Sie sind hier: Home » Dienste » Incident Response und Vulnerability Response » Incident Response in der Praxis

Incident Response in der Praxis – Was macht man als Betroffener?

Das RUS-CERT ist bei der Bearbeitung von Vorfällen im Rahmen der Incident Response und Vulnerability Response auf die Mitarbeit der Administratoren der diversen Rechnersysteme innerhalb der Netze der Universität Stuttgart angeweisen.
Die Kommunikation erfolgt über die von den verschiedenen Einrichtungen dem RUS-CERT gemeldeten Ansprechpartner. Sie erhalten eine Mitteilung, sofern Systeme in ihrem Zuständigkeitsbereich in einen Vorfall verwickelt sind. Sie bearbeiten dann den Vorfall entweder selbst weiter oder stellen den Kontakt des zuständigen Administrators mit dem RUS-CERT her.

Inhalt

Sie haben eine Mitteilung des RUS-CERT erhalten

Das RUS-CERT hat Sie benachrichtigt oder der für Sie zuständige Ansprechpartner hat Ihnen die Nachricht des RUS-CERT weitergeleitet. In der Nachricht wird Ihnen mitgeteilt, dass ein System, bzw. eine IP-Adresse oder ein Teil der IT-Infrastruktur, für die Sie zuständig sind, auffällig wurde.

Bitte lesen sie in allen Fällen die durch das RUS-CERT an Sie versandte Nachricht sowie darin verlinkte weiterführenden Dokumente sorgfältig durch und führen Sie alle angegebenen Schritte durch. Sofern um die Übersendung weiterer Daten oder Information gebeten wird, kommen Sie dieser Bitte so rasch wie möglich nach, um die Bearbeitung des Vorfalles zu beschleunigen.

Mögliche Art des Vorfalls

Die Nachrichten, die das RUS-CERT verschickt, beziehen sich meistens auf einen Vorfall der in eine der im Folgenden beschriebenen Kategorien fällt. Natürlich gibt es auch andere, ggf. sogar bislang noch nie vorgekommene Arten von Vorfällen. die große Masse ist jedoch von der einen oder anderen dieser Arten:

Virusinfektion

Das System sind mit einem Virus Wurm oder trojanischen Pferd infiziert und versucht nun, weitere Systeme innerhalb und außerhalb der Netze der Universität Stuttgart zu infizieren. In der Nachricht ist i.a. näher erläuternde Information enthalten, die die für Sie nächsten Schritte erläutert.

Es ist erforderlich, das betreffende System so schnell wie möglich von dem Virus oder Wurm zu befreien, da es durch seine Aktivität eine konkrete Bedrohung für die Netze der Universität Stuttgart und weitere Systeme außerhalb darstellt.

Lesen Sie die Nachricht des RUS-CERT genau und führen Sie alle beschriebenen Schritte — auch solche, die auf weiteren Seiten unter angegebenen URLs beschrieben sind — durch, um betroffene Systeme sicher zu desinfizieren. Würmer und Viren verbreiten sich heute meist nicht nur über E-Mail sondern auch über die Ausnutzung von Schwachstellen, wie z.B. die DCOM/RPC-Schwachstelle. Daher ist für eine dauerhafte Desinfizierung des betroffenen Systems auch die Beseitigung der entsprechenden Schwachstellen erforderlich, da sonst mit einer raschen Reinfektion zu rechnen ist.

Im allgemeinen verhindert ein aktueller Virenscanner zuverlässig eine Infektion. Ermahnen Sie trotzdem Ihre Benutzer, keine Nachrichten oder Attachments zu öffnen, die von zweifelhafter Herkunft sind.

Botinfektion

Das System sind mit einem Bot infiziert und versucht nun, weitere Systeme innerhalb und außerhalb der Netze der Universität Stuttgart zu infizieren.
Bot-infizierten Systeme klinken sich in einen Kommunikationskanal (z.B. IRC) und warten, über diesen Kanal Befehle zu empfangen. So entstehen sogenannte Bot-Netze infizierter Systeme, die gleichzeitig über den Kommunikationskanal zu verschiedenen Aktionen veranlasst werden können. Solche Aktionen können z.B. koordinierte DDoS-Angriffe auf einzelne Web- oder andere Server sein oder das massenhafte Versenden von E-Mail (SPAM) sein. Die Systeme können jederzeit dazu veranlasst werden, neue Schadsoftware von einem beliebigen Server herunterzuladen und auszuführen. Daher sind die Verwendungsmöglichkeiten für Bot-Netze schier unbegrenzt.

Es ist erforderlich, das betreffende System sofort von dem dem Bot zu befreien, da es eine große Bedrohung für die Netze der Universität Stuttgart und weitere Systeme außerhalb darstellt.
In der Nachricht ist i.a. näher erläuternde Information enthalten, die die für Sie nächsten Schritte erläutert.

