Anzeige

Malware

Die Mail-Security-Experten von NoSpamProxy veröffentlichen eine Prognose zu den wichtigsten Malware-Trends und Angriffsmethoden auf Mail-Kommunikation in 2021 und fordern zu mehr Kooperation auf.

Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, veröffentlicht eine Prognose zu fünf bedeutenden Methoden für E-Mail-Angriffe in 2021. Mit einem besonderen Fokus auf den deutschsprachigen Raum und seine spezifischen Gegebenheiten werden dafür vom NoSpamProxy-Team regelmäßig umfangreiche Datenquellen ausgewertet und die aktuelle Bedrohungslage kontinuierlich analysiert.

Mit dem Projekt Heimdall steht seit mehr als einem Jahr auch ein durch Schwarmintelligenz und Big Data getriebener Ansatz zur Analyse zur Verfügung. Heimdall wertet mit modernsten Big-Data-Analysen kundenübergreifend die Metadaten und Links von Millionen von E-Mails und Anhängen aus. Innerhalb von Minuten kann Heimdall so auf neu auftretende Angriffsmuster reagieren und die angeschlossenen Kunden aktiv schützen. Die parallel kontinuierlich wachsende Datenbasis bietet neuartige Chancen für verbesserte Analysen und Prognosen.

Quelle: Net at Work GmbH

Nach Auswertung der Daten aus 2020 über Angriffsmethoden und -formen zum Jahresende erwarten die Security-Experten vor allem folgende fünf Trends für 2021:

1. Bekannte Plattformen wie Google Forms als Sprungbrett

Schon seit langem versuchen Angreifer durch das Erstellen oder Kapern von Postfächern als legitim bekannter E-Mail-Dienste wie Microsoft oder Google, sich die gute Reputation dieser Plattformen zunutze zu machen. Gleichzeitig bemühen sich die Diensteanbieter, durch neue Technologien und Methoden den Versand von Spam und Malware zu verhindern. Aktuell beobachten die Security-Experten in diesem Hase-und-Igel-Spiel ein Ausweichen auf Nebenschauplätze. So maskieren Angreifer E-Mails zum Beispiel als Unzustellbarkeitsbericht oder als Termineinladung und bauen darauf, dass diese Nachrichten von einigen Security-Lösungen weniger strikt behandelt werden.

Auch der Dienst Google Forms wird seit einigen Wochen massiv für den Versand von Spam und Malware missbraucht. Der Gestaltungsspielraum, den Google für den Versand von E-Mails bei Google Forms zulässt, ist unverständlich: Es können beliebige Absenderinformationen eingegeben werden, die Betreffzeilen sind zu 100% anpassbar und die Inhalte werden von Google ganz offensichtlich nicht geprüft.

Für die Hersteller von E-Mail-Security-Lösungen bedeutet dies, dass neue Wege beschritten werden müssen: Die Abwehr solcher Attacken kann nur durch eine Kombination aus Absenderreputation und aktueller Bewertung der konkreten Links erfolgen. Aus der Absenderreputation lassen sich positive Merkmale ermitteln. So ist beispielsweise für E-Mails aus dem Ticketsystem der Deutschen Bahn mittels Prüfung der SPF-, DKIM- oder DMARC-Angaben automatisiert ermittelbar, ob sie aus einem validen System kommen. Für die Bewertung der konkreten Links und Anhänge haben sich zentrale – sprich instanz- und organisationsübergreifende – Reputationsdienste als besonders wirksam erwiesen. Durch die breite Sichtung von Prüfungsergebnissen zu Metadaten von E-Mails, Links und Anhängen in Echtzeit können diese Systeme sehr zeitnah schädliche Links und Anhänge erkennen. Die Kombination von lokalen Prüfungen und zentralen Mitteln bietet damit Geschwindigkeits- und Skalenvorteile. So kann die Indizienkette zur Bewertung einer eingehenden E-Mail schnell, zuverlässig und vor allem umfangreich aufgebaut und überprüft werden.

