easyma
Goto Top

Abgefangene Geschäftsmails

Guten Morgen,
seit einigen Tagen haben wir in der Firma ein Phänomen und ich weiß leider auch nicht mehr weiter, da es auch nicht mein Fachgebiet ist.

Zwei verschieden Geschäftskunden haben uns gemeldet, dass Sie eine Phishingmail von uns erhalten haben.
Diese liegen uns auch bereits als Original vor. Hier die komplette Mail:

Von: Unser_tatsäclicher_Firmenname <dianaghioaca@primariaguraocnitei.ro> 
Gesendet: Mittwoch, 22. Juni 2022 14:32
An: Geschäftskune <Geschäfts@kunde.de>
Betreff: Re: AW: neue Berechtigungen f

Ich habe eine Erinnerung festgestellt, dass wir Ihnen ein Faksimil schicken müssen, aber ich kann Ihre richtige Nummer nicht finden, wo sie gesendet werden soll. Deshalb sende ich dieses Fax hier:

https://drive.google.com/uc?export=download&id=XXX

File password: U523

//Sehr geehrte Frau XXX,
 
wie bereits telefonisch besprochen, anbei noch einmal der PostIdent Coupon.
 
Sollten wir noch eine Rückmeldung der bereits legitimierten Unterlagen von 19.05.22 erhalten, 
werden wir Sie informieren. 
 
Wir bitten um Ihr Verständnis und bedanken uns im Voraus. 
 
Mit freundlichen Grüßen//

Das Erste ist, dass zwar unser Name verwendet wird, aber es sich nicht um unsere Domain handelt, das bedeut, dass zumindest die Mail nicht von uns kommt.

Das Zweite: Folgender Text, wurde in die original Email angehangen, die tatsächlich von dem Absender geschickt worden ist:

Ich habe eine Erinnerung festgestellt, dass wir Ihnen ein Faksimil schicken müssen, aber ich kann Ihre richtige Nummer nicht finden, wo sie gesendet werden soll. Deshalb sende ich dieses Fax hier:

https://drive.google.com/uc?export=download&id=XXX

File password: U523

Das bedeutet, dass die original Email, die mal an uns geschickt wurde abgfangen wurde.

Was wir bereits getan haben:

  • Der gesamte SMTP Verkehr läuft bei uns über die UFW (Sophos), dort sehen wir nicht, dass es auffälligkeiten gibt, oder Mails von Cleints versendet worden sind, die an unbekannt Domains gingen.
  • Die Clients (eigentlich das gesamte Netzwerk) mit Antivirus (Endpoint Manager) gescannt, keine verdächtigen Dateien.
  • Die drei unsererseits betroffenen Clients seperat gescannt (Full Scan), Keine Auffälligkeiten.
  • Bei den betroffenen Rechner nach dem Emotet Virus gescannt, ohne Erfolg.
  • Die Metadaten der Email analysiert (uns liegen die originale vor), dort sehen wir auch den Absender und die IP Adresse etc. das bewahrt uns aber vor dem abfangen der der nächsten Mail leider nicht.

Nun Frage ich mich tatsächlich, ob bei uns am Port 25 jemand mitlauscht, und so die Emails abfängt, diese dann ergänzt und dann zurückschickt mit dem Zusatz.

Nun bin ich ein wenig verunsichert. Ich schliesse aus, dass das Kontaktbuch des Geschäftskunden betroffen ist, da es zwei verschieden Kunden waren, die sich gemeldet haben.

Wir nutzen einen Exchange Server 2016 der sich hinter der Sophos befindet.

Hat einer eine Idee, wo und wie man ansetzten kann?

Content-Key: 3162620432

Url: https://administrator.de/contentid/3162620432

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: anteNope
anteNope 24.06.2022 aktualisiert um 07:37:16 Uhr
Goto Top
Moin,
Von: Unser_tatsäclicher_Firmenname <dianaghioaca@primariaguraocnitei.ro>

Der fett markierte Teil ist frei wählbar. Darum trichtere ich den Leuten immer ein, dass die sich die Adresse selbst anschauen sollen.

So lange nicht von euren Domains gesendet wird, kannst du da nichts gegen machen.

Zum "abgefangen" Teil:
Wir nutzen einen Exchange Server 2016 der sich hinter der Sophos befindet.
  • Steht der mit seiner OWA im Internet?
  • Wart ihr damals von Hafnium betroffen?
  • Andererseits kann die Mail auch auf der anderen Seite "erlangt" worden sein.
  • Oder es wurde schlicht und einfach Zugang zu einem der Postfächer erlangt.

Wie auch immer. Es gibt viele Möglichkeiten an den Mailinhalt zu kommen.
Mitglied: 137960
137960 24.06.2022 um 07:57:21 Uhr
Goto Top
Was ich machen würde:

  • Prüfen, ob alle Kunden/Mailempfänger betroffen sind oder nur wenige. Sind alle betroffen, dann liegt der Verdacht nahe, dass es an Euch liegt.
  • Mit einem anderen Mailaccount (andere Domain, notfalls irgendeinen Account bei Google oder GMX einrichten). Dann "Kunde" spielen und Mails zusenden. Der Inhalt der Mails sollte in etwa dem entsprechen, der auch bei Deinem Beispiel benutzt wurde (FALLS es eine Malware ist, die z.B. auf das Wort "PostIdent" reagiert).
  • Auf dem Host, wo der Exchange-Server läuft, kurzzeitig einen Mitschnitt des Netzwerks einrichten, z.B. per tcpdump. Analyse z.B. mit Wireshark. Wenn dort z.B. unverschlüsselte, aber schon veränderte Mails auftauchen, dann solltet Ihr Euren Exchange sofort abschalten.

Senden und Empfangen von Mails geht auch bei Exchange normalerweise verschlüsselt (TLS). "Lauschen" dürfte schwierig werden, dafür muss man eine ausgewachsene MITM-Attacke etabliert haben. Das würde bedeuten: Ihr seid am Ar*, denn der Exchange wurde wo-auch-immer kompromittiert.

Meine Vermutung: es ist sehr viel wahrscheinlicher, dass die Arbeitsrechner von Mitarbeitern von Malware befallen werden als Exchange. Auch, wenn es vor Kurzem erhebliche Sicherheitslücken bei Exchange gab. Es ist für mich auch wahrscheinlicher, dass sogar mehrere Kundenrechner befallen sind als Euer Exchange.
Dennoch würde ich an Eurer Stelle noch einmal googlen, was die letzten Sicherheitslücken in Exchange bedeuten und wie sie ausgenutzt werden.
Mitglied: NordicMike
NordicMike 24.06.2022 um 08:26:53 Uhr
Goto Top
Die Email kommt von dianaghioaca@primariaguraocnitei.ro, also nicht von Eurem Exchange Server. Es ist nur Euer Firmenname bekannt geworden. Das kann bei jedem Eurer Kontakte (Kunden, Lieferanten) passiert sein.

