Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/mdr/help/de-de/index.html?contextId=TrickBot

Workflow der Bereinigung von TrickBot oder Emotet

Befolgen Sie diese Schritte, um eine TrickBot- oder Emotet-Infektion zu beheben.

Einleitung

Die TrickBot- oder Emotet-Malware-Suite ist derzeit eine der am weitesten verbreiteten und effektivsten Malware-Formen. Sie nutzt mehrere Techniken und Infektionsvektoren, um sich in einer Umgebung zu verbreiten und Persistenz auf kompromittierten Geräten zu erlangen.

Für einen effektiven Schutz empfehlen wir Intercept X Advanced with EDR.

Wenn Sie von einem aktiven TrickBot- oder Emotet-Vorfall betroffen sind, empfehlen wir Ihnen, sich mit uns in Verbindung zu setzen und unseren Managed Detection and Response Service zu erwerben. Der Service wird von einem Experten-Team bereitgestellt, das Sie bei der Bereinigung und Ursachenanalyse unterstützen kann.

Überprüfen Ihrer Geräte

Stellen Sie sicher, dass Ihre Geräte auf dem neuesten Stand und geschützt sind. Um Ihre Geräte zu prüfen, gehen Sie wie folgt vor:

  1. Stellen Sie sicher, dass jedes Gerät in Ihrem Netzwerk über eine funktionierende und aktualisierte Version von Sophos Endpoint Protection verfügt.

    Wir empfehlen nicht, eine TrickBot- oder Emotet-Infektion mit Sophos Anti-Virus (On-Premise) zu beheben. Sophos Anti-Virus verfügt nicht über alle Funktionen und Tools für den effektiven Schutz und die Bereinigung von TrickBot oder Emotet

  2. Aktualisieren oder entfernen Sie alle Geräte, die alte Betriebssysteme verwenden, auf denen Sie Sophos Endpoint nicht installieren können, oder beziehen Sie entsprechende Windows-Updates.

    1. Stellen Sie sicher, dass Ihre Geräte über alle neuesten Windows-Sicherheits-Patches verfügen. Ein einzelnes System, das ungeschützt oder nicht gepatcht ist, kann andere Geräte infizieren, die geschützt und gepatcht sind.

  3. Deaktivieren Sie während der Bereinigung alle Geräte, auf denen eine Version von Windows 2008 ausgeführt wird, die nicht Windows 2008 R2, Windows 2003 XP oder frühere Versionen ist. Entfernen Sie diese Geräte aus dem Netzwerk, da sie einen erneuten Ausbruch auslösen können.

    Diese Betriebssystems-Liste ändert sich, wenn Windows-Versionen nicht mehr unterstützt werden. Weitere Informationen zu unseren aktuellen Systemvoraussetzungen finden Sie unter Systemvoraussetzungen für Sophos Central Windows-Endpoints oder Systemvoraussetzungen für Sophos Central Windows-Server.

Ausmaß des Problems bestimmen

Gehen Sie nicht davon aus, dass jedes Gerät in Ihrem Netzwerk geschützt ist und dass Sie jedes Gerät in Ihrem Netzwerk kennen. Es gibt viele Möglichkeiten, Geräte in Ihrem Netzwerk zu identifizieren, und Sie verfügen möglicherweise bereits über entsprechende Methoden. Welche Option am besten für Sie geeignet ist, hängt von der Netzwerkgröße und Segmentierung ab.

Eine der häufigsten Methoden ist es, einen Netzwerk-Scan durchzuführen, um zu erkennen, was sich aktuell im Netzwerk befindet.

Dazu können Sie Tools von Drittanbietern verwenden, z. B. Advanced IP Scanner.

