Emailspam mit Zip-Dateien
Moin Zusammen,
seit einigen Tagen habe ich bei einem Kunden folgendes Phänomen:
Es kommen Emails beim Kunden an und gehen auch an deren Gesprächspartner. In diesen Emails ist der tatsächlich geschriebene Inhalt zwischen den Gesprächspartnern enthalten. An diese Mail wird eine, mit einem Passwort versehene Zip-Datei, angehängt. Das Passwort steht in der Email in der Zeile: "Archiv Passwort: xxx"
Danach folgt der Text.
Als Absender sind es in der Regel spanische oder italienische Absenderadressen. Der Anzeigename ist aber von einem Mitarbeiter des Kunden, der diese Mail bekam oder versendet hat.
Der Header weist eigentlich immer wiedes Schema auf:
oder auch mal so:
Die Rechner habe ich mit diversen Tools gescannt. Als Firewall ist eine Sophos UTM im Einsatz, bei der ich nun erstmal eingestellt habe, dass sämtliche Emails mit nicht-scanbaren Anhängen geblockt werden.
Es ist nicht reproduzierbar wann diese Mails vermehrt eintreffen, also z.B. nicht auf einen PC eingrenzbar. Mal kommt ewig gar nichts. Z.b. zwischen dem 30.12 und 05.01 ist gar nichts eingegangen und dann am 05.01 ab ca. 11 Uhr wieder ein paar.
Das Blöde ist nur, dass auch die Kunden meines Kunden diese Mails bekommen. Im Moment bin ich etwas ratlos wo ich hier ansetzen könnte um überhaupt festzustellen woher das stammt.
Hat jemand einen klugen Ratschlag?
Besten Dank und Grüße
seit einigen Tagen habe ich bei einem Kunden folgendes Phänomen:
Es kommen Emails beim Kunden an und gehen auch an deren Gesprächspartner. In diesen Emails ist der tatsächlich geschriebene Inhalt zwischen den Gesprächspartnern enthalten. An diese Mail wird eine, mit einem Passwort versehene Zip-Datei, angehängt. Das Passwort steht in der Email in der Zeile: "Archiv Passwort: xxx"
Danach folgt der Text.
Als Absender sind es in der Regel spanische oder italienische Absenderadressen. Der Anzeigename ist aber von einem Mitarbeiter des Kunden, der diese Mail bekam oder versendet hat.
Der Header weist eigentlich immer wiedes Schema auf:
Received: from smtpcmd14161.aruba.it ([62.149.156.161]:37434)
by mail.Kundendomain.de with esmtp (Exim 4.82_1-5b7a7c0-XX)
(envelope-from <ambulatorio@studioarnesano.it>)
id 1kwlUo-0003mc-0T
for Kunde@Kundendomain.de; Tue, 05 Jan 2021 13:31:31 +0100
Received: from [10.0.0.1] ([5.91.60.16])
by smtpcmd14.ad.aruba.it with bizsmtp
id D0Q0240100M148d010Q6qH; Tue, 05 Jan 2021 13:24:06 +0100
X-CTCH-RefID: str=0001.0A782F1E.5FF45C23.0033,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
Date: Tue, 05 Jan 2021 13:24:07 +0100
From: "Kundenmitarbeitername" <ambulatorio@studioarnesano.it>
To: =?UTF-8?B?Tmlrb2xhcyBLcsOkaG4=?= <Kunde@Kundendomain.de>
Subject: =?UTF-8?B?V1ZzIHVuZCBTYWNoc3RhbmRzYW5mcmFnZW4gbWFjaGVuIGFsbGUgUkFlIHVuZCBSQWluIGvDvG5mdGlnIHNlbGJzdA==?=
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_002_15200_2417980416.1445140877"
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=aruba.it; s=a1;
