Gefährliche Links in E-Mails durch Umleitung blockieren

Das Angriffs-Szenario

Das aktuell am meisten genutzte Angriffs-Szenario auf Unternehmen ist der Versand von E-Mails mit Schadsoftware oder Links auf Schadsoftware an interne Mitarbeiter. Diese werden durch entsprechende Texte und Anreize oder gefälschte Absender, teilweise sogar mit Insider-Wissen und Bezug auf tatsächliche aktuelle Abläufe, dazu verleitet, die Schadsoftware herunterzuladen und auszuführen und damit den Angreifern die Tore zu öffnen.

Sehr oft ist die Schadsoftware auch in Form von Office- oder PDF-Dokumenten mit darin versteckten bösartigen Makros getarnt, den Mitarbeitern ist dabei dann gar nicht bewusst, dass es sich um einen Angriff handelt. Der Link auf angebliche Fotos in einer Dropbox oder eine angebliche Vertragsversion in einem Google Drive kann ein heimtückischer gezielter Angriff sein, auch wenn der in der E-Mail genannten Absender Ihnen bekannt ist.

Denn bei dem Ihnen angezeigten Absender handelt es sich um einen von Angreifern sehr einfach zu fälschenden Text, nicht um die technische Absenderkennung. Oder der Absender ist echt, aber sein Postfach wurde gehackt und wird unbemerkt vom Angreifer mitgenutzt.

Gegenmaßnahmen 1.0

Um diese Angriffe zu verhindern, sind zwei Dinge extrem wichtig:

• Zum einen müssen die Mitarbeiter durch entsprechende Awareness-Seminare dafür sensibilisiert werden, dass diese Angriffe erfolgen und lernen, diese nach Möglichkeit zu erkennen und damit umzugehen. Dies ist ihre letzte und wichtigste Verteidigungslinie, da kein technisches System 100% Sicherheit bieten kann!
• Zum andern müssen vorgeschaltete E-Mail-Sicherheitslösungen bösartige Links erkennen und die Angriffs-E-Mails ausfiltern. Hierzu sind aufwändige Prüfverfahren erforderlich, die einfache Virenscanner nicht leisten können.

Malware-Wettrüsten: Fortgeschrittene Angriffe

Die Angreifer kennen natürlich diese Gegenmaßnahmen und versuchen Ihrerseits, diese durch verschiedene Tricks zu umgehen. Man spricht dann von fortgeschrittenen Angriffen (Advanced Persistent Threats, APT). Kein einfaches Sicherheitssystem, kein klassischer einstufiger Malware-Filter ist dagegen gewappnet:

Zero Day Threats

Als Zero-Day-Angriffe bezeichnet man Angriffe auf gerade erst entdeckte Sicherheitslücken ("Tag Null"), für die es noch keine Patches gibt, und entsprechende Angriffs-Software, deren Verhaltensmuster und Verfahren noch unbekannt sind.

Ein entsprechender Angriff wird von keinem vorgeschalteten, klassischen Sicherheitssystem gefunden, welches nach bekannten Mustern oder Quellen sucht. Cloud-basierte fortgeschrittene Sicherheitslösungen erkennen derartige Angriffe, die in größerem Umfang weltweit erfolgen, allerdings oft recht zeitnah nach dem ersten Auftreten. Zu diesem Zeitpunkt sind allerdings E-Mails mit entsprechenden Links an die ersten Empfänger bereits unerkannt zugestellt worden.

Verzögerte Auslieferung

Im Wissen, dass Links in E-Mails von Sicherheitssystemen daraufhin überprüft werden, ob sie auf einen Download mit Malware führen oder auf eine als gefährlich bekannte Website führen, wird die Malware erst verzögert hinter dem Link platziert.

Nicht alle Anwender öffnen schließlich ihre E-Mails sofort, insbesondere nicht zu Uhrzeiten außerhalb der üblichen Arbeitszeiten. Der Mail-Filter erster Generation prüft den Link und befindet ihn als unschädlich, die E-Mail wird zugestellt. Zu dieser Zeit sind die Links auch tatsächlich ungefährlich und liefern harmlose Webseiten oder Dokumente.

