Sonntag, Dezember 22, 2024
Böses per Dokumentenanhang
Foto: Barracuda Networks

Böses per Dokumentenanhang

Dokumentenecht? – Das Böse kommt immer öfter per Dokumentenanhan, warnt Klaus Gheri, VP und GM Network Security bei Barracuda Networks.

„Das Böse ist immer und überall“, warnt die Pop-Gruppe EAV. Das sollte E-Mail-Nutzer zwar nicht dauerhaft verunsichern, aber sie sollten stets wachsam sein, was da an Dokumenten so alles mitgeschickt wird. Denn die Security-Analysten von Barracuda Networks verzeichnen seit Jahresbeginn einen deutlichen Anstieg dokumentenbasierter Malware. Eine aktuelle E-Mail-Analyse, die das Unternehmen vornahm, offenbarte, dass es sich im ersten Quartal 2019 bei 59 Prozent aller entdeckten bösartigen Dateien um Dokumente handelte. Im gleichen Zeitraum des Vorjahres waren es noch 41 Prozent. In den letzten zwölf Monaten kamen 48 Prozent aller entdeckten bösartigen Dateien als Dokument daher. Über 300.000 Dokumente ließen sich als eindeutig und bösartig identifizieren. 

Bei einem Angriff mittels dokumentenbasierter Malware nutzen Cyberkriminelle E-Mails, um ein Dokument mit bösartiger Software auf den Weg zu seinen Opfern zu schicken. Üblich ist es, die Malware entweder direkt im Dokument selbst zu verstecken oder aber ein eingebettetes Skript lädt sie von einer externen Website herunter. Und schon starten Viren, Trojaner, Spyware, Würmer und Ransomware ihr bösartiges Vorhaben.

Was macht etwas bösartig? – Das ist heutzutage die Frage

Nachdem man sich in der Vergangenheit auf signaturbasierte Methoden verlassen hatte, die Malware erst stoppen konnten, nachdem eine Signatur daraus abgeleitet wurde, denken Sicherheitsunternehmen heute diffiziler über Malware-Erkennung nach: Man fragt: "Was macht etwas bösartig?" und nicht "Wie erkenne ich Dinge, von denen ich weiß, dass sie bösartig sind"? Ziel dieser aktuellen Sichtweise ist es, frühe Anzeichen dafür zu erkennen, dass eine Datei Schaden anrichten könnte, noch bevor sie überhaupt als schädlich eingestuft wird.

Cyber Kill Chain: Phasen eines Angriffsszenarios

Ein gängiges Modell zum besseren Verständnis von Angriffen heißt Cyber Kill Chain. Es baut darauf auf, Angreifer, bevor sie richtigen Schaden anrichten können, zu erkennen und unschädlich zu machen. Das siebenstufige Modell ist der militärischen Abwehr entlehnt, wonach Angriffe unmittelbar zu analysieren, zu strukturieren und in einzelne Schritte zu zerlegen seien:

1. Erkundung zur Zielauswahl und -einordnung
2. Waffen individuell auf das Ziel abstimmen, d.h., die geeignete Angriffsmethode finden
3. Gezielter Angriff
4. Brückenkopf bilden, d.h., in der erkannten Schwachstelle wird mittels Exploits ein Programm hinterlegt, das einen Zugriff von außen ermöglicht
5. Installation schafft Persistenz innerhalb des Zielsystems
6. Steuerung und Kontrolle - Nutzung der Persistenz von außerhalb des Netzwerks
7. Maßnahmen zur Erreichung des Ziels, das Zweck des Angriffs war; oft Exfiltration von Daten

Das Gros an bösartiger Schadsoftware wird als Spam an weit verbreitete E-Mail-Listen gesendet. Diese werden verkauft, gehandelt, aggregiert und überarbeitet, während sie sich durch die Untiefen des Netzes bewegen. Ein Beispiel für diese Art der Listenaggregation und -nutzung sind etwa Kombilisten, wie sie in den gegenwärtig sehr beliebten Sextortion-Angriffen verwendet werden. Bei einem Sextortion-Angriff geben Cyberkriminelle vor, im Besitz eines kompromittierenden Videos zu sein, das angeblich auf dem Computer des Opfers aufgezeichnet wurde, und drohen, es mit allen Kontakten des Opfers zu teilen – es sei denn, die Zielperson bezahlt.

Obacht bei Microsoft- und Adobe-Dateitypen

Sobald der Angreifer über eine Liste potenzieller Opfer verfügt, schickt er die Malware-Kampagne auf ihren verbrecherischen Weg. Immer häufiger kommt dabei Social Engineering zum Einsatz, um Benutzer zu beeinflussen, ein angehängtes bösartiges Dokument zu öffnen. Aus nachvollziehbaren Gründen erfreuen sich Microsoft- und Adobe-Dateitypen bei den Kriminellen einer zweifelhaften Beliebtheit für dokumentenbasierte Malwareangriffe. Word-, Excel-, PowerPoint-, Acrobat- und PDF-Dateien werden eben allzu häufig verwendet. Öffnet nun der Benutzer das Dokument, installiert sich die Malware entweder automatisch oder es wird ein stark verschleiertes Makro/Skript verwendet, um es von einer externen Quelle herunterzuladen und zu installieren.

