21 Nov2018

Massive Malware-Attacke und wie Sie sich schützen

Veröffentlicht in sol4net

Aktuelle Malware-Massenattacke und wie Sie sich schützen

IKARUSlogo

Unser Partner IKARUS Security Software beobachtet in den letzten 21 Tagen eine schon lange nicht mehr dagewesene Massenangriffswelle. Per E-Mail werden Kunden von IKARUS mail.security CS mit einer anscheinend „verbesserten“ Generation der Malware (Stichwort EMOTET) attackiert.

Was das Besondere an dieser Welle ist und wie Sie sich schützen können:

1. Betreff in Deutsch lokalisiert: also klassisch als Rechnung, Mahnung, Sicherheitsupdate u.a. Aber Achtung: Punkt 2!

2. Betreff personalisiert: ein bereits infizierter User beginnt ohne sein Wissen SPAM zu verschicken, der mit seinen Daten personalisiert ist. Das heißt zum Beispiel, dass sein Name und Vorname im Betreff des Mails verwendet werden, nach dem Muster „Mahnung Nr. xxxxx von Eduard Koch“. Dies erhöht die Wahrscheinlichkeit, dass man solche Mails liest, weil sie unter Umständen seriöser wirken oder von uns bekannten Absendern kommen:

Beispiele_Betreffzeilen

3. Word-Dokument als Ausgang: Nach dem Motto „Totgeglaubte leben länger“: als Träger einer Infektion wird zu 99 % ein Word-Dokument verwendet, egal ob es als Anhang mitgeschickt wird (wahrscheinlich 90 % der Angriffe) oder per URL (Link) im E-Mail zum Download „angeboten“ wird.

4. Deutsche Firmen als Absender: Die Opfer wissen oft selbst nicht, dass sie die Malware verbreiten. Unser Support erhält täglich einige Beschwerden, meist von deutschen Firmen, die beklagen, dass wir ihre Mails an unsere Kunden vorläufig blockieren, und denen nicht bewusst ist, dass sie eben diese Malware versenden! Vereinzelt gehen solche Angriffsmails leider auch schon an die ersten österreichischen Firmen.

Beispiele_Betreffzeilen

5. Modularer Aufbau der Malware: Das als Anhang versendete Dokument beinhaltet noch keine Malware in klassischem Sinne! Makros wie Java Script und PowerShell werden als Trojan-Downloader verwendet. Weitere Module werden erst in einem nächsten Schritt nachgeladen. Der Angriff passiert also nicht auf einmal, sondern stufenweise, was die Erkennung der Malware erschwert.

6. Angriffsszenario leicht veränderbar: Was mit dem aktuellen Word-Doku-Szenario nachgeladen wird, kann sich jederzeit ändern. Da die aktuelle Trojan-Downloader-Technik für den Hacker sehr leicht ist, kann man jedes Mal ein anderes Angriffsszenario umsetzen!

7. Ausbreitung im Netz ohne Useraktivität: Parallel zu Spamversand über den Account des Opfers lädt die Malware im nächsten Schritt ein „Brute Force Attack“-Modul. Mit diesem Modul versucht der Angreifer, andere Accounts im Firmennetzwerk zu knacken, um auch über diese die SPAM-Nachrichten zu verbreiten. Das heißt im schlimmsten Fall: Durch einen infizierten Mitarbeiter können sich auch andere User ohne Interaktion infizieren, wenn sie relativ schwache Passwörter verwenden.

8. Da die SPAM-Nachrichten zumindest zum Teil von den geknackten „echten“ Accounts verschickt werden, versagen einige klassische Schutzmechanismen wie zum Beispiel SPF Record.

9. Da die eigentliche Malware erst beim Opfer in mehreren Stufen nachgeladen wird und sich aus mehreren unterschiedlichen Modulen sowie verschiedenen Schadenseffekten zusammensetzen kann, ist eine Erkennung deutlich komplizierter. Auch wenn es sich bei den aktuellen Wellen hauptsächlich um Banking-Malware und Ransomware handelt, kann bei der Masse der Angriffe niemand vorhersagen, welches Schadenspotenzial noch von den Angreifern ausgehen wird.

Abhilfe - Anwender

Wie immer spielt neben der Technik auch die User Awareness eine große Rolle. Informieren Sie Ihre Anwender über die oben beschriebenen Szenarien: Word-Dokumente als Angriffsweg und die stark personalisiert wirkenden E-Mails, die aussehen, als kämen sie von einem Partner oder einem potenziellen Kunden.

Abhilfe - Technik

IKARUS findet aktuell sehr viele in Umlauf befindliche Varianten, zum Großteil mit den eigenen ScanEngines, zum Teil aber auch durch die im ScanCenter als multi APT Protection Add on eingebauten SANDBOXES von Fireeye und PaloAlto.
Die dringende Empfehlung von IKARUS lautet daher, zusätzlich zu IKARUS mail.security CS auch das Addon multi-APT Protection zu aktivieren, um effizient gegen die aktuellen Bedrohungsszenarien vorzugehen. Bedenken Sie, dass unter Umständen nur ein Klick und ein Mitarbeiter reichen, um die Malware im ganzen Unternehmen zu verbreiten.

Quelle: DI Christoph Barszczewski, IKARUS Security Software GmbH

IKARUSlogo

Gehen Sie auf Nummer sicher!

Angesichts der aktuellen Bedrohung bietet IKARUS bis 31. Dezember 2018 für neue und bestehende mail.security CS-Accounts die Möglichkeit, zusätzlich zu mail.security das APT Add on zu Sonderkonditionen (-50 % auf den Listenpreis) aktivieren zu lassen. Sprechen Sie uns an!

Jetzt vor Malware-Attacken schützen

Unternehmen sol4

Produkte

Kontakt

SOL4 IT-Consulting GmbH
Ruckergasse 30-32
1120 Wien

Eingang: 
Bonygasse 40
(Anfahrtsplan)

E-Mail: office@sol4.at
Telefon: +43 1 2530000
Fax: +43 1 2530000-50

Service: support@sol4.at

Aktuelles

  • CAS premiumpartner 172x60
  • CAS Development Center logo 236x60m
  • Joomla CMS logo klein
  • dh vertriebspartner m
  • IBM Advanced Busines Partner Logo 129x49
  • Inxmail Partner Logo
var buttonsContainer = jQuery('.social-shariff'); new Shariff(buttonsContainer, { orientation: 'horizontal' });

SOL4 IT-Consulting GmbH
Ruckergasse 30-32/13.2, 1120 Wien
Eingang: Bonygasse 40
(Anfahrtsplan)
☎ +43-1-2530000
✉ office@sol4.at

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Weitere Informationen Notwendige Cookies zulassen Tracking Cookies zulassen