Malware Removal Netwerk Inrichting - Privacy en beveiliging

donderdag 26 december 2013 08:35

Acties:

Attack | Exploit | Pwn

Topicstarter

Ik ben een kennis aan het helpen om een bedrijf te starten wat gericht is op consumenten pc's (support e.d.). Een onderdeel hiervan is het verwijderen van malware. Enige tips hoe dit veilig in te richten zijn welkom.

Lokaal op de pc:
Geen probleem, gebruik diverse bootcd's en tools, eventeel RO USB thumdrives om makkelijk software te upgraden ipv elke keer cd's te branden.

Netwerk:

Hier is mijn idee:
- Schaf een switch aan met port-mirroring/SPAN/TAP functionaliteit. Bijvoorbeeld Mikrotik RB260GS
- Installeer een IDS/IPS bijvoorbeeld Security Onion of OSSIM (wellicht overkill)
- IDS inspecteert verkeer van deze dedicated switch en identificeert verkeer wat matched met signatures van bekende malware / shellcode / C&C IP's / Domeinen
- Client pc's / switch: geen internet connectiviteit zodat eventuele malware niet kan verspreiden / aanvallen / whatever. Of is het voldoende om bij een match de verbinding te droppen? Nadeel hiervan is dat onbekende malware dan succesvol kan communiceren en mijn internet verbinding geblacklist kan worden
- Dedicated ethernet controller op IDS machine om te kunnen updaten vanaf internet.

Een probleem wat volgens mij overblijf is cross-contamination. Cisco kent PVLAN's, zou dit een oplossing zijn?

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 26 december 2013 11:42

Acties:

soulrider

is het de bedoeling dat ie zelf ook malware (zelfs onbekende) gaat detecteren?
en eventueel zelfs gaat onderzoeken op gedrag?

Wat met malware waarvan er nog geen signatures bekend zijn?
(hey stuxnet en co ging ook al maanden rond voordat ze die gevonden hadden...)

Want persoonlijk vind ik zo'n ids/ips een beetje overdreven indien ie bij wijze van een simpele pc-boer gaat worden die gebeld worden indien er 'problemen met de pc zijn'.
Na een paar keer verval je automatisch in het "format C, zet propere image terug, update en hier is de rekening".+ ev. die verkoopsBS van "ja dat anti-virus is niet goed, je moet product X met prijs Y kopen: veel beter"

Eventueel aangevuld met een " we maken even een backupje van je eigen data" of " we formateren niet, maar kammen er eens door met een anti-virus,...."

Kan er dan misschien niet beter gericht worden op het 'onderwijzen' van de gebruiker?
want anders staan ze 5 dagen later terug met opnieuw X-tal pop-ups,....
of geven ze slechte reclame "want dieje pc is nog maar just terug van de winkel en zie al terug rommel aan de hand"

een wederkerende klant is natuurlijk leuk voor de zaak, maar klanten die 't nooit leren en telkens maar shit op de pc binnenhalen ben je uiteindelijk liever kwijt dan rijk.
En een tevreden klant maakt gratis reclame ;-)
(en geeft zijn wijsheid misschien door naar anderen wat weer goed is voor ons allemaal: minder spam enzo)

ps: C't had een paar jaar geleden een offline update tool uitgebracht waardoor je alle beschikbare updates voor een bepaalde windows versie bv op een dvd kon branden om zo een andere pc te updaten voordat ie ook maar aan het netwerk werd gehangen om zo dus te mogelijke infecties in de tijd tussen 'fresh-install' en '100% up-to-date' tegen te gaan. Wellicht is die nog vindbaar en ondertussen uitgebreid voor win8.*
Zulke updates op een goede usb-key en hup, up and running again in no time?

donderdag 26 december 2013 12:52

Acties:

sh4d0wman

Attack | Exploit | Pwn

Topicstarter

Bedankt voor de input!

Ik zie het meer als aanvulling op de anti-virus scan voor gebruikers die geen format willen hebben. Stel dat je virusscanner een trojan niet vind omdat deze custom crypted is dan heb je kans dat de IDS het netwerkverkeer wel kan herkennen.

Dan zou je als dienst 2 opties hebben:
- Optie1: herinstallatie met data backup (indien geen backup aanwezig, scannen voor virussen)
- Optie2: cleaning met anti-virus/anti-malware/ids scan, zonder garantie dat de pc compleet virus vrij is

Wat betreft slechte reclame heb je wel een punt en is het dus het beste op zoveel mogelijk op optie1 in te zetten.

Het onderwijzen zou ik ook zeker meenemen. Wellicht een kort praatje met een flyer welke duidelijke infographics heeft met betrekking tot malware infectie.

Ik zal eens zoeken naar het tooltje wat je beschreef.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 27 december 2013 00:08

Acties:

Ra_gdd

-= Nigga on tha Trigga =-

Hier link naar die C't offline update tool
http://download.wsusoffline.net/

http://www.tweakers.net/gallery/92748/sys / http://www.tweakers.net/gallery/sys/11563" / http://www.tweakers.net/gallery/sys/11561

vrijdag 3 januari 2014 22:37

Acties:

CAPSLOCK2000

zie teletekst pagina 888

Zorg dat dit netwerkje geen enkele verbinding met de buitenwereld heeft, ook je IDS niet. De kans dat het vroeg of laat toch fout gaat is nogal groot.

Koop 2 systemen voor je IDS. Het ene sluit je gewoon aan op internet en voorzie je van updates enzo. Het andere systeem maak je deel van je geisoleerde netwerk. Eens in de maand maak je een kopie van de HD van het systeem dat je beheert naar de HD van het systeem in het geisoleerde netwerk. Zo kun je dit toch van updates voorzien zonder het ooit met internet te verbinden.

This post is warranted for the full amount you paid me for it.

maandag 6 januari 2014 20:41

Acties:

LuckY

Hoe ga jij verkeer herkennen op je IDS als je geen connectie met internet hebt? een SYN of UDP naar een IP gaat veel rules niet triggeren omdat die op content kijken.