Emotet

Emotet ist eine Malware, die sehr gut gemacht Mails mit Anlagen an ihre Opfer sendet. Dies gelingt ihr, weil Sie vorher von anderen Personen die E-Mails ausgelesen und an die Angreifer gesendet hat und nun mit maßgeschneiderten "Antworten" darauf die Malware versendet. Die nächsten Opfer lassen sich so leichter dazu verführen eine Anlage zu öffnen, zu entsperren und letztlich das Makro auszuführen. Es erwischt dabei durchaus namhafte Firmen.

Achtung
Laut CERT-Bund (Sep 2020 https://twitter.com/certbund/status/1294183630596694016) kommen nur noch 15% von großen providern (GMX, T-Online etc.) aber viel mehr von betroffenen Firmen. Gerade im B2B-Verkehr ist das natürlich besonders kritisch.

Wichtig Hinweise

Daher sollten Sie sich als Administrator und Firma über die Problematik schlau machen und vorbereitet sein.

Gegenmaßnahmen

Wenn die Infektion schon erfolgt ist, dann kann es nur heißen: "Alles aus", denn der Schadcode lädt weitere Module aus dem Internet nach und kann daher unterschiedlichstes Aktionen auslösen. Allein "Internet aus" reicht nicht, da ein Schadcode ja schon am "verschlüsseln" sein könnte. Ob und wie sie überhaupt ein System wieder in betrieb nehmen wollen, sollten Sie genau überlegen. Ein Neuaufbau ist der sichere Weg alle Hintertüren zu vermeiden. Aber vorher können Sie sich vorbereiten. Die klassischen Ansätze wie "aktueller Virenscanner" etc. sind ganz nett aber sind nur eine erste Verteidigung. Meine persönliche Verteidigung ist

  • Backup ist am wichtigsten
    Wen Sie einen Schaden haben und dabei auch noch Daten durch "löschen" oder "verschlüsseln" verlieren, dann geht das an die Substanz ihrer Firma. Aber auch Familien finden es nicht schön die mittlerweile nur noch digitalen Urlaubsfotos zu verlieren.
  • Virenscanner/Malwarefilter
    Dann ist ein aktuelle Scanner die zweite Aktion, die mit wenig Aufwand schon sehr viel bringt. Er findet meist nicht die aktuellsten Versionen einer Malware aber vielleicht ist ihre Version schon "älter"
    Für Firmen ist ein Scanner/Filter auf den Transportwegen, insbesondere SMTP, unerlässlich. Prüfen Sie, ob sie wirklich noch "DOC"-Dateien annehmen. Ein Format, was schon seit 2007 durch DOCX ersetzt wurde. Siehe auch Office-Dokumente und Sicherheit
  • Benutzer informieren
    Fälschungen gibt es nicht erst seit dem Computer. Es wurde schon immer "gezinkt" und etwas Skepsis ist immer angebracht. Gerade bei Makros etc.
  • Makros beschränken
    Ich frage immer meine Kunden, ob sie Makros nutzen. Es sind nämlich gar nicht mehr so viele Anwender, die damit noch arbeiten. Sicher gibt es einige und auch der Exchange Sizing Calculator ist einen XLSM-Datei aber hier kann man ja dann auch als Admin sich behelfen. Aber der normale Anwender hat mit Makros nichts zu tun oder der Administrator könnte diese digital signieren. Dann könnten Sie die ausführbaren Makros einfach auf "eigene" beschränken.
  • AppLocker (Windows 10 Enterprise
    Schadcode ist immer ein "Programm", welches ausgeführt wird. Mittels Applocker und SmartScreen können Sie eine "Allowlist" der erlaubten Applikationen hinterlegen. Einfach einige Wochen "ReadOnly" laufen lassen, um von den Clients die Software zu ermitteln, die genutzt wird und danach dann "scharf" machen, dass nur noch die Programme gestartet werden dürfen.
  • Kein Admin sein/kein Credential Cache
    Für eine interne Verbreitung auf andere Systeme muss der Schadcode entweder eine bekannte Lücke (->Updates) nutzen oder sich Anmelden. Es gibt einige Stellen, in denen ein Schadcode, der im Prozessraum des Anwenders läuft, nach Kennworten suchen kann. Besondert freut er sich über Admin-Anmeldedaten, die z.B. in Skripten hinterlegt sind.
  • Internet Zugang filtern
    Natürlich können Sie verhindern, dass eine Malware weitere Module nachlädt, und so z.B.: einen Filter für Anlagen im Mailtransport umgeht. Das machen die meisten auch schon per HTTPS. Dennoch kann eine Firewall schon die ein oder andere Malware erkennen, z.B.: wenn er die Control-Server des Bot-Netzwerks kennt. Aber dann ist es schon ziemlich spät
  • Netzwerk Segmentierung
    Eine grundlegende Option ist natürlich eine Segmentierung von Netzwerken. Müssen wirklich alle Clients und Server in einem Netzwerk gemeinsam sein?

