Anzeige

Malware

Die Mail-Security-Experten von NoSpamProxy veröffentlichen eine Prognose zu den wichtigsten Malware-Trends und Angriffsmethoden auf Mail-Kommunikation in 2021 und fordern zu mehr Kooperation auf.

Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, veröffentlicht eine Prognose zu fünf bedeutenden Methoden für E-Mail-Angriffe in 2021. Mit einem besonderen Fokus auf den deutschsprachigen Raum und seine spezifischen Gegebenheiten werden dafür vom NoSpamProxy-Team regelmäßig umfangreiche Datenquellen ausgewertet und die aktuelle Bedrohungslage kontinuierlich analysiert.

Mit dem Projekt Heimdall steht seit mehr als einem Jahr auch ein durch Schwarmintelligenz und Big Data getriebener Ansatz zur Analyse zur Verfügung. Heimdall wertet mit modernsten Big-Data-Analysen kundenübergreifend die Metadaten und Links von Millionen von E-Mails und Anhängen aus. Innerhalb von Minuten kann Heimdall so auf neu auftretende Angriffsmuster reagieren und die angeschlossenen Kunden aktiv schützen. Die parallel kontinuierlich wachsende Datenbasis bietet neuartige Chancen für verbesserte Analysen und Prognosen.

Quelle: Net at Work GmbH

Nach Auswertung der Daten aus 2020 über Angriffsmethoden und -formen zum Jahresende erwarten die Security-Experten vor allem folgende fünf Trends für 2021:

1. Bekannte Plattformen wie Google Forms als Sprungbrett

Schon seit langem versuchen Angreifer durch das Erstellen oder Kapern von Postfächern als legitim bekannter E-Mail-Dienste wie Microsoft oder Google, sich die gute Reputation dieser Plattformen zunutze zu machen. Gleichzeitig bemühen sich die Diensteanbieter, durch neue Technologien und Methoden den Versand von Spam und Malware zu verhindern. Aktuell beobachten die Security-Experten in diesem Hase-und-Igel-Spiel ein Ausweichen auf Nebenschauplätze. So maskieren Angreifer E-Mails zum Beispiel als Unzustellbarkeitsbericht oder als Termineinladung und bauen darauf, dass diese Nachrichten von einigen Security-Lösungen weniger strikt behandelt werden.

Auch der Dienst Google Forms wird seit einigen Wochen massiv für den Versand von Spam und Malware missbraucht. Der Gestaltungsspielraum, den Google für den Versand von E-Mails bei Google Forms zulässt, ist unverständlich: Es können beliebige Absenderinformationen eingegeben werden, die Betreffzeilen sind zu 100% anpassbar und die Inhalte werden von Google ganz offensichtlich nicht geprüft.

Für die Hersteller von E-Mail-Security-Lösungen bedeutet dies, dass neue Wege beschritten werden müssen: Die Abwehr solcher Attacken kann nur durch eine Kombination aus Absenderreputation und aktueller Bewertung der konkreten Links erfolgen. Aus der Absenderreputation lassen sich positive Merkmale ermitteln. So ist beispielsweise für E-Mails aus dem Ticketsystem der Deutschen Bahn mittels Prüfung der SPF-, DKIM- oder DMARC-Angaben automatisiert ermittelbar, ob sie aus einem validen System kommen. Für die Bewertung der konkreten Links und Anhänge haben sich zentrale – sprich instanz- und organisationsübergreifende – Reputationsdienste als besonders wirksam erwiesen. Durch die breite Sichtung von Prüfungsergebnissen zu Metadaten von E-Mails, Links und Anhängen in Echtzeit können diese Systeme sehr zeitnah schädliche Links und Anhänge erkennen. Die Kombination von lokalen Prüfungen und zentralen Mitteln bietet damit Geschwindigkeits- und Skalenvorteile. So kann die Indizienkette zur Bewertung einer eingehenden E-Mail schnell, zuverlässig und vor allem umfangreich aufgebaut und überprüft werden.

