Emailspam mit Zip-Dateien

Mitglied: Xaero1982

Xaero1982 (Level 4) - Jetzt verbinden

08.01.2021 um 08:33 Uhr, 873 Aufrufe, 24 Kommentare

Moin Zusammen,

seit einigen Tagen habe ich bei einem Kunden folgendes Phänomen:

Es kommen Emails beim Kunden an und gehen auch an deren Gesprächspartner. In diesen Emails ist der tatsächlich geschriebene Inhalt zwischen den Gesprächspartnern enthalten. An diese Mail wird eine, mit einem Passwort versehene Zip-Datei, angehängt. Das Passwort steht in der Email in der Zeile: "Archiv Passwort: xxx"
Danach folgt der Text.

Als Absender sind es in der Regel spanische oder italienische Absenderadressen. Der Anzeigename ist aber von einem Mitarbeiter des Kunden, der diese Mail bekam oder versendet hat.

Der Header weist eigentlich immer wiedes Schema auf:

oder auch mal so:

Die Rechner habe ich mit diversen Tools gescannt. Als Firewall ist eine Sophos UTM im Einsatz, bei der ich nun erstmal eingestellt habe, dass sämtliche Emails mit nicht-scanbaren Anhängen geblockt werden.
Es ist nicht reproduzierbar wann diese Mails vermehrt eintreffen, also z.B. nicht auf einen PC eingrenzbar. Mal kommt ewig gar nichts. Z.b. zwischen dem 30.12 und 05.01 ist gar nichts eingegangen und dann am 05.01 ab ca. 11 Uhr wieder ein paar.

Das Blöde ist nur, dass auch die Kunden meines Kunden diese Mails bekommen. Im Moment bin ich etwas ratlos wo ich hier ansetzen könnte um überhaupt festzustellen woher das stammt.

Hat jemand einen klugen Ratschlag?

Besten Dank und Grüße
Mitglied: radiogugu
08.01.2021 um 08:51 Uhr
Hallo.

Kennwörter bei deinem Kunden komplex und wann das letzte Mal geändert?

Solche maskierten E-Mails kannst du eigentlich nur mit Transportregeln von deinem Mail-Server fernhalten (Nach dem Motto: Von Name != Präfix vor dem @ der Domäne > löschen).

Denn ich kann dir ja auch E-Mails von meiner Domain mit deinem Absender-Namen, der dann bei "Von" steht schicken.

Es gilt hier maßgeblich die Sensibilisierung hierfür auf beiden Seiten zu erhöhen. Es soll sich nicht einfach nur dre Absender, sondern auch die absendende E-Mail Adresse angeschaut werden.

Gruß
Marc
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 09:24 Uhr
Zitat von radiogugu:

Hallo.

Moin
Kennwörter bei deinem Kunden komplex und wann das letzte Mal geändert?

*hust* die wurden gestern geändert. Ist ja immer so eine Sache :) face-smile

Solche maskierten E-Mails kannst du eigentlich nur mit Transportregeln von deinem Mail-Server fernhalten (Nach dem Motto: Von Name != Präfix vor dem @ der Domäne > löschen).

Versteh ich nicht ganz? Der Name entspricht doch eher selten dem Präfix vor dem @?

Denn ich kann dir ja auch E-Mails von meiner Domain mit deinem Absender-Namen, der dann bei "Von" steht schicken.
I know. Das ist es ja :) face-smile

Es gilt hier maßgeblich die Sensibilisierung hierfür auf beiden Seiten zu erhöhen. Es soll sich nicht einfach nur dre Absender, sondern auch die absendende E-Mail Adresse angeschaut werden.

Ich muss halt irgendwie die Ursache für diese Mails finden oder heraus bekommen woher die kommen. Und vor allem wieso ist der Inhalt der Mails bekannt.

Grüße
Bitte warten ..
Mitglied: Fennek11
08.01.2021 um 09:25 Uhr
Ist es eine malware?

