Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 27 subscribers
  • Views 2452 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Sandstrom

Mathias Schmidt

Hallo,

 

ich habe eine Frage. Wir haben heute eine Link zum Programm FastViewer bekommen. Dies ist eine Fernsteuerungssoftware wie Teamviewer. Beim Download hat die SG die Datei im Sandstorm getestet. Das verlief auch soweit erfolgreich. Allerdings hat während dieses Test ein Nutzer namens Peter Wilson versucht sich auf der Gegenstelle des FastViewer zu verbinden.

 

Da dieser Downloadlink nur zur Lauszeit generiert wird und eine dynamische URL ist kann hierbei fast ausgeschlossen werden, dass es sich um eine Person handelt.

 

Meine Frage wäre kann diese Verbindung beim Test der Sandbox entstanden sein?  Ich dachte immer es wäre eine geschlossene Umgebung. Zeitlich passt der Vorgang genau in den Testzeitraum.

 



This thread was automatically locked due to age.
  • 0

    Hallo Mathias,

     

    Es wird lediglich ein hash der Datei an Sophos Sandstorm geschickt, sofern dieser Hash vorhanden ist wird die Datei auch nicht nochmals an Sophos Sandstorm geschickt.

    Ich kann mir nicht vorstellen, dass das irgend etwas mit dem Test zutun hat.

     

    Gruß

    Jason

  • 0 in reply to Jason Klein

    Danke für die Antwort!

    Soweit war mir das auch klar. Mal angenommen der Hash ist nicht vorhanden. Dann wird ja die Datei hochgeladen und getestet/ausgeführt! Da diese Datei ja einen Autoconect zur entsprechenden Gegenstelle startet, könnte dies auch im Bereich der Sandbox passieren!? Bestünde dann nicht die Möglichkeit das eine solche Anfrage von dieser Sandbox ins Internet kommt? Oder handelt es sich hierbei definitiv um ein autarkes System?

  • 0 in reply to Mathias Schmidt

    Hallo Mathias,

     

    Wenn der Hash noch nicht bekannt ist, wird eine Kopie der verdächtigen Datei an Sophos Sandstorm gesendet. Hier detoniert die Datei innerhalb einer virtuellen Endpoint-Umgebung und das Verhalten wird überwacht. Nachdem sie vollständig analysiert wurde, gibt Sophos Sandstorm das Wissen über die Bedrohung an die UTM. Die Datei wird entweder an den Benutzer weitergegeben oder blockiert. Ob innerhalb dieser virtuellen Umgebung eine Verbindung ins internet besteht weiß ich nicht, ich kann mir aber durchaus vorstellen, dass es eine separate gesicherte Internetverbindung gibt um zu sehen was die Datei genau macht bzw. ob und welche weitere Schadsoftware heruntergladen wird.

     

    Gruß

    Jason