Jump to content

Kaspersky findet Intrusion und blockiert HyperV Cluster


DennisK17
Go to solution Solved by alexcad,

Recommended Posts

Hallo,

wir haben auf einem System mit KSWS 11.0.1.897 folgendes Phänomen.
Zwei HyperV Cluster Server die seit monaten problemlos laufen.
Am Mittwochnachmittag blockiert der Kaspersky plötzlich den Zugriff von HyperV-Cluster-01 auf HyperV-Cluster-02 (Liste der blickierten Hosts) wegen folgendem Vorfall:

 

Mittwoch, 3. August 2022 14:49:39         Infiziertes Objekt oder Objekt anderen Typs gefunden  Objekt gefunden:  Intrusion.Generic.Win.Connect-Back-Shellcode.attack  Name des Objekts: 192.168.1.1:49855    Protokoll: TCP  Absender: 192.168.1.1:49855  Empfänger: 192.168.1.2:445  Kaspersky Security für Windows Server 11.0.1.897                Kritisch Schutz vor Netzwerkbedrohungen          Mittwoch, 3. August 2022 14:49:44

 

Vollscan des Servers mit Kaspersky und dem Microsoft Safety Scanner sind beide völlig negativ.

Daraufhin habe ich den Server wieder freigeschaltet.

 

Am nächsten Tag blockiert der Kaspersky den Zugriff von HyperV-Cluster-02 auf den HyperV-Cluster-01 (also genau anders rum) aus folgendem Grund:

 

Donnerstag, 4. August 2022 15:33:39      Infiziertes Objekt oder Objekt anderen Typs gefunden  Objekt gefunden:  Intrusion.Win.Shelma.a  Name des Objekts: 192.168.1.2:445    Protokoll: TCP  Absender: 192.168.1.2:445  Empfänger: 192.168.1.1:49797              Kaspersky Security für Windows Server 11.0.1.897           Kritisch Schutz vor Netzwerkbedrohungen Donnerstag, 4. August 2022 15:33:32

Auch ein erneuter Vollscan beider Server blieb ohne Ergebnis.

Kaspersky Bases sind aktuell. Es ist vorher nichts bewusst am System geändert worden.

 

Hat jemand eine Idee, wo hier das Problem liegen könnte?
Ist das ernst zu nehmen oder eher ein False Positive?
Zu beiden Bedrohungen habe ich auch keine wirklich hilfreichen Dinge im Internet gefunden.

Danke für Eure Rückmeldung.

Beste Grüße

Dennis

Link to comment
Share on other sites

Hallo Dennis,

willkommen im Forum.
Ich würde mal vermuten, dass es sich um Fehlalarme handelt. Kurzfristig kannst du das über Ausnahmen in der Richtlinie lösen.

image.thumb.png.c28ceb4d4037b4a9580d46cbd157ac14.png

 

Mittelfristig solltest du von der KS4WS auf die KES wechseln - KS4WS ist abgekündigt, der volle Support läuft am 30 September 2022 aus. Siehe: 


Mit der KES stehen dann mehr Schutzmodule und damit auch mehr Möglichkeiten der Qualifizierung solcher Meldungen zur Verfügung.

Grüße
Alex
 

image.png

Link to comment
Share on other sites

Hallo,

besten Dank für deine Rückmeldung. Ja, die Ausnahme habe ich bereits gesetzt um größeren Schaden zu vermeiden.

Dennoch natürlich nicht schön ein Schutzmodul abschalten zu müssen, das vorher noch einen Angriff gemeldet hat. Ich gehe persönlich auch von einem Fehlalarm aus, Gewissheit wäre aber schöner.

Ich bin mir nicht mehr sicher, in welcher Version das angekündigt war... aber mein letzter Stand war von einem Kaspersky Techniker, dass die KES aktuell noch kein vollwertiger Ersatz für die KSWS sei. Hat sich das zwischenzeitlich geändert?

 

Link to comment
Share on other sites

  • Solution
37 minutes ago, DennisK17 said:

... aber mein letzter Stand war von einem Kaspersky Techniker, dass die KES aktuell noch kein vollwertiger Ersatz für die KSWS sei. Hat sich das zwischenzeitlich geändert?

Ja, inzwischen ist es genau umgekehrt.

Mit der Abkündigung der KS4WS hat Kaspersky mit KES11.8 begonnen alle Leistungsmerkmale auf die KES zu portieren. Schon die KES11.9 hatte eigentlich alle erforderlichen Punkte dies bzgl. integriert.
Laut Raodmap ist dieser Prozess mit KES11.12 Ende diesen Jahres abgeschlossen.

Mit der KES 11.9 und der aktuellen KES 11.10 habe ich durchweg positive Erfahrungen auf Servern sammeln können.

Große Vorteile beim Einsatz der KES auf Servern ergeben sich aus den erweiterten Schutzmodulen, wie z. B. der Verhaltensanalyse mit maschinellem Lernverfahren.
Auch die KSN-Integration funktioniert wesentlich besser - man muss viel weniger Ausnahmen setzen. 
Endpoint Detection and Response ist ebenfalls bei der KES besser integriert und leistungsstärker.

Das ist vermutlich auch der Hauptgrund für die Abkündigung der KS4WS: Vermutlich ist es zu aufwändig oder nicht möglich die KS4WS auf einen angemessenen technischen Stand bzgl. der Schutzmodule und -funktionen zu bringen.

Was es allerdings zu beachten gilt: Damit nach wie vor eine Trennung der Konfiguration (Richtlinien, Aufgaben) bzgl. Clients und Servern gegeben ist muss man ggf. die Gruppenstruktur umbauen.
Bei gewachsenen Strukturen eine gute Gelegenheit die Anforderungen an das Management und die Schutzprodukte zu überdenken und ebenfalls auf einen aktuellen Stand zu bringen.

Grüße
Alex

  • Thanks 1
Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...