Kriminelle verbreiten QakBot über OneNote-Dateien – So schützen Sie sich
Seit Ende 2018 propagieren wir einen Allowlisting-Ansatz in Verbindung mit einem durchdachten Anhangsmanagement. Wie bei einer Firewall besteht die unterste Regel im Inhaltsfilter aus einer sogenannten „Any-Any-Drop-Regel“. Darüber werden ein paar wohldefinierte und für das Unternehmen benötigte Formate definiert, welche als Anhänge per E-Mail zugelassen sind. Der ganze Rest – und vor allem der unbekannte Teil – ist es nicht. Falls Sie das bereits für ihr Unternehmen umgesetzt haben, haben Sie alles richtig gemacht. Alle anderen sollten sich dringend Gedanken machen, ob sie dies nicht auch auf die Agenda setzen wollen. Im Folgenden zeigen wir anhand von zwei Beispielen, wie sinnvoll diese Umsetzung ist.
Vom Schweizer Taschenmesser für Archive…
Wahrscheinlich gab es in Ihrem Unternehmen schon mal die Anforderung, verschlüsselte ZIP-Archive zu erstellen und zu entpacken. Da dies mit den Bordmitteln von Windows nicht möglich ist, landet man am Ende schnell bei Tools wie 7z, WinZip oder WinRAR, welche man dann auf allen Desktops ausrolltGleichzeitig hat man sich durch die Hintertür plötzlich Unterstützung für eine Vielzahl an exotischen Archivierungsformaten ins Haus geholt.
Da Sie einen Blocklisting-Ansatz verfolgen, haben sie sicher gleich die neuen und unter Umständen für ihr Unternehmen ungewollten Formate im Inhaltsfilter geblockt. Richtig? RAR-Archive beispielsweise sind sehr beliebt bei Spammern. Haben Sie diese dann auch auf die Blockliste gesetzt? Und was ist mit „.r23“ oder „.r42“, welche sich auch mit den neuen Tools öffnen lassen. Oder hattenSie ARJ und ARC auf dem Radar? Mit einem Allowlisting Ansatz muss man erst gar nicht versuchen, diese ganzen neuen Formate im Inhaltsfilter wieder einzufangen, da man bereits alles, was nicht erlaubt ist, automatisch verboten hat.
… zu Microsoft OneNote Notebooks samt QakBot
Mitte Januar gab es auf Twitter die eindringliche Empfehlung „.one“ in seine Blockliste aufzunehmen. Die meisten Unternehmen mit Windows haben Microsoft OneNote sicherlich auf allen Desktops ausgerollt:
Quelle: Twitter
Seit dem 31. Januar 2023 ist QakBot wieder vermehrt aktiv und hat nicht nur dem HTML-Smuggling abgeschworen, sondern ist auch auf den Zug mit Microsoft OneNote Notebooks aufgesprungen. Dieses Format wird aktuell von verschiedenen Threat-Akteuren für die Verteilung von Schadcode per E-Mail verwendet. Kunden mit einem Allowlisting-Ansatz haben dies sehr wahrscheinlich überhaupt nicht mitbekommen.
Diese QakBot-E-Mails sind wie gewohnt als Email Reply Chain Attacks höchst effektiv in ihrer Social-Engineering-Wirkung, da die fingierte Antwort samt OneNote Notebook als Reaktion auf eine echte Kommunikation stattfindet und man den angeblichen Kommunikationspartner meist auch sehr gut kennt.
Mit einem einfachen ‚Strings‘ erkennt man bei den ersten OneNote Notebooks noch den Social-Engineering-Trick, mit dem User:innen zum Ausführen der eingebetteten „attachment.hta“ aufgefordert werden. Erkennung des Samples siehe VirusTotal. Spätestens bei QakBot sollten die Alarmglocken für eine erhöhte Aufmerksamkeit sorgen.
Inhaltsfilter zur Behandlung von direkten OneNote-Anhängen
Mit dem Inhaltsfilter in NoSpamProxy kann man OneNote-Anhänge entsprechend einfach filtern.
Wählen Sie als Dateityp „Allgemeine Binärdatei“ und beschränken Sie den Dateinamen auf das Muster „*.one“.
Bei den Aktionen wählen sie dann idealerweise die Option zum Abweisen der gesamten E-Mail. Alternativ können die OneNote-Anhänge auch in das NoSpamProxy-Webportal verschoben oder von der E-Mail entfernt werden.
Empfehlungen zur Umstellung auf einen Allowlisting-Ansatz
Im Rahmen eines Change-Management-Prozesses können Sie beispielsweise über NoSpamProxy Disclaimer Ihre Partner und Kunden vorab über die bevorstehenden Änderungen in der Inhaltsfilterung informieren. Einige NoSpamProxy-Kunden informieren bereits heute auf ihrer Website unter „Impressum/Kontakt“ über die erlaubten Anhangsformate . Dies ist eine gute Möglichkeit, um so etwas auch für neue Partner und Kunden zu dokumentieren. Dann brauchen diese nicht erst in einem Trial-and-Error-Verfahren erlernen, was erlaubt ist und was nicht.
Ausblick
Wahrscheinlich werden Spammer noch in diesem Jahr weitere Dateiformate für den Versand von Schadcode für sich entdecken – vor allem, da Microsoft dem seit letztem Jahr den Office-Makros langsam den Garaus macht.
Um bei diesem Spiel aber endlich von einem reaktiven Ansatz wegzukommen und endlich etwas Proaktivität ins eigene Handeln zu bringen, sollte man sich mit einem Allowlisting-Ansatz in einem intelligenten Anhangsmanagement beschäftigen.
Sie möchten sich vor QuakBot schützen und haben noch kein NoSpamProxy im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!
