcode sind, dürfen sie mit Systemen im RUB-Netz verbunden werden.
Abschluss

Nach Abschluss aller Maßnahmen, ist die Dokumentation vollständig an das ISB-/RUB-Cert-Team (Mail-Kontakt) zu übergeben.

Dokumentation

Der gesamte Prozess der Vorfallsanalyse und -behandlung ist - für jedes Asset - zu dokumentieren.

 Durch den IT-Support zu dokumentieren:

  •  Datum und Uhrzeit Beginn des Verdachts
  •  Betroffenes System (Inventar-Nr., IP-Adresse, Bezeichnung/Name)
  •  Betroffene Nutzer-Accounts (Vor-/Nachname, RUBloginID)
  •  Beschreibung des Vorfalls
  •  das Vorgehen bei der Vorfallsanalyse
    • verwendete Analyse-Tools
    • Ergebnisse und Findings
    • Scanergebnisse, Protokolldaten als Anhang
  • getroffene Maßnahmen zur Eindämmung und Bereinigung
  • Kommunikation mit Beteiligten
    • Meldungen an die Stabsstelle für Informationssicherheit und an vorgesetzte Personen
  •  Bearbeiter/-in
  • Datum und Uhrzeit des Abschlusses

Eindämmung im Netzwerk

  • Alle im lokalen Subnetz befindlichen Rechner sowie alle im Bereich verwendeten Wechseldatenträger (USB-Sticks, etc.) müssen unverzüglich wie Systeme mit Verdacht auf Infektion mit Schadcode behandelt werden (siehe Isolation und Detektion).
  • Abhängig von Art und Schwere des Vorfalls leiten die Stabsstelle für Informationssicherheit und das RUB-Cert weitere Maßnahmen ein.

Hinweise zur Beseitigung

Die Maßnahmen zur Beseitigung sind von IT-Fachpersonal durchzuführen. Sie sollten im Verhältnis zur Art des Findings gewählt werden.

Lässt das Finding auf einen APT-Akteur schließen, sollten Mainboard und interne Disks des Systems einer forensischen Untersuchung zugeführt werden (siehe Forensik). Soll auf eine Forensik verzichtet werden, sind Mainboard sowie Disks zu entsorgen und durch neue Bauteile zu ersetzen.

Sind keine verdichteten Hinweise auf einen APT-Akteur vorhanden, sollten die Firmware des Mainboards erneuert und die internen Disks des Systems vollständig gelöscht werden. Dazu können low-level Format Programme oder das vollständige Überschreiben, incl. eventuell vorhandener host protected areas, mit Zufallszahlen verwendet werden.

Forensik

Ob eine forensische Untersuchung an einem infizierten System der RUB durchgeführt werden muss oder soll wird von der Stabsstelle für Informationssichertheit und dem RUB-Cert bestimmt. Die Entscheidung darüber ist abhängig von der Erstmeldung von Findings durch den IT-Support bzw. von der Art und Schwere des Vorfalls.

Für eine forensische Untersuchung werden externe Dienstleister hinzugezogen. Für diesen Fall sollte das infizierte System nicht ausgeschaltet werden. Zumindest aber dürfen Firmware und Disks nicht gelöscht, überschrieben oder gar entsorgt werden.

Allerdings wird unter normalen Umständen an einzelnen, infizierten Arbeitsplatzsystemen keine Forensik durchgeführt.

In jedem Fall ist das infizierte System vom Netzwerk der RUB zu trennen und nicht mehr zu benutzen!