Zum Vergleich:

Palo-Alto-malware Analyse

Prüfe versichtig den Anhang, am besten unter Linux, bzw lade die Datei unzipped bei www.Virustotal.com hoch.
Bitte warten ..
Mitglied: VGem-e
08.01.2021 um 09:31 Uhr
Moin,

und wenn es irgendwie geht, evtl. gleich alle ZIP-/Archivdateien am Gateway sperren und ins digitale Nirwana "verschieben"??

Gruß
Bitte warten ..
Mitglied: fredmy
08.01.2021 um 09:35 Uhr
Hallo xaero1982,
eigentlich altes Problem..
man nehme:
- Greylisting
- SPF Regeln
und .. nicht nur das "Namensfeld" sonder auch die Mailadresse mit anzeigen. im Mailclient!

siehe Beispiel 2: die Absender IP entspricht nicht der vom DNS gelieferten IP zu dem Namen
typischer Fall für SPF-Regeln

Ein wenig hilft: Mails verstehen! bei uns war es etwas einfacher ;-) face-wink
Einige Kolleginnen hatten mehrere Mailadressen .. na ja... bis sie dann Mails "von sich selbst" bekommen haben !
Das hatte dann durchschlagende Vertständniswirkung.

Mails mit Passwortschutz - Passwort darf NIE in der gleichen Mail genannt werden ( wer hängt seinen Wohnungsschlüssel außen mit einer Kette an das Schloß ?)
Hier gilt Nachlesen/Nachschulen: social engeneering !
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 09:39 Uhr
Zitat von Fennek11:

Ist es eine malware?

Zum Vergleich:

Palo-Alto-malware Analyse

Prüfe versichtig den Anhang, am besten unter Linux, bzw lade die Datei unzipped bei www.Virustotal.com hoch.

Ich habe leider keine Ahnung was es ist, weil ich rein gar nichts finde.

Mit dem Hochladen werde ich probieren. Danke.
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 09:40 Uhr
Zitat von VGem-e:

Moin,

und wenn es irgendwie geht, evtl. gleich alle ZIP-/Archivdateien am Gateway sperren und ins digitale Nirwana "verschieben"??

Gruß

Das ist passiert. Das Problem ist eher das Dritte diese Mails bekommen. Das ist eher das Hauptproblem. Intern werden sie alle geblockt.
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 09:41 Uhr
SPF muss ich mich noch drum kümmern, aber das behebt leider nicht das Problem, dass Dritte diese Mails mit dem Anhang bekommen.

Ich finde eben absolut keine Schadsoftware auf den Clients oder auf den Servern.
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 09:45 Uhr
Zitat von Fennek11:

Ist es eine malware?

Zum Vergleich:

Palo-Alto-malware Analyse

Prüfe versichtig den Anhang, am besten unter Linux, bzw lade die Datei unzipped bei www.Virustotal.com hoch.

Das ist das Ergebnis der Word-Datei:
https://www.virustotal.com/gui/file/3d4b4f6dd4f9c864a1442ac5c4943747f040 ...
Bitte warten ..
Mitglied: Fennek11
08.01.2021 um 09:54 Uhr
Ja, eindeutig malware: ein Trojaner

Da ich kein Konto bei Virustotal habe, kann ich keine weiteren Infos, z.B. die Familie erkennen.

Versuche so gut es geht alle Infos/logs zu dokumentieren und spricht mit dem Admins/It-Security.
Bitte warten ..
Mitglied: Fennek11
08.01.2021 um 09:59 Uhr
Wenn man den ersten Base64 string dekodiert, gibt es:

?WVs und Sachstandsanfragen machen alle RAe und RAin künftig selbst

Macht das Sinn?
Bitte warten ..
Mitglied: Doskias
08.01.2021 um 10:05 Uhr
Moin

Zitat von Fennek11:
Da ich kein Konto bei Virustotal habe, kann ich keine weiteren Infos, z.B. die Familie erkennen.


