NoSpamProxy, URL-Scan und IDS

NoSpamProxy analysiert schon während des Empfangs einer Mail auch darin enthaltene URLs und kann so Schadmails abwehren, deren Schadcode durch den Anwender nachgeladen wird. Nicht jede Firewall oder jedes Intrusion Detection System findet das gut.

Worum geht es?

Spammer möchten Sie zum Kauf animieren aber Malware-Sender möchten ihren PC übernehmen. Das geht natürlich nur, wenn Sie ein Programm des Absenders ausführen. Die gängigen Virenscanner und Spamfilter sind aber relativ gut, wenn es um die Abwehr von "ausführbarem Code" als Anlage einer Mail geht. EXE, COM, BAT, PS1 sind auch recht einfach zu erkennen und im täglichen Geschäft nicht wirklich erforderlich.

Ein Weg ist dabei den Schadcode als Makro in Office-Dokumenten zu verbergen und den Empfänger dazu zu verleiten, die Schutzmechanismen von Office zu überstimmen um den Code auszuführen. Andere Mails enthalten direkt einen Link auf den Schadcode und der Anwender wird gebeten, diese Datei herunterzuladen und auszuführen. Oft mit der Information, dass die Daten auf Dropbox, in Google-Drive oder auf einem OneDrive-Laufwerk liegen. Oft tun sie das sogar, da auch diese Hosting-Anbieter Schadcode erst verzögert erkennen.

In beiden Fällen nutzen die Angreifer aber das Internet als Lieferant eines Schadcode, der so neu und einmalig ist, dass Virenscanner und Spamfilter diesen Code noch nicht als schädlich erkennen.

Ein Mail-Relay sieht aber erst einmal die Mail ohne Schadcode mit dem Link. Aber auch mit dem Link lassen sich einige Dinge anstellen. Einige Spamfilter folgen einfach den Links und laden die Datei schon ma lrunter um die zu analysieren. Anderes als bei einem Anwender ist dies allerdings sicher, da der Code nie ausgeführt wird. Problematisch dabei ist, dass es auch Links gibt, die dem Versender damit anzeigen, dass die Mail "gelesen" wurde oder vielleicht auch ein "Unsubscribe"-Links dabei ist. Aber schon die Abfrage des DNS-Namens um eine IP-Adresse zu erhalten kann etwas zur Bewertung der Mail beitragen.

Für ihre Firewall oder Intrusion Detection System ist das aber schon ein Zugriff auf Server, die z.B. zu einem BOT-Netz gehören könnten.

Alarme in der Firewall

Entsprechend kann es passieren, dass ihre Schutzlösung diese Zugriffe meldet oder im schlimmsten Fall den Server als kompromittiert einordnet und im Netzwerk segmentiert. Auf einer Sophos kann das dann erst einmal so aussehen.

Wenn ich hier dann aber die "Detail" anzeige, dann sehe ich nur den Domain Controller, da gerade intern die Client natürlich diesen Server fragen und die Firewall dann den DNS-Forwarder als "befallen" ansieht.

Wenn Sie aber NoSpamProxy oder einen anderen Scanner nutzen, der so detektiert wird, dann prüfen Sie bitte die Einstellungen, ob diese Zugriffe vielleicht noch geblockt werden.

Hier ist das der Fall, wie Sie am "Drop" gut sehen. Allerdings habe ich hier einen Host "GW1" als Ausnahme definiert, damit dieses System entsprechende Prüfungen vornehmen darf, ohne dass die Firewall oder Proxy den Zugriff gleich abriegeln. Natürlich könnte mein Malware-Filter auch den "Deny" von der Firewall als "schädlich" ansehen aber es gibt viele Hersteller mit unterschiedlicher Reaktion. Da kann eine Software nicht auf alle Verhalten sich einstimmen.

Es gibt IDS-Systeme, die vermutlich "befallene" Clients und Server im Netzwerk isolieren. Wenn Sie so eine Konfiguration nutzen, dann sollten Sie auf jeden Fall eine schnelle Benachrichtigung umsetzen.

Fritz!Box IDS

Die Fritz!Box würde ich nicht als Firewall oder IDE bezeichnen aber auch dort gibt es eine Funktion, mit der Bot-Traffic erkannt wird. Wie genau die Box das nun macht, steht auf einem anderen Blatt. Auf der Linux-Basis ist es ja nicht schwer eine Patternliste irgendwo laden und die DNS-Abfragen der Clients oder ausgehende IP-Verbindungen zu überprüfen.

Hier beschwert sich die Fritz!Box, dass die NoSpamProxy-Instanz einen Zugriff auf "service.nospamproxy.de" nutzt, der aus Sicht der Fritz!Box zu einem Bot-Netzwerk gehört.

Eine Rückfrage bei AVM zu dieser Thematik ist noch offen. Ich habe noch nichts darüber gefunden, was meine Fritz!Box hier genau auswertet und woher es entsprechende Blocklisten bezieht. Vielleicht hat AVM die Subnetze von Azure als Bot-Netz klassifiziert, denn wir haben nichts verdächtiges gefunden.

Diese Funktion ist aktuell wohl nur in der Labor-Firmware enthalten. Ich habe Hinweise mit Version 6.98.x  und 7.08 gefunden. In der offiziellen Version ist die Funktion nicht enthalten. Zumindest ist Sie in dem Menü "Internet > Filter > Listen" im Abschnitt "Verbindungsversuche zu verdächtigen Zielen" nicht vorhanden.

Zusammenfassung

Die Meldung der Fritz!Box hat mich natürlich alarmiert aber sehr schnell konnte ich Entwarnung geben. Auf dem Server konnte ich nichts finden aber wenn die Fritz!Box solche Meldungen generiert, dann wäre zumindest ein KB-Artikel mit weiterführenden Informationen nützlich. Da die Analyse aber nur in der Labor-Firmware läuft, dürften hiervon die meisten Administratoren noch nichts erfahren haben. Eine Fritz!Box wird ja auch eher selten bei Firmen eingesetzt. So kleine Firmen sind mit einem gehosteten Spamfilter sowieso meist besser bedient.

Aber auch kommerzielle Firewalls prüfen natürlich ausgehenden Verkehr und hier könnte auch der Virenscanner und Spamfilter negativ auffallen, wenn Sie Links verifizieren und damit ggfls. IP-Adressen und Namen eines C&C Servers oder Bot-Netzwerks ansprechen. Auch das Hochladen von Musters an einen Cloud-Service könnte ein Content-Scanner als "unerwünscht" klassifizieren und zumindest melden

Als Administrator sollten Sie also genau die Konfiguration ihrer Schutzfunktionen überprüfen, damit diese natürlich auffälligen Verkehr melden aber zumindest Server erst nach einer Risikoabschätzung abkoppeln.

Wenn schon eine Fritz!Box solche Techniken beherrscht, dann stellt ich mir die Frage, warum Provider nicht auch solche Funktionen umsetzen und ihre Kunden in einer ersten Stufe zumindest informieren. Selbst bei Betrachtung der Netzneutralität sollte ein Provider keine Beihilfe zu Straftaten leisten und könnte zumindest eine Bestätigung einholen, dass der Kunde weiß, was er macht.

Weitere Links