Trotzdem würde ich den Sophos so einstellen, dass kein einziger Rechner im Netzwerk Emails nach aussen versenden darf (SMTP, SSMTP), nur der Exchange muss es können, alle anderen haben es gefälligst zum Exchange zu schicken. Der Sophos kann dabei als ausgehender SMTP Proxy für den Exchange eingerichtet werden, dann habt ihr auch eine schöne Kontrolle im Sophos Mail Manager.
Mitglied: Easyma
Easyma 24.06.2022 um 08:39:53 Uhr
Goto Top
Vorab, Wireshark ist eine gute Idee, das werden wir heute mal machen. Wobei wir über unsere Sophos jedes SMTP Protokoll festhalten. Hinzukommt, dass die Sophos die TLS1.2 erzwingt.

Zu den bislang bekannten Fakten:
  • Es sind zwei Kunden betroffen, ob die OWA verwenden, mag ich zu bezweifeln, da es sich um eine Bank handelt.
Wir verwenden zwar OWA, aber das gilt jetzt nicht für die betroffenen Clients, die nutzen Outlook 2019

  • Ob wir damals vom Hafnium betroffen waren, kann ich nicht beantworten. Wir hatten zumindest keine Auffälligkeiten, diesbezüglich, auch die beschriebenen Synthome haben wir nicht, also würde ich sagen "Nein".

  • Das die Emails von der anderen Seite erlangt worden ist, mag ich zu dem jetzigen Zeitpunkt zu verneinen, da mittlerweile zwei verschiedene Dienstleister sich bei uns gemeldet haben, die miteinander auch nichts zu tun haben.

  • Zugang von unbekannten zu den Postfächern war auch unser Gedanke, dafür gibt es die Anzeichen aber nicht, da wir keine verdächtigen Logprotokolle haben.

  • Es sind bei uns leider drei Mitarbeiter aktuell betroffen. Das merkwürdige ist, die sitzen alle in der gleichen Domäne. Ob andere betroffen sind, wissen wir nicht, aktuell haben wir keine Meldung.

  • Auch wir vermuten, dass das Problem auf den Rechnern liegen und nicht im Exchange. Unser Problem ist einfach, dass SEP (Symantec Endpoint Manager) nichts anzeigt. Das gilt für das gesamte Netzwerk.

  • Bei beiden Mails handelt es sich um Mails, die an uns gesendet wurden. Ohne das wir darauf genatwortet haben (haben wir in der Sophos geprüft), hat sich der Kunde (beide) bei uns gemeldet und den Vorfall gemeldet.

So eine Zielgerichtete Phishing Mail habe ich vorab Nie gesehen, das macht die Sache unheimlich, auch die Tatsache, das bei beiden Mails ein Mitschnitt der originalen Korrospondenz mizulesen ist, erschreckt mich.
Evtl. kennt ja jemand die Art des Angriffes, dann kann man zielgerichtet einen Maßnahme einführen.
Mitglied: Easyma
Easyma 24.06.2022 um 08:43:09 Uhr
Goto Top
Das ist es ja, genau so haben wir das auch eingerichtet. Die Sophos ist der Proxy und wir steuen alles über die Sohos ab. Es geht keine Mail über die Rechner raus. Das läuft alles zum Exchange und dort über die Sophos nach Ausssen, und auch umgekehrt. Das können wir im Mail Manager sehen.
Mitglied: Trommel
Trommel 24.06.2022 aktualisiert um 09:30:23 Uhr
Goto Top
Zitat von @anteNope:

Moin,
Von: Unser_tatsäclicher_Firmenname <dianaghioaca@primariaguraocnitei.ro>

Der fett markierte Teil ist frei wählbar. Darum trichtere ich den Leuten immer ein, dass die sich die Adresse selbst anschauen sollen.

Zitat von @NordicMike:

Die Email kommt von dianaghioaca@primariaguraocnitei.ro, also nicht von Eurem Exchange Server.

Sorry aber das ist quark ! Bitte nicht den Leuten sowas eintrichtern. Sowohl Absendername als auch Absenderemail sind komplett frei wählbar. Das einzige was hier zählt sind die E-Mailheader. E-Mail ist wie ein Briefumschlag wo man alles draufschreiben kann. Und von SPF oder ähnliches war hier nie die Rede.

Ich kann hier nur mal wieder die Kollegen von Sempervideo verlinken, Angela braucht Sie, echt ehrlich jetzt ! face-wink https://www.youtube.com/watch?v=-03cKyiWhVE

Trommel
Mitglied: anteNope
anteNope 24.06.2022 um 09:37:41 Uhr
Goto Top
Zitat von @Trommel:
E-Mail ist wie ein Briefumschlag wo man alles draufschreiben kann. Und von SPF oder ähnliches war hier nie die Rede.

Davon bin ich ausgegangen. SPF-Eintrag ist heutzutage eigentlich der Standard ohne den man nicht mehr weit kommt. Und zudem, wenn kein SPF existieren sollte, wieso sollte der SPAM-Versender nicht gleich die korrekte Domain verwenden? 🤣
Mitglied: LordGurke
LordGurke 24.06.2022 um 10:04:53 Uhr
Goto Top
Es ist auch möglich, dass ein Nutzer irgendwo im Internet einen Account mit der Firmen-Mail-Adresse erstellt hat, das gleiche Kennwort wie bei euch verwendet hat und dass jetzt einfach jemand per POP3/IMAP/OWA an dem Postfach hängt und Mails mitliest.
Dadurch, dass originale Konversation zitiert wird, ist ja zumindest das Mitlesen ein Fakt (ob bei euch oder beim Empfänger weiß man erstmal nicht).
Von daher: Wenn von Extern der Abruf von E-Mails möglich ist, wäre das ein denkbares Szenario.

Ansonsten kann es natürlich auch noch eine Nachwirkung von Hafnium sein, denn es gab Situationen, in denen ein vermeintlich gepatcheter Server weiterhin angreifbar war, weil Updates fehlgeschlagen sind.
Mitglied: fuzzyLogic
fuzzyLogic 24.06.2022 um 11:25:20 Uhr
Goto Top
Auf welchem CU läuft der Exchange den?
Mitglied: Easyma
Easyma 24.06.2022 um 11:52:13 Uhr
Goto Top
Erstmal Danke an alle für die Hinweise.

Der Server läuft aktuell auf Build 1913.5 = CU15

Wenn jemand per IMAP/POP3/OWA mitlesen würde, warum sollte er dann eine fremde Domain benutzen, daher schließe ich das aus. War aber auch mein Gedanke. Wenn ich Passwörter und Zugangsdaten hätte, dann würde ich definitiv die Original Domain verwenden mit der originalen Signatur des betroffenen. Hinzu kommt, dass die Passwörter der betroffenen Personen sofort geändert worden sind und sämtliche Cookies entfernt worden.

Hinzukommt, das POP3 und IMAP nicht aktiv sind.

Zitat von @LordGurke:

Dadurch, dass originale Konversation zitiert wird, ist ja zumindest das Mitlesen ein Fakt (ob bei euch oder beim Empfänger weiß man erstmal nicht).

Das ist so.
Mitglied: 2423392070
2423392070 24.06.2022 um 11:54:51 Uhr
Goto Top
Ein paar Header-Informationen, der Body... der Großteil der Mail fehlt um zu bewerten was passiert sein kann.
Kein Wort von SPF, DKIM, DMARC oder BIMI...

