[English]Eigentlich sollten die Hersteller von Antivirus-Lösungen ja froh sein, wenn aufmerksame Nutzer Malware-Beispiele, die bisher von deren Scan-Engines nicht erkannt werden, einreichen. Speziell, wenn bekannt ist, dass es ein Schadprogramm ist, wäre schnelle Reaktion angebracht. Ein Administrator hat mir vor Weihnachten einen Fall per E-Mail geschildert, der zumindest bei diesem Vorgang Zweifel aufkommen lässt, ob es sinnvoll ist, Samples einzureichen.
Anzeige
Blog-Leser Michael U. ist als Administrator unterwegs und ist kürzlich auf eine schädliche Software gestoßen, die von seinen Sophos-Virenscannern nicht erkannt wurde. Der normale Mensch denkt "ich reiche die Datei bei deren Support ein, die schauen drüber und nehmen dies in die Virensignaturen auf". Aber weit gefehlt, wie Michael mir per Mail am 23.12.2021 schrieb:
… als fleißiger Leser deines Blogs kenne ich ja doch so die eine oder andere Geschichte, doch diesmal ist mir selbst folgendes wiederfahren.
Ich hatte 2021-10-19 ein Virus Sample an Sophos geschickt welches noch nicht von deren Scanner erkannt wurde. Statt das dieses Sample analysiert und in deren Datenbank aufgenommen wurde, hat Sophos aus irgend einem Grund von selbst ein Support Ticket eröffnet.
Mir liegt der Mail-Verkehr des Sophos-Supports vor, die auf die Einreichung des Malware-Samples mit der Eröffnung eines Tickets reagierten, aber nichts weiter unternahmen.
Hi Michael,
Submitted file is malicious ppt file
PPT file having macro which try to connect urlDetection add " Troj/PptDl-IQ"
Detection will publish in next alertThank you for contacting Sophos.
Erst nachdem Michael mehrfach nachhakte, kam dann irgendwann obige Mail, in der anerkannt wurde , dass es sich um ein schädliches PowerPoint-Dokument mit einem Trojaner handelt. Dazu schrieb mir Michael:
Schlussendlich hat es fast eine Woche gedauert, bis diese Malware dann vom Sophos Scanner erkannt wurde.
Eine sehr lange Zeit wie ich finde, denn heute kann sich Malware ja rasend schnell verbreiten und viel Schaden anrichten, wenn diese nicht von den entsprechenden Antiviren Programmen erkannt wird.
Damals hat mir Sophos erklärt („due to an internal issue, submission team was not able to accept samples from their end."), dass es einen internen Fehler gab und deswegen das Sample nicht verarbeitet wurde. So weit so gut, Fehler passieren und wenn diese gefixt werden und das Problem in Zukunft nicht mehr auftritt dann ist ja alles in Ordnung.
Doch leider scheint dies nach wie vor der Fall zu sein, denn am Montag dieser Woche hatte ich erneut zwei Samples mit potentieller Malware an Sophos übermittelt, welche bis heute (Donnerstag) noch nicht von Sophos analysiert wurde.
Auf das alte Support Ticket kann man nicht antworten (Warum wird dieses eigentlich nicht einfach automatisch wieder geöffnet?) und ein neues via support@sophos.com zu eröffnen ist ebenfalls nicht möglich.
In dem ersten automatischen Antwort-Email werde auf verwiesen, doch dort kann ich mich nicht anmelden, obwohl ich als Sophos Kunde einen Sophos Account habe. Ich musste mich dort dann neu registrierten und warte nun seit dem darauf, dass mich jemand freischaltet.
Im Moment habe ich also keine Möglichkeit eine schriftliche Anfrage an Sophos zu richten. Eigentlich sollte Sophos froh sein, wenn ein aufmerksamer Admin ihnen gefährliche Samples übermittelt und diese so schnell als möglich analysieren und in ihre Datenbank aufnehmen. Stattdessen machen sie es einem zusätzlich auch noch besonders schwer mit Sophos in Kontakt zu treten.
Selbst der frei Antiviren Scanner von Microsoft erkennt diese beiden Files (hier und hier) inzwischen schon. Ich frage mich wirklich, was eine „professionelle" Antiviren Lösung, welche ja gar nicht so wenig Geld kostet, für einen Vorteil, abgesehen von der zentralen Verwaltung, gegenüber dem Scanner von Microsoft hat.
Michael meint dazu: Dass deren Support nicht einfach via E-Mail erreichbar ist und man dort seinen Unmut dann nicht kundtun kann frustet einen besonders. Danke an Michael für die Information. Frage in die Runde: Gibt es ähnliche Erfahrungen?
Anzeige
Anzeige
Es gibt sicherlich genügend negative Beispiele für so ein Verhalten. Im Normalfall hilft nichts, man sollte nur für das Unternehmen die Reißleine ziehen und zu einem anderen Hersteller wechseln. Bei der Frage nach dem warum, dann diese Fehler angeben.
