InfoGuard Cyber Security & Cyber Defence Blog

Shadow Hammer MAC-Adressen Hash-Liste vergleichen – aber wie?

Geschrieben von Mathias Fuchs | 03. Apr 2019

Sie mögen sich bestimmt erinnern: Letzte Woche wurde bekannt, dass ein ASUS Update Server Malware verbreitete. Auf unseren Artikel hin zur Shadow Hammer MAC-Adressen Hash-Liste – wo Sie auch die Prüfsumme einsehen konnten – haben wir viele Anfragen bekommen: Wie kann man denn überhaupt unternehmensweit die MD5-Prüfsummen der MAC-Adressen für einen Vergleich sammeln? Welche Lösung eignet sich am besten dazu? In diesem Beitrag erfahren Sie es.

Um Sie nicht lange auf die Folter zu spannen, komme ich gleich zur Sache: Bei InfoGuard verwenden wir dazu Tanium und haben zusätzlich einen entsprechenden Powershell-Sensor geschrieben, den wir Ihnen kostenlos zur Verfügung stellen:



So vergleichen Sie die MAC-Adressen Hash-Liste auf Taniums Plattform

In Tanium sieht das Resultat des Sensors dann so aus:

 

 

Sie können das Ergebnis anschliessend exportieren und mit den verfügbaren extrahierten Hashes vergleichen. Dieselbe Lösung sollte sich auch leicht auf gängigen EDR-Lösungen umsetzen lassen.

 

 

Zusätzlich können Sie ganze einfach den Powershell Code in das Powershell-basierte Forensik Framework Kansa portieren, sofern Sie keine EDR-Lösung zur Verfügung haben.

Noch immer unsicher, ob Sie von der Malware betroffen sind?

Wenn Sie immer noch unsicher sind, ob Ihr Unternehmen betroffen ist, dann melden Sie sich bei uns. Ich und mein Analysten-Team helfen Ihnen gerne – und zwar 24x7.