Und alle fleißig am orakeln was los ist. Ich habe echt Angst, dass solche Admins mal zu uns kommen.
Mitglied: LordGurke
LordGurke 24.06.2022 aktualisiert um 12:36:50 Uhr
Goto Top
Zitat von @Easyma:
Wenn jemand per IMAP/POP3/OWA mitlesen würde, warum sollte er dann eine fremde Domain benutzen, daher schließe ich das aus. War aber auch mein Gedanke. Wenn ich Passwörter und Zugangsdaten hätte, dann würde ich definitiv die Original Domain verwenden mit der originalen Signatur des betroffenen.

Aber dann könntest du den Versand unterbinden. Oder eventuell wird sogar der Versand von deinen Spamfiltern automatisch blockiert.
Im Moment kannst du ja gerade den Versand dieser Mails nicht mehr verhindern.
Außerdem würde damit ja das Leck offenbart. Aus Sicht der Malware also nur nachteilig.

Und damit kann auch in einem Jahr noch Schaden angerichtet werden — wir haben genau dieses Problem mit einem Kunden, der im Februar letzten Jahres eine Sicherheitsschwankung hatte. Da bekommen wir noch Mails mit dem von dir zitierten Inhalt und einer entsprechend alten Mail dran.
Mitglied: LordGurke
LordGurke 24.06.2022 um 12:38:04 Uhr
Goto Top
Zitat von @2423392070:

Ein paar Header-Informationen, der Body... der Großteil der Mail fehlt um zu bewerten was passiert sein kann.
Kein Wort von SPF, DKIM, DMARC oder BIMI...

Und alle fleißig am orakeln was los ist. Ich habe echt Angst, dass solche Admins mal zu uns kommen.

Was hast du mit SPF und DKIM?
Es ist doch schon lange klar, dass die E-Mails von einer fremden Domain verschickt werden?!
Da hilft dir das doch alles genau nix...
Mitglied: departure69
departure69 24.06.2022, aktualisiert am 25.06.2022 um 16:55:55 Uhr
Goto Top
@Easyma:

Unser Landesamt (LSI, Landespendant zum BSI) hat uns vor einer guten Woche davor gewarnt.

Die springenden Punkte scheinen hier:

- "abgeflossene E-Mail-Kommunikation"
und
- "kompromittierte Dienstleister"

zu sein.

Ersteres könnte entweder bei Euch oder aber bei Euren Mailkontakten außerhalb Eures Hauses passiert sein, das ist nicht gewiß.

Hier der Text:

Sehr geehrte Damen und Herren,
das LSI verzeichnet derzeit ein stark erhöhtes Aufkommen von Phishing-E-Mails, welche zuvor bei Geschäftspartnern abgeflossene E-Mail-Kommunikation für eine vermeintliche Legitimierung einsetzen. Hierbei werden momentan sehr häufig die Adressen und Kommunikationsverläufe von kompromittierten Dienstleistern (Planungsbüros, IT-Support, Reinigungsdienst, etc.) verwendet. Bei Phishing-E-Mails werden die Absenderadressen entweder gefälscht oder mittels eines durch die Angreifer kompromittierten Exchange-Servers mit echten Adressen versendet.
Gerade E-Mails von diesen kompromittierten Exchange-Servern stellen, aufgrund vermeintlich passender Absenderdaten und vertrautem Inhalt, bei der täglichen Arbeit Ihrer Kolleginnen und Kollegen ein hohes Bedrohungspotential für Ihre Organisation dar. Damit Ihre Mitarbeiter auf diese Bedrohung gefasst sind, legen wir Ihnen ein Schreiben bei, das Sie zur Sensibilisierung an Ihre Mitarbeiter weiterleiten sollten. In diesem Dokument finden Sie auch Beispiele manipulierter E-Mails.
Die derzeit häufigsten Angriffsvektoren, die z.B. von QakBot, Emotet, IcedID, Bumblebee verwendet werden, können meist nach dem folgenden Muster erkannt werden:
1) Mailabsender: Gefälschter oder im Falle eines kompromittierten Exchange des Absenders, der originale Absender
2) Betreff: Es wird meist ein "Re:", "AW:" oder "WG:" vorne angehängt
3) Inhalt: kurze generische Grußformel und kurzer Hinweis auf ein nachgereichtes Dokument
4) Die Sprache reicht von nahezu perfektem Deutsch über gebrochenes Deutsch bis zu Englisch
5) Möglicherweise ein Passwort zu einem angehängten ZIP-Archiv. Meist Zahlen- oder Buchstabenfolge mit üblicherweise insgesamt nicht mehr als 5 Zeilen
6) Anschließend der beim Absender abgeflossene E-Mailverlauf
7) Mögliche Varianten des schadhaften Inhalts:
a) Link zum Download für ZIP oder Excel/Word-Dokument von
i) Mediasharing-Plattform wie OneDrive, Google Drive, Mediafire, etc. oder
ii) Dubioser Link auf ein schadhaftes Dokument, Datei oder Verzeichnis wie bei QakBot der Fall
b) Verweis auf direkten E-Mail-Anhang, der enthält
i) die passwortgeschützte ZIP-Datei direkt oder
ii) eine HTML-Datei, die beim Öffnen das passwortgeschützte ZIP erstellt und speichert z.B.
c) Das passwortgeschützte ZIP-Archiv enthält häufig:
i) LNK- bzw. Shortcut-Datei, die wie ein Office-Dokument aussehen soll oder
ii) .IMG-, .MSI- oder .ISO-Datei oder
iii) Excel- oder Word-Dokument mit Makroinhalten

Vielleicht findest Du ja darin etwas, das auf Euch oder Eure externen Mailkontakte zutreffen könnte, denn irgendwo wurden sowohl Mailadressen als auch sogar Inhalte "geklaut".

Viele Grüße

von

departure69
Mitglied: Easyma
Easyma 24.06.2022 um 13:52:38 Uhr
Goto Top
@departure69
Kannst du mir mal den Link zukommen lassen? Habe jetzt auf der Seite des LSI den Beitrag auf Anhieb nicht gefunden.

@2423392070
SPF und DKIM greift bei uns (über die Sophos), das ist aber auch hier nicht das Problem. Wir fangen die Emails auch ab, die als Phishing erkennbar sind.
Es sind ja die Mails, die vom Dienstleister zu uns geschickt werden, diese werden modifiziert und den Dienstleiter mit einer falschen Mailadresse, einem ergänzten Text, aber einem richtigen Absendernamen zurückgeschickt und das nicht von unserem Server.

Und da sich zwei Dienstleister gemeldet haben, war die Annahme sehr nah, das bei uns was schief läuft.
Mitglied: 2423392070
2423392070 24.06.2022 um 14:35:03 Uhr
Goto Top
Ich denke die Empfänger sind mit Euch geschäftlich verbunden und haben Phishing Mails erhalten, die vorgetäuscht haben, authentisch und von euch zu sein?
Mitglied: Easyma
Easyma 24.06.2022 um 15:20:39 Uhr
Goto Top
Zwei verschieden Geschäftskunden haben uns gemeldet, dass Sie eine Phishingmail von uns erhalten haben.