Wenn Sie kein Drittanbieter-Tool nutzen möchten, können Sie Source of Infection verwenden. Dabei handelt es sich um ein kostenloses Sophos-Tool. Es ist kein Virenschutz-Programm und erkennt oder entfernt keine Malware. Sie lassen es auf einem Gerät laufen und es protokolliert jede Datei, die auf dieses Gerät geschrieben wird. Es generiert eine Protokolldatei, die eine Liste aller geschriebenen Dateien enthält. Die Protokolldatei umfasst zu jeder Datei den vollständigen Dateipfad, das Datum und die Uhrzeit des Schreibvorgangs und gibt an, ob sie von einem lokalen oder einem Netzwerkprozess geschrieben wurde. Bei lokalen Prozessen werden Name und Pfad der Datei aufgeführt, die sie geschrieben hat. Bei einem Netzwerkprozess werden die Remote-IP-Adresse oder der Gerätename aufgelistet. Sie können dann anhand der Protokolldatei Geräte identifizieren, die potenzielle, nicht erkannte Malware enthalten. Zum Beispiel können Sie damit ein geschütztes Gerät untersuchen, das selbst nach mehreren Bereinigungsversuchen immer wieder Erkennungen aufweist. Wiederholte Erkennungen weisen darauf hin, dass ein anderes Gerät im Netzwerk infiziert ist und versucht, das geschützte Gerät erneut zu infizieren. Source of Infection kann Ihnen helfen, das infizierte Gerät zu finden.

Weitere Informationen zu Source of Infection finden Sie in den folgenden Support-Artikeln:

Um Ihr Netzwerk zu scannen, wählen Sie eine der folgenden Optionen:

  • Verwenden Sie den Advanced IP Scanner. Siehe Advanced IP Scanner.

    Dabei handelt es sich um ein kostenloses, leicht verständliches Tool.

    Screenshot des Advanced IP Scanner-Tools.

    Es wird eine Liste der aktiven Geräte in Ihrem Netzwerk erstellt, die Sie mit den in Ihrer Sophos-Management-Software aufgeführten Geräten vergleichen können.

  • Gehen Sie zum Verwenden von Source of Infection wie folgt vor:

    1. Laden Sie Source of Infection herunter, siehe SourceOfInfection.zip.
    2. Verschieben Sie das Tool auf das Gerät, das Sie untersuchen möchten.
    3. Extrahieren Sie SourceOfInfection.exe in das Stammverzeichnis von Laufwerk C.
    4. Öffnen Sie eine Befehlszeile als Administrator.
    5. Suchen Sie SourceOfInfection.exe und führen Sie es aus.
    6. Drücken Sie zum Ausführen des Befehls die Eingabetaste.

    7. Lassen Sie Source of Infection laufen. Dazu müssen Sie das Befehlszeilenfenster geöffnet lassen.

      Hinweis

      Möglicherweise haben Sie mehrere infizierte Geräte, die versuchen, andere Geräte im Netzwerk zu infizieren. Je länger Sie Source of Infection laufen lassen, desto wahrscheinlicher ist es, dass Sie diese Informationen im Protokoll erfassen.

    8. Wenn eine neue Malware-Erkennung auf dem Gerät auftritt, beenden Sie Source of Infection, indem Sie das Befehlszeilenfenster schließen.

      Eine neue Malware-Erkennung kann je nach Ihrer Situation in Sekunden oder Tagen auftreten.

    9. Überprüfen Sie die Protokolldatei, um die Quelle der Infektion zu ermitteln. Sie finden die Protokolldateien unter %temp%\Source of Infection Log.csv.

      Die Protokolldatei ist eine CSV-Datei, die Sie in Microsoft Excel oder einem beliebigen Texteditor öffnen können.

      Das folgende Beispiel zeigt zwei verdächtige Dateien, die von einem entfernten Netzwerkspeicherort auf das Gerät geschrieben wurden. Diese beiden IP-Adressen sind wahrscheinlich infizierte Geräte.

      Beispielhafte Protokolldatei von Source of Infection mit zwei infizierten Hosts.

    10. Wiederholen Sie diesen Vorgang für alle Geräte, die Sie untersuchen möchten.

    11. Finden, isolieren und schützen Sie infizierte Geräte, um die Verbreitung schädlicher Dateien zu verhindern.

Schutz überprüfen

Sophos hat Einstellungen für den Schutz vor Bedrohungen empfohlen. Diese verwenden mehrere Schutzebenen. Diese Einstellungen bieten Schutz vor Infektionen und helfen bei der Beseitigung von Infektionen. Um Ihren Schutz zu prüfen, gehen Sie wie folgt vor:

  1. Überprüfen Sie, ob Sie unsere empfohlenen Einstellungen in Ihren Richtlinien zum Schutz vor Bedrohungen verwenden.

    Weitere Informationen zu diesen Einstellungen finden Sie unter den folgenden Links:

  2. Wenn Sie unsere empfohlenen Einstellungen nicht verwenden, aktivieren Sie diese Einstellungen in Ihren Richtlinien zum Schutz vor Bedrohungen.