Doch kannst du. Bei MS steht beispielsweise TrojanDownloader:O97M/Emotet.SS!MTB. da geht dann eigentlich eindeutig draus hervor, dass es Emotet ist :) face-smile

@xaero:
Ist es denn 1 Kunde und 1 Gesprächspartner oder 1 Kunde und mehrere Gesprächspartner? Vielleicht suchst du ja auf der falschen Seite wenn es nur bei einem Kunden und einem Gesprächspartner auftritt.
Bitte warten ..
Mitglied: Fennek11
08.01.2021 um 10:15 Uhr
Ok.

Emotet greift die EMail - Kontakte ab und verschickt malware an diese Adressen. Es könnte Sinn machen die Geschäftspartner zu warnen.
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 11:01 Uhr
Zitat von Fennek11:

Wenn man den ersten Base64 string dekodiert, gibt es:

?WVs und Sachstandsanfragen machen alle RAe und RAin künftig selbst

Macht das Sinn?

Macht Sinn.
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 11:04 Uhr
Zitat von Doskias:

Moin

Zitat von Fennek11:
Da ich kein Konto bei Virustotal habe, kann ich keine weiteren Infos, z.B. die Familie erkennen.


Doch kannst du. Bei MS steht beispielsweise TrojanDownloader:O97M/Emotet.SS!MTB. da geht dann eigentlich eindeutig draus hervor, dass es Emotet ist :) face-smile

@xaero:
Ist es denn 1 Kunde und 1 Gesprächspartner oder 1 Kunde und mehrere Gesprächspartner? Vielleicht suchst du ja auf der falschen Seite wenn es nur bei einem Kunden und einem Gesprächspartner auftritt.

Es sind Mails die an eigentlich alle Mitarbeiter des Kunden gehen und auch an einige externe verschiedene Gesprächspartner. Intern werden die Emails jetzt wie gesagt abgefangen, aber kann ich das eigentlich überhaupt beeinflussen, weil die Mails ja nicht über den Kundenmailserver gehen, sondern offenbar wirklich von Extern kommen?
Bitte warten ..
Mitglied: Doskias
08.01.2021 um 11:27 Uhr
Zitat von Xaero1982:
aber kann ich das eigentlich überhaupt beeinflussen, weil die Mails ja nicht über den Kundenmailserver gehen, sondern offenbar wirklich von Extern kommen?

Leider nein. Selbst mit einem SPF-Check den du bei dir konfigurierst, würdest du ja nur deine Server öffentlich als deine auszeichnen. Wenn der Empfänger Mails ohne SPF-Check annimmt, dann kommen Sie weiterhin durch.

Da du ja aber schreibst, dass mehrere externe betroffen sind, scheinst du aber schonmal an der richtigen Stelle zu suchen. Ich würde auf jedem Client und Server mal schauen ob du Emotet findest:

https://www.heise.de/security/meldung/EmoCheck-Neues-Tool-kann-Emotet-In ...
Bitte warten ..
Mitglied: fredmy
08.01.2021, aktualisiert um 12:01 Uhr
Zitat von Xaero1982:

Das ist passiert. Das Problem ist eher das Dritte diese Mails bekommen. Das ist eher das Hauptproblem. Intern werden sie alle geblockt.

Kannst du aber nix machen!
Von Dritten an (andere) Dritte - auch wenn dein Name benutzt wird.
Ist in etwas so als ob du verhindern kannst, daß Irgendjemand deinen Namen/Adresse als Absender auf einen Brief schreibt!, und ihn dann in den gelben Kasten einwirft!
( ähnlich Telefon[werbung/Verkauf] - wo du einen Nummer deiner Wahl als Anrufender angeben kannst )

Das Hauptproblem sind bei dir die angenommenden Mails (die im Prinzip auch alle archiviert werden müssen - als Geschäfts"Briefe").
Ordentliches SPF - da werden die Mail nicht angenommen (und auch da kann man wieder vertrauenswürdige FQDN/IPs definieren, bei denen nicht geprüft wird)

Einfach nachdenken ;-) face-wink .. alles was angenommen wird muß erst einmal archiviert werden, na ja eigentlich nur geschäftsrelevante Vorgänge - aber woher weiß der Archivierungsautomat das ?

