Erfahrungen mit Sandstorm?

Hallo,

bei uns genau das Gleiche. Über 20 Mails mit ein und dem selben Anhang an verschiedene Empfänger. Eine docm-Datei mit einer Ransomware, die von unserer Kaspersky Endpoint Security auf den Rechnern zum Glück erkannt wurde. Wir haben erst einmal von der Sophos Endpoint Protection Abstand genommen, falls diese die gleichen Signaturen verwendet wie die Firewall, obwohl sie einen guten Eindruck gemacht hat.

In meinen Augen ist Sandstorm noch nicht ausgereift, und wenn selbst der Zweifachscan nicht schützt, stehen uns noch harte Zeiten bevor [*-)]

Meiner Meinung nach verlässt sich Sophos noch stark darauf das potentiell gefährliche Dateien über Dateiendungsfilter abgefangen werden.

Da wir keinen echten (unbekannten) Schadcode zum testen auf das System loslassen wollten, haben wir einfach gestrickten VBA und VBS Code verwendet.

Ein VBS Code versucht Dateien vom Avira AV zu löschen, ein anderer ändert den impersonation Level, startet eine shell und löscht alle log Dateien im Temp Dir (könnte beliebig auch etwas anderes tun). Der VBA Code in einer Word.docm löscht alle Office Dateien im Benutzerverzeichnis.

Alle drei Testdateien waren Sandstorm wohl nicht gefährlich genug und sind ohne Probleme angekommen. Von einer Analyse in einer Sandbox hätte ich anderes erwartet, aber die Dateien waren so schnell da, das hiervon wohl nicht die Rede sein kann.

Wir haben leider ähnliche Erfahrungen gemacht und hatten die Hoffnung, dass wir bei den Kunden die nun Sandstorm gekauft haben endlich die MIME-Type / File Extension Filter für die Office Dokumente entfernen können. Das trauen wir uns momentan aber noch nicht...

Hoffen wir mal, dass es sich schnell entwickelt.