Oder per Twitter kommunizieren, sehr häufig hilft das auch, da ja dann alles public ist.
BTW: Ganz schlimm ist auch immer die Aussage: Bitte schicken Sie uns die und die und die Logfiles. 2 Tage später will man dann doch aufs System schauen.
Ich habe es zumindest versucht über Twitter zu lösen, dass ich nicht einmal eine Support Anfrage stellen kann, aber bis heute noch keine Lösung.
https://twitter.com/michaeluray/status/1473913292984881153
Inzwischen wird zumindest eines der beiden Samples von Sophos erkannt, aber vermutlich nicht durch meine eingesendeten Samples, da diese wohl nie analysiert wurde. Früher einmal erhielt ich hier meist bereits nach wenigen Stunden die Rückmeldung, mit dem Ergebnis der Analyse und dann wurden diese Dateien auch kurze Zeit später vom Scanner erkannt.
Ich meine, ganz ehrlich, wer noch Sophos Produkte einsetzt sollte dieses wirklich überdenken. Man kann zu den Produkten an sich – was Qualität und Funktionen angeht ja durchaus geteilter Meinung sein – aber der Support bei Sophos ist seit Jahren einfach unterirdisch – man kann schon fast sagen: kaum existent – und es ist keine Besserung in Sicht – eher das Gegenteil.
Ich kann zig Geschichten über den unfassbar schlechten Sophos Support berichten – das ist schon massiv geschäftsschädigend!
Früher konnte man sich ggfls. noch an die Distributoren wenden – da kommt man aber auch nicht mehr weiter – die machen ja auch nur noch ein Ticket bei Sophos auf, verwalten dieses dann nur noch stellvertretend und dann ist der Prozess identisch: es geschieht so gut wie nichts.
Seit der Übernahme merkt man IMHO auch, dass hier massive Investmentinteressen im Vordergrund stehen – Gewinn geht hier eindeutig vor Leistung.
Wenn man ein echtes Problem mit einem Sophos Produkt hat und dieses selbst nicht lösen kann sollten Gläubige eher zur Bibel anstatt zur Sophos Hotline greifen – alle anderen migrieren bitte auf einen anderen Hersteller – ok, da ist auch nicht alles Gold was glänzt – aber schlechter als Sophos ist wirklich kein anderer Brand A Hersteller….;-)
Was würdest du als Alternative zu Sophos sehen?
"Ich hatte 2012-10-19 ein Virus Sample an Sophos geschickt" – ist ja wohl schon etwas länger her ;-)
Jetzt ist es noch länger her "Ich hatte 2012-10-19 ein Virus Sample …" ;)
Hier handelt es sich um einen Tippfehler, ich hatte 2021-10-19 gemeint, also vor knapp zwei Monaten.
Vielleicht kann Günter dies ja gleich im Artikel richtig stellen.
Sorry, mir ist das durchgerutscht – war ein Zahlendreher – sollte 2021 statt 2012 heißen – siehe auch die weiteren Kommentare.
Ich dachte Sophos ist wie alle anderen AV und "Sicherheitssoftwarehersteller" bei Virustotal dabei und bekommt darüber (auch) ihre Samples. Warum dauert das dann so lange bzw. fügt man die Samples händisch hinzu?
Ich habe bisher angenommen, dass diese Dateien einfach nur durch die Scanner aller Hersteller geschickt werden und dem User das Ergebnis gezeigt wird.
Schickt Virustotal denn die hochgeladenen Samples an die Antiviren Hersteller zur internen Analyse?
Ja man merkt, dass Sophos irgendwie immer weiter nach lässt. Verhält sich ähnlich wie KabelBW -> Unitymedia -> Vodafone, aber anderes Thema……
Unter Astaro war die Welt noch in Ordnung, jetzt aber merkt man wie es irgendwie gefühlt bergab geht. Support ist teilweise unbrauchbar und lässt sich viel Zeit. Dann gibt es wieder so Momente, da ist er mal wieder extrem gut. Ein sehr zweischneidiges Schwert. Samples musste ich noch nie einsenden, da haben wir GData, die in dieser Hinsicht sehr schnell reagieren. Die Webseite und Anmeldungen bei Sophos sind ein Graus. Webseite ist so langsam als würde sie auf einem Toaster laufen und unübersichtlich ist sie noch dazu. Ganz zu schweigen von der Einbindung der Sophos Firewall in die Cloudoberfläche und fehlenden Features in der Firewall, aber auch wieder anderes Thema……
Also nein ich kann das mit den Samples nicht nachvollziehen (einfach weil ich noch nie was einsenden musste), aber ja der Support ist teilweise verheerend.