  3. Wenn Sie nicht alle empfohlenen Einstellungen verwenden möchten, müssen Sie die Option aktivieren, die Daten zu verdächtigen Dateien und Netzwerkereignissen an Sophos Central für Computer und Server sendet. Dies wird später im Bereinigungsprozess benötigt. Verfahren Sie wie folgt:

    1. Melden Sie sich bei Sophos Central Admin an.
    2. Klicken Sie auf Endpoint Protection > Richtlinien und aktivieren Sie die Option Computern erlauben, Daten über verdächtige Dateien und Netzwerkereignisse an Sophos Central zu senden.
    3. Klicken Sie auf Server Protection > Richtlinien und aktivieren Sie die Option Servern erlauben, Daten über verdächtige Dateien und Netzwerkereignisse an Sophos Central zu senden.

Patches für Ihre Geräte installieren

Stellen Sie sicher, dass alle Ihre Geräte über die neuesten Windows-Sicherheits-Patches verfügen. Sie müssen sicherstellen, dass Sie den Patch für den EternalBlue-Exploit installieren. TrickBot oder Emotet nutzt diesen Exploit zur Verbreitung.

EternalBlue ist ein Exploit, der eine Schwachstelle in Microsoft SMB ausnutzt, die von der WannaCry-Software zur Verbreitung genutzt wurde. Das Patchen von Geräten und das Entfernen dieses Infektionsvektors beugen TrickBot oder Emotet vor und schützen Sie vor anderer Malware mit EternalBlue.

Microsoft veröffentlichte den Patch für EternalBlue in Microsoft Update: MS17-010. Im offiziellen Microsoft-Artikel wird erläutert, wie Sie überprüfen können, ob ein Gerät über den Patch verfügt. Siehe Überprüfen, ob MS17-010 installiert ist.

Sophos bietet ein einfaches PowerShell-Skript, das auf einzelnen Computern ausgeführt werden kann, um zu bestätigen, ob der Patch vorhanden ist. Weitere Informationen hierzu finden Sie unter Überprüfen, ob ein Gerät anfällig für EternalBlue ist – MS17-010.

So patchen Sie Ihre Geräte:

  1. Überprüfen Sie, ob Ihre Geräte anfällig für EternalBlue sind.
  2. Aktualisieren Sie Ihre Geräte mit den neuesten Windows-Sicherheits-Patches.

Geräte scannen und bereinigen

Scannen Sie Ihre Geräte, um herauszufinden, wie viele davon von TrickBot- oder Emotet-Infektionen betroffen sind. Anschließend müssen Sie Ihre Geräte reinigen, um erneute Infektionen zu vermeiden.

Verfahren Sie wie folgt:

  1. Stellen Sie sicher, dass alle Geräte gepatcht sind und dass Intercept X Advanced installiert ist.

  2. Führen Sie einen vollständigen Scan auf allen Ihren Geräten durch. So scannen Sie ein Gerät:

    1. Melden Sie sich bei Sophos Central Admin an.
    2. Klicken Sie auf Endpoint Protection > Richtlinien oder Server Protection > Richtlinien.
    3. Klicken Sie unter Threat Protection auf die Richtlinie, die den Benutzern, Computern oder Servern zugewiesen ist, die Sie überprüfen möchten.
    4. Klicken Sie auf Einstellungen und navigieren Sie nach unten zu Geplante Scans.
    5. Aktivieren Sie die Option Geplanten Scan aktivieren.

    6. Legen Sie eine Zeit für die Ausführung des Scans fest.

      Für einen Scan müssen die Geräte eingeschaltet und aktiv sein.

    7. Deaktivieren Sie Intensivscans aktivieren – Überprüfung von Archivdateien (.zip, .cab, etc.) und Alle Dateien scannen.

      Sie müssen einen vollständigen Scan durchführen, um alle Dateien zu indizieren. Diese zusätzlichen Einstellungen verlangsamen die Indizierung oder können verhindern, dass der Scan auf einigen Geräten abgeschlossen wird.

