Malware geanalyseerd: wat is de volgende stap? - Privacy en beveiliging

donderdag 5 mei 2016 14:40

Acties:

anargeek

Topicstarter

f

[ Voor 103% gewijzigd door anargeek op 04-03-2020 15:51 ]

donderdag 5 mei 2016 14:58

Acties:

Verwijderd

Welk systeem gebruiken jullie voor jullie e-mail hosting? Wanneer je Directadmin gebruikt, dan is Spamassassin aan te raden. Maar beter overleg je dit even met jullie systeembeheerder:)

donderdag 5 mei 2016 15:03

Acties:

anargeek

Topicstarter

We gebruiken Spamassassin, maar daar gaat dit niet over. Ik vraag me af wat ik moet doen met de kennis dat een bepaalde host virussen aanbiedt. De spam komt niet van deze hosts vandaan, maar als iemand de spam opent wordt daar wel de malware vandaan gedownload. Als de host niet meer bestaat, kan er ook niet gedownload worden.

[ Voor 29% gewijzigd door anargeek op 05-05-2016 15:07 ]

donderdag 5 mei 2016 15:12

Acties:

Verwijderd

Het zou handig zijn dat partijen als de Internet Exchange hier iets aan doet.Zij kunnen dat toch wel tegenhouden denk ik. Of een service aanbieden aan providers om dit te filteren?

donderdag 5 mei 2016 15:17

Acties:

JfbK

Ik denk dat je hebt gedaan wat mogelijk was en dat is contact opnemen met een Nederlandse hoster. De dropzones kunnen overal geplaatst worden, zoals bijvoorbeeld bij een gecompromiteerde Wordpress website. Wellicht kun je de dropper ook downloaden en uploaden naar virustotal.com. Als er sprake is van een phishingmail kun je deze doorsturen naar de fraudehelpdesk.

donderdag 5 mei 2016 15:44

Acties:

anargeek

Topicstarter

Bedankt JfbK, dan zal ik doorgaan met wat ik deed. Ik upload inderdaad ook naar VirusTotal, maar het analyseren van die bestanden is voor mij vooralsnog te hoog gegrepen.
In het meest recente geval zie ik dat de host al onbereikbaar is, dus dat is een goed teken.

donderdag 5 mei 2016 23:46

Acties:

photofreak

anargeek schreef op donderdag 05 mei 2016 @ 15:44:
Ik upload inderdaad ook naar VirusTotal, maar het analyseren van die bestanden is voor mij vooralsnog te hoog gegrepen.

Voor de meest voorkomende malware families zijn IDS regels beschikbaar. Wanneer je een pcap kan maken van het c&c verkeer dan kan je de pcap uploaden naar VirusTotal en dan wordt deze gelijk langs Snort en Surricata gehaald. In dit geval kan je dan mogelijk op basis van het netwerkverkeer snel afleiden wat voor malware sample je hebt.

zaterdag 7 mei 2016 05:12

Acties:

EricJH

Stel Notepad in als default application voor Javascript bestanden. Als iemand erop klikt dan wordt het gewoon in Notepad geopend.

zaterdag 7 mei 2016 12:02

Acties:

DAzN

Ik denk niet dat je bang hoeft te zijn dat je jezelf in hun vizier werkt. Het lijkt mij dat (dedicated) hosting providers er meer bij gebaat zijn hostingdiensten te leveren dan malware te hosten.

Mijn advies is om te kijken of de hostingprovider een soort van abuse-desk heeft. Stuur jouw verhaal daarheen en hoop dat ze actie ondernemen. Er is geen (centraal) orgaan dat dit beheert danwel actie onderneemt.

maandag 9 mei 2016 16:31

Acties:

anargeek

Topicstarter

EricJH schreef op zaterdag 07 mei 2016 @ 05:12:
Stel Notepad in als default application voor Javascript bestanden. Als iemand erop klikt dan wordt het gewoon in Notepad geopend.

Klopt. Als ik 1 les kan trekken uit alles wat ik bekeken heb, is dat Windows Script Host als default application voor .js bestanden een onwijs slecht idee is. Maar helaas is dit standaard het geval op alle Windows installaties