Im Test: BSK Consulting THOR

Mit Mjölnir gegen Viren & Konsorten

Der Incident Response Scanner THOR rühmt sich, das einzige Werkzeug am deutschen Markt zu sein, das es IT-Profis ermöglicht, die Auswirkungen und den Umfang eines akuten Sicherheitsvorfalls richtig einzuschätzen und entsprechend zu behandeln. Im Vergleich zu einem üblichen Virenscanner, der hoffentlich auf allen Servern und Clients installiert ist, verfügt THOR über spezielle Signaturen, die die Aktivitäten von Angreifern auf einem System sichtbar machen, denn kaum ein Administrator dürfte alle Spuren, die Malware und Viren hinterlassen, richtig deuten können. In unserem Test bewies das Werkzeug seine Leistungsfähigkeit ebenso wie seinen Hunger nach CPU. Doch ein Angriff blieb unerkannt.
Sie ist aufwendig, kostet Geld und bringt in der Regel keinen unmittelbar sichtbaren Nutzen: Die Client-Security. Dabei ist das richtige Absichern von Rechnern ... (mehr)

Klassische Virenscanner sind so konfiguriert, dass sie Malware wie Trojaner, Viren oder Exploit-Codes erkennen und die Einnistung von derlei Software verhindern. THOR indes ist mit einem Set von über 20 verschiedenen Checks ausgestattet, die die typischen Werkzeuge der Angreifer identifizieren, Aktivitäten in den Windows-Logs analysieren, Anomalien bei Benutzerkonten identifizieren oder fragwürdige Netzwerkverbindungen oder Sitzungen aufzeigen sollen. Ziel der Software ist es, möglichst viele Spuren von "feindlichen Aktivitäten" auf Win-dows-Computern zu identifizieren.

Sicherheit durch umfassende Signaturen

Die Mitarbeiter und Security-Analysten bei HvS-Consulting und BSK Consulting nutzen unterschiedliche Quellen, um Informationen zu Angriffsmustern und Hacker-Werkzeugen zu erhalten. Zu diesen Quellen zählen beispielsweise die forensischen Analysen kompromittierter Systeme im HvS/BSK-Kundenumfeld, Ermittlungsergebnisse deutscher Institutionen und die Reports namhafter Hersteller und CERTs. Weitere Quellen sind laut BSK die Public Domain Hack-Tools und Angreifer-Werkzeuge wie beispielsweise Netzwerk-Tools, Passwort Dumper, Pass-the-Hash-Werkzeuge wie WCE und Mimikatz in über 280 verschiedenen Versionen, Hack Packs, Webshell Repositories mit über 360 verschiedenen Shells oder Werkzeuge aus diversen chinesischen Untergrund-Foren.

Aus diesen Reports und Tool-Sets werden Signaturen im Yara-Format (einem quasi Standardformat zur Beschreibung von Malware), MD5-Hash-Datenbanken, Hack Tool-Namen und Schlüsselwörter wie IP-Adressen, Command & Control-Server oder verwendete Tunneling-Ports abgeleitet, die als Signaturen für THOR dienen. THOR verfügt laut Herstellerangaben derzeit bereits über 47 verschiedene Yara-Signaturdatenbanken mit über 2.700 einzelnen Regeln. Darunter befinden sich mehr als 400 sogenannte APTs (Advanced Persistent Threats)-Regeln (siehe

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019