Wir hatten vor einigen Wochen einen ziemlich schwerwiegenden Bug auf einer XG430. Die XG hat sich nach der Konfiguration eines NATs nach einigen Tagen abgeschossen. Unsere Analysen haben gezeigt, dass der Arbeitsspeicher voll läuft. Nach jedem Abschuss der XG mussten wir das Backup ohne das NAT zurücksichern, weil die XG nicht mehr hochgefahren ist. Das haben wir wirklich fast 3 Wochen versucht dem Support zu erklären. Der Sophos Support ist mittlerweile so hochnäsig, dass und zwischen den Zeilen scheinbar unterstellt wurde, dass der Fehler zu 100% bei uns liegt. Das ist wirklich anstrengend. Das Problem hatte sich mit dem neusten Patch dann glücklicherweise erledigt. Zufrieden sind wir mit dem Support echt nicht…
Ich sage Supportern immer, wissen sie wenn der Fehler bei mir/uns liegt, dann können Sie mir die Zeit für den Supportfall hinterher in Rechnung stellen, das kostet mein Unternehmen weitaus weniger als entsprechende Probleme. Ich schicke das gerne noch an Ihren Vorgesetzten per E-Mail, geben Sie mir die kurz.
Manche sind natürlich zu stumpf, andere merken das man einfach nur eine Lösung sucht und machen einen vernünftigen Job.
Ich kam von einem TrendMicro-Produkt für SMB ohne Support-Portalmöglichkeit. Dann wechselte ich zu Sophos dank derer (echt guten) Evangelisten. Bei Sophos gibt es auch ein Support-Portal – yesss!
Dann hab ich (die mittlerweilen wechselnden) "Support"-Portale erlebt….
So schnell kann man (innerhalb weniger Jahre) enttäuscht werden. Kann das Erlebnis von "Michael" nur bestätigen und hab noch viele weitere Enttäuschungen mit dem "Support".
Wir haben Sophos eigentlich seit etwa 20 Jahren im Einsatz und waren bisher auch immer recht zufrieden.
Das Verhalten von Sophos scheint sich hier wirklich erst in den letzten Jahren verschlechtert zu haben.
Vielleicht liegt es ja auch daran?
"Bis 2020 gehörte Sophos mehrheitlich dem Beteiligungsunternehmen Apax Partners.[2] Die Aktien des Unternehmens wurden bis zum 2. März 2020 an der Londoner Börse gehandelt. Seitdem gehört es zu 100 % der Beteiligungsfirma Thoma Bravo."
Seitdem Sophos den Support (vor allem für ex-Astaro) fast vollständig nach Indien verlagert hat, merkt man bei jedem Ticket, dass es nur darum geht, es so schnell wie möglich wieder zu schließen. Die Supporter*innen müssen dort wohl eine bestimmte Quote abarbeiten, um nicht in Ungnade zu fallen.
Das führt dazu, dass vieles nicht einmal oberflächlich untersucht wird und der Kunde quasi auf sich alleine gestellt ist. Einige Produkte scheinen dem Support überhaupt unbekannt zu sein – es gibt jedenfalls keine kompetenten Ansprechpartner*innen.
Sehr, sehr schade, da mit Astaro damals wirklich erstklassige Produkte ins Portfolio kamen.
Hallo TP
seit einem guten 3/4-Jahr laufen unsere Tickets wieder über Irland.
Das scheint also schon umgestellt worden zu sein?!
Ich verstehe aber nicht deinen generellen IT-aus-Indien Rassissmus im Kommentar. Wir haben auch andere Hersteller (IBM, Cisco,…) die guten Support aus den "Silicon Valleys" Indiens heraus anbieten.
Gruß
Serkan
Hallo Serkan,
ich habe ähnliche Erfahrungen mit indischem Support gemacht, der in Oberbayern den 1st u. 2nd Level Support einer großen Chemiefirma übernommen hat.
Die haben viele Stunden runtergerissen und waren stets bemüht, aber alles was die machen konnten, war Standardlösungen für Standardprobleme liefern. Alles streng nach Baukastenprinzip. Da keiner von denen Deutsch sprechen konnte, haben sie viele Tickets nicht oder falsch verstanden.
Schlechter lief es nur mit dem bulgarischen Support, der ebenfalls über die indische Firma lief. Da hatten viele schon Probleme mit Englisch.
Ganz kafkaesk wurde es dann immer, wenn die Bulgaren dann Telefonsupport gemacht haben. In der Produktion von so einem Chemiegiganten in Oberbayern gibt es nunmal auch nicht wenige Leute, die ausschließlich bayerisch reden.
Aber war halt billiger.
Schöne Grüße
Horst
Wir haben so ziemlich jeden Hersteller bei uns im Einsatz. Über die Kante gebrochen sind alle etwa gleich. Proofpoint spielt zB während dem Tag Hotfixes ein und legt ganze Umgebungen lahm. Trend liefert sehr selten Updates aus, weil sie als nicht Börsen Kotiertes Unternehmen nicht Wachsen müssen aber hinterlässt trotzdem einen Nachgeschmack. Symantec/Broadcom patzt häufig in der Sicherheit mit ihren Produkten und support fordert häufig unnötige Logs ein und teilweise sehr langsam. Aber auch bei Open Source mit support Vertrag ist es ab und an sehr Mühsam zu beweisen, dass es ein Big und nicht Konfigfehler ist…
Was zumal auffällt, dass der Support das x-fache vom Produkt kostet aber die Leistung nicht stimmt. Obwohl die Hersteller ja primär dadurch verdienen.
