mabies
Goto Top

Emotet etc.: wie geht Ihr in Euren Netzwerken mit Mails um die Office-Anhäge enthalten?

Emotet zeigt es mal wieder: man kann sich auf nichts verlassen wo 'Office' im Anhang draufsteht.
Es sieht ja so aus, dass erst dann wenn man die Ausführung von Makros gestattet, der Teufel freigelassen wird.
Das reine Doppelklicken auf einen Anhang ist noch harmlos ..?

Nur: es gibt durchaus externe Partner mit denen man Office-Dokumente austauscht.
Was macht man mit sowas? Das Internet abschalten ...?

Danke für Eure Erfahrungen

Content-ID: 479704

Url: https://administrator.de/forum/emotet-etc-wie-geht-ihr-in-euren-netzwerken-mit-mails-um-die-office-anhaege-enthalten-479704.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

SeaStorm
Lösung SeaStorm 31.07.2019 um 09:36:06 Uhr
Goto Top
Hi

Makros nur mit Signatur zulassen.
Die Partner haben dann ihre Makros zu signieren.
Im Zweifelsfall, weil der Partner zu inkompetent für sowas ist, muss ein Dokument halt von mir geprüft und signiert werden.
Lochkartenstanzer
Lösung Lochkartenstanzer 31.07.2019 um 09:42:41 Uhr
Goto Top
Zitat von @mabies:

Was macht man mit sowas?

Vorher rückfragen, ob die Mail auch vom Partner kam udn nur von leuten Office-Dokumente annhemen, mit denen man das abgesprochen hat. ggf mit Ende-zu-Ende-Verschlüsellung mit (verifizierten) Zertifikaten arbeiten.

Das Internet abschalten ...?

Einfach Euren Internetzugang kappen würde reichen. Wäre nicht nett, wenn Du "mein" Internet abschalten würdest. face-smile

lks
wiesi200
Lösung wiesi200 31.07.2019 aktualisiert um 10:03:18 Uhr
Goto Top
Hallo,

bei mir sind Macros nur mit gültiger Signatur zulässig.

Zudem:
Zudem bekommen .docm Dateien vom Spamfilter eine massive erhöhung des SPAM Score damit die garantiert blockiert werden.
.doc Dateien wird der SPAM Score deutlich erhöht damit die nur wenn wirklich bei Absender alles passt durch kommen.
.docx sind für mich erst mal unbedenklich

https://www.msxfaq.de/windows/endpointsecurity/officedokumente_und_siche ...
Dani
Lösung Dani 31.07.2019 um 11:05:13 Uhr
Goto Top
Moin,
Was macht man mit sowas?
a) Es wird der MIME Type der Datei geprüft. Denn die Dateiendung ist nicht verbindlich. Stimmt diese nicht überein -> abgelehnt.
b) Alte Formate wie doc, xls, ppt, etc... -> abgelehnt.
c) Anhänge mit Markos und nicht signiert sind -> abgelehnt.
d) Alle Anhänge werden auf einem Download-Server hochgeladen und in der eigentliche E-Mail entfernt. Es erfolgt ein Querverweis.
e) Alle Anhänge werden in einer Sandbox verschiedene Analysen/Tests unterzogen. Wenn die Prüfung zu einem negatives Resultat kommt, wird der Anhang freigebene zum Download. Bei positiven Resultat muss der Servicdesk eine Sichtprüfung vornehmen.
f) Jeden Morgen ein Gebet sprechen. Denn alle technischen Maßnahmen sind nicht 100% sicher.

Das ist ein grober Umriss. Da spielen im Detail noch weitere Parameter eine Rolle und das System hat uns einige graue Haare gekostet, bis die False Positv Meldungen auf 2% gesenkt waren.