2. Emotet wird wiederkommen

Zwar konnte das Bundeskriminalamt in der vergangenen Woche verkünden, dass die Emotet-Infrastruktur zerschlagen wurde, aber es ist davon auszugehen, dass die Angreifer ihre Ansätze und Tools weiter verbessern, um dann – in etwas anderer Form – wieder zuzuschlagen. Mit hoher Wahrscheinlichkeit werden URLs, die auf ungesicherte und gekaperte WordPress-Seiten zeigen, wieder eine zentrale Rolle spielen. Klassische URL-Reputationsmechanismen versagen an dieser Stelle, weil die Domänen überwiegend für legitime Webseiten genutzt werden. E-Mail-Sicherheitslösungen müssen in der Lage sein, mit Hilfe eines Webcrawlers den aktuellen Zustand einer zu prüfenden URL untersuchen zu können und die Information, was sich hinter der URL verbirgt, in die Entscheidung einfließen zu lassen.

Verbirgt sich hinter dem Link beispielsweise keine gewöhnliche HTML-Seite, sondern Dateien oder anderweitig aktiver Inhalt, muss der E-Mail mit Skepsis begegnet werden. Findet sich hinter dem zu prüfenden Link eine DOC-Datei, ist dies auf einer Wordpress-Seite dabei negativer zu bewerten, als wenn dieselbe Datei auf einer etablierten File-Sharing-Plattform wie OneDrive oder Google Drive liegt.

In beiden Fällen ist es wichtig, dass ein zentraler Reputationsdienst gefragt werden kann, ob die Datei bereits bekannt ist. Die Indizienkette zur Bewertung der E-Mail ist damit vollständiger und das Ergebnis der Prüfung zuverlässiger.

3. Missbrauch von URL-Shortenern

Zum Ende des vergangenen Jahres haben die Security-Experten bei ihrer kontinuierlichen Analyse des Mailverkehrs viel Spam beobachtet, für den herkömmliche HTTP-Forwarder oder URL-Shortener genutzt wurden, um die eigentlichen Links zu verschleiern. Die URLs der Shortener-Dienste werden von gewöhnlichen Klassifizierungsdiensten in der Regel als neutral eingestuft und nicht weiterverfolgt. Das ist eine deutliche Lücke bei der Erkennung schadhafter E-Mails – insbesondere, da teilweise regelrechte Kaskaden an Weiterleitungen genutzt werden, was diese E-Mails noch verdächtiger macht. Auch hier muss die E-Mail-Security-Lösung Crawler einsetzen, um URL-Weiterleitungen sicher nachverfolgen zu können.


Weitere Artikel

Hacker Russland

REvil-Ransomware – höfliche und russlandfreundliche Hacker

Vor allem jenseits des Atlantiks sorgte kürzlich ein Bericht der NBC für Furore: Dieser stellte fest, dass die REvil-Ransomware, die für die groß angelegte Kaseya-Supply-Chain-Attacke benutzt wurde, so programmiert ist, dass sie keine russischen Rechner…
Cyber Security

Phishing-Angriffe: 65 Prozent der Opfer machten Schulung

Cloudian veröffentlichte seinen 2021 Ransomware Victims Report. Die Umfrage ergab, dass 54 Prozent der Opfer zum Zeitpunkt des Angriffs bereits an einer Anti-Phishing-Schulung teilgenommen und 49 Prozent einen Perimeter-Schutz installiert hatten.
Cybercrime

Cyberangriff auf die Rüstungsindustrie

Den Security-Experten von Proofpoint ist es nun gelungen, eine neue Social-Engineering-Attacke von TA456 (Threat Actor 456 – oft auch Imperial Kitten oder Tortoiseshell genannt) aufzudecken. Bei der Kampagne versuchten die Cyberkriminellen über mehrere Jahre…
Malware

UEFI-Malware bleibt Bedrohung für Privatanwender und Unternehmen

Mit dem Schadprogramm Lojax war das Unified Extensible Firmware Interface (UEFI) im Herbst 2018 in aller Munde. ESET Forscher hatten herausgefunden, dass Hacker mit neuartigen Angriffsmethoden die Firmware auf Mainboards infiltrieren und über diesen Weg die…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.