Also Mailer so konfigururen daß er "Müll" möglichst nicht annimmt,

An einem Wurm in deinem System glaube ich noch nicht (es sei denn irgendeiner hat diese Mails geöffnet)
Zip-passwortgeschützt mit "mitgeliefertem Passwort .... aber (!) diese Spiel ist schon viele Jahre alt gefühlt über 20 Jahre)!
Es reicht eigentlich daß "irgendwo" Adressbücher abgegriffen worden sind.

Daß bei dir Clients autonom Mails versenden o.ä. sollte bei ordentlichem "Firewalling" eh nicht passieren dürfen.

Fred
Bitte warten ..
Mitglied: Fennek11
08.01.2021, aktualisiert um 12:30 Uhr
Falls Emotet gestartet wurde, wird -vermutlich- eine dll ins $HOME-Directory geschrieben, also c:\users\-eigenerName-

Zur Vorsicht sollte auch %temp% und c:\programData geprüft werden.


Palawer: Einem Bekannte, einem Rechtsanwalt, wurde vor Jahren von einem Banking-Trojaner das Konto ausgeraubt. Aus dieser indirekten Betroffenheit habe ich nach Info's zu malware gesucht und sehr, sehr viel gefunden. Auch die Command&Control-Server sind (teilweise) bekannt. Sie sind über die ganze Welt verteilt, aber auch in der D, EU oder USA. Für mich ist es schwer verständlich, warum die Polizei nicht mehr, vor allem schneller aktiv wird.
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 12:40 Uhr
Zitat von Doskias:

Zitat von Xaero1982:
aber kann ich das eigentlich überhaupt beeinflussen, weil die Mails ja nicht über den Kundenmailserver gehen, sondern offenbar wirklich von Extern kommen?

Leider nein. Selbst mit einem SPF-Check den du bei dir konfigurierst, würdest du ja nur deine Server öffentlich als deine auszeichnen. Wenn der Empfänger Mails ohne SPF-Check annimmt, dann kommen Sie weiterhin durch.

Da du ja aber schreibst, dass mehrere externe betroffen sind, scheinst du aber schonmal an der richtigen Stelle zu suchen. Ich würde auf jedem Client und Server mal schauen ob du Emotet findest:

https://www.heise.de/security/meldung/EmoCheck-Neues-Tool-kann-Emotet-In ...

Hab ich durchlaufen lassen auf den Clients und Servern und das tool sagt: gibts nicht. Ich hab zwei der Rechner mit F-Secure, Malewarebytes, Eset und PC Cillin (diese Onlinescanner) geprüft und nichts finden können - nur auf einem hat Malewarebytes was gefunden. Irgendwas mit trojan, aber der schien nicht aktiv zu sein.
Bitte warten ..
Mitglied: LordGurke
08.01.2021, aktualisiert um 13:36 Uhr
Zitat von Xaero1982:
Das Blöde ist nur, dass auch die Kunden meines Kunden diese Mails bekommen. Im Moment bin ich etwas ratlos wo ich hier ansetzen könnte um überhaupt festzustellen woher das stammt.

Alle Kunden oder nur ein bestimmter?
Das Problem kann ja schließlich auch beim Empfänger liegen.


Hab ich durchlaufen lassen auf den Clients und Servern und das tool sagt: gibts nicht. Ich hab zwei der Rechner mit F-Secure, Malewarebytes, Eset und PC Cillin (diese Onlinescanner) geprüft und nichts finden können - nur auf einem hat Malewarebytes was gefunden. Irgendwas mit trojan, aber der schien nicht aktiv zu sein.

Woran machst du fest, ob ein Trojaner aktiv ist oder nicht?
Bitte warten ..
Mitglied: schicksal
08.01.2021 um 14:18 Uhr
Mal alle Passwörter bei deinen E-Mail Konten ändern.
Weiters hast du einen Webserver mit Wordpress oder ähnlichem, Scanne diesen auf Sicherheitslücken.
Hört sich fast an als wenn du eine Plugin Lücke (E-Mail) hättest.