t=1609849446; bh=jqOvvC5yZCXuyZS4M3I64HG3aV4eXKCXLLnZruH6iJ4=;
h=Date:From:To:Subject:MIME-Version:Content-Type;
b=Y8laEj882NPfPxYXB37cyxnPEj+Na7CO2O4XNIyXtns8y6j5IAW9BoiLkSntkB8JK
uydnLo35tEeeY5SpAVez862skFWCSPkoFKvdCTCSyYlxBlq3YuDa9Ep6BekvW+swAQ
xFQcvg1sfuwZ8dyRH3TF43bYeI+P1blsyis30kJhROvtk+K90QYBduh0wX1Oe7RrxP
UPm4B6c6w3eV3AmPxKfCQ3SG2U/s/uo5JZ7r1IQueq2dOSQxOnI3H6bb1cLHj3nXcO
bjottCCeyjx/ydV2ryU5nq4jHLTkzfJt6RyWxoNu1824Dv8goLkH04o++tMrpXGZb/
vYM15uj93xEMA==
oder auch mal so:
Received: from mail.mdpi.com ([212.243.204.81]:10443)
by mail.Kundendomain.de with esmtps (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.82_1-5b7a7c0-XX)
(envelope-from <jinjing.liu@mdpi.com>)
id 1kwkaF-0002CI-2E
for Kundenmitarbeiter@Kundendomain.de; Tue, 05 Jan 2021 12:33:04 +0100
Received: from localhost (localhost.localdomain [127.0.0.1])
by mail.mdpi.com (Postfix) with ESMTP id 9D5A0A8A1F4
for <Kundenmitarbeiter@Kundendomain.de>; Tue, 5 Jan 2021 12:25:14 +0100 (CET)
Received: from mail.mdpi.com ([127.0.0.1])
by localhost (mail.mdpi.com [127.0.0.1]) (amavisd-new, port 10032)
with ESMTP id NRBVawf-Gnea for <Kundenmitarbeiter@Kundendomain.de>;
Tue, 5 Jan 2021 12:25:14 +0100 (CET)
Received: from localhost (localhost.localdomain [127.0.0.1])
by mail.mdpi.com (Postfix) with ESMTP id 0C36CA8A1E1
for <Kundenmitarbeiter@Kundendomain.de>; Tue, 5 Jan 2021 12:25:14 +0100 (CET)
X-CTCH-RefID: str=0001.0A782F25.5FF44E70.0078:SCFSTAT60694998,ss=1,re=-4.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
DKIM-Filter: OpenDKIM Filter v2.10.3 mail.mdpi.com 0C36CA8A1E1
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mdpi.com;
s=EB98F24C-DECB-11E5-856C-FD3CBF5F7692; t=1609845914;
bh=W10eUyzO9fIIrmV+ZJwKzoJjyLMOgcHjm54EqEz4JaU=;
h=Date:From:To:MIME-Version:Message-Id;
b=NeqkybBWVrqxbzyhMURFFNl5fA337elmkEheGrRD+R3kNJAHKzqMCSZPJM3SWlM2g
pxusWUS7viMmA4xPy9Yd08i8weF2U497hcVs14T6EQCdCkbue1pNsVxfPf520Q9JmD
1+2vMGlf6098fqHUJ7RR+FC1Att/vPLWQ/81GWtg=
X-Virus-Scanned: amavisd-new at mail.mdpi.com
Received: from mail.mdpi.com ([127.0.0.1])
by localhost (mail.mdpi.com [127.0.0.1]) (amavisd-new, port 10026)
with ESMTP id 9j6Z1ufjCXXh for <Kundenmitarbeiter@Kundendomain.de>;
Tue, 5 Jan 2021 12:25:13 +0100 (CET)
Received: from [10.0.0.12] (unknown [36.67.71.69])
by mail.mdpi.com (Postfix) with ESMTPSA id 1AC7912369B3
for <Kundenmitarbeiter@Kundendomain.de>; Tue, 5 Jan 2021 12:25:12 +0100 (CET)
Date: Tue, 05 Jan 2021 18:25:12 +0700
From: "Kundenmitarbeitername" <jinjing.liu@mdpi.com>
To: "Kundenmitarbeitername" <Kundenmitarbeiter@Kundendomain.de>
Subject: =?UTF-8?B?V0c6IMOWbC1MaWVmZXJ1bmc=?=
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_34968_2217184783.2263756694"
Message-Id: <20210105112513.1AC7912369B3@mail.mdpi.com>
Die Rechner habe ich mit diversen Tools gescannt. Als Firewall ist eine Sophos UTM im Einsatz, bei der ich nun erstmal eingestellt habe, dass sämtliche Emails mit nicht-scanbaren Anhängen geblockt werden.