Einige Zeit später wird dann das gutartige Link-Ziel durch die Angriffs-Software ersetzt. Die Anwender, die nur auf den Link klicken, gelangen auf eine nun bösartige Website mit Angriffscode oder erhalten ein von Malware befallenes Dokument zum Download.  

 
Gegenmaßmahmen 2.0                                                                                      

Fortgeschrittene Sicherheitslösungen verwenden nun ihrerseits aufwändige Verfahren, um derartigen Angriffen zu begegnen. Zwei davon möchten wir Ihnen hier vorstellen:

URL-Rewriting - schicken Sie Ihre Clicks durch die Security

Beim sogenannten URL-Rewriting werden alle Links, die nicht eindeutig auf bekannte und ungefährliche Ziele zeigen, durch Links auf das Sicherheitssystem ersetzt und das ursprüngliche Ziel des Links dort in einer Datenbank hinterlegt.

Jeder Aufruf des Links durch einen Anwender führt nun nicht direkt zum Ziel, sondern auf das Sicherheitssystem. Dieses ruft nun seinerseits das Link-Ziel auf und analysiert die zurückgelieferten Daten, sei es eine Webseite, eine Web-Anwendung oder ein herunterzuladendes Dokument, und prüft auf mögliche Angriffe.

Diese Prüfung erfolgt allerdings nicht zum Zeitpunkt der ersten Zustellung der Mail, sondern erst wenn der Anwender auf den Link in der Mail tatsächlich klickt - also vielleicht Minuten, oder Stunden später. In der Zwischenzeit wurde möglicherweise der Angriff bereits bekannt oder die Angreifer haben die Malware hinter dem Link mittlerweile aktiviert.

Das Sicherheitssystem kann nun den Angriff erkennen und blockieren. Gleichzeitig wird das ursprüngliche Link-Ziel in der Datenbank des Sicherheitssystems als bösartig markiert und alle weiteren Mails, die entsprechende Links enthalten, können sofort ausgefiltert werden, eine bösartige Website kann in entsprechende Filterlisten aufgenommen werden.

Der "Trick" beim URL-Rewriting besteht also im (zusätzlichen) verzögerten Scannen der Links zum Aufrufzeitpunkt!

Sandboxing - lassen Sie sich die Angreifer in der Sandkiste austoben

Beim Sandboxing werden heruntergeladene Dokumente oder Programme in einem extra dafür gestarteten virtuellen Computer geöffnet und ausgeführt. Dieser ist allerdings so ausgerüstet, dass er genau protokolliert, was ein Makro in einem Office- oder PDF-Dokument oder ein direkt heruntergeladenes Programm alles so anstellt.

Sobald dabei unübliche, gefährliche oder verbotene Aktionen ausgeführt werden, die nicht zum normalen typischen Verhalten für ein Dokument gehören, wird dies als Angriff erkannt. Anstatt das Dokument oder Programm auszuliefern, zeigt das Sicherheitssystem dem Anwender eine entsprechende Fehlermeldung an.

Auch hier ist aus den beschriebenen Gründen entscheidend, dass dies erst zu dem Zeitpunkt geschieht, in dem der Anwender auf den Link klickt - und nicht schon bei Zustellung der Mail.

Das Wettrüsten geht weiter

Um sich gegen die ständige Weiterentwicklung auf Seiten der Angreifer zu schützen, bleibt keine Wahl - man muss ebenfalls Sicherheitslösungen einsetzen, die sich ständig weiterentwickeln und mit der Bedrohung schritthalten können. Dies ist durch entsprechende vorgeschaltete Sicherheitssysteme zu erreichen, die entweder in der Cloud laufen oder mit Cloud-Anbindung / Unterstützung arbeiten, um in Echtzeit an Informationen über neu bekannt werdende Angriffe, Malware und Sicherheitslücken partizipieren zu können. Auch wäre die Rechenleistung für die häufig eingesetzten Machine Learning-Verfahren zur Angriffserkennung im eigenen Serverraum bei kleineren und mittelständischen Unternehmen kaum wirtschaftlich bereitzustellen und zu betreiben.