Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Spam+malware van copier@ jouwbedrijf.nl

01-02-2016, 15:02 door Erik van Straten, 4 reacties
Verschillende bronnen melden dat cybercriminelen spam versturen met als afzender "copier@[bedrijf-waar-je-werkt].[TLD]" (TLD = Top Level Domain).

Deze mails, die lastig te onderscheiden zijn van een echte mail van bijv. copier@ of scanner@ bevatten een kwaadaardige bijlage. Momenteel zijn dat meestal .doc bestanden met macro's erin - maar andere bestandsformaten zijn ook denkbaar. Het kan ook zijn dat je wordt verzocht te klikken op een kwaadaardige link in de e-mail.

Wees dus s.v.p. heel voorzichtig met e-mail schijnbaar afkomstig van:
copier@[bedrijf-waar-je-werkt].[TLD]
scanner@[bedrijf-waar-je-werkt].[TLD]
fax@[bedrijf-waar-je-werkt].[TLD]
vooral als je zo'n mail niet verwacht.

Nb. De laatste tijd zie ik regelmatig van dat soort malware die, de eerste uren na verzending, nog door geen enkele virusscanner wordt herkend.

Bronnen:
(Engels): http://myonlinesecurity.co.uk/scanned-image-from-copiervictimdomain-tld-word-doc-malware/
(Duits): http://www.heise.de/security/meldung/Aktuell-im-Umlauf-Trojaner-Mail-im-Namen-des-Kopierers-verschickt-3088536.html
Reacties (4)
01-02-2016, 15:27 door Anoniem
Als je anti-spoofing hebt ingericht is er geen vuiltje aan de lucht.
01-02-2016, 15:30 door Anoniem
Ik heb deze afgelopen weekend ook gehad, echter er zat een zip bijlage in, waarin een .doc.js bestand zat verpakt. Maar direct weggegooid.
01-02-2016, 17:21 door wallum
Door Anoniem: Als je anti-spoofing hebt ingericht is er geen vuiltje aan de lucht.
Dat klinkt inderdaad als een goede beveiliging, maar brengt het niet veel werk met zich mee? Ik begrijp dat je dit op netwerkniveau instelt en niet op mailniveau. Zijn er dan niet regelmatig applicaties die niet werken en mailtjes die niet aankomen>
02-02-2016, 01:37 door Anoniem
Wat je kunt doen is een beleidsmaatregel (policy) nemen waarmee je macro's in email blokkeert. Daarvoor heb je scanner software voor nodig die dat kan.

Voor andere soort malware kun je soortelijke maatregelen nemen: blokkeren van uitvoerbare bestanden. Die bestanden kunnen in archiefbestanden zijn verpakt. Je scanner dient in staat te zijn uitvoerbare bestandstypen te herkennen in allerlei archiefbestanden, zoals ZIP, jar, rar, ace, arj.

Sommige bestandstypen zijn te herkennen aan de header. Zo begint een Windows PE executable met de letters MZ en de letters PE op een bepaalde positie. Andere typen bestanden hebben geen header en moeten worden geclassificeerd op inhoud. Voorbeelden zijn scripts zoals JavaScript, VB Script. Die zijn o.a. herkenbaar aan functieaanroepen.

Daarnaast kun je ook op bestandsextensie blokkeren. Dat is geen alternatief voor bestandsidentificatie; de methoden vullen elkaar aan. Dat is ook zo voor het blokkeren van bepaalde veel voorkomende kwaadaardige dubbele extensies.

Een speciaal type dreiging is een mso MIME bestand. Dat is een MIME bericht met erin, als bijlage, een ActiveMime file. In die ActiveMime file kan een Office macro worden ondergebracht. Deze methode wordt actief gebruikt. Veel scanners zijn niet in staat deze methode te herkennen of te decoderen. Daarbij komt dat Microsoft Word bestanden als MIME herkent die dat volgens de regels (RFC's) niet zijn. Daardoor worden nog meer scanners omzeild. Dat soort technieken heten "bypass exploits".

Anti-spoofing is toepasbaar als extra beveiligingslaag, maar dat is geen oplossing van het onderliggende probleem. Anti-spoofing kijkt of een afzender een verzender IP gebruikt buiten het eigen netwerk terwijl het eigen domein als afzender wordt gebruikt. Dat gebeurt in principe tijdens een SMTP sessie, dat zie je niet als ontvanger. Deze anti-spoofing methode kan makkelijk worden omzeild omdat er meestal niet wordt gecontroleerd op afzender domeinen in from/sender headers, die de gebruiker wel ziet. Dus de anti-spoofing moet werken op SMTP sessie niveau en op SMTP header niveau.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.