Heimdall’s wachsames Auge
Anhand der im Zuge des Heimdall-Projektes gesammelten Daten können die NoSpamProxy-Experten die Bedrohungslage laufend beobachten und Kunden, die schon an der Heimdall-Beta teilnehmen, aktiv schützen. Ein Blick auf die Sichtungen von verschlüsselten Zip-Archiven liefert erste Verdachtsmomente:
Diese Grafik zeigt den zeitlichen Verlauf von Sichtungen verschlüsselter Zip-Archive. Hier zeigt sich ab dem 15.9.2020 ein deutlich erhöhtes Aufkommen. Noch deutlicher wird dieser Trend, wenn man sich ausschließlich die Anhänge eingehender E-Mails ohne Level of Trust anschaut. Grundsätzlich ist zu beobachten, dass ein großer Teil der Schadsoftware von unbekannten Kommunikationspartnern kommt. Der dazugehörige Zeitverlauf spricht eine noch deutlichere Sprache:
Hier ist klar zu erkennen, dass sich die Lage in den letzten zwei Wochen deutlich geändert hat. Mit einem genauen Blick auf die entsprechenden Metadaten erweist sich ein Großteil dieser zusätzlich eingegangenen Anhänge als verdächtig. Es finden sich beispielsweise eine große Anzahl verdächtiger Dateinamen mit häufig bei Malware-Angriffen verwendeten Worten wie “IBAN”, “Rechnung” oder “Order”. Auch Cryptolaemus warnt auf Twitter vor verschlüsselten Archiven im Zusammenhand mit Emotet.
Über Wollläuse und Marienkäfer
Die US-Firma Symantec hat die Bezeichnung “Mealybug” für die Akteure hinter dem Trojaner Emotet etabliert, was dann übersetzt die Wolllaus wäre. Die natürlichen Fressfeinde der Wolllaus sind unter anderem Marienkäfer, und in Australien wird speziell eine Marienkäferart (lateinisch: Cryptolaemus montrouzieri) dafür gezüchtet und vermarktet. Somit war der Name der inoffiziellen “Emotet Working Group” aus einem weltweiten Kollektiv aus IT-Security-Expert*innen geboren, welche gemeinsam das Emotet-Botnetz bekämpfen und sich über Twitter vernetzen. Die gesammelten IoCs (Indicators of Compromise: tagesaktuelle Indikatoren zur Erkennung von Emotet) vom Cryptolaemus-Team werden von Heimdall konsumiert und stehen in der Heimdall-Beta zur Verfügung.
Den bestehenden Schutz durch optimale Konfiguration optimieren
Alle NoSpamProxy-Kunden, die momentan an der Heimdall-Beta teilnehmen, werden im Moment durch die Warnungen von Heimdall in vielen Fällen geschützt. Dennoch ist es ratsam, das System auch lokal bestmöglich zu konfigurieren, um der aktuellen Lage gerecht zu werden.
Passwortgeschützte Dateien genau prüfen
Generell ist die Best-Practice-Empfehlung bei verschlüsselten Inhalten, diese nicht ohne eine Prüfung auf Spam, Malware oder Policy-Verstöße auszuliefern. Wie im Text beschrieben, ist die Gefahr bei verschlüsselten ZIP-Archiven aktuell durch die Emotet-Operation “Zip Lock” sehr hoch. Wer sich also noch keine Gedanken über das Thema “passwortgeschützte Dateien” gemacht hat, ist gut beraten, dies zeitnah für sein Unternehmen zu definieren und in NoSpamProxy entsprechend umzusetzen.
Seit 2018 empfehlen wir dringend, bei der Inhaltsfilterung auf einen Whitelisting-Ansatz zu setzen (Stichwort: E-Mail Firewall). Kunden, welche dies bereits umgesetzt haben, müssen also eventuell gar nicht aktiv werden; dies wurde bisher in den jeweiligen Unternehmen nicht im Workflow gebraucht, beispielsweise wenn Dateien sicher über die Cloud oder NoSpamProxy Larges Files geteilt werden.
Inhaltsfilter richtig konfigurieren
Seit NoSpamProxy Version 13.1 steht im Inhaltsfilter explizit der Dateityp “Verschlüsselte ZIP-komprimierte Datei” zur Verfügung. So ist es möglich, diese Dateien zunächst zu sperren und in das Web Portal hochzuladen. Erst durch die manuelle Freigabe durch den Administrator wird der betreffende Anhang dann für den Endnutzer verfügbar. Selbstverständlich lassen sich auch Inhaltsfilter-Einträge erstellen, die zwischen E-Mails ohne Vertrauen (wie die aktuelle Spamwelle) und solchen von regelmäßigen Kommunikationspartnern (welche durch das Level-of-Trust-System entsprechend identifiziert wurden) unterscheiden können.
Heimdall jetzt einsetzen
Die Heimdall-Aktion in NoSpamProxy sorgt dafür, dass Metadaten zu E-Mails und Anhängen gesammelt und analysiert werden. Das Ziel: der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann. Sollten Sie Interesse daran haben, die Beta-Version von Projekt Heimdall zu nutzen, senden Sie eine E-Mail mit dem Betreff „Heimdall-Freischaltung“ an den NoSpamProxy-Support und fügen Sie einen Screenshot Ihrer Lizenzdetails an.