Alles in allem sind die Verträge nur dazu da die SLA verstösse weiter zu schieben und nicht den Kunden schnell zu helfen.
Jetzt muss ich mich Jens und Norman einmal anschließen: reden wir hier tatsächlich über einen Fall und einer Kommunikation mit dem Sophos Support aus dem Jahr 2012?
Sorry, hier handelt es sich um einen Tippfehler. Ich hatte eigentlich 2021-10-19 gemeint, also vor knapp zwei Monaten.
Vielleicht kann Günter dies ja gleich im Artikel richtig stellen.
Ich habe es korrigiert. Danke.
Ich bin etwas überrascht, dass so ein Beitrag hier geteilt wird. Wir sind nun im Jahr 2021(22?) angekommen und kaum ein IT Security Hersteller verwendet noch "Signaturen". Genau das wird doch hier beschrieben, oder? Signaturen, die nicht "aktuell" waren und eine (vermeintliche?) Bedrohung nicht erkannt haben. Ich hab mal bei Sophos auf der Website geschaut:
Alleine diese Zahlen sollten wohl klar stellen, dass Dateien in diesem Jahrhundert nicht mehr per Submission aufgenommen werden, sondern per Machine Learning, Sandbox Technologien und anderen Techniken erkannt und blockiert werden. Das Katz&Maus Spiel der Signaturen ist outdated.
Daher wundert es mich, dass diese Datei überhaupt bei diesem Kunden gelandet ist. Welche Lösungen setzt der Kollege den ein? Setzt diese noch auf Signaturen? Wenn ja, sollte hier schleunigst gehandelt werden.
Und das gilt wohl nicht für Sophos alleine. Alle anderen "Next Generation" Hersteller haben bereits verstanden, dass eine signaturbasierte Analyse alleine nicht hilft.
Wenn so eine Datei durch "alle" Instanzen vom Kunden gelangt sind und beim User auf dem "Desktop" sind, würden bei mir alle Alarme angehen. Das hat mit Sophos oder jedem weiteren Security Hersteller nicht viel zu tun. Da stimmt das Konzept wohl nicht?
Denn nun kommt der springende Punkt: Wenn Sophos nun diese eine Signatur gepflegt hat, ist es für den Angreifer leicht, das Angriffverhalten zu ändern und direkt den nächsten Angriff zu starten. Sophos (bzw. jeder andere signaturbasierte Hersteller) muss dann wieder nachziehen etc.
Daher: Sandbox Technologien, Machine Learning und andere Technologien davor schalten.
Wenn es Ransomware ist, kann ein Endpoint das auch nach Ausführung abwehren mit Verhaltensanalyse etc.
Du bist imho auf dem Holzweg. Ein Admin erkennt eine Malware, stellt fest, dass die Sophos-Produkte das nicht erkennen (warum, muss erst einmal nicht interessieren). Also meldet er die Malware mit Sample an den Hersteller. Wenn dieser das Sample zeitnah analysiert und die Rückmeldung gibt "kein Problem, unsere Verhaltensanalyse eliminiert die Malware mit Sicherheit bei der Ausführung" ist alles gut.
Im aktuellen Fall sieht es aber nicht so aus – und offen gesagt: Als Administrator möchte ich mich nicht dem Test "erkennt die Verhaltensanalyse den Schädling in meinem Netzwerk" aussetzen müssen …
Und genau das ist der Kern, warum mich der Leser kontaktiert hat und warum ich das Beispiel hier teile. Die Diskussion zeigt mir, dass da offenbar ein wunder Punkt angesprochen wird.
Danke Günter für deine Einschätzung. Jedoch würde ich dir doch vehement widersprechen. Deine Antwort hat einige prinzipelle Probleme:
1. Woher weiß ein Administrator, dass die Datei Malware (Ein potentieller Angriff) ist?
2.Die Datei ist bereits im Netzwerk (Festplatte), woher weiß der Administrator, dass diese Datei nicht bereits ausgeführt wurde? bzw. der Angreifer bereits im Netzwerk ist?
3. Woher wissen wir in diesem Beispiel, dass die gemeldete Datei bereits analysiert wurde (von Automatismen) und "nur" keine Rückmeldung erfolgt ist? Da gebe ich dir Recht, das hätte Sophos besser machen können.
4. Eine Submission kann doch niemals Real Time sein? Bei CyberSecurity dreht sich jedoch alles um "Real time" und "Response Time". Wenn eine Datei auf einem Fileserver liegt, dauert es nur wenige Minuten/Sekunden, bis jemand drauf klickt. Da arbeite ich doch nicht mit Submissions? Bis der Administrator die Datei entdeckt, bis er denkt "Das könnte doch Malware sein?" und bis er es hochgeladen hat UND der Hersteller antwortet, vergehen doch "Jahre in der IT Security Branche".
