Rich Text File Type Evasion Tricks erfolgreich abwehren

Seit dieser Woche verzeichnen wir eine neue Angriffswelle mit RTF-Dokumenten, bei denen die Spammer verschiedene „File Type Evasion Tricks“ anwenden. Wir zeigen, wie Sie den Inhaltsfilter konfigurieren sollten, um die Angriffe abzuwehren. Für Kunden von NoSpamProxy Cloud haben wir bereits die entsprechenden Maßnahmen umgesetzt.

Richtext File Type Evasion Tricks - Spam message example

Beispiel einer aktuellen Spam-Nachricht mit einem bösartigen RTF-Dokument.

Auf den ersten Blick sieht der Anhang wie ein Word-Dokument aus. Dieser einfache Trick findet schon lange im Repertoire der Spammer Anwendung, denn leider ist Microsoft Word so nachsichtig und öffnet auch diese Dokumente. In unserem Blog Blog haben wir bereits 2018 im Zuge von Emotet  Handlungsempfehlungen ausgesprochen, um einen entsprechenden Mismatch des Datei-Typs und der Datei-Endung im Inhaltsfilter erfolgreich abzuwehren.

Bei der aktuellen Welle wird nun auch zusätzlich der Header des RTF-Dokuments manipuliert. In der ursprünglichen Rich-Text-Spezifikation vom Juni 1992 definiert Microsoft den Header wie folgt:

Richtext File Type Evasion Tricks - Microsoft Richtext Format Specification 1.0

Die erste Rich-Text-Spezifikation ist vor 29 Jahren erschienen.

Aber in Redmond scheint man sich nicht ganz an die eigene Spezifikation zu halten und Spammer verwenden nun Dokumente, welche nicht mit „{rtf1“ beginnen. Leider ist Microsoft Word auch hier so tolerant und öffnet die manipulierten RTF-Dokumente, welche z.B. nur mit „{rt“ beginnen.

Durch diese Manipulationen am RTF-Header funktioniert die Datei-Type Erkennung im NoSpamProxy nicht mehr korrekt und der Anhang wird fälschlicherweise als „Nur Text / Plain text“ erkannt.

Richtext File Type Evasion Tricks - NoSpamProxy - Message tracking

Verschiedene Test-Dokumente und die Erkennung im NoSpamProxy Message Tracking

Inhaltsfilter konfigurieren

Für eine strengere Behandlung dieser Spam E-Mails empfehlen wir folgende temporäre lokale Modifikation:

Konfigurieren Sie deshalb den Inhaltsfiltereintrag wie in „Konfigurationsmöglichkeit 2“ des Knowledge Base Artikel „Inhaltsfilter konfigurieren“ beschrieben.

Richtext File Type Evasion Tricks - NoSpamProxy - Inhaltsfilter (deutsch)
  • Dateityp (File type): Text -> „Rich-Text-Format“ UND Dateiname (Filename): *.doc; *.docx
  • Dateityp (File type): Text -> „Rich-Text-Format mit OLE-Objekten“ UND Dateiname (Filename): *.doc; *.docx
  • Dateityp (File type): Text -> „Nur Text“ UND Dateiname (Filename): *.doc; *.docx

SQL-Abfrage

Weiterhin stellen wir eine SQL-Abfrage zur Verfügung, mit der auf solche Tricks bei RTF-Dokumenten in der NoSpamProxy Datenbank gesucht werden kann: Download

Hier können Sie dann auch schnell im Vorfeld erkennen, ob diese Verschärfung im Inhaltsfilter unter Umständen zu Problemen mit legitimen E-Mails von Partnern führen könnte. So haben Sie die Möglichkeit, diese betroffenen Partner anzusprechen und auf die bevorstehende Verschärfung Ihrer E-Mail-Policy vorab hinzuweisen.

  1. Installieren Sie das Microsoft SQL Management Studio auf dem System, auf dem die betroffene Datenbank installiert ist. Das Microsoft SQL Management Studio ist auf der Microsoft-Webseite kostenlos erhältlich.
  2. Starten Sie das SQL Management Studio.
  3. Melden Sie sich an der SQL-Instanz an, in der die Datenbank läuft. Meist heißen diese Instanzen (local)SQLEXPRESS oder (local)NOSPAMPROXY.
  4. Führen Sie nach erfolgreicher Anmeldung die SQL-Abfrage aus

Test-Dokumente

Außerdem stellen wir folgende harmlose „Hallo Welt“ Test-Dokumente zur Verfügung, um die erfolgreiche Verschärfung im Inhaltsfilter auch testen zu können:

IOC-Liste

Datei-Name: „Order Enquiry.doc“

Sha256 Hash: 83d493530df0cc487e1adf6684ffef73415f69d54c0b665d7276d81575f2dc02

VirusTotal