@2423392070
Es ist genau so wie du es beschreibst.
Mitglied: 2423392070
2423392070 24.06.2022 um 15:24:22 Uhr
Goto Top
Ja und was hat deine Sophos Büchse damit zu tun?
Mitglied: Easyma
Easyma 24.06.2022 um 15:54:38 Uhr
Goto Top
Eigentlich nichts, ich hatte lediglich darauf hingewiesen, dass diese vor dem Exchange Server geschaltet ist.
Weiter hatte ich mich zur Sophos auch nicht geäußert, lediglich welche Funktion die aktuell bei uns hat und das wir dort nichts verdächtiges feststellen konnten.
Kann ja sein, das z.B. wie das @NordicMike noch mal getan hat, jemand Vorschläge zu der Konfiguration hat, dafür hat man ja dieses Board.
Mitglied: 2423392070
2423392070 24.06.2022 um 15:57:17 Uhr
Goto Top
Dann verstehe ich die Diskussion nicht.

Dein DNS zu der zugehörigen Domain ist doch um SPF, DKIM, DMARC und BIMI gepflegt?

Der Empfänger kann dann regeln, was zu regeln ist.
Mitglied: Easyma
Easyma 24.06.2022 um 16:07:36 Uhr
Goto Top
Ich glaube du hast hier was tatsächlich missverstanden.
Es handelt sich nicht um meine Domain, oder das jemand versucht mit meiner Domain eine Email zu verschicken. Das ist nicht das Problem.
Und auch, wenn die beiden Dienstleister ebenfalls die SPF richtig eingestellt haben, beantwortet das die Frage nicht, wie ein Teil einer Email, die tatsächlich verfasst worden ist, in der Phishing Mail auftaucht.
Die Korrespondenz hat ja tatsächlich stattgefunden.
Mitglied: 2423392070
2423392070 24.06.2022 um 16:10:30 Uhr
Goto Top
Es gab ein Leck. Das einzugrenzen sollte nicht schwer sein.
Das eine Sicherheitsappliance einschreiten hätte müssen, wäre die optimale Prävention.
Mitglied: DTCTVE
DTCTVE 25.06.2022 um 02:16:14 Uhr
Goto Top
Nur Aussagekräftig indem man die gesamten Header einmal liest. Dort siehst du von WO genau die mail her kam, und ob da SPF & co. ne rolle spielten
Mitglied: 108012
108012 25.06.2022 um 05:52:24 Uhr
Goto Top
Nun Frage ich mich tatsächlich, ob bei uns am Port 25 jemand mitlauscht, und so die Emails abfängt,
diese dann ergänzt und dann zurückschickt mit dem Zusatz.
Mittels Signatur (Zertifikat) kann das aber unterbunden werden, sie fertige Mail wird vor dem Senden
signiert und dann kann der Empfänger diese Signatur verifizieren und somit sicherstellen, ob die Mail
verändert wurde.

Nun bin ich ein wenig verunsichert. Ich schliesse aus, dass das Kontaktbuch des Geschäftskunden betroffen
ist, da es zwei verschieden Kunden waren, die sich gemeldet haben.
Wie ist denn der Mailserver angebunden?
- Öffentliche IP auf dem Sophos und von dort umgesetzt auf eine nicht öffentliche IP?
- Oder an der Sophos Port offen und öffentliche IP auf dem Mailserver direkt eingetragen?

Hat einer eine Idee, wo und wie man ansetzten kann?
Wenn jemand von irgendwo jemandem etwas schickt kannst Du von Euch aus nichts tun.

Dobby
Mitglied: 2423392070
2423392070 25.06.2022 um 12:33:25 Uhr
Goto Top
Zitat von @DTCTVE:

Nur Aussagekräftig indem man die gesamten Header einmal liest. Dort siehst du von WO genau die mail her kam, und ob da SPF & co. ne rolle spielten

Ja. Abgefangene Geschäftsmails
Mitglied: Easyma
Easyma 25.06.2022 aktualisiert um 17:22:37 Uhr
Goto Top
Hallo @108012

Öffentliche IP auf dem Sophos und von dort umgesetzt auf eine nicht öffentliche IP?
Genau so ist es. Bzw. die öffentliche IP geht zuerst an den Router, über Portforwarding an die Sophos und von dort an die nicht öffentliche IP an den Server. Die Sophos ist hierbei als Proxy eingerichtet.

@DTCTVE
Die Herkunft der Mail ist uns bekannt, bzw. der beiden Mails. Da diese Email aber nicht bei uns reinkam sondern bei den jeweiligen Geschäftskunden, kann ich zu deren Konfiguration nichts sagen, ob und wie die SPF prüfen.
Aber auch wenn, bei denen SPF Konfiguriert wäre, so erklärt es immer noch nicht, wie in dieser Phishing Mail, ein Teil unserer Korrespondenz diese beinhaltete.

Die Frage hier lautet nicht, wie finde ich heraus, wo die Mail herkam?
Oder
Wie kann ich meine Anlage vor Phishingmails schützen?
Deshalb spielt SPF oder auch DKIM hier keine Rolle. So schütze ich mich.

Sondern:
Wie kam ein Teil einer Email Korrespondenz in eine Phishingmail?
Mitglied: 2423392070
2423392070 25.06.2022 um 17:24:39 Uhr
Goto Top
Antwort: Ein System mit den Mails war oder ist kompromittiert.

Dein Problem zeigt, dass die gelebte und gefühlte Sicherheit nicht so richtig funktioniert. Der eine glaubt an VLANs der andere an Sophos, der nächste was auch immer, dabei ist ein System einfach nur kompromittiert.
Mitglied: 137960
137960 25.06.2022 um 17:50:49 Uhr
Goto Top
Das System ist kompromittiert oder der Mensch, der vor dem Rechner sitzt.
Ich hatte es schon öfter erlebt, dass Mitarbeiter in Firmen Mails in Kopie zu sich "nach Hause", also auf eine Nicht-Firmen-Mailadresse, weiterleiten. In einem Fall hatte ein Mitarbeiter sogar zu Hause eine Weiterleitung an seine Firmenmail eingerichtet, so dass es plötzlich zu einer Schleife kam. Der Admin der Firma hat nach ca. 20000 Mails die Reissleine gezogen ;)

Wie auch immer, wenn solche Weiterleitungen benutzt werden, dann kann es auch sein, dass der Inhalt der Mails dort landet, wo er überhaupt nicht hin soll: auf Mitarbeiter-Rechnern, die komplett außerhalb einer Kontrolle stehen.

Du kannst also erst einmal prüfen, ob Weiterleitungen benutzt werden und ob diese Weiterleitungen auf Externe Mailadressen gehen.

Und danach kannst Du alle Beteiligten bitten, zu prüfen, ob sie selber Weiterleitungen eingerichtet haben und darauf hinweisen, dass das das Problem sein kann. Da wird zwar niemand "Ich war's!" schreien, aber falls sowas vorkommt, werden die entsprechenden Mitarbeiter still und heimlich ihre Weiterleitungen ausschalten, womit dann zumindest keine neuen Mails mit ihren Inhalten in Phishingmails auftauchen sollten.
Mitglied: MysticFoxDE
MysticFoxDE 27.06.2022 aktualisiert um 07:50:19 Uhr
Goto Top
Moin Easyma,

Zwei verschieden Geschäftskunden haben uns gemeldet, dass Sie eine Phishingmail von uns erhalten haben.

der Satz reicht mir schon volkommen.

Dein Exchange Server ist zu > 99,9% Kompromittiert worden!