Ich bin gerade mal auf die Website von Sophos gegangen. Sophos bietet ein Interface für direkte Analyse sogar an: Dort hätte man direkt die Datei schicken können für einen Report (Zumindest nennt es Sophos so). Das hat wahrscheinlich der Administrator nicht gemacht – Nehme ich mal an. Das wäre eine "Real Time Response", zumindest aus Sicht des Administrators, wenn er die Datei lokalisiert hat.
Jedoch sehe ich das Problem in dem ganzen Prozess. Warum ist die Datei überhaupt dort? Wie kam Sie dort hin? Wird bei diesem Thema nur mit Signaturen gearbeitet? Das halte ich für einen Fehler.
Ich möchte Sophos hier nicht verteidigen. Ich finde es nur irgendwie unfair. Du kannst Sophos mit nahezu jedem Hersteller jeder Branche austauschen und wirst negativ Beispiele finden.
Ich beziehe mich hier eher um den IT Security Aspekt, weil ich es "grob fahrlässig" finde, wie in diesem Beispiel gearbeitet wird. Aber scheinbar bin ich da alleine. Bei den Incidence Responses, die ich stellenweise mitbekomme, sind genau das die Probleme. Konzepte, die keine "State of the Art" mehr sind (und vielleicht auch nie waren).
Aber der Hersteller muss dem Administrator doch zeitnah eine Rückmeldung geben können. Dateien mit Malware, welche von Virenscannern nicht erkannt werden haben wir quasi täglich.
Diese werden bei E-Mails auf Grund ihres MIME-Typs oder anderer Eigenschaften wie "Datei mit Makros" oder "verschlüsseltes Archiv" automatisch abgekoppelt.
Erst vor Weihnachten haben wir wieder eine HTML-Datei in der Quarantäne gehabt, welche die in Base64 codierte Payload per Javascript aus der HTML gespeichert hätte, wenn der User den Link geklickt hätte.
Weder der Virenscanner Avira auf dem Mailgate noch Panda AD 360 auf dem Client haben die Datei zu diesem Zeitpunkt als Bedrohung erkannt. Bei Virustotal hat ein Programm nach dem Upload angeschlagen (von über 60).
Natürlich können und möchten wir in unserer Produktivumgebung nicht testen ob das Speichern der Base64 codierten Payload-Datei zu einer Reaktion führt.
Es hinterlässt aber auch kein gutes Gefühl eine Malware zunächst starten zu müssen, um dann auf die Verhaltenserkennung zu hoffen.
Aus diesen Gründen haben wir inzwischen Whitelisting auf allen Clients aktiv. Es können nur noch Programme von einer Liste gutartiger Applikationen gestartet werden.
Jedes unbekannte Programm, jede unbekannte DLL wird zunächst geblockt und beim AV-Hersteller analysiert. Erst wenn diese dort als Goodware klassifiziert wurde kann ein Client die Datei starten.
Würde das so lange dauern wie oben beschrieben, dann wäre das echt ein Problem. Bisher waren die Fälle welche wird mit Panda hatten (gehört zu Watchguard) immer innerhalb von Stunden erledigt. Auch bei persönlichem Kontakt mit dem Support.
Gruß Singlethreaded
"1. Woher weiß ein Administrator, dass die Datei Malware (Ein potentieller Angriff) ist?"
Eine Excel Datei welchen folgenden Inhalt zeigt sowie entsprechende Makros inkludiert hat wird wohl auch von ungeübten Admins als potentiell gefährlich eingestuft. Dafür muss man kein Malware Analyst sein.
https://i.imgur.com/pYfVfjR.png
"2.Die Datei ist bereits im Netzwerk (Festplatte), woher weiß der Administrator, dass diese Datei nicht bereits ausgeführt wurde? bzw. der Angreifer bereits im Netzwerk ist?"
Unsere User sind alle recht sensibilisiert was Anhänge von E-Mails angeht und übermitteln mir diese ohne sie zuvor zu öffnen zur Kontrolle sobald auch nur irgendwie der Verdacht besteht, dass irgendetwas nicht passen könnte.
In diesem Fall lief das so ab:
"Guten Morgen Michi,
gibt es eine Möglichkeit den Link auf Viren zu prüfen?
Ich hatte mit denen vor knapp 3 Jahren zwar Kontakt, bin trotzdem nicht 100% überzeugt."
Das E-Mail war wirklich die Antwort auf eine alte Nachricht (ich vermute der Absender wurde kompromittiert), doch dem User ist das trotzdem seltsam vorgekommen.
Meines Erachtens ist es nach wie vor sehr wichtig die Anwender auf solche Dinge zu sensibilisieren.
"3. Woher wissen wir in diesem Beispiel, dass die gemeldete Datei bereits analysiert wurde (von Automatismen) und "nur" keine Rückmeldung erfolgt ist?"
