• Link to Rss this site
  • Link to LinkedIn
  • Link to Youtube
  • Link to X
  • Link to Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • LÖSUNGEN
    • M365 Mail Security
    • Managed Certificates
    • 32Guards
    • AS4
  • RESSOURCEN
    • Dokumentation
    • Forum
    • Webcasts
    • Schulungen
    • Support
    • Software-Download
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
    • NFR-Lizenzen
  • UNTERNEHMEN
    • Kontakt
    • Referenzen
    • Team
    • Karriere
    • Events
    • Auszeichnungen
  • PREISE
  • BLOG
    • Blog
    • Newsletter-Abo
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Click to open the search input field Click to open the search input field Search
  • Menu Menu
  • Rich Text File Type Evasion Tricks erfolgreich abwehren

Rich Text File Type Evasion Tricks erfolgreich abwehren

Seit dieser Woche verzeichnen wir eine neue Angriffswelle mit RTF-Dokumenten, bei denen die Spammer verschiedene „File Type Evasion Tricks“ anwenden. Wir zeigen, wie Sie den Inhaltsfilter konfigurieren sollten, um die Angriffe abzuwehren. Für Kunden von NoSpamProxy Cloud haben wir bereits die entsprechenden Maßnahmen umgesetzt.

Richtext File Type Evasion Tricks - Spam message example

Beispiel einer aktuellen Spam-Nachricht mit einem bösartigen RTF-Dokument.

Auf den ersten Blick sieht der Anhang wie ein Word-Dokument aus. Dieser einfache Trick findet schon lange im Repertoire der Spammer Anwendung, denn leider ist Microsoft Word so nachsichtig und öffnet auch diese Dokumente. In unserem Blog Blog haben wir bereits 2018 im Zuge von Emotet  Handlungsempfehlungen ausgesprochen, um einen entsprechenden Mismatch des Datei-Typs und der Datei-Endung im Inhaltsfilter erfolgreich abzuwehren.

Bei der aktuellen Welle wird nun auch zusätzlich der Header des RTF-Dokuments manipuliert. In der ursprünglichen Rich-Text-Spezifikation vom Juni 1992 definiert Microsoft den Header wie folgt:

Richtext File Type Evasion Tricks - Microsoft Richtext Format Specification 1.0

Die erste Rich-Text-Spezifikation ist vor 29 Jahren erschienen.

Aber in Redmond scheint man sich nicht ganz an die eigene Spezifikation zu halten und Spammer verwenden nun Dokumente, welche nicht mit „{rtf1“ beginnen. Leider ist Microsoft Word auch hier so tolerant und öffnet die manipulierten RTF-Dokumente, welche z.B. nur mit „{rt“ beginnen.

Durch diese Manipulationen am RTF-Header funktioniert die Datei-Type Erkennung im NoSpamProxy nicht mehr korrekt und der Anhang wird fälschlicherweise als „Nur Text / Plain text“ erkannt.

Richtext File Type Evasion Tricks - NoSpamProxy - Message tracking

Verschiedene Test-Dokumente und die Erkennung im NoSpamProxy Message Tracking

Inhaltsfilter konfigurieren

Für eine strengere Behandlung dieser Spam E-Mails empfehlen wir folgende temporäre lokale Modifikation:

Konfigurieren Sie deshalb den Inhaltsfiltereintrag wie in „Konfigurationsmöglichkeit 2“ des Knowledge Base Artikel „Inhaltsfilter konfigurieren“ beschrieben.

Richtext File Type Evasion Tricks - NoSpamProxy - Inhaltsfilter (deutsch)
  • Dateityp (File type): Text -> „Rich-Text-Format“ UND Dateiname (Filename): *.doc; *.docx
  • Dateityp (File type): Text -> „Rich-Text-Format mit OLE-Objekten“ UND Dateiname (Filename): *.doc; *.docx
  • Dateityp (File type): Text -> „Nur Text“ UND Dateiname (Filename): *.doc; *.docx

SQL-Abfrage

Weiterhin stellen wir eine SQL-Abfrage zur Verfügung, mit der auf solche Tricks bei RTF-Dokumenten in der NoSpamProxy Datenbank gesucht werden kann: Download

Hier können Sie dann auch schnell im Vorfeld erkennen, ob diese Verschärfung im Inhaltsfilter unter Umständen zu Problemen mit legitimen E-Mails von Partnern führen könnte. So haben Sie die Möglichkeit, diese betroffenen Partner anzusprechen und auf die bevorstehende Verschärfung Ihrer E-Mail-Policy vorab hinzuweisen.

  1. Installieren Sie das Microsoft SQL Management Studio auf dem System, auf dem die betroffene Datenbank installiert ist. Das Microsoft SQL Management Studio ist auf der Microsoft-Webseite kostenlos erhältlich.
  2. Starten Sie das SQL Management Studio.
  3. Melden Sie sich an der SQL-Instanz an, in der die Datenbank läuft. Meist heißen diese Instanzen (local)SQLEXPRESS oder (local)NOSPAMPROXY.
  4. Führen Sie nach erfolgreicher Anmeldung die SQL-Abfrage aus

Test-Dokumente

Außerdem stellen wir folgende harmlose „Hallo Welt“ Test-Dokumente zur Verfügung, um die erfolgreiche Verschärfung im Inhaltsfilter auch testen zu können:

  • HelloWorld-ExtensionTrick.doc
  • HelloWorld-MagicBytesTrick-rt_instead_of_rtf1.doc

IOC-Liste

Datei-Name: „Order Enquiry.doc“

Sha256 Hash: 83d493530df0cc487e1adf6684ffef73415f69d54c0b665d7276d81575f2dc02

VirusTotal

  • teilen 
  • teilen 
  • teilen 
  • E-Mail 

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Sie benötigen Unterstützung?

Weitere Informationen rund um NoSpamProxy finden Sie in unserer Dokumentation und im Forum.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
RSS Feed Logo RSS Feed Logo Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Advanced Threat Protection ATP Preview
    Advanced Threat Protection: NoSpamProxy bietet zahlreiche ATP-Funktionen ohne Aufpreis13.06.2025 - 13:32
  • NoSpamProxy Update Banner
    NoSpamProxy Server 15.5 ab sofort verfügbar03.06.2025 - 13:00
  • Customer Success Management Tim Kaleja Preview
    Interview: Wie NoSpamProxy mit starkem Customer Success Management für Kundenzufriedenheit sorgt26.05.2025 - 10:00
IMPRESSUM • EULA • Datenschutzerklärung •  • © 2025 Net at Work GmbH
  • Link to Rss this site
  • Link to LinkedIn
  • Link to Youtube
  • Link to X
  • Link to Instagram
Link to: Absenderreputation und E-Mail-Sicherheit – Teil 5: DNS-based Authentication of Named Entities (DANE) Link to: Absenderreputation und E-Mail-Sicherheit – Teil 5: DNS-based Authentication of Named Entities (DANE) Absenderreputation und E-Mail-Sicherheit – Teil 5: DNS-based Authentication...DomainKeys Identified Mail DKIM Preview Link to: Excel als Malware-Schleuder: Gefahr durch XLL-Dateien Link to: Excel als Malware-Schleuder: Gefahr durch XLL-Dateien Excel als Malware-Schleuder Gefahr durch XLL-Dateien PreviewExcel als Malware-Schleuder: Gefahr durch XLL-Dateien
Scroll to top Scroll to top Scroll to top