Hast du eine Cybersecurity-Versicherung?

Wenn ja, als erstes sofort aktivieren!
(Je nach Versicherung, telefonieren wir danach vielleicht eh schon bald miteinander. 😎)

Auf jeden Fall als nächstes einen Thor-Lite Scan auf dem Exchange laufen lassen.
https://www.nextron-systems.com/thor-lite/

Wenn der Scann durch ist, dann kannst du mir das Ergebnis zur Begutachtung gerne zuschicken. 😉

Wenn der Exchange per NAT aus dem Internet erreichbar ist, dann bitte sofort NAT deaktivieren!
Am besten alles ausser SMTP von und richtung WAN droppen.

Das ist KEINE Übung sondern bitterer Ernst!

Im besten Fall hat es nur deinen Exchange erwisch, im schlimmsten auch die anderen Clients/Server die Domäne. ☹

Ich hoffe deine Umgebung ist anständig gebackupt und das Backup anständig vom Rest abgeschottet.

Beste Grüsse aus BaWü

Alex
Mitglied: MysticFoxDE
MysticFoxDE 27.06.2022 aktualisiert um 08:30:06 Uhr
Goto Top
Moin unbelanglos,

Antwort: Ein System mit den Mails war oder ist kompromittiert.
Dein Problem zeigt, dass die gelebte und gefühlte Sicherheit nicht so richtig funktioniert.

👍👍👍

Der eine glaubt an VLANs der andere an Sophos, der nächste was auch immer, dabei ist ein System einfach nur kompromittiert.

Der Glaube alleine hilft hier nicht, man muss diesen auch richtig leben.
Sprich, nix NAT oder WAF, sondern MDM oder VPN & 2FA. 😎
Bin übrigens auch ein Sophos Jünger. 🤪

Beste Grüsse aus BaWü
Alex
Mitglied: MysticFoxDE
MysticFoxDE 27.06.2022 aktualisiert um 08:28:50 Uhr
Goto Top
Moin Zusammen,

ich verstehe die ganze Diskussion Richtung SPF, DKIM, DMARK, SMTP, IMAP POP3 & Co. KG überhaupt nicht.

Das wichtigste Aussage des TO ist, dass zwei Geschäftspartner im Namen des Unternehmens des TO’s eine E-Mail bekommen haben, die zum Teil Inhalte von vorher legitim verschickten Mails beinhalteten.

Das bedeutet zunächst schlichtweg, dass der Inhalt der vorherigen legitimen Mail’s entweder auf der Sender- oder auf der Empfängerseite geklaut worden ist!

Würde nun der TO von nur einem Geschäftspartner sprechen, den eine solche Mail erhalten hat, dann könnte man davon ausgehen, dass der Inhalt entweder bei TO oder beim Geschäftspartner geklaut worden ist.

Da der TO aber ausdrücklich schreibt, dass zwei voneinander unabhängige Geschäftspartner dasselbe Problem gemeldet haben, ist es höchstwahrscheinlich das System des TO selbst wo die Daten geklaut wurden und nicht bei den beiden Geschäftspartnern.

Beste Grüsse aus BaWü

Alex
Mitglied: 2423392070
2423392070 27.06.2022 um 09:56:16 Uhr
Goto Top
Ich muss sagen, seit dem DMARK eine gewisse Verbreitung hat und es leistungsfähige Implementierungen gibt, sind die Mitteilungen die man darüber bekommt meistens sehr interessant.

Wenn ich SPF, DKIM und DMARK auswerte, dann kann ich die Mails, die der TO übermittelt bekommen hat an der Zustellung hindern oder entsprechend markieren.

Eigentlich nichts besonderes, passiert tagtäglich Millionen Mal.

Spannend und unterhaltsam ist, was aus solchen Vorgängen gemacht wird.
Dass man in einem Forum landet, dass von Namen her vermuten lässt, dass es Hilfe gibt.

Ich Frage mich immer noch...

Wie sieht die gesamte Mail aus. Ein Teil des Body ist mindestens belanglos.

Hat der TO ein gepflegtes DNS? Haben die Empfänger eine Email-Sicherheit?
Mitglied: MysticFoxDE
MysticFoxDE 27.06.2022 um 10:24:44 Uhr
Goto Top
Moin unbelanglos,

Wenn ich SPF, DKIM und DMARK auswerte, dann kann ich die Mails, die der TO übermittelt bekommen hat an der Zustellung hindern oder entsprechend markieren.

SPF, DKIM und DMARK, sind was die Phishing oder SPAM Abwehr angeht,
meinen jüngsten Erfahrungen nach mittlerweile auch relativ nutzlos.

Den die "Bösewichte" verschicken ihren Murks mittlerweile vornehmlich über gekaperte Mailsysteme oder
buchen sich mit geklauten Kreditkartendaten selbst legitime Mailserver und diese haben nicht selten absolut saubere
RDNS, SPF, DKIM und auch DMARK Einträge. 🤢

Beste Grüsse aus BaWü

Alex
Mitglied: LordGurke
LordGurke 27.06.2022 um 10:34:07 Uhr
Goto Top
Ich bin ohnehin verblüfft, warum hier noch immer wegen SPF und DMARC so eine unnötige Welle gemacht wird.
Der TO hat im ersten Post doch schon geschrieben, dass die versendeten Mails nicht von der eigenen Domain kommen sondern von irgendeiner Fremden Domain und nur der Firmenname im Canonical-Name steht - damit ist doch sowieso alles in der Hinsicht ohne jeden Belang, denn es werden ja dann ausschließlich Prüfungen auf SPF und DKIM ebendieser Dritten Domain gemacht, auf die der TO ja eh keinen Zugriff hat...
Aber irgendwer gräbt dieses Thema immer wieder aus, obwohl es bei der Fragestellung und dem Problem nicht weiterhilft. Um es nicht belanglos zu nennen.
Mitglied: 2423392070
2423392070 27.06.2022 um 10:51:03 Uhr
Goto Top
Zitat von @LordGurke:
dass die versendeten Mails nicht von der eigenen Domain kommen sondern von irgendeiner Fremden Domain und nur der Firmenname im Canonical-Name steht

Ja? Bei uns landen diese Mails, mindestens 50 am Tag, in Quarantäne. Die Mail bekommt einen Hinweis im Betreff hinzugefügt und der gesamte Body wird rot auf gelb.
Ein Mitarbeiter des Helpdesks guckt sich diese Mails an und bei besonderen Vorkommnissen steuern andere Admins nach.
Diese Automatisierung ist nur möglich, weil für viele Beteiligte das DNS gut gepflegt ist.

Ob die eigene Technik benutzt wurde um die Mails zu versenden, kann man überprüfen.

Das beim Empfänger Menschen auf den Vorfall aufmerksam wurden ist sehr löblich, aber die Technik hätte diesen simplen Fall auch finden sollen.
Mitglied: LordGurke
LordGurke 27.06.2022 um 11:53:59 Uhr
Goto Top
Du filterst also Mails basierend auf deinem gut gepflegten DNS mit rotem Hinweis, die folgenden Absender tragen?

