• Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • HOME
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • SUPPORT
    • Knowledge Base
    • Forum
    • Schulungen
    • Supportanfrage
    • Software-Download
    • Ressourcen
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
  • UNTERNEHMEN
    • Team
    • Referenzen
    • Karriere
    • Kontakt
  • EVENTS
    • Events
    • Webcasts
  • BLOG
    • Blog
    • Newsletter
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Search
  • Menu Menu
DHL Spam Mail - Mit NoSpamProxy blocken, Anti Spam, Anti Malware

Analyse der DHL Phishing Attacke

News, NoSpamProxy Protection, Produkt, Technik & Support

Um die nicht nur lästigen, sondern auch gefährlichen E-Mails im Rahmen der sogenannten DHL Attacke abzuwehren, passte Cyren bislang immer wieder die bestehenden Suchalgorithmen an. Nachdem aber immer neue, nicht entdeckte Beispiele an Cyren gemeldet wurden, entschied man sich zu einer eingängigeren Untersuchung der E-Mails. Dabei fand man folgendes heraus:

Für die Attacke mit den gefälschten DHL Emails wurden original DHL Emails als Vorlagen genutzt. Es werden durchweg legitime gehackte, und nicht extra dafür angelegte, Webseiten genutzt welche erst nach drei Weiterleitungen auf den Schadcode zum Download verweisen und die Analyse erheblich erschweren.
Es wurden zwei Typen von CYREN identifiziert:
1. Die erste Art nutzte als Angriffsvektor den oben beschriebenen Weg. Aktuelle, weiterhin laufende Attacken, kommen in dieser Form.
2. Die andere nutzte eine gleich strukturierte Email, angehängt war jedoch ein infiziertes PDF Attachement.

Nachfolgend ist das Verhalten beschrieben wie es von CYREN analysiert wurde:

  • Ein Registryschlüssel wird erzeugt.
  • Es wird ein Prozess an ungewöhnlicher Stelle gestartet.

Um nicht verdächtig zu erscheinen werden zuerst die Google DNS Server ein paarmal angefragt. Anschließend wird aber 91.121.25.23 via Port 8080 kontaktiert. Diese IP ist bereits in einigen Blacklists aufgeführt. CYREN empfiehlt Anfragen zu dieser IP zu blocken um Kontakte zu dem „Command and Control“ Server zu unterbinden.

Die aus der Analyse resultierenden Ergebnisse führten nun zu einer Modifizierung der ScanEngine, welche nach und nach in den Livebetrieb überführt wird. Sie als NoSpamProxy Kunden müssen dafür keine Änderungen vornehmen.

  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 
23.06.2015/by Stefan Cink

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Knowledge Base

Knowledge Base

Hinweis: Die Informationen in dieser Knowledge Base gelten nur für NoSpamProxy bis Version 13.2. Sämtliche Informationen für NoSpamProxy 14 und höher finden Sie in der Online-Dokumentation.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Info IconKritische Outlook-Schwachstelle: Keine Gefahr für NoSpamProxy-Kunden24.03.2023 - 15:08
  • Standardfiltereinstellungen in NoSpamProxy 1422.03.2023 - 10:00
  • NoSpamProxy Update BannerGlobal Rollout NoSpamProxy Version 14.0.515.03.2023 - 15:20
IMPRESSUM • EULA • Datenschutzerklärung • © 2023 Net at Work GmbH
  • Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
Migrationstool für Signtrust-Kunden verfügbarInfo IconSTARTTLS ist nicht genug!
Scroll to top