Auf frühere Einsendungen gab es immer zeitnah (meist innerhalb weniger Stunden) eine Rückmeldung mit dem Analyse-Ergebnis und kurz danach wurden die Dateien auch von deren Scannern erkannt. Hier in diesem Fall wurden die Dateien auch nach mehreren Tagen noch nicht detektiert und dies jetzt schon zum zweiten Mal.
"4. Eine Submission kann doch niemals Real Time sein? Bei CyberSecurity dreht sich jedoch alles um "Real time" und "Response Time". "
Nein, aber sie kann in einem akzeptablen Zeitraum analysiert und aufgenommen werden.
Hallo Herr Uray,
wir schauen uns gerade den bemängelten Submission Case an (04529948, openend 19.10, closed 28.10)
"Hier in diesem Fall wurden die Dateien auch nach mehreren Tagen noch nicht detektiert und dies jetzt schon zum zweiten Mal"
Hier haben wir keinen entsprechenden Vorgang gefunden…könnten Sie uns den/die Case(s) dazu auch noch nennen?
Gruß vom
Sophos Customer Advocacy Team
@Sophos CustomerCare
Die Sache ist die, es gibt eben keinen Case, da es mir nicht möglich war einen zu eröffnen.
Auf meine eingesendeten Samples habe ich bis heute noch keine Rückmeldung erhalten und es wurde auch kein Case (zumindest wie beim letzten Mal) angelegt.
Hier wurden die beiden Samples übermittelt:
https://i.imgur.com/jlCBrFi.png
Eine E-Mail Bestätigung für die Freischaltung meines Support Accounts habe ich nie erhalten. Dieser ist inzwischen aber anscheinend schon freigeschaltet geworden, ich vermute durch die Interaktion des Twitter Teams.
Ich verstehe nicht, warum ich als bestehender Kunde überhaupt auf eine gesonderte Freischaltung des Support Bereiches warten muss.
Warum muss man diesen umständlichen Weg über das Support Portal gehen und kann nicht einfach via support@sophos.com einen Case eröffnen, so wie dies auch früher möglich war?
Ebenso verstehe ich nicht, warum geschlossene Tickets nicht einfach wieder geöffnet werden, sollte noch einmal darauf geantwortet werden.
Jetzt nach über zwei Wochen werden beide Sample von Sophos erkannt, vermutlich aber nicht durch meine beiden Einsendungen welche wohl nie analysiert wurden.
"… und kaum ein IT Security Hersteller verwendet noch 'Signaturen'. "
Bitte eine Quelle dazu, denn meinem Verständnis nach ist dies immer noch die schnellste Methode um Dateien zu erkennen und erste wenn diese nicht durch die Signaturen erkannt werden, dann kommen weitere langsamere Verfahren (Heuristik, SandBox, Verhaltensanalyse…) zum Einsatz.
Doch auch all diese genannten Verfahren werden nie einen 100% Schutz garantieren können, da ja auch die Malware Hersteller immer versuchen Lösungen zu finden um diese zu umgehen.
Das hier eingesetzte Produkt ist übrigens "SOPHOS Central Intercept X Advanced".
Die Next Generation Hersteller verwenden keine Signaturen mehr bzw. haben dieses Pferd längst schon beiseite gelegt.
https://www.crowdstrike.com/press-releases/crowdstrikes-machine-learning-engine-becomes-first-signature-less-engine-integrated-virustotal/#:~:text=Another%20key%20unique%20feature%20of,the%20antivirus%20(AV)%20industry.
https://www.cybereason.com/blog/as-signature-detection-wanes-behavior-analysis-takes-over
https://dotnet.microsoft.com/en-us/apps/machinelearning-ai/ml-dotnet/customers/microsoft-defender
Auch Sophos wechselt (scheinbar?) fleißig im Hintergrund die Engine.
Signaturen sind bei weiten "das langsamste" was du machen kannst. Verhaltensanalyse und Machine Learning ist in dieser Welt die Zukunft.
Wenn ich dein Produkt von Sophos richtig verstehe, hast du auch bereits ML und andere Dinge im Produkt selbst. Jedoch beantwortet das nicht die Fragen von oben. Sophos führt scheinbar keine Sandbox auf dem Endpoint aus, daher ist die Frage, wie kam die File dort hin?
Ich würde dir empfehlen, die Datei oder den String von dir mal an dieses Tool zu schicken ) Vielleicht ist das der bessere Prozess für dich (anstatt eine Malware Submission zu tätigen).
Jedoch würde ich weiterhin überdenken, wie diese File dort landet. Das Konzept scheint (?) bei dir/euch zu funktionieren, jedoch wird es immer (?) helfen?
Kann auch ein Lied vom Sophos Support singen, Inline-PGP-Decryption schlug fehl, lange Zeit den Fehler nicht erkannt.
Der Support hat insgesamt 9 Monate gebraucht, um eine Brauchbare Antwort rauszuhauen. Ich habe zwischenzeitlich das Ticket auch schon fast vergessen, da wir eine andere Lösung für PGP eingesetzt haben.
Mit jedem nachhaken wurde mir ein Anruf in den nächsten Tagen versprochen, der nie Stattgefunden hatte.