From: "Name deiner Firma" <irgendwas@gmail.com>  

Wobei diese E-Mail tatsächlich über GMail versendet wurde und daher SPF/DKIM in Ordnung sind.
Wie hilft dir das hier weiter?
Mitglied: 2423392070
2423392070 27.06.2022 um 12:04:59 Uhr
Goto Top
Es gibt bei uns Geschütze Begrifflichkeiten, die Mails Appliances guckt bei jeder Mail ob deren Verwendung korrekt ist.

Das verhindert den geschilderten Fall oder viel simplere Sachen wir Fehler in der Signatur.

Unseren Firmennamen, die Markennamen, dürfen nur von ausgewählten Systemen versendet und verwendet werden. Es gibt Regelungen bezüglich Signaturen und besondere Berechtigungen zu Schutz wichtige Identitäten, die sich durch Sekretariate und Assistenten äußern. Oder glaubst Du unser Vorstände schreiben ihre Mails selber. Die haben Stäbe, die wechseln täglich in ihrer Zusammensetzung. Die leitende Sekretärin hat höhere Befugnisse pro Vorgang in den Umlauf zu bringen, als Du im Jahr verdienst. Das gehört geschützt und nach dem unser Lieferant Leonie und so sehr zugesetzt hat, haben wir aufgerüstet. Der Schaden war riesig.
Mitglied: LordGurke
LordGurke 27.06.2022 um 12:53:39 Uhr
Goto Top
Aber hat nichts mit SPF oder DMARC zu tun face-wink
Mitglied: 2423392070
2423392070 27.06.2022 um 13:18:29 Uhr
Goto Top
Ja, dann weiß ich gar nicht warum sich so viele potentielle Opfer für BEC-Lösungen entschieden haben, wenn Du es besser weißt?
Unsere Appliances machen sich ganz gut wie ich finde.
Diverse öffentliche Stellen sehen das übrigens auch so.
https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/business-em ...
Mitglied: MysticFoxDE
MysticFoxDE 27.06.2022 um 14:08:36 Uhr
Goto Top
Moin unbelanglos,

Ja, dann weiß ich gar nicht warum sich so viele potentielle Opfer für Beck-Lösungen entschieden haben, wenn Du es besser weißt?
Unsere Appliances machen sich ganz gut wie ich finde.

ich stehe auf dem Schlauch. 😖
Von was für Appliances sprichst du und welcher Schutzmechanismus in diesen,
schützt dich genau vor dem Problem mit den Murks-Mail, die jedoch über legitime Infrastruktur verschickt werden?

Beste Grüsse aus BaWü
Alex

P.S. Was ist eigentlich mit dem TO, lebt der noch?
Mitglied: 2423392070
2423392070 27.06.2022 um 14:12:06 Uhr
Goto Top
Jeder nennenswerte Anbieter von E-Mails hat ein BEK-Konzept. Die Implementierung des Konzeptes macht auch mittlerweile den größten Aufwand. Auch dein präferierter Anbieter wird sowas haben, google Mal nach.
Mitglied: 2423392070
2423392070 27.06.2022 um 14:21:23 Uhr
Goto Top
Ich habe eben Mal nachgesehen, bis auf wenige Versuche, sind alle unsere Vorfälle, die diesen Monat entdeckt und abgewehrt worden, über verdecktes JS in der Mail versucht worden.
Damit wäre auch kein Zugriff auf Server nötig und lediglich einer der Adressaten würde als Angreifer reichen, wenn er Teilnehmer der Konversation ist.

Wir filtern JS grundsätzlich und für Links gibt es auch unzählige Modis.

Eine Mail die ich mir gerade ansehe, hat einen transparenten 1x1 GIF, dass etwas nachladen soll und hofft auf schlecht konfigurierte Email Clients.
Mitglied: anteNope
anteNope 27.06.2022 um 14:57:33 Uhr
Goto Top
Zitat von @2423392070:
... Die leitende Sekretärin hat höhere Befugnisse pro Vorgang in den Umlauf zu bringen, als Du im Jahr verdienst. Das gehört geschützt ... Der Schaden war riesig.

Das hört sich für mich jetzt erstmal so an, als läge das Problem bei Brain.exe. Nun habt ihr eine gut funktionierende Appliance.exe davor geschaltet um bei den Benutzern die Brain.exe zu entlasten. Gut fein, damit lässt sich bestimmt das gröbste totschlagen. Das hat aber leider oft zur Folge, dass Brain.exe nach kurzer Zeit den Betrieb komplett einstellt. Man sollte die Brain.exe bei den Benutzern auf eine aktuelle Version halten und stets aktiv halten!

Mal Spaß bei Seite. Wenn jemand so große Verantwortung hat, sollte er schon wissen was er da macht oder wie es funktioniert. Das gilt für alle Bereiche des Lebens. Für ein Benutzung eines KFZs im öffentlichen Raum, muss man auch eine Tauglichkeit nachweisen. Auch hier führt man allerlei Assistenzsysteme ein. Das führt zu falscher Sicherheit und Unaufmerksamkeit; in Kombination mit Verantwortung ist das nie eine gute Idee.
Mitglied: 2423392070
2423392070 27.06.2022 um 15:04:10 Uhr
Goto Top
Ja, sicher geht es immer um brain.exe

Ich bin auch sehr angetan, dass bei zwei Betroffenen so vorbildlich reagiert wurde.

Gucke dir Mal an, wie die bekannten Falke des CEO Fraud zuletzt abliefern und was verlangt wird als Gegenmaßnahmen.

Im Falle von Leonie, war das verfügen von Zahlungen über Mails des GF ausdrücklich verboten. Es galt auch für diese Summe das Sechsaugen-Prinzip. Ende der Geschichte ist bekannt.
Mitglied: Easyma
Easyma 27.06.2022 aktualisiert um 15:25:18 Uhr
Goto Top
Hallo an alle,

noch mal danke für die Hinweise (die wirklich teilweise sehr hilfreich waren, alleine mit dem Wireshark @137960)

Wir haben mittlerweile schon weitere Erkenntnisse. Bevor ich die aber zusammenstelle, möchte ich das Ergebnis abwarten. Daher noch mal um Geduld, ggf. am Ende der Woche.

Das Problem war nicht, "wie fange ich eine Phishing Mail ab", sondern wie kam ein Bestandteil einer originalen Mail in eine Phishing Mail (reply-chain hijacking attack).

@2423392070,
Ein Mitarbeiter des Helpdesks guckt sich diese Mails an und bei besonderen Vorkommnissen steuern andere Admins nach.

