Mit ACMP zu mehr Schutz vor Emotet

Emotet ist eine der bedrohlichsten Schadsoftware der vergangenen Jahre. Entwarnung gibt es noch nicht, denn das Bedrohungslevel ist weiterhin hoch. Die Erkennung von Emotet lässt sich mit einem ACMP Client Command automatisieren und erleichtert es Systemadministratoren so, notwendige Gegenmaßnahmen einzuleiten.

Bei der täglichen Lektüre der Fachpresse habe ich einen interessanten Artikel entdeckt. Dieser handelt über das kleine Tool Japan CERT, das Clients und Server auf verdächtige Emotet-Prozesse überprüfen kann.

Der gesamte Artikel ist hier zu finden:
https://www.heise.de/security/meldung/EmoCheck-Neues-Tool-kann-Emotet-Infektionen-aufspueren-4652554.html

Natürlich benutzen wir bei Aagon unsere Client Management Lösung ACMP auch selbst. Deshalb kam mir sofort der Gedanke, dass sich die Erkennung von Schadsoftware mit Hilfe des Tools Japan CERT sicher auch automatisieren lässt.

Der Plan: Ein Client Command erstellen, das sowohl Datum als auch Ergebnis des Scans in ein eigenes Custom Field schreibt, wenn der Scan einmal beendet ist. Das Client Command wird dabei einem Container mit Clients und Servern zugewiesen und soll mehrmals am Tag ausgeführt werden.

Das hierbei entstandene Client Command stellen wir Ihnen im Anhang gerne zum Download bereit.

 

Idealerweise erstellen Sie eine Abfrage, die anzeigt, auf welchen Rechnern das Client Command bereits gelaufen ist und fügen die folgenden Custom Fields „Ergebnis“ und „Scan Zeit“ mit in die Abfrage ein:

 

In der Abfrage sehen Sie nun direkt das Ergebnis. Idealerweise lautet es: „No detection“. Sollte hingegen eine Erkennung vorliegen, gilt es überlegt und gewissenhaft zu handeln. Verfahren Sie wie im oben verlinkten Heise-Artikel beschrieben.

Zum Schluss ein kleiner Disclaimer: Glücklicherweise hat hier bei Aagon jeder Rechner ein „No detection“ zurückgeliefert und auf eine absichtliche Infektion haben wir verständlicherweise verzichtet. Aus diesem Grund können wir natürlich keine Garantie übernehmen, dass eine Emotet-Infektion zu 100% erkannt wird. Um wirklich sicher zu gehen empfehlen wir deshalb ihre eingesetzte Antiviren-Lösung aktuell zu halten.

Sie haben weitere Fragen rund um ACMP? Gerne steht Ihnen unser Team unter sales@aagon.com zur Verfügung.

Hinweis: Wenn Sie den Fehlercode 3221225781 erhalten deutet das auf eine fehlende C++ Runtime auf dem Client/ Server hin. Installieren Sie zur Behebung vcredist32 bzw. vcredist64 und führen Sie das Client Command erneut aus.

 

Hier schreibt: Sebastian Weber, Product Manager bei der Aagon GmbH, kennt ACMP wie seine Westentasche. Mit über 15 Jahren Berufserfahrung ist er auf Messen und anderen Veranstaltungen der perfekte Ansprechpartner für all ihre Fragen rund um die Client Management Suite ACMP.

Es scheint, als wären Sie auf nicht auf der gewünschten Sprachversion dieser Website gelandet. Möchten Sie wechseln?

Zur Version