Es ist nicht reproduzierbar wann diese Mails vermehrt eintreffen, also z.B. nicht auf einen PC eingrenzbar. Mal kommt ewig gar nichts. Z.b. zwischen dem 30.12 und 05.01 ist gar nichts eingegangen und dann am 05.01 ab ca. 11 Uhr wieder ein paar.
Das Blöde ist nur, dass auch die Kunden meines Kunden diese Mails bekommen. Im Moment bin ich etwas ratlos wo ich hier ansetzen könnte um überhaupt festzustellen woher das stammt.
Hat jemand einen klugen Ratschlag?
Besten Dank und Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 638898
Url: https://administrator.de/forum/emailspam-mit-zip-dateien-638898.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr
24 Kommentare
Neuester Kommentar
Hallo.
Kennwörter bei deinem Kunden komplex und wann das letzte Mal geändert?
Solche maskierten E-Mails kannst du eigentlich nur mit Transportregeln von deinem Mail-Server fernhalten (Nach dem Motto: Von Name != Präfix vor dem @ der Domäne > löschen).
Denn ich kann dir ja auch E-Mails von meiner Domain mit deinem Absender-Namen, der dann bei "Von" steht schicken.
Es gilt hier maßgeblich die Sensibilisierung hierfür auf beiden Seiten zu erhöhen. Es soll sich nicht einfach nur dre Absender, sondern auch die absendende E-Mail Adresse angeschaut werden.
Gruß
Marc
Kennwörter bei deinem Kunden komplex und wann das letzte Mal geändert?
Solche maskierten E-Mails kannst du eigentlich nur mit Transportregeln von deinem Mail-Server fernhalten (Nach dem Motto: Von Name != Präfix vor dem @ der Domäne > löschen).
Denn ich kann dir ja auch E-Mails von meiner Domain mit deinem Absender-Namen, der dann bei "Von" steht schicken.
Es gilt hier maßgeblich die Sensibilisierung hierfür auf beiden Seiten zu erhöhen. Es soll sich nicht einfach nur dre Absender, sondern auch die absendende E-Mail Adresse angeschaut werden.
Gruß
Marc
Ist es eine malware?
Zum Vergleich:
Palo-Alto-malware Analyse
Prüfe versichtig den Anhang, am besten unter Linux, bzw lade die Datei unzipped bei www.Virustotal.com hoch.
Zum Vergleich:
Palo-Alto-malware Analyse
Prüfe versichtig den Anhang, am besten unter Linux, bzw lade die Datei unzipped bei www.Virustotal.com hoch.
Hallo xaero1982,
eigentlich altes Problem..
man nehme:
- Greylisting
- SPF Regeln
und .. nicht nur das "Namensfeld" sonder auch die Mailadresse mit anzeigen. im Mailclient!
siehe Beispiel 2: die Absender IP entspricht nicht der vom DNS gelieferten IP zu dem Namen
typischer Fall für SPF-Regeln
Ein wenig hilft: Mails verstehen! bei uns war es etwas einfacher
Einige Kolleginnen hatten mehrere Mailadressen .. na ja... bis sie dann Mails "von sich selbst" bekommen haben !
