•   +49 (0)89 - 45 22 094 0
  •   Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

2 - 4 Minuten Lesezeit

Bereits im Dezember 2014 sorgte der Trojaner Emotet für Aufsehen. Vier Jahre später ist er wieder da. Das Bundesamt für Sicherheit in der Informationstechnik spricht aktuell von einer „neuen Qualität der Gefährdung“ und gibt eine offizielle Warnmeldung zu Emotet heraus. Welchen Schutz bietet Proofpoint E-Mail-Security?

Der Emotet-Trojaner (s. auch heise.de und faz.net), bei dem eine Doc-Datei im E-Mail-Anhang den Schadcode transportiert, ist ein typischer Fall für Proofpoint-Modul Targeted Attack Protection (kurz TAP)

Wie schützt Sie Proofpoint vor Emotet?

Mit Proofpoint greifen drei Mechanismen, die einer Zustellung von E-Mails, die via Attachment das Ziel haben, Clients mit dem Emotet-Trojaner zu infizieren – vorbeugen:

Statistische Verhaltensanalyse

Durch den Einsatz von Heuristiken und die Überprüfung von Signaturen und der Reputation werden gängige Exploit-Kits, Deobfuskationen von Makros, sowie der Versuch, bekannte Infrastrukturen von Angreifern zu kontaktieren und bereits bekannter Schadcode (als auch nur Teile davon), erkannt.

Dynamische Verhaltensanalyse

E-Mail-Anhänge und URLs werden an speziell eingerichtete virtuelle Maschinen gesendet und im Rahmen einer sicheren Umgebung in der jeweiligen Anwendung geöffnet (z.B. Word-Dokumente in Microsoft Word oder URLs im Browser).

Hierbei wird menschliches Verhalten nachgeahmt. Dadurch wird die künstliche Handhabe in einer virtuellen Umgebung verschleiert. Die virtuelle Maschine wird während der Verarbeitung der Anhänge und URLs beobachtet, um auffälliges Verhalten gezielt festzustellen. Hierzu können zählen:

  • - Schreibender Zugriff auf die Registry
  • - Das Herunterladen ausführbarer Anhänge
  • - Das Ausführen neuer Prozesse
  • - Versuche, sich dauerhaft im System zu verankern

Strukturierte Trafficanalyse

Wenn eine URL in vielen E-Mails binnen kurzer Zeit festgestellt wird, entscheidet Proofpoint diese URL proaktiv zu scannen und gegebenenfalls zu blockieren, noch bevor jemand klicken konnte. Ebendieses gilt auch für gleichartige Anhänge, die in hoher Anzahl von verschiedenen Quellen gesendet werden – sie werden ebenfalls blockiert.

Hier nutzt Proofpoint die schiere Masse an Organisationen, Unternehmen, Usern und E-Mail-Accounts, die auf Proofpoint E-Mail-Security setzen. (Nicht nur weltweit, sondern auch insbesondere im deutschsprachigen Raum.)

Inoffiziell kursieren spannende Zahlen, wonach die Proofpoint-E-Mail-Security-Technologien heute einen beachtlichen Teil des weltweiten E-Mail-Verkehrs analysieren. In jedem Fall ist die Schwarmintelligenz dahinter als Leistungskriterium nicht zu unterschätzen.

Trotz Konkurrenz im E-Mail-Security-Markt findet Austausch im Sinne bestmöglicher Sicherheit statt: Proofpoint tauscht sich mit anderen Herstellern aus, nimmt manuelle Prüfungen durch Analytiker vor (weltweit und 24/7 durch das Proofpoint Threat Operations Center) und betreibt darüber hinaus Honeypots, um Schadcode bereits proaktiv scannen zu können.


Bedrohungsanalyse weltweit und 24/7: im Proofpoint Threat Operations Center.