2. Emotet wird wiederkommen

Zwar konnte das Bundeskriminalamt in der vergangenen Woche verkünden, dass die Emotet-Infrastruktur zerschlagen wurde, aber es ist davon auszugehen, dass die Angreifer ihre Ansätze und Tools weiter verbessern, um dann – in etwas anderer Form – wieder zuzuschlagen. Mit hoher Wahrscheinlichkeit werden URLs, die auf ungesicherte und gekaperte WordPress-Seiten zeigen, wieder eine zentrale Rolle spielen. Klassische URL-Reputationsmechanismen versagen an dieser Stelle, weil die Domänen überwiegend für legitime Webseiten genutzt werden. E-Mail-Sicherheitslösungen müssen in der Lage sein, mit Hilfe eines Webcrawlers den aktuellen Zustand einer zu prüfenden URL untersuchen zu können und die Information, was sich hinter der URL verbirgt, in die Entscheidung einfließen zu lassen.

Verbirgt sich hinter dem Link beispielsweise keine gewöhnliche HTML-Seite, sondern Dateien oder anderweitig aktiver Inhalt, muss der E-Mail mit Skepsis begegnet werden. Findet sich hinter dem zu prüfenden Link eine DOC-Datei, ist dies auf einer Wordpress-Seite dabei negativer zu bewerten, als wenn dieselbe Datei auf einer etablierten File-Sharing-Plattform wie OneDrive oder Google Drive liegt.

In beiden Fällen ist es wichtig, dass ein zentraler Reputationsdienst gefragt werden kann, ob die Datei bereits bekannt ist. Die Indizienkette zur Bewertung der E-Mail ist damit vollständiger und das Ergebnis der Prüfung zuverlässiger.

3. Missbrauch von URL-Shortenern

Zum Ende des vergangenen Jahres haben die Security-Experten bei ihrer kontinuierlichen Analyse des Mailverkehrs viel Spam beobachtet, für den herkömmliche HTTP-Forwarder oder URL-Shortener genutzt wurden, um die eigentlichen Links zu verschleiern. Die URLs der Shortener-Dienste werden von gewöhnlichen Klassifizierungsdiensten in der Regel als neutral eingestuft und nicht weiterverfolgt. Das ist eine deutliche Lücke bei der Erkennung schadhafter E-Mails – insbesondere, da teilweise regelrechte Kaskaden an Weiterleitungen genutzt werden, was diese E-Mails noch verdächtiger macht. Auch hier muss die E-Mail-Security-Lösung Crawler einsetzen, um URL-Weiterleitungen sicher nachverfolgen zu können.


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Firefox Hacker

FriarFox: Malware-Erweiterung für Firefox spioniert Gmail-Konten aus

Sicherheitsforscher von Proofpoint haben eine neue Cyberattacke entdeckt. Über eine bösartige Browser-Erweiterung für Mozilla Firefox in Kombination mit der Scanbox-Malware gelang es Kriminellen, die Gmail-Konten ihrer Opfer zu übernehmen.
Cybercrime

Phishing- und Malware-Kampagnen mit COVID-19-Bezug

Das IT-Sicherheitsunternehmen Tenable veröffentlichte vor Kurzem eine fundierte Analyse der signifikantesten Datensicherheitsverletzungen aus dem vergangenen Jahr. Der Bericht „Rückblick auf die Bedrohungslandschaft 2020“ analysiert unter anderem die…
Business Email Compromise

Business E-Mail Compromise: Weniger Technik, höhere Schäden

Ransomware ist unbestritten eine der größten Cyberbedrohungen für Unternehmen. Immer neue medienwirksame Fälle und die sich ständig weiterentwickelnde Technik haben ihren Teil dazu beigetragen, dass sich mittlerweile die meisten Unternehmen dieser Gefahr…
Hacker

Darknet: Der Aufstieg der Initial Access Broker durch das Home-Office

Home-Office in der Corona-Pandemie und neuer Malware-Technologien haben 2020 zu einem sprunghaften Anstieg beim Handel mit kompromittierten bzw. gehackten Fernzugriffen (Remote Access) geführt. Angebote rund um RDP-, VPN- und Citrix-Gateways haben einen neuen…
RDP

Home-Offices unter Beschuss: RDP-Angriffe steigen um 4.516 Prozent

Cyberkriminelle haben es in Deutschland, Österreich und der Schweiz massiv auf Unternehmen und deren Arbeitnehmer im Home-Office abgesehen. Allein im Dezember 2020 registrierte der europäische IT-Sicherheitshersteller ESET in diesen drei Ländern täglich…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!