Das hatte dann durchschlagende Vertständniswirkung.
Mails mit Passwortschutz - Passwort darf NIE in der gleichen Mail genannt werden ( wer hängt seinen Wohnungsschlüssel außen mit einer Kette an das Schloß ?)
Hier gilt Nachlesen/Nachschulen: social engeneering !
eigentlich altes Problem..
man nehme:
- Greylisting
- SPF Regeln
und .. nicht nur das "Namensfeld" sonder auch die Mailadresse mit anzeigen. im Mailclient!
siehe Beispiel 2: die Absender IP entspricht nicht der vom DNS gelieferten IP zu dem Namen
typischer Fall für SPF-Regeln
Ein wenig hilft: Mails verstehen! bei uns war es etwas einfacher
Einige Kolleginnen hatten mehrere Mailadressen .. na ja... bis sie dann Mails "von sich selbst" bekommen haben !
Das hatte dann durchschlagende Vertständniswirkung.
Mails mit Passwortschutz - Passwort darf NIE in der gleichen Mail genannt werden ( wer hängt seinen Wohnungsschlüssel außen mit einer Kette an das Schloß ?)
Hier gilt Nachlesen/Nachschulen: social engeneering !
Moin
Doch kannst du. Bei MS steht beispielsweise TrojanDownloader:O97M/Emotet.SS!MTB. da geht dann eigentlich eindeutig draus hervor, dass es Emotet ist
@xaero:
Ist es denn 1 Kunde und 1 Gesprächspartner oder 1 Kunde und mehrere Gesprächspartner? Vielleicht suchst du ja auf der falschen Seite wenn es nur bei einem Kunden und einem Gesprächspartner auftritt.
Zitat von @Fennek11:
Da ich kein Konto bei Virustotal habe, kann ich keine weiteren Infos, z.B. die Familie erkennen.
Da ich kein Konto bei Virustotal habe, kann ich keine weiteren Infos, z.B. die Familie erkennen.
Doch kannst du. Bei MS steht beispielsweise TrojanDownloader:O97M/Emotet.SS!MTB. da geht dann eigentlich eindeutig draus hervor, dass es Emotet ist
@xaero:
Ist es denn 1 Kunde und 1 Gesprächspartner oder 1 Kunde und mehrere Gesprächspartner? Vielleicht suchst du ja auf der falschen Seite wenn es nur bei einem Kunden und einem Gesprächspartner auftritt.
Zitat von @Xaero1982:
aber kann ich das eigentlich überhaupt beeinflussen, weil die Mails ja nicht über den Kundenmailserver gehen, sondern offenbar wirklich von Extern kommen?
aber kann ich das eigentlich überhaupt beeinflussen, weil die Mails ja nicht über den Kundenmailserver gehen, sondern offenbar wirklich von Extern kommen?
Leider nein. Selbst mit einem SPF-Check den du bei dir konfigurierst, würdest du ja nur deine Server öffentlich als deine auszeichnen. Wenn der Empfänger Mails ohne SPF-Check annimmt, dann kommen Sie weiterhin durch.
Da du ja aber schreibst, dass mehrere externe betroffen sind, scheinst du aber schonmal an der richtigen Stelle zu suchen. Ich würde auf jedem Client und Server mal schauen ob du Emotet findest:
https://www.heise.de/security/meldung/EmoCheck-Neues-Tool-kann-Emotet-In ...
Zitat von @Xaero1982:
Das ist passiert. Das Problem ist eher das Dritte diese Mails bekommen. Das ist eher das Hauptproblem. Intern werden sie alle geblockt.
Das ist passiert. Das Problem ist eher das Dritte diese Mails bekommen. Das ist eher das Hauptproblem. Intern werden sie alle geblockt.
Kannst du aber nix machen!
Von Dritten an (andere) Dritte - auch wenn dein Name benutzt wird.