Aktuelles Statement von Proofpoint zu Emotet

Speziell zu Office-Dokumenten im XML-Flat-OPC-Format, wie sie gegenwärtig bei Emotet (oder auch schon beim Gozi-Trojaner) beobachtet wurden, gibt es ein aktuelles Feedback seitens Proofpoint: „Diese Dokumente werden erkannt und durch ständige Aktualisierung des Regelwerks entsprechend behandelt. Hierbei werden Daten durch eine Vielzahl von ET Intel (Emerging Threats Intelligence) Feeds weltweit gesammelt und verwertet.“

Experten-Tipp: Blockieren von E-Mails
mit ausführbaren Anhängen

Innerhalb der Proofpoint-Instanz gibt es die Möglichkeit, spezielle Regeln auf E-Mails mit ausführbaren Anhängen, bzw. angehängten Office-Dokumenten anzuwenden.

So ist es möglich, ausführbare Anhänge aus E-Mails zu entfernen und der betroffenen E-Mail einen Text hinzuzufügen, der den Empfänger darüber informiert, dass Anhänge entfernt wurden. Namen und Dateitypen der entfernten Anhänge werden ebenfalls im Detail aufgelistet. Eine solche Methode ist auch für Office-Dokumente konfigurierbar.

Aus Sicht unserer Proofpoint-Experten ist eine Entfernung aller Office-Dokumente durch eine zusätzliche Regel aber nicht zwingend nötig (sofern das TAP-Modul aktiv und entsprechend konfiguriert ist) – kann aber wie obig erwähnt – natürlich dennoch konfiguriert werden.

Wir nehmen die durch das BSI geschilderte Gefahr durch die Schadsoftware Emotet ernst. Gerne beantworten wir Ihre Fragen, inwiefern der Einsatz von Proofpoint und des TAP-Moduls (Targeted Attack Protection) den Schutz vor Emotet & Co sicherstellt. Hierfür dienen auch die regelmäßigen Proofpoint-Reviews, die wir mit unseren Proofpoint-Kunden gerne gemeinsam durchgehen.

Sprechen und schreiben Sie uns gerne an.

Ähnliche Artikel

Wie Sie mit DMARC Ihre E-Mails, Ihre Domain und Ihre Marke schützen

Die E-Mail stellt für Unternehmen gleich mehrere Bedrohungen dar. Auf der einen Seite ist die E-Mail der mit Abstand wichtigste Angriffsvektor für Cyberkriminelle. Geschätzt starten 90% der Cyberangriffe heute mit einer E-Mail. Das andere Risiko: Schäden an Image, Reputation und Marke durch E-Mail-Betrug. Hier kommt DMARC ins Spiel.

IT-Security-Trends 2019: DSGVO, KI, Human Factor & Co – Ein Blick hinter die Buzzwords

IT-Sicherheit wird endgültig zur Chefsache. Die Bedrohungslage ist offenkundig: Der Digitalverband Bitkom schätzt den Gesamtschaden der deutschen Industrie durch Cyber-Angriffe in den letzten beiden Jahren auf 43 Milliarden Euro. Die Auseinandersetzung mit IT-Sicherheit (und ihren Trends) wird für die digitale Transformation zum kritischen Erfolgsfaktor.

Lokale Internet Breakouts + Zscaler = Performance-Boost für Office 365

Ob das Deployment von Office 365 angedacht, geplant oder bereits umgesetzt ist – letztendlich dreht es sich um ein Thema: die Performance. Die gesteigerte Netzwerkauslastung, verursacht durch cloudbasierte Office-Anwendungen, beeinträchtigt das Anwendererlebnis. Die Office-365-Migration wird zum Anstoß für die radikale Netzwerktransformation.

Wissenswertes und regelmäßige IT-Security-Updates direkt über E-Mail erhalten?

Wir haben festgestellt, dass Abonnenten unseres Newsletters früher Bescheid wissen, besser informiert sind und rund 46,8% cooler sind.



CYQUEO Newsletter
Please wait

Lassen Sie uns gemeinsam loslegen

Wir unterstützen Sie gerne!

Servus aus München

A gscheids Haferl Kaffee
hat´s hier:

CYQUEO
Kistlerhofstraße 75
D-81379 München

Anrufen

Alle Klarheiten beseitigt?
Rufen Sie uns an! Unser Team berät Sie
qualifiziert und ehrlich zur bestmöglichen
IT-Security für Ihr Unternehmen.

+49 89 45 22 094 - 40

Wir rufen Sie zurück

Ich habe die Datenschutzerklärung gelesen und akzeptiert.