•   +49 (0)89 - 45 22 094 0
  •   Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

2 - 4 Minuten Lesezeit

Bereits im Dezember 2014 sorgte der Trojaner Emotet für Aufsehen. Vier Jahre später ist er wieder da. Das Bundesamt für Sicherheit in der Informationstechnik spricht aktuell von einer „neuen Qualität der Gefährdung“ und gibt eine offizielle Warnmeldung zu Emotet heraus. Welchen Schutz bietet Proofpoint E-Mail-Security?

Der Emotet-Trojaner (s. auch heise.de und faz.net), bei dem eine Doc-Datei im E-Mail-Anhang den Schadcode transportiert, ist ein typischer Fall für Proofpoint-Modul Targeted Attack Protection (kurz TAP)

Wie schützt Sie Proofpoint vor Emotet?

Mit Proofpoint greifen drei Mechanismen, die einer Zustellung von E-Mails, die via Attachment das Ziel haben, Clients mit dem Emotet-Trojaner zu infizieren – vorbeugen:

Statistische Verhaltensanalyse

Durch den Einsatz von Heuristiken und die Überprüfung von Signaturen und der Reputation werden gängige Exploit-Kits, Deobfuskationen von Makros, sowie der Versuch, bekannte Infrastrukturen von Angreifern zu kontaktieren und bereits bekannter Schadcode (als auch nur Teile davon), erkannt.

Dynamische Verhaltensanalyse

E-Mail-Anhänge und URLs werden an speziell eingerichtete virtuelle Maschinen gesendet und im Rahmen einer sicheren Umgebung in der jeweiligen Anwendung geöffnet (z.B. Word-Dokumente in Microsoft Word oder URLs im Browser).

Hierbei wird menschliches Verhalten nachgeahmt. Dadurch wird die künstliche Handhabe in einer virtuellen Umgebung verschleiert. Die virtuelle Maschine wird während der Verarbeitung der Anhänge und URLs beobachtet, um auffälliges Verhalten gezielt festzustellen. Hierzu können zählen:

  • - Schreibender Zugriff auf die Registry
  • - Das Herunterladen ausführbarer Anhänge
  • - Das Ausführen neuer Prozesse
  • - Versuche, sich dauerhaft im System zu verankern

Strukturierte Trafficanalyse

Wenn eine URL in vielen E-Mails binnen kurzer Zeit festgestellt wird, entscheidet Proofpoint diese URL proaktiv zu scannen und gegebenenfalls zu blockieren, noch bevor jemand klicken konnte. Ebendieses gilt auch für gleichartige Anhänge, die in hoher Anzahl von verschiedenen Quellen gesendet werden – sie werden ebenfalls blockiert.

Hier nutzt Proofpoint die schiere Masse an Organisationen, Unternehmen, Usern und E-Mail-Accounts, die auf Proofpoint E-Mail-Security setzen. (Nicht nur weltweit, sondern auch insbesondere im deutschsprachigen Raum.)

Inoffiziell kursieren spannende Zahlen, wonach die Proofpoint-E-Mail-Security-Technologien heute einen beachtlichen Teil des weltweiten E-Mail-Verkehrs analysieren. In jedem Fall ist die Schwarmintelligenz dahinter als Leistungskriterium nicht zu unterschätzen.

Trotz Konkurrenz im E-Mail-Security-Markt findet Austausch im Sinne bestmöglicher Sicherheit statt: Proofpoint tauscht sich mit anderen Herstellern aus, nimmt manuelle Prüfungen durch Analytiker vor (weltweit und 24/7 durch das Proofpoint Threat Operations Center) und betreibt darüber hinaus Honeypots, um Schadcode bereits proaktiv scannen zu können.


Bedrohungsanalyse weltweit und 24/7: im Proofpoint Threat Operations Center.

