InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Sie mögen sich bestimmt erinnern: Letzte Woche wurde bekannt, dass ein ASUS Update Server Malware verbreitete. Auf unseren Artikel hin zur Shadow Hammer MAC-Adressen Hash-Liste – wo Sie auch die Prüfsumme einsehen konnten – haben wir viele Anfragen bekommen: Wie kann man denn überhaupt unternehmensweit die MD5-Prüfsummen der MAC-Adressen für einen Vergleich sammeln? Welche Lösung eignet sich am besten dazu? In diesem Beitrag erfahren Sie es.
Um Sie nicht lange auf die Folter zu spannen, komme ich gleich zur Sache: Bei InfoGuard verwenden wir dazu Tanium und haben zusätzlich einen entsprechenden Powershell-Sensor geschrieben, den wir Ihnen kostenlos zur Verfügung stellen:
In Tanium sieht das Resultat des Sensors dann so aus:
Sie können das Ergebnis anschliessend exportieren und mit den verfügbaren extrahierten Hashes vergleichen. Dieselbe Lösung sollte sich auch leicht auf gängigen EDR-Lösungen umsetzen lassen.
Zusätzlich können Sie ganze einfach den Powershell Code in das Powershell-basierte Forensik Framework Kansa portieren, sofern Sie keine EDR-Lösung zur Verfügung haben.
Wenn Sie immer noch unsicher sind, ob Ihr Unternehmen betroffen ist, dann melden Sie sich bei uns. Ich und mein Analysten-Team helfen Ihnen gerne – und zwar 24x7.