Testviren gesucht (kein eicar)

Moin, Moin,

wir setzen im Unternehmen folgende Virenscanner ein:

  • mehrere ESXi 5.1 die durch TrendMicro Deep-Security agentless abgesichert sind. 2,-3 Hardwareserver welche ebenfalls durch den Deep-Security aber mit Agent abgesichert werden.
  • Clients werden durch TrendMicro Officescan abgesichert wobei der zusätzliche IDF-Filter nicht nutzbar ist weil dieser kaum auszurollen geht (viele Clients sind nicht in der Domäne und über den schon installierten OfficeScan-Client kann der IDF-Filter nicht sauber verteilt werden)
  • Clients welche KEINEN Kontakt ins Unternehmensnetzwerk haben, sind durch TrendMicoro Worry Free Security Services abgesichert.
  • Der Exchange ist durch ScanMail for Microsoft Exchange abgesichert.

Leider kam es zum wiederholtem mal zu einem Virenbefall (Verschlüsselungsvirus). Nun suchen wir nach einer neuen Strategie bzw. einer Alternative.

Ein Ansatz ist folgender:

Sämtlicher Datenverkehr wird von der Firewall auf Viren durchsucht und blockiert diese in einem ersten Schritt. Als Virenpattern kommt Kaspersky zum Einsatz. Der Client wird dann mit Windows- Bordmitteln (also mit dem Defender) geschützt. Dieser hatte zumindest bei uns mehr Viren gefunden als TrendMicro.

Um die Firewall testen zu können, benötige ich aber verschiedene Viren die ich über eine Website mit anklickbaren Links zur Verfügung stellen möchte. (Alles in einer Testumgebung)

Mit dem eicar-Testvirus funktionierte das ganz gut,- jedoch wollte ich das ganze noch mit richtigen Viren testen bevor ich den Dienstleister am Montag hier habe. Dummerweise kann man die nicht mal eben bei Google runter laden.

Daher meine Frage in die Runde: Wo bekomme ich verschiedene GÄNGIGE Viren her? Absolut exotische Viren nützen mir nichts da ich erst mal die Grundfunktionalität testen möchte.

Da die Firewall auch Schädliche Scripte in Websites erkennen soll ebenfalls die Frage ob jemand Websites kennt die solchen schadhaften Code enthält.

Wie gesagt,- es geht für mich erst einmal darum zu testen ob die Firewall als solches in der Grundfunktionalität korrekt arbeitet. In der Testumgebung arbeite ich mit XP-Rechnern die keinerlei Virenschutz haben und nur einen veralteten Browser besitzen um sicher zu stellen, dass der Brower nicht schon verschiedene Dinge blockt.


Danke und Gruß aus Hamburg
 
Wenn Du Dich ein wenig mit Linux auskennst oder Dich einarbeiten willst, dann kannst Du Deine Firewall mit https://www.kali.org/ testen.

Man muss sich in die jeweilig verfügbaren Tools halt einarbeiten. Aber es bringt Dir schon so einiges, auch an Wissen und wenn Du immer mal wieder verschiedene Szenarien testen möchtest.

Vllt. hilft auch das hier Dir weiter: https://www.raymond.cc/blog/test-the-effectiveness-of-your-antivirus-firewall-and-hips-software/
 
Dein aktuelles Vorhaben führt doch zu nichts .. Es bringt dich vermutlich auch nicht wirklich weiter, weil du es nicht so pauschalisieren kannst wie du es formulierst ..

Du benötigst verschiedene Viren um deine Firewall zu testen?
Sämtlicher Datenverkehr wird von der Firewall auf Viren überprüft?
Die Firewall soll auch schädliche Scripts in Websites erkennen?
.. und all das um zu testen ob deine Firewall in der Grundfunktionalität korrekt arbeitet .. ?!

Mir ist völlig klar was du alles meinst, aber sorry, muss das einfach fragen: weißt du auch wirklich wovon du sprichst?
Wie sind deine IT-Kenntnisse? Insbesondere im Bereich der Unternehmenssicherheit ..

Vielleicht können wir erstmal gemeinsam eine angemessene Grundlage schaffen, dein Problem richtig anzugehen. Denn wenn ich das richtig verstanden habe, ist das ein Ansatz, den du uns mitteilst, weil er verbessert werden darf ..

Ich würde jetzt aber erstmal tendenziell davon absehen dir willkürlich Zugang zu schädlichen Websites/Viren zu geben, weil ich einfach auf Grund deiner "Problembeschreibung" mutmaße, dass du nicht 100%ig weißt wovon du da redest .. Ich kann mich natürlich täuschen, ist auch wirklich nicht böse gemeint aber kläre mich auf ..