Wenn das so ist, dann hättet ihr diese Mail als Phishing gestempelt und gelöscht, da ein dritter unbeteiligter, in eurem Fall euer Helpdesk, den originalen Teil der Konversation nicht erkannt hätte. Dementsprechend könnt Ihr zwar froh sein, dass die Phishing Mail erkannt wäre, damit würdet Ihr aber die Chance vertun auf evtl. kompromittierte Systeme einzugehen Ich finde es auch nicht hilfreich, immer wieder auf das Thema der Erkennung einer Phishing Mail einzugehen, da dass nicht das Problem hier ist und für einen anderen der vom gleichen Fall betroffen ist, auch nach Wissen sucht, dieser Thread auch nicht die Erkenntnis zu seinem Problem bringt. Ich respektiere aber die Leistung deines Unternehmens in dem du beschäftigt zu sein scheinst (evtl. bist du auch der Inhaber), wahrscheinlich ein größeres, und das es dort Mitarbeiter (wahrscheinlich genug an der Anzahl), gibt die sich um diese Themen kümmert. Leider oder bedauerlicherweise ist das nicht überall so. Und diese Leute, so meine Einschätzung, suchen dann Hilfe und Rat in solchen Foren (wobei ich das Forum sehr hilfreich finde).
Ich bitte daher um Verständnis und bedanke mich natürlich auch für deine hilfreichen Hinweise face-smile

@MysticFoxDE
Für solche Fälle haben wir verscheiden Protokolle, die dann auch greifen. Zum Zeitpunkt der Bekanntgabe, gab es die ersten Aktivitäten.
U. a. wurden die Systeme vom Netz getrennt und gescannt (Also der Exchange Server, wie auch die Clients). wir sind in ersten Moment vom Emotet Virus ausgegangen. Der Exchange Server ist auch nicht aus dem öffentlich Netz erreichbar.
- Deep Scan des gesamten Netzwerkes
- Cookies gelöscht
- Passwörter geändert
- Das Monitorring auf ungewöhnliche CPU Aktivitäten geprüft
- Analyse des Datendurchsatzes
- Analyse der Logindaten für Server etc....
-Auch eine Analyse der geöffneten Webseiten, die blockiert sind, hat auch zu nichts geführt bzw keine Auffälligkeiten ergeben.

(Diese Analysen sind aber nicht abgeschlossen, wir werden dies weiter beobachten)

Das einzige, was wir als Problem betrachten, ist der alte Stand des MS Exchange welches nun letztes Wochenende auf den aktuellsten Stand gebracht wurde (Verdacht auf IcedID Malware). Weshalb dieser nicht gewartet wurde, muss nun geklärt werden.

Leider wurde nichts Nennwertes gefunden (Leider deshalb, da sich der Fehler dadurch nicht erklären lässt) Das war der Grund, weshalb ich diesen Thread eröffnet habe.

Mittlerweile hat sich aber ein Geschäftskunde gemeldet, und den Hinweis abgegeben, dass dieser nun von anderen Partnern ebenfalls Spam bzw. Phishingmails erhält. Und dieses Unternehmen hat leider kein Netzwerkinfrastruktur (also keine GPO, kein Endpoint etc, die Personen verwenden oft eigene private Laptops oder auch private Handys), daher gehen wir aktuell davon aus, dass das Kontaktbuch des Betroffenen unsere Firmenanschrift erhielt und daher eine Reply Nachricht erhalten hat, nachdem er diese an uns gesendet hatte. Das leider erklärt aber nicht, weshalb ein zweiter Geschäftspartner (eine Namenhafte Bank) sich gemeldet hat. Wir und ich insbesondere glaube nicht, dass der so leichtfertig wie der andere Geschäftspartner mit seiner Sicherheit umgeht.

Daher werde ich noch im Laufe es Tages ein Unternehmen beauftragen, welches sich mit Cybersecurity auskennt.
Gerne könnt ihr per PM Empfehlungen abgeben, falkls Ihr da gute Erfahrung gemacht habt.
Mitglied: LordGurke
LordGurke 27.06.2022 um 16:29:01 Uhr
Goto Top
Zitat von @2423392070:
Ja, dann weiß ich gar nicht warum sich so viele potentielle Opfer für BEC-Lösungen entschieden haben, wenn Du es besser weißt?
Unsere Appliances machen sich ganz gut wie ich finde.

Aber eben auch basierend auf dem Inhalt, nicht allein basierend auf SPF/DKIM.
Letzteres funktioniert ja auch nicht, wenn der Absender von einer mit SPF/DKIM autorisierten Domain sendet, die aber halt eben nicht deine ist.
Deshalb ist es in diesem Fall unerheblich, ob der TO für seine Domain SPF/DKIM gesetzt hat oder nicht.
Meine Aussage beinhaltet nicht mehr und nicht weniger.
Mitglied: MysticFoxDE
MysticFoxDE 27.06.2022 aktualisiert um 22:12:34 Uhr
Goto Top
Moin unbelanglos,

Ja, dann weiß ich gar nicht warum sich so viele potentielle Opfer für BEC-Lösungen entschieden haben, wenn Du es besser weißt?

Ähm, BEC ist eine Betrugsmethode und keine Lösung.
Daher, ich stehe immer noch auf dem Schlauch.

Unsere Appliances machen sich ganz gut wie ich finde.

Und welches Schutzfunktion dieser Appliances, kann euch vor diesem Problem schützen?

Diverse öffentliche Stellen sehen das übrigens auch so.
https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/business-em ...

---
How to Protect Yourself
- Be careful with what information you share online or on social media. By openly sharing things like pet names, schools you attended, links to family members, and your birthday, you can give a scammer all the information they need to guess your password or answer your security questions.

- Don’t click on anything in an unsolicited email or text message asking you to update or verify account information. Look up the company’s phone number on your own (don’t use the one a potential scammer is providing), and call the company to ask if the request is legitimate.

- Carefully examine the email address, URL, and spelling used in any correspondence. Scammers use slight differences to trick your eye and gain your trust.

- Be careful what you download. Never open an email attachment from someone you don't know, and be wary of email attachments forwarded to you.

- Set up two-factor (or multi-factor) authentication on any account that allows it, and never disable it.

- Verify payment and purchase requests in person if possible or by calling the person to make sure it is legitimate. You should verify any change in account number or payment procedures with the person making the request.

- Be especially wary if the requestor is pressing you to act quickly.
---

Die Empfehlungen des FBI basieren fast alle auf brain.exe. 😬

Gruss Alex
Mitglied: MysticFoxDE
MysticFoxDE 27.06.2022 um 22:24:31 Uhr
Goto Top
Moin Easyma,

@MysticFoxDE
Für solche Fälle haben wir verscheiden Protokolle, die dann auch greifen. Zum Zeitpunkt der Bekanntgabe, gab es die ersten Aktivitäten.
U. a. wurden die Systeme vom Netz getrennt und gescannt (Also der Exchange Server, wie auch die Clients). wir sind in ersten Moment vom Emotet Virus ausgegangen. Der Exchange Server ist auch nicht aus dem öffentlich Netz erreichbar.
- Deep Scan des gesamten Netzwerkes
- Cookies gelöscht
- Passwörter geändert
- Das Monitorring auf ungewöhnliche CPU Aktivitäten geprüft
- Analyse des Datendurchsatzes
- Analyse der Logindaten für Server etc....
-Auch eine Analyse der geöffneten Webseiten, die blockiert sind, hat auch zu nichts geführt bzw keine Auffälligkeiten ergeben.

(Diese Analysen sind aber nicht abgeschlossen, wir werden dies weiter beobachten)

das ist schon mal sehr lobenswert. 👍👍👍

Das einzige, was wir als Problem betrachten, ist der alte Stand des MS Exchange welches nun letztes Wochenende auf den aktuellsten Stand gebracht wurde (Verdacht auf IcedID Malware). Weshalb dieser nicht gewartet wurde, muss nun geklärt werden.

Oder die haben IceApple eingenistet.
https://thehackernews.com/2022/05/hackers-deploy-iceapple-exploitation.h ...

Leider wurde nichts Nennwertes gefunden (Leider deshalb, da sich der Fehler dadurch nicht erklären lässt) Das war der Grund, weshalb ich diesen Thread eröffnet habe.