Ähnliche Mails wurden durch eine mir bekannte Wordpress Seite verteilt.
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 14:47 Uhr
Zitat von fredmy:

Zitat von Xaero1982:

Das ist passiert. Das Problem ist eher das Dritte diese Mails bekommen. Das ist eher das Hauptproblem. Intern werden sie alle geblockt.

Kannst du aber nix machen!
Von Dritten an (andere) Dritte - auch wenn dein Name benutzt wird.
Ist in etwas so als ob du verhindern kannst, daß Irgendjemand deinen Namen/Adresse als Absender auf einen Brief schreibt!, und ihn dann in den gelben Kasten einwirft!
( ähnlich Telefon[werbung/Verkauf] - wo du einen Nummer deiner Wahl als Anrufender angeben kannst )


Das ist klar. Aber in den Emails ist eben original Korrespondenz zwischen den augenscheinlichen Gesprächspartnern, deren Absendernamen genutzt werden.

Also Mailer so konfigururen daß er "Müll" möglichst nicht annimmt,

Intern erfolgt.
An einem Wurm in deinem System glaube ich noch nicht (es sei denn irgendeiner hat diese Mails geöffnet)
Zip-passwortgeschützt mit "mitgeliefertem Passwort .... aber (!) diese Spiel ist schon viele Jahre alt gefühlt über 20 Jahre)!
Es reicht eigentlich daß "irgendwo" Adressbücher abgegriffen worden sind.

Erklärt aber nicht den Inhalt der Mails... :/

Daß bei dir Clients autonom Mails versenden o.ä. sollte bei ordentlichem "Firewalling" eh nicht passieren dürfen.

Korrekt, da geht nur was vom Mailserver raus.
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 14:50 Uhr
Zitat von LordGurke:

Zitat von Xaero1982:
Das Blöde ist nur, dass auch die Kunden meines Kunden diese Mails bekommen. Im Moment bin ich etwas ratlos wo ich hier ansetzen könnte um überhaupt festzustellen woher das stammt.

Alle Kunden oder nur ein bestimmter?
Das Problem kann ja schließlich auch beim Empfänger liegen.
MWn unterschiedliche externe Empfänger.



Hab ich durchlaufen lassen auf den Clients und Servern und das tool sagt: gibts nicht. Ich hab zwei der Rechner mit F-Secure, Malewarebytes, Eset und PC Cillin (diese Onlinescanner) geprüft und nichts finden können - nur auf einem hat Malewarebytes was gefunden. Irgendwas mit trojan, aber der schien nicht aktiv zu sein.

Woran machst du fest, ob ein Trojaner aktiv ist oder nicht?

Gottvertrauen in oben genannte Tools :) face-smile
Bitte warten ..
Mitglied: Xaero1982
08.01.2021 um 14:51 Uhr
Zitat von schicksal:

Mal alle Passwörter bei deinen E-Mail Konten ändern.
Weiters hast du einen Webserver mit Wordpress oder ähnlichem, Scanne diesen auf Sicherheitslücken.
Hört sich fast an als wenn du eine Plugin Lücke (E-Mail) hättest.

Ähnliche Mails wurden durch eine mir bekannte Wordpress Seite verteilt.

Passwörter wurden zurückgesetzt. Muss ich weiter beobachten wie es sich nun verhält.

Sonst gibt es nur eine 3CX die noch läuft.

Grüße
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 16 StundenAllgemeinWünsch Dir was22 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 1010 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 18 StundenFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste13 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Festplatten, SSD, Raid
SATA Treiber für HP
ben1300Vor 11 StundenFrageFestplatten, SSD, Raid15 Kommentare

Hallo zusammen, ich habe einen PC von HP (Seriennummer: CZC3475D5D) Wollte hier Windows 7 Prof. installieren - es fehlt der SATA Treiber Leider kann ...