Ist in etwas so als ob du verhindern kannst, daß Irgendjemand deinen Namen/Adresse als Absender auf einen Brief schreibt!, und ihn dann in den gelben Kasten einwirft!
( ähnlich Telefon[werbung/Verkauf] - wo du einen Nummer deiner Wahl als Anrufender angeben kannst )
Das Hauptproblem sind bei dir die angenommenden Mails (die im Prinzip auch alle archiviert werden müssen - als Geschäfts"Briefe").
Ordentliches SPF - da werden die Mail nicht angenommen (und auch da kann man wieder vertrauenswürdige FQDN/IPs definieren, bei denen nicht geprüft wird)
Einfach nachdenken .. alles was angenommen wird muß erst einmal archiviert werden, na ja eigentlich nur geschäftsrelevante Vorgänge - aber woher weiß der Archivierungsautomat das ?
Also Mailer so konfigururen daß er "Müll" möglichst nicht annimmt,
An einem Wurm in deinem System glaube ich noch nicht (es sei denn irgendeiner hat diese Mails geöffnet)
Zip-passwortgeschützt mit "mitgeliefertem Passwort .... aber (!) diese Spiel ist schon viele Jahre alt gefühlt über 20 Jahre)!
Es reicht eigentlich daß "irgendwo" Adressbücher abgegriffen worden sind.
Daß bei dir Clients autonom Mails versenden o.ä. sollte bei ordentlichem "Firewalling" eh nicht passieren dürfen.
Fred
Falls Emotet gestartet wurde, wird -vermutlich- eine dll ins $HOME-Directory geschrieben, also c:\users\-eigenerName-
Zur Vorsicht sollte auch %temp% und c:\programData geprüft werden.
Palawer: Einem Bekannte, einem Rechtsanwalt, wurde vor Jahren von einem Banking-Trojaner das Konto ausgeraubt. Aus dieser indirekten Betroffenheit habe ich nach Info's zu malware gesucht und sehr, sehr viel gefunden. Auch die Command&Control-Server sind (teilweise) bekannt. Sie sind über die ganze Welt verteilt, aber auch in der D, EU oder USA. Für mich ist es schwer verständlich, warum die Polizei nicht mehr, vor allem schneller aktiv wird.
Zur Vorsicht sollte auch %temp% und c:\programData geprüft werden.
Palawer: Einem Bekannte, einem Rechtsanwalt, wurde vor Jahren von einem Banking-Trojaner das Konto ausgeraubt. Aus dieser indirekten Betroffenheit habe ich nach Info's zu malware gesucht und sehr, sehr viel gefunden. Auch die Command&Control-Server sind (teilweise) bekannt. Sie sind über die ganze Welt verteilt, aber auch in der D, EU oder USA. Für mich ist es schwer verständlich, warum die Polizei nicht mehr, vor allem schneller aktiv wird.
Zitat von @Xaero1982:
Das Blöde ist nur, dass auch die Kunden meines Kunden diese Mails bekommen. Im Moment bin ich etwas ratlos wo ich hier ansetzen könnte um überhaupt festzustellen woher das stammt.
Das Blöde ist nur, dass auch die Kunden meines Kunden diese Mails bekommen. Im Moment bin ich etwas ratlos wo ich hier ansetzen könnte um überhaupt festzustellen woher das stammt.
Alle Kunden oder nur ein bestimmter?
Das Problem kann ja schließlich auch beim Empfänger liegen.
Hab ich durchlaufen lassen auf den Clients und Servern und das tool sagt: gibts nicht. Ich hab zwei der Rechner mit F-Secure, Malewarebytes, Eset und PC Cillin (diese Onlinescanner) geprüft und nichts finden können - nur auf einem hat Malewarebytes was gefunden. Irgendwas mit trojan, aber der schien nicht aktiv zu sein.
Woran machst du fest, ob ein Trojaner aktiv ist oder nicht?