Habt ihr den Exchange schon mit Thor-Lite gescannt?

Löscht ihr zyklisch die IIS Logs auf dem Exchange?

Mittlerweile hat sich aber ein Geschäftskunde gemeldet, und den Hinweis abgegeben, dass dieser nun von anderen Partnern ebenfalls Spam bzw. Phishingmails erhält. Und dieses Unternehmen hat leider kein Netzwerkinfrastruktur (also keine GPO, kein Endpoint etc, die Personen verwenden oft eigene private Laptops oder auch private Handys), daher gehen wir aktuell davon aus, dass das Kontaktbuch des Betroffenen unsere Firmenanschrift erhielt und daher eine Reply Nachricht erhalten hat, nachdem er diese an uns gesendet hatte. Das leider erklärt aber nicht, weshalb ein zweiter Geschäftspartner (eine Namenhafte Bank) sich gemeldet hat. Wir und ich insbesondere glaube nicht, dass der so leichtfertig wie der andere Geschäftspartner mit seiner Sicherheit umgeht.

Ist dieser kleine Geschäftspartner eventuell auch Kunde von derselben grossen Bank? 🤔

Beste Grüsse aus BaWü

Alex
Mitglied: LordGurke
LordGurke 27.06.2022 um 22:28:01 Uhr
Goto Top
Eine weitere Abflussquelle ist mir heute ins Gesicht gesprungen:
Habt ihr Geräte (Smartphones, Tablets) mit Mail-Apps, die an diesen Konten hängen?
Viele der Drittanbieter-Apps lagern alles in die Cloud aus, so dass dort Zugangsdaten und teilweise auch E-Mails liegen.
Ein Einbruch bei einem solchen Anbieter könnte dann auch E-Mails kompromittieren.
Mitglied: Easyma
Easyma 28.06.2022 um 06:22:54 Uhr
Goto Top
Guten Morgen,

@MysticFoxDE,

Habt ihr den Exchange schon mit Thor-Lite gescannt?

Danke für den Tip.
Auf dem Exchange Server gab es eine Warnung, betraf aber unser Backup Programm (haben wir vorsichtshalber deinstallier und installiert, aber ein Checksumvergleich ergab auch keine Auffälligkeiten bei dem Programm), der hat auch auf dem DC angeschlagen. Wir haben allerdings den Scanner LOKI verwendet (da dieser bei heise.de gelistet ist und für uns damit auch Safe war) . Ich werde mich aber bestimmt noch mal später per PN melden, wenn ich auf Arbeit bin und für dich in Ordnung ist. Wir werden den Scanner aber auch jedem Server laufen lassen.

@LordGurke,
tatsächlich verwenden wir Smartphones für einen kleinen Kreis, dann aber immer mit der OutlookApp die wir persönlich einrichten, da es sich um Firmenhandys handelt. Aber der Hinweis ist dennoch gut, da es sein kann, das irgendjemand das Konto mit einer beliebigen MailApp angebunden haben kann. Wenn ich genauer nachdenke, haben wir uns die Geräte nie genau angeguckt face-sad Was echt ein Riesenproblem darstellt, wenn ich mir mal die Berichte der Maleware für Android nachdenke.
Mitglied: MysticFoxDE
MysticFoxDE 28.06.2022 um 07:23:40 Uhr
Goto Top
Moin Easyma,

Wir haben allerdings den Scanner LOKI verwendet (da dieser bei heise.de gelistet ist und für uns damit auch Safe war) .

LOKI und THOR-Lite sind sich sehr ähnlich, siehe Vergleich etwa in der Mitte.
https://www.nextron-systems.com/thor-lite/

Beide setzen auf ~3000 YARA Rules.

Ich habe dich übrigens nicht ohne Grund gefragt ob ihr die IIS Logs zyklisch löscht.
Die Scanner erkennen Einbrüche unter anderem durch Auswertung der Logs.
Wenn die Logs jedoch ständig weggelöscht werden, dann kann weder LOKI noch der kleine THOR und auch selbst nicht der grosse THOR, darin etwas finden.

Wenn du auf Nummer sicher gehen möchtest, dann solltest du eh mit dem grossen THOR (~11.000 YARA Rules) scannen. Aber dafür muss man auch ordentlich was hinlegen. 😭

Ich werde mich aber bestimmt noch mal später per PN melden, wenn ich auf Arbeit bin und für dich in Ordnung ist.

Kannst auch direkt durchklingeln, schick dir die Kontaktdaten gleich per PN nach.

Wir werden den Scanner aber auch jedem Server laufen lassen.

👍👍👍 und auch bitte die besonders gefährdeten Clients alla Geschäftsleitung, Abteilungsleiter & Co und auch die der Admins selbst scannen.

Beste Grüsse aus BaWü

Alex
Mitglied: Easyma
Lösung Easyma 17.10.2022 um 07:37:18 Uhr
Goto Top
Hallo an alle, mittlerweile wissen wir, wo das Problem lag. Die Mails wurden über den Port 443 (OWA) ausgelesen. Diesen haben wir nun geschlossen und der Exchange ist nur noch über VPN erreichbar. Seitdem haben wir Ruhe.
Mitglied: anteNope
anteNope 17.10.2022 aktualisiert um 08:42:53 Uhr
Goto Top
*Steht der mit seiner OWA im Internet?
*Wart ihr damals von Hafnium betroffen?

Wäre an eurer Stelle nicht sicher, dass die Maschine nicht doch kompromittiert wurde ... aber ist euer Ding.
Mitglied: NordicMike
NordicMike 17.10.2022 um 08:20:23 Uhr
Goto Top
Wäre an eurer Stelle nicht sicher, dass die Maschine nicht doch kompromittiert wurde
Wenn nach der Portschließung kein SPAM mehr versendet wurde, ist es ziemlich sicher, dass der Server kompromittiert ist.
Mitglied: 137960
137960 17.10.2022 um 08:28:38 Uhr
Goto Top
Ich verstehe die Aussagen nicht, dass die "Mails über den Port 443 ausgelesen" wurden. Der Port ist für HTTPS-Zugriff und OWA Standard. Ein "Auslesen" von Mails geht dort aus meiner Sicht nur, wenn Exchange völlig gaga konfiguriert wurde, wenn die Accountdaten "verloren" wurden oder der Server erfolgreich angegriffen wurde.
Bei ersterem und letzterem würde ich umgehend Profis engagieren, um das Teil zu entseuchen und gerade zu ziehen.

Falls jemand OWA mit geklauten Accountdaten missbraucht hat, hilft es tatsächlich, den Port 443 nach Außen abzuschalten. Es sollten aber zusätzlich ALLE Passwörter geändert werden.
Mitglied: anteNope
anteNope 17.10.2022 aktualisiert um 08:47:22 Uhr
Goto Top
Bei ersterem und letzterem würde ich umgehend Profis engagieren, um das Teil zu entseuchen und gerade zu ziehen.
Hatte Anfang 2020 einen neuen Kunden bekommen bei dem ca. 2 Monate lang Hafnium frei wüten konnte. Wir haben die Daten gerettet und dann alles platt gemacht; Server, Clients, einfach alles. Komplett Neuaufbau von Grund auf ...