KI-gestützte Cyberangriffe: Wie man intelligente Bedrohungen erkennt, verhindert und abwehrt

Jetzt lesen
Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Startseite/ Blog / Wie behandeln Sie E-Mail-Anhänge?
Email Security

Wie behandeln Sie E-Mail-Anhänge?

von Janos Rotzik, Leiter Technisches Marketing
Jetzt teilen

Neue E-Mail-Kampagne mit PDF wurde entdeckt

E-Mail-Sicherheit sollte oberste Priorität haben, da sie laut IBM immer noch der häufigste Angriffsvektor für Datenschutzverletzungen ist. Trotzdem gelingt es ausgeklügelten E-Mail-Angriffen weiterhin, ihre Opfer zu erobern, indem sie den menschlichen Faktor ausnutzen, der in diesem Jahr bei 82 % aller Sicherheitsverletzungen eine Rolle spielte. Leider wurde im letzten Monat eine weitere Malware-Verteilungskampagne mit PDF-Anhängen aufgedeckt, bei der Hacker einen neuen Weg gefunden haben, um Malware auf die Geräte der Opfer zu schmuggeln.

Fassen wir noch einmal zusammen, wie der Angriff durchgeführt wurde

Die neue Cybercrime-Kampagne, die von HP Wolf Security entdeckt wurde, nutzt unsicheres Nutzerverhalten aus, um den Snake Keylogger über PDF-Dateien auf anfällige Endgeräte zu verteilen.

Die Bedrohungsakteure schickten zunächst eine E-Mail mit der Betreffzeile "Remittance Invoice" (Überweisungsrechnung), um den Opfern vorzugaukeln, dass sie für etwas bezahlt werden würden. Beim Öffnen der PDF-Datei forderte Adobe Reader den Benutzer auf, ein eingebettetes Dokument - eine DOCX-Datei - zu öffnen, was verdächtig, aber für das Opfer eher verwirrend sein könnte, da das eingebettete Dokument den Namen "has been verified" trägt. Dies lässt das Opfer glauben, dass der PDF-Reader die Datei gescannt hat und sie einsatzbereit ist.

Ein Beispiel für eine bösartige Excel-Datei

Die Word-Datei enthält wahrscheinlich ein Makro, das, wenn es aktiviert ist, die Rich-Text-Datei (RTF) von dem entfernten Standort herunterlädt und ausführt. Die Datei würde dann versuchen, die Malware Snake Keylogger herunterzuladen.

Damit der Angriff erfolgreich ist, müssen die anvisierten Endpunkte immer noch für eine bestimmte Schwachstelle anfällig sein. Diesmal schickten die Angreifer jedoch nicht den bösartigen Code, sondern brachten das Opfer dazu, ihn herunterzuladen, und umgingen so die auf Erkennung basierende Gateway-Verteidigung.

Die Cybersicherheitsgemeinschaft ist der Ansicht, dass viele der Sicherheitsverletzungen vermeidbar gewesen wären. So wurde beispielsweise die aktuelle Schwachstelle 2017 entdeckt, und die jüngste Angriffsserie hätte verhindert werden können, wenn alle Geräteadministratoren ihre Betriebssysteme auf dem neuesten Stand gehalten hätten.

Dem DBIR von Verizon zufolge gibt es vier Hauptwege zu Unternehmensdaten: Zugangsdaten, Phishing, Ausnutzung von Schwachstellen und Botnets. Wird nur eines dieser Elemente nicht blockiert, kann dies zu einem Eindringen in das Netzwerk führen. In diesem Fall nutzten die Angreifer zwei Elemente für ihren Angriff: einen gut choreografierten E-Mail-Phishing-Betrug, um ahnungslose Benutzer in die Irre zu führen, und eine ausgenutzte Sicherheitslücke, um bösartige Dateien zu installieren.

Häufig verwendete Schutzmaßnahmen

Da die neue Cybercrime-Kampagne den Snake Keylogger per E-Mail über PDF-Dateien an anfällige Endpunkte verteilte, hätten die bewährten Sicherheitspraktiken aus den folgenden Gründen nicht richtig funktioniert:

  • Sicherheitslücken werden innerhalb von Tagen ausgenutzt, aber Unternehmen brauchen Wochen oder Monate, um sie zu schließen.
  • Herkömmliche E-Mail-Sicherheitslösungen können Zero-Day-Angriffe nur schwer verhindern, da es keine Antivirensignaturen gibt, die sie erkennen.
  • Sandbox Lösungen haben sich als ein Ansatz für die Erkennung fortgeschrittener Bedrohungen herauskristallisiert, aber sie sind nicht gut für E-Mails geeignet, da sie zusätzliche Verarbeitungszeit vor der Zustellung benötigen.
  • Abgesehen von den negativen Auswirkungen auf die Produktivität können bestimmte E-Mail-Sicherheitsbedrohungen die Sandbox-Erkennung umgehen. In diesem Fall wurden diese beiden Methoden angewandt:


    • Aktion - verzögerte Ausführung

      • Wenn Hacker sicherstellen wollen, dass ihre Malware nicht in einer Sandbox-Umgebung ausgeführt wird, besteht ein weiterer gängiger Ansatz darin, auf die Interaktion des Endbenutzers zu warten. Dabei kann es sich um einen Mausklick, das Tippen auf der Tastatur oder das Öffnen einer bestimmten Anwendung handeln - die Möglichkeiten sind nahezu unbegrenzt. Wichtig für den Angreifer ist, dass Sandbox-Lösungen diese Aktionen nicht berücksichtigen können. Ohne solche Benutzeraktionen können Sandbox-Lösungen diese Angriffe nicht erkennen.

    • Trojaner und Makros

      • Trojanische Dateien sind fast so alt wie das antike Griechenland. Daher ist es ein Verdienst der Antiviren- und Sandboxing-Lösungen, dass sie eine ganze Reihe von Trojaner-Dateien erkennen können. Erkennungsbasierte Lösungen versagen in der Regel, sobald die Malware in makroaktivierten Microsoft Office-Dokumenten versteckt ist. Der einzige Nachteil makrobasierter Angriffe für Angreifer besteht darin, dass sie vom Endbenutzer aktiviert werden müssen, so dass sie häufig mit einem Social-Engineering-Angriff einhergehen.

Die Null-Vertrauens-Philosophie

Unternehmen sollten davon ausgehen, dass alle E-Mails und Anhänge bösartig sind. Übliche Produktivitätsdateien wie Word-Dokumente oder PDFs können mit Malware und Zero-Day-Angriffen infiziert sein, aber es ist unrealistisch, den Zugriff auf E-Mails oder Word-Dokumente zu blockieren. Antiviren- und Sandbox-Lösungen sind nur begrenzt in der Lage, fortgeschrittene Angriffe zu erkennen. Wie der oben beschriebene Angriff gezeigt hat, ist ein ausschließlich auf Erkennung basierender Schutz grundsätzlich der falsche Ansatz. Stattdessen sollten Unternehmen einen Zero-Trust-Sicherheitsansatz mit einer proaktiven Lösung verfolgen, die alle Dateien als bösartig einstuft und sie in Echtzeit bereinigt. Solche bereinigten Anhänge können dem Benutzer sofort zugestellt werden, ohne dass die Geschäftsproduktivität beeinträchtigt wird, während im Hintergrund Zeit für eine weitere erkenntnisbasierte (oder dynamische) Analyse bleibt, die im Erfolgsfall sogar die Originaldatei an den Benutzer senden kann.

MetaDefenderPDF-Einstellungen

MetaDefender Email Security ist eine solche Lösung. Sie bietet einen umfassenden Ansatz zur Entschärfung von Anhängen, E-Mail-Textkörpern und Kopfzeilen, indem sie alle potenziell bösartigen Inhalte entfernt und sie als saubere Datei rekonstruiert. So sind diese Dateien vollständig nutzbar und sicher und bieten unsicheren Benutzern einen angemessenen Schutz gegen die oben beschriebenen Angriffe.

OPSWAT schützt Unternehmen vor Exploits und waffenfähigen Inhalten, ohne dass eine Erkennung erforderlich ist. Und es ist auch 30 Mal schneller als die Sandbox-Erkennung!

Wenn Sie mehr darüber erfahren möchten, wie Sie E-Mail-Sicherheitslücken schließen können, um Ihr Unternehmen vor fortschrittlichen Bedrohungen zu schützen, laden Sie unser kostenloses Whitepaper "Best Practices for Email Security and Critical Infrastructure Protection" herunter, oder lesen Sie hier weitere Blogs zu diesem Thema.

Kontaktieren Sie OPSWAT und fragen Sie uns, wie wir Ihnen helfen können, Ihre E-Mail-Sicherheit zu verbessern.

Neueste Beiträge

Registrieren Sie sich für den OPSWAT Newsletter

Holen Sie sich die neuesten OPSWAT Unternehmens-Updates zusammen mit Veranstaltungsinformationen und die Neuigkeiten, die die Branche voranbringen.
Anmelden

Folgen Sie uns auf Social Media

Folgen Sie OPSWAT auf LinkedIn, Facebook, Twitter und YouTube, um mehr zu erfahren!

Bleiben Sie auf dem Laufenden mit OPSWAT!

Melden Sie sich noch heute an, um die neuesten Unternehmensinformationen zu erhalten, Geschichten, Veranstaltungshinweise und mehr.
Abonnieren