Patrick Beuth

Best-of-Thread aus dem T-Systems-Forensik_Bericht_Public_V1 zum #Emotet-Befall beim #Kammergericht Berlin: "Durch Untersuchung eines Clients ist eine Infektion ab spätestens 20.09.2019 um 17:52 nachgewiesen." (1/10)

"Eine Infektion über einen USB-Stick kann weder ausgeschlossen, noch nachgewiesen werden. Der genaue Infektionsweg kann nicht bestimmt werden." (2/10)

"Die ersten Indikatoren deuteten auf einen schwerwiegenden Fall einer Emotet Infektion mit nicht abzuschätzenden Folgen für das Netzwerk, die Systeme und Daten des Kammergerichts hin." (3/10)

"Die Sicherheitseventlogs reichen lediglich vom 16.10.2019 um 13:10:06 bis zum 14.10.2019 um 13:23:37 zurück. Die Dateigröße von 128MB deutet auf das Erreichen der maximalen Logfilegröße hin." (4/10)

"Aufgrund der Netzwerkstruktur des KG ließ sich nicht klar definieren welche Bereiche des Netzwerks betroffen/nicht betroffen sind. Zudem wäre es einem motivierten Angreifer möglich gewesen diese Netzstruktur auszunutzen, um fast jedes Gerät zu infizieren." (5/10)

"Emotet selbst lud auf dem untersuchten Computer die eigentliche Schadware TrickBot nach. TrickBot ist in der Lage beliebige Schadmodule auszuführen. Auf dem untersuchten Computer ließen sich drei Module identifizieren:" (6/10)

"• Auf dem System gespeicherte Passwörter (insbesondere Browserpasswörter) werden extrahiert und an die Angreifer weitergeleitet. • Dem Nutzer werden im Webbrowser Passwörter aktiv entlockt, insbesondere von Online-Banking Webseiten." (7/10)