Emotet erfolgreich abwehren durch Inhaltsfilterung

Die aktuelle Angriffswelle des Banking-Trojaners Emotet hält weiterhin an. Inzwischen konnten wir eine weitere Emotet-Variante ausmachen und empfehlen deshalb, zusätzliche Einstellungen im Inhaltsfilter vorzunehmen.

Durch Analyse der Anhänge haben wir festgestellt, dass der Dateityp der Datei Word XML ist und diese in eine DOC-Datei umbenannt wurde. Konfigurieren Sie deshalb – ergänzend zu den vorangegangenen Blogartikeln – den Inhaltsfiltereintrag wie in „Konfigurationsmöglichkeit 2“ des Knowledge Base Artikels Inhaltsfilter konfigurieren beschrieben.

Folgende Kombinationen innerhalb eines Inhaltsfiltereintrages sollten nicht zugelassen werden (jeweils ein Inhaltsfiltereintrag pro Aufzählung):

• Dateityp (File type): XML-Daten UND Dateiname (Filename): *.doc; *.docx
• Dateityp (File type): Text -> Rich-Text-Format UND Dateiname (Filename): *.doc; *.docx;*.xls;*.xlsx

In der Fast Channel Version 12.2.19007.1316 wurden für Emotet granulare Dateitypen hinzugefügt. In diesem Fall erkennt NoSpamProxy nun den Dateityp „Word XML document with macros“.
Auch Office Dokumente mit eingebetteten OLE Objekten können nun erkannt werden.

Bitte beachten Sie, dass wir diesen Blogbeitrag erweitern werden, sobald weitere Kombinationen bekannt werden.