Übrigens stimme ich chr0n0s zu. Nimm Kali fürs PenTesting .. Vorausgesetzt du kannst und willst dich mit Linux auseinandersetzen ..
 
Sämtlicher Datenverkehr wird von der Firewall auf Viren durchsucht und blockiert diese in einem ersten Schritt.
Das hört sich gut an, funktioniert aber in der Praxis wegen Paket-Fragmentierung (z.B. aufgrund TCP Flow Control), Verschlüsselung und unbekannten oder nicht unterstützten Protokollen (z.B. SPDY, HTTP/2, ...) meist wenig bis garnicht. In vielen Fällen führt das auch zu Packet Drops und miserablen Latenzen und damit zu Mitarbeiterunzufriedenheit und fallendem Sicherheitsbewusstsein.

Daher mein Vorschlag:
- Kasepersky auf allen internen Rechnern. Der Windows Defender bzw. die Security Essentials sind, gelinde gesagt, Schrott. Mit OfficeScan konnte ich ebenfalls bislang nur negative Erfahrungen sammeln, auch wenn TrendMicro im o.g. Test gut abschneidet.
- Eine auf Sicherheit ausgerichtete Netzwerkstruktur mit Firewallregeln, die den Weg einer Email vom Sender zum Empfänger nachbildet (z.B. Outside -> SMTP Receiver -> Anti-Virus/Spam -> Inside)
- Externe Rechner bekommen keinen Zugang zum Netzwerk -> 802.1x bzw. NAC kann hier wahre Wunder bewirken ;)
- Über welchen Weg fanden die letzten Viren ihren Weg ins Netzwerk? USB Sticks? Berufliche oder Private Emails? Websites?
- In diesem Zusammenhang steht auch das zentrale Überwachen von Logfiles und die automatische bzw. semi-automatische Reaktion auf mögliche Vorkommnisse.
- Virenscanner reichen meist nicht aus. Öffentlich verfügbare IP-Blacklists, Angriffsmuster in Requests ("GET /m00m00..."), usw.. geben zusätzlich Schutz und sind meist einfach zu implementieren.
- Updates! Updates! Updates! Verteile Updates so schnell wie möglich, halte veraltete Rechner aus dem Netzwerk fern (NAC!!). Es gibt meiner Ansicht nach keinen besseren Malwareschutz als die Windows-eigenen Updates.
- Umsetzung des Least Privileges Prinzips: Wo keine Administrationsreche notwendig sind, dürfen auch keine vorhanden sein. Wo Adminrechte notwendig sind, dürfen keine privaten Emails empfangen werden (NAC ;)), usw...
- Wer sind die Angreifer? Arbeiten sie willkürlich (normale Maßnahmen reichen aus) oder gezielt (möglicherweise Anomalieerkennung notwendig sowie speziell konfigurierte HIDS und DPI zum Schutz vor Manipulation und Diebstahl von Dateien)?

Aber um zum eigentlichen Thema zu kommen:
- https://zeltser.com/malware-sample-sources/
- Where can I, as an individual, get malware samples to analyze? - Reverse Engineering Stack Exchange
- Virus Exchange (Malware Samples) | MalwareTips.com
- MalwareMustDie's Pastebin - Pastebin.com
- http://malwarenet.com/latest-malware-samples.php
- usw... (Google-Tipp: Malware Samples)
 
Zuletzt bearbeitet:
Security Software Testing Suite 64 - www.matousec.com
Quellcode wie auch die Binaries liegen bei.
Es ist zum Testen der "SecuritySuiten" gedacht und setzt die übliche Palette an Tricks ein, um Informationen "herauszuschleusen" sowie um sich im System zu "verankern" – siehe DLL Injections/Autorun/"Firehole" tests.
a set of tools used for testing Windows security software that implement application-based security model and behavior control – i.e. most of the Internet security suites, HIPS, personal firewalls, behavior blockers etc
Nichts Bahnbrechendes und teilweise seit mehr als 10 Jahren bekannt (und eingesetzt), daher sollte hier die zu testende Sofwate auch entsprechend reagieren ;)

Ferner, hier noch ein paar etwas ältere "Telekomrechnungen" und "MMS/Foto von sexy <Name hier>".
Die "Telekomrechnung" sollte eine Zeusvariante sein, die anderen weiß ich nicht mehr wirklich (aber auch nicht "sauberer" - https://www.virustotal.com/en/file/...d089a4758cd6c4cf3376c9699469dde6151/analysis/ (51/56) )
Da diese Exemplare per Massenmail versendet wurden, sollten alle aktuellen AVs&Co darauf anspringen.

Password: malware
 
Zurück
Oben