  3. Nach dem vollständigen Scan müssen Sie die Infektion über Sophos Central Admin bereinigen. Verfahren Sie wie folgt:

    1. Melden Sie sich bei Sophos Central Admin an und klicken Sie auf Bedrohungsanalyse-Center > Bedrohungssuchen.

    2. Durchsuchen Sie die gängigen Malware-Ablage-Standorte.

      • C:\
      • C:\Windows
      • C:\Windows\System32
      • C:\Windows\Syswow64
      • C:\ProgramData
      • C:\Users\*<Username\>*\AppData\Roaming\*<random name\>*.

    3. Gehen Sie zu einem der Malware-Ablage-Standorte und klicken Sie auf Netzwerkverbindungen.

      Dadurch wird die Liste auf ausführbare Dateien beschränkt, die Netzwerkverbindungen ausführen. TrickBot oder Emotet versucht, sich zu verbreiten und muss Netzwerkverbindungen herstellen.

    4. Suchen Sie nach ausführbaren Dateien, die Ihnen auffallen oder bei denen Sie sich nicht sicher sind.

    5. Klicken Sie im Bedrohungsfall für jede dieser Dateien auf Neuen Bedrohungsfall erstellen und Aktuelle Daten zu Datei anfordern, um weitere Informationen zu erhalten.
    6. Überprüfen Sie die Daten und klicken Sie auf Entfernen und blockieren, falls erforderlich.

    Wenn Sie weitere Informationen zu einer Datei benötigen, senden Sie ein Sample ein, siehe Wie man Samples verdächtiger Dateien an Sophos übermittelt.

  4. Überprüfen Sie Bedrohungsfälle und Warnmeldungen auf neue und kürzlich aufgetretene Erkennungen. Achten Sie auf Anzeichen von TrickBot- oder Emotet-Erkennungen.

    • CXmal/Emotet-C
    • HPmal/Emotet-D
    • HPmal/TrikBot-G
    • Mal/EncPk-AN
    • HPmal/Crushr-AU
    • Troj/Inject-DTW
    • Troj/LnkRun-T
    • AMSI/Exec-P
    • Troj/Emotet-CJW

  5. Überprüfen Sie, ob die folgenden Erkennungen vorhanden sind:

    • Mal/Generic-R
    • Mal/Generic-S
    • ML/PE-A
    • Code Cave
    • APC Violation
    • Safe Browsing
    • LoadLib

  6. Wiederholen Sie diesen Vorgang für jede Datei in Bedrohungssuchen ein.

  7. Bereinigen Sie infizierte Dateien.
  8. Starten Sie alle Ihre Geräte neu, um alle Infektionen im Speicher zu löschen.
  9. Wiederholen Sie diese Schritte, bis keine Anzeichen von TrickBot oder Emotet mehr vorhanden sind.

Abschließende Bereinigung

Wenn Sie immer noch Erkennungen erhalten, liegt eine Infektion auf einem Gerät in Ihrem Netzwerk vor.

TrickBot- oder Emotet-Infektionen bestehen in einer Datei und in einer dateilosen Form fort. Um sie zu beheben, müssen Sie ihre Fähigkeit zur Replikation in beiden Formen reduzieren. Weitere Informationen zur Funktionsweise dieser Malware finden Sie unter Beheben von Ausbrüchen von Emotet- und TrickBot-Malware.

Gehen Sie wie folgt vor, um die übrigen infizierten Geräte aufzufinden:

  1. Wiederholen Sie die Schritte in diesem Workflow.

  2. Wenn Sie die Quelle der Erkennung nicht finden können, klicken Sie auf Bedrohungsanalyse-Center > Bedrohungssuchen und überprüfen Sie die Standorte, an denen TrickBot oder Emotet gefunden wurde.

    • C:\Windows\<A Randomly Named EXE>
    • C:\windows\system32\<A Randomly Named EXE>
    • C:\Windows\Syswow64\<A Randomly Named EXE>
    • C:\stsvc.exe
    • C:\Users\<username>\AppData\Roaming\*<A Randomly Named EXE\>*
    • C:\Users\<username>\AppData\Roaming\<Six-Letter-Folder>
    • C:\ProgramData\<Randomly Named EXEs>

  3. Wenn Sie die ausführbare Datei finden, die Erkennung vermeidet, senden Sie ein Sample ein.

  4. Wenn Sie die ausführbare Datei nicht finden können, wenden Sie sich an Sophos MDR Rapid Response.

Video zur Bereinigung von Trickbot oder Emotet

In diesem Video wird dieser Workflow behandelt.