[Eisfair] BFB 0.8.0 testing released

[Olaf Jaehrling]

Hallo allerseits,

ich habe mich entschlossen eine neue BFB-Version herauszubringen. Der
Hauptgrund dafür ist eigentlich Locky. BFB kann unter Umständen
erkennen, wenn ein Rechner im Netzwerk infiziert ist und versucht auf
dem EIS die Dateien zu verschlüsseln. Natürlich muss dazu samba
installiert sein. Leider muss händisch in die Sambakonfiguration
eingegriffen werden. BFB prüft das in der jetzigen Version noch nicht.
Automatisch hinzufügen kann BFB die Einträge nicht. In der nächsten
Version informiert BFB aber den Admin, wenn die Einträge fehlen sollten.
Mir war es erstmal wichtig BFB mit der Funktion herauszubringen, bevor
es zu spät ist.
Diese Version ist allerdings auch die letzte Version, welche den
Asterisk unterstützt. Wie ich festgestellt habe greifen die
Erkennungsmethoden, welche BFB verwendet seit geraumer Zeit ins Leere,
da die aktuelle Asterisk-Version anders loggt. Durch fehlende
Rückmeldungen der User weiß ich leider nicht, wie, was BFB noch erkennen
könnte. Um den User nicht in falscher Sicherheit zu wägen werde ich
diese Funktion aus BFB entfernen. Es sein denn, ich bekomme ein paar
aussagekräftige Logfiles eines Angriffs.

Das selbe wird in Zukunft vermutlich auch sn (news) betreffen. Ich
verwede es nicht mehr und weiß deshalb nicht, was sich alles in der
aktuellen Version geändert hat. Ich bin nunmal auf eure Mithilfe
angewiesen.

Hier noch ein paar Infos wegen dem Verschlüsselungstrojaner und BFB.

BFB_MONITOR_CRYPTOTROJANER
Wenn BFB pruefen soll, ob irgendein Trojaner versucht die Platten auf dem
Eisfair zu verschluesseln so kann BFB den host komplett aussperren, von dem
der Zugriff auf das Netzlaufwerk erfolgt.
Diese Option macht nur Sinn, wenn samba installiert ist. Dazu muss aber
haendisch in die Samba-Konfiguration eingegriffen werden.
Das erledigen folgenden Zeilen in der /etc/smb.conf

[global]
full_audit:failure = none
full_audit:success = pwrite write rename
full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S
full_audit:facility = local7
full_audit:priority = NOTICE

und bei jedem zu überwachenden
[Volume]
vfs objects = full_audit

Bitte beachte, dass diese Aenderung beim Aufruf des Samba-Setup wieder
honfaellig sind und erneut in die smb.conf eingetragen werden muessen!

BFB prueft das messages-logfile ob irgend ein Host versucht Dateien mit
bestimmten Endungen auf den Eisfair abzulegen. Dieses ist ein Indiz dafuer,
dass ein Cryptotrojaner versucht alle Dateien zu verschluesseln. BFB
legt dann
fuer diesen Host eine Nullroute ein und informiert des Admin per Mail. Diese
Nullroute bleibt drin, bis der Admin diese wieder haendisch entfernt.
Das soll verhindern, dass irgendein Mechanismus die Nullroute umgeht.
Die Liste mit den Endungen liegt unter:
/usr/local/brute_force_blocking/cryptotrojanerndetect.list
Sollte diese haendisch bearbeitet werden, so bitte kurz Info an mich,
damit ich
die hinzugekommenen Endungen mit Aufnehmen kann. Ansonsten sind die
Aenderungen
beim Update von BFB weg
Deer Admin kann die Host haendisch mit dem Befehl
route del -host $IP reject
wieder freigeben.


Und last, but not least hier die changes:
Version 0.7.9 -> 0.8.0
- Cryptotrojanererkennung hinzugefuegt
- Im Tar-file sind nun keine Verzeichnisse mehr drin.
- cronjob zum Loeschen der html-Files angepasse.
  die letzten 10 Eintraege bleiben nunr erhalten -Jed
- ACHTUNG. Mit dieser Version wird die Asteriskerkennung
  als deprecated erklaert. In der naechsten Version ist
  dieses Feature nicht mehr drin, da es diese Art Angriffe
  nicht mehr gibt und ich neuartige Angriffe nicht mehr
  detektieren kann (Kein Asterisk mehr zur Verfuegung und
  keine Rueckmeldung von Angriffen auf den Asterisk).

Version 0.7.8 -> 0.7.9
- Aenderung der failed-login-Erkennung in der Mailsektion
- Slow-Erkennung angepasst


Installierbar ist BFB, wie immer, über die pack-eis-suche (ab ca. 21:00)
oder unter
http://ojaehrling.de/eis/eis-list.txt


Viel Spaß noch mit eisfair.

Gruß

Olaf