Erst zum schluss hatte ich tatsächlich einen SUpporter am Ohr, der sich auch um eine Lösung bemüht hat.
Stellte sich heraus, dass die Mail als HTML-Mail verschickt wurde und somit Inline PGP nicht decrypted werden kann. Für so einen banalen Fehler 9 Monate zu brauchen ist echt krank.
Vorallem wurde mir zwischendurch versprochen, dass es mit dem "neuen Supportportal" besser laufen würde. Als dieses neue Portal online ging, war das Ticket 5 Monate alt…..
Ich kann dir mit dem Support Erlebnis beipflichten. Wir hatten das Problem auf der XG das egal was man einstellte, eine HTTPs Session aufgebrochen wurde und somit nicht mehr für die Software brauchbar war (die überprüfte das Zertifikat) – Sophos hat dann nach ca. 2 Monaten den Fehler bestätigt und nach 1 Jahr (trotz mehrfacher Nachfrage und Vertröstungen) endlich behoben.
Das geht einfach auf einem gut bezahltem Security Produkt so nicht. Folge war – ein "Beipass" für die betroffene Software bauen – oder HTTPs Security aussetzen.
Kurzes Update:
Ich habe ja jetzt inzwischen durch Hilfe des Twitter Teams Zugang zum Sophos Support Portal bekommen und habe dort auch ein Ticket eröffnen können bzgl. der nicht verarbeiteten Samples.
Der Support hat mir mitgeteilt, dass jedes Sample automatisch mit einer Antwort E-Mail und einer Case ID bestätigt wird. Sollte diese automatische Antwort nicht kommen, dann wurde das Sample aus irgend einem Grund nicht ordnungsgemäß eingereicht.
Ein von mir übermitteltes Test-Sample hat nun dieses Antwort E-Mail bzw. die Case ID generiert.
Ich werde das Verhalten hier weiter beobachten.
Hallo,
von mir auch noch mal eine kleine Erfahrung:
Vor 14 Tagen zwei *.xlsb-Dateien (offenbar mit Qakbot bestückt) über das Sophos Sample Formular eingereicht und eine autom. Antwort bekommen. Dateien wurden zum Zeitpunkt nicht durch Sophos erkannt.
Jetzt nach 14 Tagen mal nachgefragt wie es denn um ein Feedback steht, da die Tickets immer noch offen waren und unangetastet (Support Portal).
Support antwortet mir es wären keine Anlagen angekommen. Ihc möge die Dateien erneut einreichen.
Man kann das Sample Formular aber auch gar nicht ohne Datei absenden. Da ich Samples dort seit über 10 Jahren einsende, bin ich mir da schon relativ sicher – hatte bisher auch immer problemlos funktioniert. Die Samples sind auch definitv angekommen, da ich die Erkennung ca. einige Stunden später u.a. mit Virustotal durch Sophos verifizieren konnte.
Nach rund 10 E-Mails mit dem Support habe ich jetzt aufgegeben. Schade.
Abgesehen davon, dass man den Senden Button einfach gar nicht klicken kann (es kommte keine Meldung, es tut sich einfach nichts) wenn man ein Sample einreicht und kein Anhang enthalten ist, warum gibt es dann nicht gleich eine Rückfrage von Sophos falls wirklich nichts übermittelt wurde?
Ich habe gerade eine noch unerkannte Datei bei Sophos eingereicht, mal sehen wie lange es diesmal dauert.
https://www.virustotal.com/gui/file/c2227c6b162967bdb1938278018dbe8fa1c1c5d074caa2d0fb514635dd1fb0bc
Eine Ticket-Bestätigung für meine Einsendung habe ich bereits erhalten.
Was ich eigentlich nicht verstehe, laut Virus Total ist diese Datei bei Microsoft schon seit mehr als 3 Std. als " Trojan:Win32/Wacatac.B!ml" bekannt, allerdings kommt die Datei immer noch im O365 unerkannt durch bis zu den Userpostfächern, ich habe es gerade getestet.
Warum dauert es bei MS so lange dies auf ihren O365 Scannern zu aktualisieren?
Gmail lehnt das File übrigens schon ab:
"Remote Server returned '552-5.7.0 This message was blocked because its content presents a potential 552-5.7.0 security issue."
Sophos hatte das File schon kurz nach meiner Übermittlung erkannt, eventuell sogar schon kurz davor, denn ich hatte übersehen eine neue Überprüfung auf Virustotal zu starten um das File neu zu installieren.
Der Support hatte sich diesmal gemeldet, auch wenn die Kommunikation etwas mühsam war.
Sophos empfiehlt Sample vor Einsendung mit Intelix zu prüfen, allerdings ist es lt. deren Aussagen auch nichts anderes als wenn es der Endpoint Client erkennt.
https://www.sophos.com/de-de/labs/intelix
Es steckt also keine besondere erweiterte Inteligenz, es ist einfach nur eine Prüfung ob das jeweilge File von Sophos erkannt wird oder eben nicht.