Archivdateien und Skriptdateien sind die beiden anderen am häufigsten verwendeten anlagenbasierten Verteilungsmethoden für Malware. Oft versuchen Angreifer Benutzer mit verwirrenden Dateierweiterungen hereinzulegen, um das Öffnen eines bösartigen Dokuments zu erzwingen.

Lösungen zum Schutz vor dokumentenbasierter Malware

Moderne Malware-Angriffe sind komplex und mehrschichtig. Die Lösungen, die solche Attacken erkennen und blockieren sollen, sollten es auch sein.

  • Blacklisting: Mit zunehmend limitierten IP-Adressbereichen nutzen Spammer häufiger ihre eigene Infrastruktur. Gleiche IPs werden daher lange genug verwendet, so dass die Software sie erkennen und auf die schwarze Liste setzen kann. Selbst bei gehackten Websites und Botnetzen ist es möglich, Angriffe über IP vorübergehend zu blockieren, sobald ein ausreichend großes Volumen an Spam erkannt wurde.
  • Spam-Filter/Phishing-Detection-Systeme: Während viele bösartige E-Mails auf den ersten Blick überzeugend erscheinen, können Spam-Filter, Phishing-Detection-Systeme und zugehörige Sicherheitssoftware subtile Hinweise aufnehmen und helfen, potenziell gefährliche Nachrichten und Anhänge daran hindern, in E-Mail-Posteingänge zu gelangen.
  • Malware-Erkennung: Bei E-Mails mit bösartigen Dokumentenanhängen können sowohl statische als auch dynamische Analysen erkennen, dass über das infizierte Dokument versucht wird, eine kompromittierte Datei herunterzuladen und auszuführen. Die URL für die ausführbare Datei lässt sich oft heuristisch oder mittels Threat Intelligence-Systemen identifizieren. Die durch die statische Analyse erkannte Verschleierung lässt auch erkennen, ob ein Dokument überhaupt verdächtig sein könnte.
  • Erweiterte Firewall: Öffnet ein Benutzer eine bösartige Anlage oder klickt auf einen Link zu einem Drive-by-Download, ermöglicht es eine erweiterte Netzwerk-Firewall, die in der Lage ist, Malware-Analysen durchzuführen, den Angriff zu stoppen, indem sie die ausführbare Datei kennzeichnet.

Am überall gegenwärtigen Bösen lässt sich vermutlich nicht viel ändern. Aufmerksame Kolleginnen und Kollegen sowie eine ausgereifte IT-Security können aber dabei helfen, dass das Gute in den meisten Fällen die Oberhand behält.

Details

Meistgelesene BLOGS

Firmen | News
24. September 2024
NEFI-Konferenz 2024: Gemeinsam Innovationen vorantreiben und den Weg zur Klimaneutralität gestalten
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Read More
Firmen | News
20. September 2024
CIS Compliance Summit 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Read More
Marlene Buchinger
11. September 2024
ESG-Reporting: Schritt für Schritt zum nachhaltigen Erfolg – Teil 3
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...
Read More
Redaktion
27. August 2024
Erster ISO 27001 Statusbericht in Österreich – be part of it
Die Zertifizierung- und Trainingsinstanz CIS – Certification & Information Security Services GmbH im Bereich Informationssicherheit, Datenschutz, Cloud Computing und mehr, beleuchtet erstmalig die...
Read More
Redaktion
04. September 2024
Nachhaltige Bauprojekte: Trends und Herausforderungen in der Bauwirtschaft
Ökologische Baumaterialien: Der Weg zu umweltfreundlichen Gebäuden Die Bauindustrie befindet sich in einem tiefgreifenden Wandel, bei dem ökologische Baumaterialien eine zentrale Rolle spielen. Tradit...
Read More
Alfons A. Flatscher
06. November 2024
Was der Wahlsieg von Donald Trump für europäische Unternehmen bedeutet
Mit Donald Trumps Rückkehr ins Weiße Haus zeichnet sich ein neues Kapitel der Handelspolitik der USA ab – und für europäische Unternehmen könnten die nächsten Jahre herausfordernd werden. Trump, bekan...
Read More
LANCOM Systems
14. Oktober 2024
Bundesbeschaffung listet LANCOM Netzwerkprodukte mit AVAD als Distributor
Die österreichische Bundesbeschaffung GmbH (BBG) hat die Lösungen des deutschen Netzwerkinfrastruktur- und Security-Herstellers LANCOM Systems in ihr Portfolio aufgenommen. Konkret bezieht sich die Ra...
Read More
Firmen | News
30. September 2024
Der ideale Zeitpunkt für eine neue Matratze
Die Wahl der richtigen Matratze kann einen großen Unterschied in Ihrem Leben machen. Es gibt viele Faktoren zu berücksichtigen, bevor Sie eine Entscheidung treffen. Erfahren Sie, wann der beste Zeitpu...
Read More

MEDIADATEN

REPORT (+) 2024 
REPORT (+) 2025 

 

Bau & Immobilien REPORT 2024 
Bau & Immobilien REPORT 2025 
 REPORT Online
Datenschutzerklärung   Allgemeine Geschäftsbedingungen

Log in or Sign up

Social Icon Social Icon Social Icon Social Icon Social Icon
Suche
Selected Filters
Open Filters
Geek ElasticSearch powered by JoomlaGeek.com