Was ist Heimdall?
Der Heimdall-Service in NoSpamProxy sammelt und analysiert Metadaten zu E-Mails und Anhängen. Das Ziel: der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann.
Heimdall filtert gefährliche URLs aus Phishing-Mails heraus
Durch die Einführung eines Webcrawling–Dienstes ist Heimdall ab sofort in der Lage, noch aussagekräftigere Daten bezüglich URL-Weiterleitungen zu sammeln und so gefährliche und ungefährliche Links zu unterscheiden.
Im aktuellen Zustand hat dieser Dienst zwei wesentliche Verwendungen. Zum einen können URL-Weiterleitungen aufgelöst, zum anderen Hashes und Mimetypes von Datei-Downloads bestimmt werden. Der Fokus dieses Artikels liegt dabei auf den URL-Weiterleitungen. Natürlich ist es aus mehreren Gründen keine gute Idee, URLs wahllos auf Weiterleitungen zu prüfen: Die Kosten würden bei wöchentlich 50 Millionen gesehenen, unter Umständen mehrfach zu prüfenden URLs in keinem Verhältnis zum Nutzwert der gesammelten Informationen stehen.
In der folgenden Abbildung ist eine Übersicht der untersuchten Seiten dargestellt:
Den größten Teil machen hier bit.ly Links aus. Verschiedene Subdomänen auf Google Firebase (page.link) sind auch unter den häufig gesichteten (und gecrawlten) URLs. Eher selten, aber doch noch signifikant, werden Links auf andere URL-Shortener Dienste wie „j.mp“ und „is.gd“ gesichtet.
Kurz-URLs führen meist zu Phishing-Seiten
Es fällt auf, dass ein wesentlicher Teil der untersuchten URLs zu bekannten Phishing- oder Spam-Seiten führt, die beispielsweise bei VirusTotal bekannt sind. Dabei sind thematisch verschiedene Bereiche abgedeckt. Die meisten Domänennamen sprechen hier schon für sich. Eine solche Verteilung lässt sich auch bezogen auf einzelne Dienste ermitteln.
Die bit.ly-Links leiten – wie zu erwarten – auf eine Vielzahl verschiedener Domänen weiter. Aus diesem Grund dominiert auch die Kategorie “Andere“. Hier werden die Sichtungen aller weniger häufig gesehenen Zieldomänen zusammengefasst. Ansonsten finden sich hier sowohl bösartige Seiten als auch Links zu seriösen Seiten. Dennoch lässt sich vermuten, dass die bösartigen Links dominieren.
Bei kleineren URL-Shortener-Diensten wie beispielsweise „is.gd“ ergibt sich ein anderes Bild. Hier finden sich zu einem überwiegenden Teil Weiterleitungen auf bösartige oder zumindest unerwünschte Seiten.
Die Bilder in der folgenden Galerie geben eine Übersicht zu den Link-Zielen, sowohl allgemein als auch beschränkt auf bit.ly beziehungsweise is.gd:
Weiterleitungsketten deuten auf Phishing hin
Ein weiteres Kriterium für die Bewertung ist die Art der Weiterleitung. Dabei macht es einen großen Unterschied, ob der Kurzlink direkt zum gewünschten Ziel führt oder es zu einer Kette von Weiterleitungen kommt. Der Crawler-Dienst ermittelt die Länge dieser Kette sowie alle intermediären URLs.
In den meisten Fällen wird das Ziel direkt oder mit einem Zwischenschritt erreicht. Allerdings kann es sein, dass bis zu neun Zwischenstopps eingelegt werden – kein gutes Zeichen. In den unten gezeigten Grafiken sind die Längenverteilung dieser Weiterleitungsketten sowie die Zieldomänen von Ketten länger als vier gezeigt. Auch diese Daten stützen die These, dass lange Weiterleitungsketten häufig zu bösartigen Seiten führen.
Webcrawling mit Heimdall erhöht Schutz vor gefährlichen Kurz-URLs
Alles in allem zeigt sich, dass mit Hilfe von Webcrawling hilfreiche und interessante Daten generiert werden können. So können konkrete Kurzlinks bewertet werden, die dann als Indicators of Compromise (IOCs) aufgenommen werden. Wichtige IOCs sind bereits als verdächtig bekannte Shortener-URLs, die Tatsache, dass Kurz-URLs vielfach auf dasselbe Ziel zeigen oder lange Weiterleitungsketten. Außerdem können auch ganze Dienste wie beispielsweise is.gd oder Subdomänen wie klow.page.link bewertet und zielgenau mit SCL-Punkten belegt werden. So verbessert sich der Schutz vor Phishing-Mails deutlich.
Die Möglichkeiten reichen jedoch noch weiter: Durch die Ermittlung der URLs hinter den Kurzlinks können außerdem verdächtige URLs gefunden und bewertet werden, bevor sie „unverschleiert“ in E-Mails vorkommen. Dies wiederum trägt dazu bei, dass Heimdall auch bezüglich erstmalig erkannter URLs kontinuierlich leistungsfähiger wird.
Grundsätzlich bleibt festzuhalten, dass sich hinter den meisten Kurzlinks nichts Gutes verbirgt. Heimdall bietet in jedem Fall schnellen und proaktiven Schutz, denn er erkennt gefährliche und betrügerische Links sowie die zu Grunde liegenden Muster und schützt Sie und Ihr Unternehmen vor Malware, Ransomware und Spam. Das Aufdecken von Mustern sowie das Korrelieren der Untersuchungsergebnisse mit von Heimdall gesammelten Meta-Daten ermöglicht eine Echtzeitbewertung der gesammelten Daten und ein kontinuierlich steigendes Schutzlevel für Ihr Unternehmen.
Heimdall jetzt einsetzen
Der Heimdall-Service in NoSpamProxy sorgt dafür, dass Metadaten zu E-Mails und Anhängen gesammelt und analysiert werden. Das Ziel: der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz made in Germany, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann. Sollten Sie Interesse daran haben, die Beta-Version von Projekt Heimdall zu nutzen, senden Sie eine E-Mail mit dem Betreff „Heimdall-Freischaltung“ an den NoSpamProxy-Support und fügen Sie einen Screenshot Ihrer Lizenzdetails an.