Lesen Sie die Nachricht des RUS-CERT genau und führen Sie alle beschriebenen Schritte — auch solche, die auf weiteren Seiten unter angegebenen URLs beschrieben sind — durch, um betroffene Systeme sicher zu desinfizieren. Bots verbreiten sich i.a. nicht nur über E-Mail sondern auch über die Ausnutzung von Schwachstellen, wie z.B. die DCOM/RPC-Schwachstelle. Daher ist für eine dauerhafte Desinfizierung des betroffenen Systems auch die Beseitigung der entsprechenden Schwachstellen erforderlich, da sonst mit einer raschen Reinfektion zu rechnen ist.

Erkannte Verwundbarkeit

Im Rahmen eines routinemäßigen Scans der Netze der Universität Stuttgart durch das RUS-CERT wurde ein System in Ihrem Zuständigleitsbereich als gegen eine kritische Schwachstelle verwundbar erkannt.

Solche Scans werden im Rahmen der Vulnerability Response durchgeführt insbesondere dann durchgeführt, wenn kritische Schwachstellen in Betriebssystemen oder Software, die an der Universität Stuttgart in relevantem Maßstab im Einsatz sind, bekannt werden. In einem solchen Falle veröffentlicht das RUS-CERT eine Meldung, die die Schwachstelle und Maßnahmen zu deren Behebung beschreibt. Diese dient als Handlungsleitfaden für betroffene Administratoren.

In Fällen, in denen besonders kritische Schwachstellen bekannt werden, kann das RUS-CERT zur Entlastung der betroffenen Administratoren Notfallmaßnahmen ergreifen, wie etwa die Aufhebung von Freischaltungen am Perimeterfilter der universitären Netze.

In der Nachricht, die an betroffene Ansprechpartner versandt wird ist vermerkt, ob Notfallmaßnahmen ergriffen wurden und ob eine Rückmeldung an das RUS-CERT erforderlich ist.

Auffälliges Netzverhalten

Ein System, für das Sie dem RUS-CERT als Ansprechpartner gemeldet sind, ist durch Netzverkehr aufgefallen, der auf eine Kompromittierung, eine Wurm – oder Bot -Infektion oder auf Missbrauch des Systems u.a. im Sinne eines Verstoßes gegen die Verwaltungs und Benutzungsordnung der Universität Stuttgart hindeutet.

System verschickt Spam

Die Verkehrsüberwachung des RUS-CERT erkennt Systeme, die massenhaft E-Mail-Nachrichten an viele verschiedene Empfänger verschicken. Meist deutet dies darauf hin, dass das System Spam verschickt. Dies kann mehrere Ursachen haben:

  • Das System verschickt gewollt Spam
    Dies kann nur dann erfolgen, wenn es durch den Systemadminstrator so betrieben wird. Dieses Verhalten verstösst gegen die Verwaltungs und Benutzungsordnung der Universität Stuttgart und kann zum Widerruf der Nutzungsberechtigung der IT-Infrastruktur der Universität Stuttgart führen.
  • Das System ist durch einen Angreifer kompromittiert
    Dies kann z.B. durch die Ausnutzung einer nicht behobenen Schwachstelle über eine Netzwerkverbindung geschehen sein und wird nun zum Versenden von Spam missbraucht.
  • Das System ist von einem Virus infiziert,
    der sich mittels des massenhaften verschickens von E-Mail weiterzuverbreiten.
  • Das System ist von einem Bot infiziert,
    und wird nun zum Verschicken von Spam missbraucht. Das Missbrauchen botinfizierter Systeme zur Verbreitung von Spam ist mittlerweile eine gängige Praxis, Schätzungen gehen davon aus, dass mittlerweile ein Drittel bis die Hälfte des weltweiten Spamaufkommens von Botnetzen ausgeht.

Im allgemeinen kann das RUS-CERT aufgrund der aufgefangenen Verkehrssignaturen feststellen, um welchen dieser Fälle es sich bei einem Spam verschickenden System handelt und fügt entsprechende Information (s.o.) in die Mitteilung an den zuständigen Ansprechpartner ein.

In manchen Fällen ist dies jedoch nicht möglich. Dann ist die Mithilfe des Ansprechpartners gefragt, der das System untersuchen muss um weitergehende Information zu erhalten und entsprechende Gegenmaßnahmen zu ergreifen.

Hinweise und Beschwerden von außen

Neben der Auswertung der Daten die die Verkehrsüberwachung bereitstellt, erhält das RUS-CERT auch Hinweise von außerhalb der Netze der Universität Stuttgart auf verdächtiges Verhalten von Systemen die IP-Adressen der Universität Stuttgart besitzen. Dies kann vom Beschwerden über echten oder vermeintlichen SPAM über Scans bis zum Auftauchen der IP-Adresse in Sicherheitsvorfällen an externer Stelle reichen.

In allen diesen Fällen untersucht das RUS-CERT zunächst die von externer Stelle übermittelten Daten, fordert ggf. weitere Daten an und gleicht sie mit den Daten ab, die im Rahmen der Verkehrsüberwachung angefallen sind. Sofern Korrellationen auftreten, werden weitere Recherchen angestellt, um die Art der Beteiligung des Systems der Universität Stuttgart festzustellen. In jedem Fall wird der zuständige Ansprechpartners informiert und um Mithilfe bei der Aufklärung des Vorfalls gebeten sofern eine Beteiligung des betreffenden Systems der Universität Stuttgart nicht ausgeschlossen werden kann.