Hallo zusammen,
wir haben eine Sophos UTM (HA-Appliance) mit (testweise) aktiviertem "Sandstorm".
Die Idee dahinter ist das files die der Kiste suspekt sind (die per eMail kommen oder aus dem Netz geladen werden) in eine Sandbox-Cloud von Sophos hochgeladen und dann dort ausgeführt werden. In der Umgebung wird dann angeblich noch die Zeit schnell vorgedreht um Malware zu erkennen die erst nach ein paar Tagen aktiv wird.
Das Ding "arbeitet" (Das Protokoll sagt es hätte schon was überprüft)
Wir haben dann einmal eine Word-Datei gebastelt in der ein AutoOpen-Makro sitzt welches beim öffnen der Datei ohne Rückfrage das Verzeichnis "c:\" (noch ohne Unterverzeichnisse) löscht.
Die Datei wurde von der UTM in die Cloud geladen und wurde nach ca 4 Minuten als "Ungefährlich" freigegeben......
Soweit mal ohne Kommentar.
Hat da noch jemand Erfahrungen mit gemacht ?
Gruss
t-m-k