Am 24.08.17 konnten die Experten der Comp4U GmbH „live“ die Ausbreitung einer neuen Spear-Phishing-Attacke verfolgen. Was zuerst nach einem Zufallsfund aussah, war am Ende des Tages eine weltweite Attacke gegen ungeschützte IT-Systeme vom Einzel-PC bis zum Server.
Was ist passiert?
Das Managed Services & Monitoring Team der Comp4U GmbH hatte morgens gegen 9 Uhr in einem seiner Honeypot-Systeme eine auffällige Mailnachricht identifiziert, die alle Bedingungen eines Spear-Phishings beinhalteten:
Auf den ersten Blick nicht zu unterscheiden von einer Mail eines Kollegen an einen anderen, informierte sie den Empfänger darüber, dass er über einen Link (URL) auf ein Dokument zugreifen sollte. Die vermeintlichen Gründe waren plausibel, wenn auch nicht so perfekt recherchiert, wie bei einer gezielten Attacke auf ein bestimmtes Unternehmen oder eine Einzelperson. Sowohl Betreff als auch der eigentliche Text waren gut formuliert, der gefälschte Absender stammte aus dem eigenen Haus.
Was wurde unternommen?
Die IT-Spezialisten der Comp4U GmbH haben sofort erkannt, dass es sich um eine Schadmail handeln musste, denn die Art und Form der Anfrage an den Empfänger sind typisch für eine Phishing-Mail. Schnell war allerdings auch klar, dass es sich bei dieser Mail um einen brandneuen Trojaner handeln muss, denn Text, Link und Zieldokument waren bisher unbekannt. Außerdem konnte die Mail durch kein Überwachungssystem erkannt und identifiziert werden, weder Firewall noch Endpoint Security haben eine Auffälligkeit gemeldet.
Das Monitoring-Team handelte schnell und zielgerichtet. Bereits wenige Minuten nach Erkennung des Angriffes wurden Warnmails an alle ServicePLUS Kunden versendet, denn die Zeit drängte - bisher erkannte kein automatisiertes System die Bedrohung. Was für einen IT-Experten noch auffällig wirkt, ist für einen normalen IT-Anwender nicht zu erkennen. Vor allem besonders aufmerksam zu sein. eine auffällige Mail nicht zu öffnen und den Empfang an das Support-Team der Comp4U GmbH zu melden, waren die wichtigsten Handlungs-Anweisungen. Tatsächlich meldeten sich im Laufe der nächsten Stunden immer mehr Anwender, um die EDV-Experten im MSM-Team über den Empfang einer verdächtigen Mail zu informieren.
Wie ging es weiter?
Um zu identifizieren, was die Phishing-Mail tut, wenn man den Link anklickt, wurde im Supportlabor der Comp4U GmbH in einem sogenannten Sandbox-System das getan, was ein Benutzer nicht tun sollte: Es wurde geklickt. Tatsächlich verbarg sich hinter dem Link eine Word-Datei, die über ein Makro eine Malware über das Internet ausführen will um als erstes Dateien auf dem Host auszutauschen und z.B. das System zu verschlüsseln.
Dieser Eingriff wurde aufgrund des Handlungsmusters ausschließlich von Sophos Intercept X erkannt, eine Veränderung an Systemdateien wurde mit der Meldung „Lockdown exploit prevented“ gemeldet und unterbunden. Alle anderen Antivirus-Systeme haben den Angriff nicht erkannt!
Routinemäßig meldeten die Security-Experten bei Comp4U das Auftreten sofort mit detaillierter Beschreibung an SOPHOS, den renommierten Hersteller von Firewall- und Endpoint-Security-Systemen, um den Link zu prüfen und umgehend in ein Pattern-Update aufzunehmen, was auch ca. 9 Stunden später geschah. Ab ca. 21 Uhr waren Systeme, die über einen aktuellen Virenschutz verfügten, geschützt.
Wer war gefährdet?
Vor allem Anwender und IT-Umgebungen ohne überwachten Virenschutz und ohne aktuelle Windows-Patches waren gefährdet, ausserdem Systeme, auf denen ältere Office- und Wortversionen liefen. Die größte Gefährdung ging in jedem Fall von unwissenden EDV-Nutzern aus, denn ohne den bewußten Klick auf den Link in der Mail konnte der Trojaner nicht aktiv werden.
Hätte man sich schützen können?
Ja. Zwei Gegenmittel gegen diesen und andere, ähnliche Angriffe gibt es: Awareness (Aufmerksamkeit) der Benutzer mit Kenntnis über diese Art von Angriffe - und Sophos Intercept X, ein intelligentes System, das Angriffe auch dann erkennt, wenn sie bislang völlig unbekannt sind. Andere Sicherheitslösungen (Virenscanner, SPAM-Filter) waren wirkungslos.
Informieren Sie sich hier über Spear-Phishing-Angriffe
Weitere Informationen:
Die Security-Experten der Comp4U GmbH raten dringend dazu, diese Art von Angriffen auf keinen Fall zu unterschätzen. Immer bessere Schutzmechanismen erfordern immer bessere Angriffstechniken - ein wichtiges Hilfsmittel ist dabei der ahnungslose Anwender. Die Art der Attacken ist völlig unterschiedlich, hier hilft nur Aufmerksamkeit und die Kenntnis über die üblichen Angriffsmuster. Beides kann in sogenannten Awareness-Schulungen vermittelt werden. Zusätzlich ist ein Schutz gegen direkte Angriffe auf Kernprozesse der IT-Systeme möglich, der speziell bei Attacken unterstützt, die bisher nicht durch AV-Software erkannt werden. Sophos Intercept X hat sich in den letzen Monaten bereits hervorragend bewährt - auch hierzu informiert die Comp4U GmbH als Sophos-Partner unter 06103-9707-90.
Was tut die Comp4U GmbH?
Die Comp4U GmbH ist Experte für die ganzheitliche IT-Betreuung. Vor allem das bewährte Servicepaket ServicePLUS bietet eine modulare Abdeckung aller IT-Support Bereiche in einem Unternehmen, völlig flexibel und individuell an das Kundensystem angepasst.
Die Comp4U GmbH ist EDV-Dienstleister für Frankfurt, Langen und das gesamte Rhein-Main-Gebiet und betreut Kunden direkt und persönlich. Persönliche Ansprechpartner kostenlose Beratung machen den Einstieg in die ServicePLUS-Welt einfach, testen Sie es gleich!