Was haben Garmin, Canon, Stadler, LG, Xerox, das Kammergericht Berlin, Orange und viele andere Firmen und Organisationen gemeinsam?

Richtig, alle haben sich in den letzten Wochen sogenannte Ransomware eingefangen. Diese Malware verschlüsselt oder stiehlt Firmendaten. Die Drahtzieher bieten dann den kostenpflichtigen „Service“ an, die Daten wieder zu entschlüsseln oder die gestohlenen Daten nicht zu veröffentlichen. Ein bekannter Vertreter von an solchen Angriffen beteiligter Malware ist Emotet. Dieser wird in den letzten Wochen nach einer vorübergehenden „Flaute“ wieder in grossem Stil verbreitet:

Quelle: https://urlhaus.abuse.ch/browse/tag/emotet/, abgerufen am 11.08.20

Wann trifft es mich? Wie kann ich mich gegen solche Vorfälle schützen?

Im einfachsten und häufigsten Fall gelangt die Malware per Mail in die Firma: Durch authentisch wirkende Mails sollen die Empfänger dazu gebracht werden, auf Links zu klicken oder ein angehängtes Attachment zu öffnen.

Die offensichtlichsten und auch sehr effizienten Schutzmassnahmen gegen Phishing Mails sind das Blockieren von potentiell gefährlichen Mailanhängen, ein guter URL Filter und die Schulung der Mitarbeiter. Wenn sich letztere bewusst sind, auf was sie bei verdächtigen Mails achten müssen, und wenn sie wissen, wie sie schnell suspekte Mails melden können, so sind die Kollegen ein wichtiger Teil des Malware-Schutzes.

Doch es wird immer schwieriger, Phishing Mails zu erkennen. Heute sind diese nicht mehr so plump formuliert wie früher und oft beinhalten sie auch Informationen, welche den Empfänger tatsächlich interessieren und bei der Arbeit benötigt werden. Die Angreifer beziehen diese Hintergrund-Informationen aus öffentlich zugänglichen Quellen über uns, Social Networking Informationen usw. Das HR erhält Bewerbungen, der Security Ingenieur Informationen über Produkteupdates, der CEO über die besten Golfplätze und der Empfang Benachrichtigungen vom angeblichen Lieferdienst. Oder die Phishing-Mails beinhalten gar alte Mailverläufe, welche durch ältere Malware-Infektionen gewonnen wurden. So wird die Phishing Erkennung für die Benutzer immer schwieriger. Aber auch die inhaltliche Erkennung durch technische Massnahmen auf den Mail-Gateways.


xorlab ActiveGuard

Das Schweizer Start-Up xorlab geht hier einen anderen Weg. Ihr Mailgateway Produkt ActiveGuard versucht dabei nicht nur inhaltlich bösartige Mails zu erkennen, sondern analysiert die Mailflüsse:

    • Wer ist der effektive Absender? Sind die Adressen gefälscht? Stimmen die SPF, DKIM, DMARC Informationen?
    • Kommuniziert der Empfänger oder unsere Firma regelmässig mit dem (verifizierten) Absender? Ist dies eine zweiseitige Kommunikation (Kunde, Partner) oder eine einseitige (Newsletter)?
    • Wurden die in den Mails gefundenen URLs und Domains global aber auch speziell in unserer Firma regelmässig verwendet?
    • Kommen die gefundenen Attachment-Typen in dieser Kommunikation regelmässig vor?

Das beobachtete Kommunikationsnetz und -Verhalten wird zu einem Vertrauensmodell aufgebaut. Dadurch kann das inhaltlich unverdächtige Mail trotzdem als Phishing, Spam usw. klassifiziert werden. Das Vertrauensmodell erlaubt es auch, ein flexibles Ruleset zu gestalten: Office Dokumente mit Makros sind grundsätzlich verboten. Von vertrauenswürdigen Mailpartnern werden diese aber dennoch angenommen.

Ähnliche Regeln auf klassischen Mailgateways sind nur manuell möglich, indem die Absender durch den Administrator in eine Allowlist aufgenommen werden.

Darüber hinaus bietet ActiveGuard auch weitere Schutzmassnahmen wie die Erkennung, ob ein Attachment einen Exploit in Office oder Adobe Reader ausnutzt. Und ActiveGuard versucht, geschützte Anhänge zu entschlüsseln.

xorlab bietet auch Unterstützung bei der manuellen Erkennung von Phishing Mails: Wenn ein Mitarbeiter ein verdächtiges Mail erhalten hat, bei dem er nicht sicher ist, ob es legitim oder bösartig ist, so kann er dieses per Knopfdruck melden. Damit das SOC-Team nicht jedes gemeldete Mail einzeln analysieren muss, kann xorlab in vielen Fällen den Benutzern automatisiert eine Rückmeldung geben: „Danke fürs Melden, das ist tatsächlich ein Phishing Mail, gut erkannt!“ Wenn die Entscheidung nicht automatisiert erfolgen kann, so bietet xorlab dem SOC Analysten Hilfe bei der Einschätzung:

    • Besteht ein Vertrauensverhältnis mit dem Kommunikationspartner?
    • Stimmen Sender und From überein?
    • Wer hat ähnliche Mails auch erhalten?
    • Was für Links oder Attachments sind in diesen Mails?
    • Wird ein Lösegeld per Bitcoin gefordert?

Zusammenfassung

Während klassische Mail-Security-Gateways durch inhaltliche Analyse, URL- und Attachement-Filter das Einfallstor „Phishing-Mails“ für Malware schliessen können, analysiert ActiveGuard auch die bestehenden Kommunikationsbeziehungen und nutzt dieses Wissen zur Erkennung von Spam-, Phishing- und Malware-Mails. Zusätzlich nimmt xorlab den SOC-Analysten einen Teil der Arbeit ab und ermöglicht eine schnelle Reaktion auf durch von Usern gemeldete verdächtige Mails.


Weitere Schutzmassnahmen gegen Ransomware

Und falls es doch zu einem Befall gekommen ist:

    • EDR, damit Vorfälle schnell erkannt und analysiert werden können
    • Incident Response Plan
    • vorbereitete Krisenkommunikation

blenny

blenny

blenny ist Principal Security Engineer und langjähriger AVANTEC-Mitarbeiter. Er interessiert sich für Kryptographie, Privacy, Datenschutz, offene Protokolle und beschäftigt sich am liebsten mit den technischen Aspekten der IT- und Informations-Sicherheit.

Privacy Preference Center