Ich möchte hier mal exemplarisch aufzeigen, wie ich versuche, unser Netzwerk zu schützen.

Bemerkung am Rande: Nach dem Ruag Hack hat Melanie einen Bericht mit Best Practices veröffentlicht. Die lassen sich leider aber nicht alle in einem Schulnetzwerk umsetzen, da ansonsten Lehrpersonen und Schüler/-innen viel zu stark eingeschränkt sind (z.B. AppLocker). Wir „leben“ also damit, nicht die besten Schutzmassnahmen umzusetzen, damit wir arbeiten können (es ist was anderes in einer Firma mit wenigen Applikationen und wenig „Freiheit“ für den Benutzer). Daher bleibt in so einem Fall nur auf den gesunden Menschenverstand der Benutzer zu setzen und wenigstens alle möglichen anderen Sicherheitsmassnahmen umzusetzen, die aber die Benutzer nicht zu stark einschränken.

Heute Nachmittag haben mir mehrere Benutzer gemeldet, dass sie ein “komisches” Mail erhalten haben. Daran sind zwei Dinge gut, zum einen haben sie den Anhang nicht einfach geöffnet und zum anderen haben sie mich informiert.

Damit der Benutzer die Datei auch wirklich öffnet, wird er mit persönlichem Namen angeschrieben und der Dateiname beinhaltet den Namen des Angeschriebenen und eine Zahlenkombination. Damit soll wohl erreicht werden, dass man die Datei nicht so einfach filtern kann.

Da das Mail in abgeänderter Form an verschiedene Personen geschickt wurde, ging ich von grosser Gefahr aus (wir hatten schon einmal einen solchen “Angriff”) und habe vorsorglich alle Lehrkräfte informiert, bevor ich das Dokument weiter untersucht habe.

Danach ging es an eine genauere Untersuchung. Nachdem ich mir das Mail von einer betroffenen Person weiterleiten liess, konnte ich das Worddokument auf www.virustotal.com hochladen und untersuchen lassen.

Erkennungsrate 1 / 53. Der erste Eindruck deutet also darauf hin, dass es sich um Malware handelt, die aber (noch) nicht gut erkannt wird.

Immerhin kann man dem Ergebnis nachgehen. Gemäss TrendMicro handelt es sich um einen Trojaner der aktiv im Netz ist.

Nun wollte ich noch untersuchen, was bei einem Befall passiert. WICHTIG: Dazu unter keinen Umständen einen normalen Computer im Netzwerk verwenden. Ich habe einen mit Hyper-V virtualisierten Computer verwendet, dem ich die Netzwerkverbindung entzogen habe. Damit kann sich die Malware auch nicht über das Netzwerk verbreiten. Nach der Untersuchung wird die virtuelle Maschine ganz neu aufgesetzt.

Wenn man das Dokument öffnen will, kommt eine Sicherheitswarnung, inkl. einer Anleitung, was zu tun sei, damit man die Malware doch noch installiert bekommt. Hier sollten also bei allen Benutzern die Alarmglocken läuten. Sollten… .

Die Makros kann man sich anzeigen lassen, diese scheinen aber verschlüsselt zu sein.

Nun ja, spielt ja eigentlich gar keine Rolle, was sie machen. Häufig laden sie weitere Malware vom Internet nach, was ich bei dem System ja eh nicht überprüfen kann, da ja die Netzwerkverbindung gekappt ist. Die Makros dürfen einfach auf keinen Fall ausgeführt werden. Neben den Lehrkräften gibt es ja noch die Schüler/-innen. Wer weiss, ob da nicht einzelne das Dokument nach einer Information sogar extra öffnen würden. Also muss das blockiert werden.

Man kann die Ausführung von Makros per Gruppenrichtlinie deaktivieren. Wir setzen noch Office 2013 ein. Der Eintrag findet sich unter Benutzerkonfiguration –> Richtlinien –> Administrative Vorlagen –> Microsoft Word 2013 –> Word-Optionen –> Sicherheit –> Trust Center –> Einstellungen für VBA-Makrobenachrichtigungen. Hier wählt man “Alle Makros ohne Benachrichtigung deaktivieren”.

Nachtrag
Neu setzen wir Office 2016 ein. Das Vorgehen bleibt gleich.

Danach hat der Benutzer gar keine Möglichkeit mehr “Inhalt aktivieren” auszuwählen.

Nachtrag, 28.09.2016
Neu bekommen wir Mails mit ActiveX Elementen statt Makros. Diese Ausführung kann man nicht nur für Word deaktivieren, sondern nur für das ganze Office. Der entsprechende Eintrag findet sich unter Benutzerkonfiguration –> Richtlinien –> Administrative Vorlagen –> Microsoft Office 2016 -> Sicherheitseinstellungen -> Alle ActiveX Steuerelemente deaktivieren.