Technologie
Produkte
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Blog
Infomaterial
Unternehmen

Darktrace deckt auf: Ungewöhnlicher Dateityp zur Umgehung von Gateway-Tools

Mariana Pereira, Director of Email Security Products | Donnerstag, 27. August 2020

Darktrace hat vor kurzem eine Reihe von E-Mail-Angriffen beobachtet, die den Empfänger mit Social-Engineering-Methoden dazu bringen wollten, einen schädlichen Link zu öffnen und seine Zugangsdaten preiszugeben. In diesem Blogbeitrag beschäftigen wir uns mit einem E-Mail-Angriff auf einen spanischen Kunden, bei dem schädliche Inhalte in einem ungewöhnlichen Dateityp verborgen waren, der normalerweise nicht von gängigen E-Mail-Sicherheitstools überprüft wird.

Eine ISO-Datei, häufig auch als ISO-Image bezeichnet, ist eine Archivdatei, die eine identische Kopie eines optischen Datenträgers wie einer CD oder DVD enthält. Solche Dateien werden hauptsächlich für die Sicherung von optischen Datenträgern oder die Weitergabe großer Dateibestände, die auf ein optisches Speichermedium gebrannt werden sollen, verwendet. Da solche Dateien recht ungewöhnlich und in der Regel extrem groß sind, analysieren die meisten gängigen Tools für E-Mail-Sicherheit diese gar nicht oder nur oberflächlich.

Darktrace erkannte, dass ein Cyberkrimineller ISO-Dateien nutzte, um bei einem Lebensmittelgroßhändler in Spanien Schaden anzurichten. Das Unternehmen, das nur zwei Wochen zuvor Antigena Email implementiert hatte, erhielt rund 84 E-Mails von ein und demselben Absender, die alle einen schädlichen ISO-Anhang enthielten. Die E-Mails kamen von [email protected][.]com, einem raffinierten Spoof der E-Mail-Adresse [email protected][.]com, der Kontakt-E-Mail eines legitimen spanischen Herstellers – der möglicherweise sogar das angegriffene Unternehmen beliefert.

100%
Fri Jun 12 2020, 03:02:27
From:Beronico Baudo <[email protected]>
Recipient:Gordiano Laurenzo <[email protected]>
Order [Valenplas _06/2020]
Email Tags
Spam
New Contact
Wide Distribution
Actions on Email
Move to Junk
Hold Message
Convert Attachment
Lock Link
Strip Attachment

Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email

Darktrace bemerkte, dass der Absender noch nie zuvor in der E-Mail-Kommunikation des Unternehmens in Erscheinung getreten war. Außerdem stimmte die dem Empfänger angezeigte Absenderangabe nicht mit dem Header in der E-Mail selbst überein. Die Darktrace KI erkannte anhand der Verbindungs-IP-Adresse, dass der tatsächliche Absender nicht mit der Domain valeplaz[.]com übereinstimmte.

Der Betreff deutet darauf hin, dass es um eine Bestellung des Kunden geht. Bei der Analyse der Anhänge fand Darktrace eine Datei mit dem Namen URGENTE_PO_120620.iso. Der Name der Datei zeigt, dass der Absender versucht, mithilfe von Social Engineering-Taktiken ein Gefühl von Dringlichkeit zu erzeugen, damit die Empfänger schnell handeln und einen Link anklicken oder Anhänge öffnen, ohne sich die E-Mail genau anzuschauen.

Die Darktrace KI erkannte auch, dass die Dateiendung .iso in hohem Maße anormal für die Gruppe, den Benutzer und das Unternehmen generell ist. Was die Sache noch verdächtiger machte, war die extrem kleine Größe des Anhangs (nur 485,4 KB). Es war also sehr unwahrscheinlich, dass es sich um eine echte Rechnung in Form eines PDF- oder Word-Dokuments handelte. Diese Erkenntnisse in Verbindung mit den Tags „Neuer Kontakt“ und „Breite Verteilung“ veranlasste Antigena Email, die E-Mail von ihrem Anhang zu bereinigen und zurückzuhalten. Darüber hinaus erkannte die Darktrace KI, dass die E-Mail einen sehr verdächtigen anormalen Link enthielt. Der Link wurde in allen E-Mails gesperrt, während das Sicherheitsteam den Vorfall untersuchte.

Abbildung 2: Der verdächtige Link

Den Angriff noch vor der ersten Infektion stoppen

Als das Sicherheitsteam später den Datei-Hash des Anhangs überprüfte, stellte es fest, dass einige Anti-Virus-Anbieter, darunter auch Microsoft, diesen bereits als Malware gekennzeichnet hatten. Die große Herausforderung besteht darin, die schädliche E-Mail abzufangen, noch bevor sie im ersten Posteingang landet. Genau das schafft die Darktrace KI, indem sie sich ein Bild vom „Wesen“ des Unternehmens macht und dieses fortwährend anpasst. So unterbindet sie Angriffe, ohne dass bereits ein „Patient Null“ infiziert sein muss.

Darüber hinaus hatten viele herkömmliche Lösungen diese Datei nicht als schädlich erkannt, was darauf hindeutet, dass es sich um einen relativ neuartigen Angriff handelte. Das macht die immer offensichtlichere Schwäche dieser Tools deutlich: Angreifer verändern ihre Angriffsinfrastruktur ständig, und zwar so oft, dass auch die am besten gepflegten herkömmlichen Tools und Blacklists nicht mithalten können.

Antigena Email hat diesen Angriff abgefangen, ohne auf Signaturen und Blacklists angewiesen zu sein. Stattdessen stützte sich die Technologie auf ihr Wissen darüber, ob die E-Mail, die Datei und das Verhalten für das betreffende Unternehmen normal sind oder nicht. Durch den Schutz des Posteingangs mit Cyber-KI konnte das Unternehmen diesen Angriff sofort abwehren, noch bevor E-Mails in einem Posteingang landeten oder Mitarbeiter den Link anklickten.

Erfahren Sie mehr über KI-gestützte E-Mail-Sicherheit

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.