Erfahrungen mit Sandstorm?

Meiner Meinung nach verlässt sich Sophos noch stark darauf das potentiell gefährliche Dateien über Dateiendungsfilter abgefangen werden.

Da wir keinen echten (unbekannten) Schadcode zum testen auf das System loslassen wollten, haben wir einfach gestrickten VBA und VBS Code verwendet.

Ein VBS Code versucht Dateien vom Avira AV zu löschen, ein anderer ändert den impersonation Level, startet eine shell und löscht alle log Dateien im Temp Dir (könnte beliebig auch etwas anderes tun). Der VBA Code in einer Word.docm löscht alle Office Dateien im Benutzerverzeichnis.

Alle drei Testdateien waren Sandstorm wohl nicht gefährlich genug und sind ohne Probleme angekommen. Von einer Analyse in einer Sandbox hätte ich anderes erwartet, aber die Dateien waren so schnell da, das hiervon wohl nicht die Rede sein kann.

Meiner Meinung nach verlässt sich Sophos noch stark darauf das potentiell gefährliche Dateien über Dateiendungsfilter abgefangen werden.

Da wir keinen echten (unbekannten) Schadcode zum testen auf das System loslassen wollten, haben wir einfach gestrickten VBA und VBS Code verwendet.

Ein VBS Code versucht Dateien vom Avira AV zu löschen, ein anderer ändert den impersonation Level, startet eine shell und löscht alle log Dateien im Temp Dir (könnte beliebig auch etwas anderes tun). Der VBA Code in einer Word.docm löscht alle Office Dateien im Benutzerverzeichnis.

Alle drei Testdateien waren Sandstorm wohl nicht gefährlich genug und sind ohne Probleme angekommen. Von einer Analyse in einer Sandbox hätte ich anderes erwartet, aber die Dateien waren so schnell da, das hiervon wohl nicht die Rede sein kann.