Um die nicht nur lästigen, sondern auch gefährlichen E-Mails im Rahmen der sogenannten DHL Attacke abzuwehren, passte Cyren bislang immer wieder die bestehenden Suchalgorithmen an. Nachdem aber immer neue, nicht entdeckte Beispiele an Cyren gemeldet wurden, entschied man sich zu einer eingängigeren Untersuchung der E-Mails. Dabei fand man folgendes heraus:
Für die Attacke mit den gefälschten DHL Emails wurden original DHL Emails als Vorlagen genutzt. Es werden durchweg legitime gehackte, und nicht extra dafür angelegte, Webseiten genutzt welche erst nach drei Weiterleitungen auf den Schadcode zum Download verweisen und die Analyse erheblich erschweren.
Es wurden zwei Typen von CYREN identifiziert:
1. Die erste Art nutzte als Angriffsvektor den oben beschriebenen Weg. Aktuelle, weiterhin laufende Attacken, kommen in dieser Form.
2. Die andere nutzte eine gleich strukturierte Email, angehängt war jedoch ein infiziertes PDF Attachement.
Nachfolgend ist das Verhalten beschrieben wie es von CYREN analysiert wurde:
- Ein Registryschlüssel wird erzeugt.
- Es wird ein Prozess an ungewöhnlicher Stelle gestartet.
Um nicht verdächtig zu erscheinen werden zuerst die Google DNS Server ein paarmal angefragt. Anschließend wird aber 91.121.25.23 via Port 8080 kontaktiert. Diese IP ist bereits in einigen Blacklists aufgeführt. CYREN empfiehlt Anfragen zu dieser IP zu blocken um Kontakte zu dem „Command and Control“ Server zu unterbinden.
Die aus der Analyse resultierenden Ergebnisse führten nun zu einer Modifizierung der ScanEngine, welche nach und nach in den Livebetrieb überführt wird. Sie als NoSpamProxy Kunden müssen dafür keine Änderungen vornehmen.