Bei der Sophos Anmeldung muss man seit einiger Zeit jetzt zuerst den Benutzer eingeben, diesen dann bestätigen und dann dasselbe noch einmal mit dem Passwort.
Früher einmal ging dies alles über eine Seite und man musste diese nicht doppelt machen.
Ich wollte mal sehen was der Support dazu zu sagen hat, denn ich sehe null-Nutzen in diesem Redesign, nur weitere unnötige Klicks bei der Anmeldung.
"Some time ago the login fields on the Sopos Central login website were shown on one page, but now you have to enter at first the e-mail address, then you have to hit "Login" after that you are able to enter your password and you have to hit again "Login". Why did you split up the input of the username and the password into to separte steps/websites? I don't see any benefit in it and it just inconvenient, also if you use password manager plugins in the browser. I think in general has the usabillity a lot of room to improve."
Beim eröffnen des Tickets ist mir dann noch aufgefallen, dass man nicht einmal Anhänge mit übermitteln kann, auch hier habe ich dann gleich nachgefragt:
"Why is it actually not possible to add any attachements (screenshots in this case) to this ticket?"
Die Antwort von Sophos kam dann zwar, aber es hieß mehr oder weniger, "es ist jetzt ebenso" und ich kann Ideen unter folgendem Link einbringen. Auf den fehlen Upload von Anhängen wurde gar nicht eingegangen, aber ich vermute es wäre dieselbe Antwort gewesen.
"We would like to have you informed it is by design and we did few changes to UI recently and this is one of them its designed as per feasibility
If you want to share your inputs on it you can update it on
Your ideas and suggestions can be viewed at the backend if feasible it might be considered."
Ich habe daraufhin 3 Ideen am 06.05.2022 eingereicht, doch bis heute hat sich hier überhaupt nichts getan.
https://i.imgur.com/rzstD1G.png
Ich fürchte es war umsonst, dass ich hier überhaupt etwas geschrieben habe.
Wie erwartet war es verschwendete Zeit Sophos irgendwelche Verbessungen vorzuschlagen.
Inzwischen haben sie die User-Feedback Seite ganz geschlossen, damit sind dann wohl auch alle User-Wünsche verschwunden, ebenso wie dies damals bei Microsoft war, als sie Uservoice abgedreht haben.
Eine Rückmeldung zu meinen Verbesserungsvorschlägen gab es ohnehin nie.
Ein ehrliches Interesse an der Nutzer-Erfahrung dürfte es bei den meisten Konzernen wohl nicht geben.
Retirement of Sophos Ideas for Feature Requests
Ich habe heute um 10:00 erneut ein Sample eingereicht, welches auch mit einem Ticket bestätigt wurde.
Zeitgleich mit der Einreichung hab ich es auch auf https://intelix.sophos.com/ hochgeladen und dort wird es als "suspicious" bzw. auch als "malicious" erkannt.
Trotzdem wird es jetzt 8 Stunden später noch immer nicht vom Endpoint Client erkannt.
https://i.imgur.com/xjv1GpG.png
Es ist schon erschreckend wie lange es braucht, bis eingereichte und auch bereits von deren Intelix System als kritisch eingestuft Dateien übernommen werden.
Der freie Microsoft Scanner erkennt es schon seit heute in der Früh:
https://www.virustotal.com/gui/file/d41b8ca87667587cb01315d5623c559c4824b00d8599caf4a67258d842767188?nocache=1
Heute um 07:40 habe ich von Sophos die Meldung erhalten, dass das File ab jetzt erkannt wird.
Es hat also fast einen Tag gedauert, bis ein eingesendetes Sample übernommen wurde. Das ist recht lang wie ich finde, inzwischen hätte dieser Trojaner schon reichlich Schaden bei Sophos Kunden verursachen können.
Aus irgend einem Grund wird die Datei allerdings vom Endpoint Client bis jetzt noch nicht erkannt.
https://i.imgur.com/HByOQLN.png
Für was zahle ich Sophos eigentlich so viel?
Nachdem die Datei auch danach weiterhin noch nicht erkannt wurde, habe ich noch einmal den Support kontaktiert, welcher sich dann auch via Fernwartung auf meinen PC verbunden hat und dort dann nur dasselbe feststellen konnte.
Es wurde mir dann mitgeteilt, dass er sich wieder an sein Lab wenden müsse und sich dann wieder bei mir melden würde, was bis heute nicht geschehen ist.
Ich habe jetzt gerade noch einmal den Virustotal Scan aktualisiert welcher bis vor wenigen Stunden noch keine Erkennung von Sophos angezeigt hatte und jetzt erkennt er die Datei auf einmal.
Es hat jetzt in Summe also 3 Tage gedauert bis ein eingesandtes gefährliches Sample von Sophos übernommen wurde und Sophos seinen Kunden Schutz bietet.
Nach 20 Jahren Sophos überlege ich jetzt wirklich das erste Mal die Lizenz nach deren Ablauf nicht mehr weiter zu verlängern.