• Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • HOME
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • SUPPORT
    • Knowledge Base
    • Forum
    • Schulungen
    • Supportanfrage
    • Software-Download
    • Ressourcen
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
  • UNTERNEHMEN
    • Team
    • Referenzen
    • Karriere
    • Kontakt
  • EVENTS
    • Events
    • Webcasts
  • BLOG
    • Blog
    • Newsletter
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Search
  • Menu Menu
  • QakBot OneNote Dateien

Kriminelle verbreiten QakBot über OneNote-Dateien – So schützen Sie sich

Autor: Micha PekrulSaaS Platform Managerhttps://www.linkedin.com/in/micha-pekrul/–Auf LinkedIn vernetzen

Seit Ende 2018 propagieren wir einen Allowlisting-Ansatz in Verbindung mit einem durchdachten Anhangsmanagement. Wie bei einer Firewall besteht die unterste Regel im Inhaltsfilter aus einer sogenannten „Any-Any-Drop-Regel“. Darüber werden ein paar wohldefinierte und für das Unternehmen benötigte Formate definiert, welche als Anhänge per E-Mail zugelassen sind. Der ganze Rest – und vor allem der unbekannte Teil – ist es nicht. Falls Sie das bereits für ihr Unternehmen umgesetzt haben, haben Sie alles richtig gemacht. Alle anderen sollten sich dringend Gedanken machen, ob sie dies nicht auch auf die Agenda setzen wollen. Im Folgenden zeigen wir anhand von zwei Beispielen, wie sinnvoll diese Umsetzung ist.

13.02.2023|zuletzt aktualisiert:13.02.2023

Vom Schweizer Taschenmesser für Archive…

Wahrscheinlich gab es in Ihrem Unternehmen schon mal die Anforderung, verschlüsselte ZIP-Archive zu erstellen und zu entpacken. Da dies mit den Bordmitteln von Windows nicht möglich ist, landet man am Ende schnell bei Tools wie 7z, WinZip oder WinRAR, welche man dann auf allen Desktops ausrolltGleichzeitig hat man sich durch die Hintertür plötzlich Unterstützung für eine Vielzahl an exotischen Archivierungsformaten ins Haus geholt.

Da Sie einen Blocklisting-Ansatz verfolgen, haben sie sicher gleich die neuen und unter Umständen für ihr Unternehmen ungewollten Formate im Inhaltsfilter geblockt. Richtig? RAR-Archive beispielsweise sind sehr beliebt bei Spammern. Haben Sie diese dann auch auf die Blockliste gesetzt? Und was ist mit „.r23“ oder „.r42“, welche sich auch mit den neuen Tools öffnen lassen. Oder hattenSie ARJ und ARC auf dem Radar? Mit einem Allowlisting Ansatz muss man erst gar nicht versuchen, diese ganzen neuen Formate im Inhaltsfilter wieder einzufangen, da man bereits alles, was nicht erlaubt ist, automatisch verboten hat.

… zu Microsoft OneNote Notebooks samt QakBot

Mitte Januar gab es auf Twitter die eindringliche Empfehlung „.one“ in seine Blockliste aufzunehmen. Die meisten Unternehmen mit Windows haben Microsoft OneNote sicherlich auf allen Desktops ausgerollt:

Quelle: Twitter

Seit dem 31. Januar 2023 ist QakBot wieder vermehrt aktiv und hat nicht nur dem HTML-Smuggling abgeschworen, sondern ist auch auf den Zug mit Microsoft OneNote Notebooks aufgesprungen. Dieses Format wird aktuell von verschiedenen Threat-Akteuren für die Verteilung von Schadcode per E-Mail verwendet. Kunden mit einem Allowlisting-Ansatz haben dies sehr wahrscheinlich überhaupt nicht mitbekommen.

Diese QakBot-E-Mails sind wie gewohnt als Email Reply Chain Attacks höchst effektiv in ihrer Social-Engineering-Wirkung, da die fingierte Antwort samt OneNote Notebook als Reaktion auf eine echte Kommunikation stattfindet und man den angeblichen Kommunikationspartner meist auch sehr gut kennt.

Mit einem einfachen ‚Strings‘ erkennt man bei den ersten OneNote Notebooks noch den Social-Engineering-Trick, mit dem User:innen zum Ausführen der eingebetteten „attachment.hta“ aufgefordert werden. Erkennung des Samples siehe VirusTotal. Spätestens bei QakBot sollten die Alarmglocken für eine erhöhte Aufmerksamkeit sorgen.

Inhaltsfilter zur Behandlung von direkten OneNote-Anhängen

Mit dem Inhaltsfilter in NoSpamProxy kann man OneNote-Anhänge entsprechend einfach filtern.

Wählen Sie als Dateityp „Allgemeine Binärdatei“ und beschränken Sie den Dateinamen auf das Muster „*.one“.

Bei den Aktionen wählen sie dann idealerweise die Option zum Abweisen der gesamten E-Mail. Alternativ können die OneNote-Anhänge auch in das NoSpamProxy-Webportal verschoben oder von der E-Mail entfernt werden.

Empfehlungen zur Umstellung auf einen Allowlisting-Ansatz

Im Rahmen eines Change-Management-Prozesses können Sie beispielsweise über NoSpamProxy Disclaimer Ihre Partner und Kunden vorab über die bevorstehenden Änderungen in der Inhaltsfilterung informieren. Einige NoSpamProxy-Kunden informieren bereits heute auf ihrer Website unter „Impressum/Kontakt“ über die erlaubten Anhangsformate . Dies ist eine gute Möglichkeit, um so etwas auch für neue Partner und Kunden zu dokumentieren. Dann brauchen diese nicht erst in einem Trial-and-Error-Verfahren erlernen, was erlaubt ist und was nicht.

Ausblick

Wahrscheinlich werden Spammer noch in diesem Jahr weitere Dateiformate für den Versand von Schadcode für sich entdecken – vor allem, da Microsoft dem seit letztem Jahr den Office-Makros langsam den Garaus macht.

Um bei diesem Spiel aber endlich von einem reaktiven Ansatz wegzukommen und endlich etwas Proaktivität ins eigene Handeln zu bringen, sollte man sich mit einem Allowlisting-Ansatz in einem intelligenten Anhangsmanagement beschäftigen.

Sie möchten sich vor QuakBot schützen und haben noch kein NoSpamProxy im Einsatz?

Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an! 

NoSpamProxy kostenfrei testen
  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Knowledge Base

Knowledge Base

Hinweis: Die Informationen in dieser Knowledge Base gelten nur für NoSpamProxy bis Version 13.2. Sämtliche Informationen für NoSpamProxy 14 und höher finden Sie in der Online-Dokumentation.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Info IconKritische Outlook-Schwachstelle: Keine Gefahr für NoSpamProxy-Kunden24.03.2023 - 15:08
  • Standardfiltereinstellungen in NoSpamProxy 1422.03.2023 - 10:00
  • NoSpamProxy Update BannerGlobal Rollout NoSpamProxy Version 14.0.515.03.2023 - 15:20
IMPRESSUM • EULA • Datenschutzerklärung • © 2023 Net at Work GmbH
  • Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
NoSpamProxy Cloud Januar 2023 UpdateInfo IconWichtige Mitteilung zu Cyren-Diensten in NoSpamProxy Protection
Scroll to top