Aktuelles Statement von Proofpoint zu Emotet

Speziell zu Office-Dokumenten im XML-Flat-OPC-Format, wie sie gegenwärtig bei Emotet (oder auch schon beim Gozi-Trojaner) beobachtet wurden, gibt es ein aktuelles Feedback seitens Proofpoint: „Diese Dokumente werden erkannt und durch ständige Aktualisierung des Regelwerks entsprechend behandelt. Hierbei werden Daten durch eine Vielzahl von ET Intel (Emerging Threats Intelligence) Feeds weltweit gesammelt und verwertet.“

Experten-Tipp: Blockieren von E-Mails
mit ausführbaren Anhängen

Innerhalb der Proofpoint-Instanz gibt es die Möglichkeit, spezielle Regeln auf E-Mails mit ausführbaren Anhängen, bzw. angehängten Office-Dokumenten anzuwenden.

So ist es möglich, ausführbare Anhänge aus E-Mails zu entfernen und der betroffenen E-Mail einen Text hinzuzufügen, der den Empfänger darüber informiert, dass Anhänge entfernt wurden. Namen und Dateitypen der entfernten Anhänge werden ebenfalls im Detail aufgelistet. Eine solche Methode ist auch für Office-Dokumente konfigurierbar.

Aus Sicht unserer Proofpoint-Experten ist eine Entfernung aller Office-Dokumente durch eine zusätzliche Regel aber nicht zwingend nötig (sofern das TAP-Modul aktiv und entsprechend konfiguriert ist) – kann aber wie obig erwähnt – natürlich dennoch konfiguriert werden.

Wir nehmen die durch das BSI geschilderte Gefahr durch die Schadsoftware Emotet ernst. Gerne beantworten wir Ihre Fragen, inwiefern der Einsatz von Proofpoint und des TAP-Moduls (Targeted Attack Protection) den Schutz vor Emotet & Co sicherstellt. Hierfür dienen auch die regelmäßigen Proofpoint-Reviews, die wir mit unseren Proofpoint-Kunden gerne gemeinsam durchgehen.

Sprechen und schreiben Sie uns gerne an.

Ähnliche Artikel

Wombat Security von Proofpoint "Leader" im Gartner Magic Quadrant – das fünfte Jahr in Folge

Es spricht sich rum: Menschen beeinflussen IT-Sicherheit in einem höherem Maß als Systeme und Technologien. Menschliches Verhalten im Umgang mit IT wird zum Treiber in der IT-Security-Branche. Folglich erhält die Kategorie "Security Awareness Computer-Based Training" im diesjährigen Gartner Magic Quadranten besondere Aufmerksamkeit.

DSGVO-konform Daten verschicken in Unternehmen: Enterprise File-Sharing

Spätestens seitdem Dropbox, iCloud & Co die Einfachheit und Verfügbarkeit in der Nutzung von Cloud-Speicherdiensten auf ein neues Niveau gehoben haben, stehen auch Unternehmen unter Zugzwang: Sie sind in der Pflicht, für Ihre Mitarbeiter einfache File-Sharing-Lösungen anzubieten – und gleichzeitig die EU-DSGVO anzuwenden.

Wir sind 10 Jahre Zscaler-Partner: Auszeichnung für CYQUEO

Im Rahmen des alljährlichen Zscaler-Partner-Summits in Frankfurt am Main zeichnet Zscaler im Oktober 2018 die CYQUEO aus: Wir sind bereits seit zehn Jahren Zscaler-Partner für die Region Deutschland, Österreich und die Schweiz. Die Auszeichnung steht für herausragende Leistungen rund um Zscaler Cloud Security.

Wissenswertes und regelmäßige IT-Security-Updates direkt über E-Mail erhalten?

Wir haben festgestellt, dass Abonnenten unseres Newsletters früher Bescheid wissen, besser informiert sind und rund 46,8% cooler sind.



CYQUEO Newsletter
Please wait

Lassen Sie uns gemeinsam loslegen

Wir unterstützen Sie gerne!

Servus aus München

A gscheids Haferl Kaffee
hat´s hier:

CYQUEO
Kistlerhofstraße 75
D-81379 München

Anrufen

Alle Klarheiten beseitigt?
Rufen Sie uns an! Unser Team berät Sie
qualifiziert und ehrlich zur bestmöglichen
IT-Security für Ihr Unternehmen.

+49 89 45 22 094 - 40

Wir rufen Sie zurück

Ich habe die Datenschutzerklärung gelesen und akzeptiert.