Wer ist Kienzle Josef

Ich möchte wirklich nicht Kienzle Josef heißen und der Besitzer der Domain "kwbheizung.de" kann mir wirklich leid tun. er kann nun wohl wirklich nichts dafür, dass eine Phishing-Welle meine Testpostfächer schon fast flutet, wenn man keinen guten Spamfilter davor einsetzt.

Natürlich sind alle Mails "gefährlich", da sie durchweg eine DOC-Datei als Anlage enthalten, die den Anwender dazu verleiten will, die MakroFunktion zu aktivieren.

Das Makro hat dann nichts besseres zu tun, als Schadcode nachzuladen und damit ist ihr Computer die Startrampe für verschiedenste Angriffe gegen anderen externe aber vor allem auch interne Ziele. Interessant dabei, dass nicht alle DOC-Dateien auch wirklich in dem alten Format gespeichert wurden sondern DOCX-Dokumente sind.

Die aktuellsten Ausgaben vom gleichen Tag finden die meisten Virenscanner allerdings noch nicht. Je älter aber die Mails sind, desto eher werden Sie gefunden.

Sie können Sie also nie sicher sein. Die Angreifer können die Inhalte der DOC-Dateien sehr einfach verändern, so dass einfacher patternbasierte Scans neuere Versionen nicht erkennen. Das wirft natürlich generell ein schlechtes Licht auf die gesamte Branche der Virenscanner, die doch das  hohe Lied der "Verhaltenserkennung" singen aber anscheinend nicht mal in einem DOC-File ein Marko erkennen können.

In dem Zuge kann ich immer nur wieder darauf hinweisen, die Anwender zu sensibilisieren, vielleicht den Empfang von DOC-Dateien komplett zu unterbinden, einen modernen Spamfilter einzusetzen oder z.B. durch ein Gateway die Dokument "unschädlich machen zu lassen. Es gibt durchaus Produkte, die eingehende Office-Dokumente erst mal in PDF konvertieren. Der Anwender kann das Original ja später bei Bedarf anfordern, was das Risiko einer schnellen Erstinfektion mindert und die Erkennungsrate beim Download erhöht.

Auch Spamfilter können relativ einfach solche Mails abblocken. Allen Mails ist bislang gemeinsam, dass die "FROM:-Adresse" in der Mail, die letztlich beim Anwender angezeigt wird, so nie stimmen kann

Der Absender hofft darauf, dass das Mailprogramm beim Empfänger nur den Anfang anzeigt und so die tatsächliche Domäne verborgen bleibt. Allerdings ist auch das noch kein Schutz, denn die meisten Mails kommen von gültigen Absendern. Der "MAIL FROM" im SMTP Envelope passt sogar auf SPF-Records. Die Absender müssen sich also entweder einige Domains gekauft oder die Zugangsdaten zu den entsprechenden Postfächer haben.

Leider haben aber zumindest bislang die meisten Mailprogramme hier noch keine strenge Logik, um solche "falschen" Adresse zu verhindern oder zu erkennen. Das ist aber auch gar nicht so einfach, es gibt durchaus aus heutiger Sicht ungültige Mailadressen, die durchaus lange Zeit korrekt waren. Ich erinnere hier nur an Notes, cc:Mail, MSMail, X400 und andere Adressen.

Allerdings sind all diese Formate mittlerweile Geschichte und eine Firma sollte zumindest die Option haben eine strenge Prüfung zu forcieren. Zumindest auf dem Spamfilter sollte dies die meisten dieser Mails ablehnen.

Das ist aber kein Schutz, denn diese Mails zeigen ja schon, dass es auch für Spammer möglich ist, legitime Domains mit Postfächern zu kapern oder einfach zu registrieren. In Verbindung mit "Vertipper-Domains", also SMTP-Domänen die bekannten Namen sehr ähnlich sind, ist es auch Spammern möglich korrekt formatierte, per SPF und DKIM gesicherte und sogar SMIME-signierte Mails zu senden.

Dennoch sollten Sie sich um ihre Domain kümmern und auf jeden Fall einen SPF-Eintrag addieren, der mit einem "-all" die Zustellung von nicht explizit gelisteten Mailservern. Verhindert. Damit kann dann zumindest der Empfänger solche Fälschungen auf Basis des Envelope "MAIL FROM" ablehnen. Wenn Sie dann noch einen passenden DKIM-Eintrag setzen, können sie auch die "From"-Zeile im Header in die Überprüfung mit einbeziehen.

Es ist aber ein gutes Beispiel, um wieder einmal darauf aufmerksam zu machen, dass die Absenderadresse sehr einfache gefälscht werden kann. Das ist sogar per Post-Brief möglich und wenn Sie jemand ärgern wollen, dann senden Sie einen unterfrankierten Brief mit dessen Absenderadresse und einem einem beleidigenden Inhalt an einen Würdenträger. Wenn der Brief ankommt, dann kann der Empfänger überlegen, ob er wegen Beamtenbeleidigung gegen den Absender vorgeht oder der Postbote beim Absender das Nachporto einfordert.

Weitere Links