Das Internet abschalten ...?
Den Gedanken hatte ich in letzten Monaten immer öfters. Würde aber bei uns dafür sorgen, dass eine Vielzahl von ITlern arbeitslos wären. face-confused


Gruß,
Dani
VGem-e
Lösung VGem-e 31.07.2019 aktualisiert um 16:21:36 Uhr
Goto Top
Moin,

durch Sicherheitslösung MIME-Typ von Anhängen prüfen lassen.
"Alte" Office-Formate (also die ohne X am Ende) und Office-Formate mit Makro werden ersatzlos gelöscht, auch kein Verschieben in Quarantäne.
Ausführbare Mailanhange gehen schon gar nicht, ab ins Nirwana.
Musik- und Videodateien als Anhang ab ins Nirwana (ja, gab es auch schon, dass z.B. ein Ingenieurbüro ein Videofilmchen einer Befahrung mit beigefügt hatte und keinen Cloud-Download vom dortigen Server angeboten hat).
Es kommen schon noch weitere Parameter mit hinzu, die je nach Dateityp greifen können.

Internet abschalten wäre manchmal echt mein Wunschtraum und wird es wohl ewig bleiben, wenn ich da an Künftiges wie die eRechnung etc. denke.

Und, natürlich nicht zu vergessen, Mitarbeiterschulung und -sensibilisierung (habe erst heute mal wieder die "10 Gebote zur Erkennung von Phishing-Mails" als Rundmail losgesandt)!

Edit:
Archivdateien sind ebenfalls per default gesperrt!!

Gruß
fuzzyLogic
Lösung fuzzyLogic 31.07.2019 um 11:23:15 Uhr
Goto Top
Da wir schon letztes Jahr Erfahrung mit Emotet, Trickbot und Ryuk sammeln dürften sind derzeit alle Office Anhänge per Mail gesperrt.

Ansonsten werden Office Dokumente von Extern nur noch über die Cloud ausgetauscht.
Dani
Dani 31.07.2019 um 12:10:19 Uhr
Goto Top
Moin,
"Alte" Office-Formate (also die ohne X am Ende) und Office-Formate mit Makro werden ersatzlos gelöscht, auch kein Verschieben in Quarantäne.
...
Löschen ist eine schlechte Idee. Die E-Mail sauber mit 550 x.x.x ablehnen, damit die Gegenseite informiert ist. Somit gilt diese auch nicht als zugestellt. Denn es könnte doch einmal ein False Positiv dabei sein und somit hast du nicht der schwarze Peter sondern die Gegenstelle. face-smile


Gruß,
Dani
Vision2015
Vision2015 31.07.2019 um 12:38:49 Uhr
Goto Top
Moin...
Zitat von @Dani:

Moin,
"Alte" Office-Formate (also die ohne X am Ende) und Office-Formate mit Makro werden ersatzlos gelöscht, auch kein Verschieben in Quarantäne.
bei unseren Kunden werden nicht nur Alte Office Formate... sondern alle Office Formate werden gelöscht!
natürlich kann der Kunde selber ausnahmen eintragen!
...
Löschen ist eine schlechte Idee. Die E-Mail sauber mit 550 x.x.x ablehnen, damit die Gegenseite informiert ist. Somit gilt diese auch nicht als zugestellt. Denn es könnte doch einmal ein False Positiv dabei sein und somit hast du nicht der schwarze Peter sondern die Gegenstelle. face-smile
nun... einfach löschen ist albern, schon klar...in der regel bekommt der empfänger eine mail, das der Anhang XYZ. gelöscht wurde... je nach kundenwunsch der absender auch!
ich finde, in 99 % aller fälle reicht auch ein PDF....


Gruß,
Dani
Frank
Dani
Dani 31.07.2019 um 14:18:05 Uhr
Goto Top
Moin,
nun... einfach löschen ist albern, schon klar...in der regel bekommt der empfänger eine mail, das der Anhang XYZ. gelöscht wurde... je nach kundenwunsch der absender auch!
euch ist aber klar, dass dieses Vorgehen nicht zu 100% der gesetzlichen Anforderung der rev. Archivierung konform ist. Denn theoretisch müsstest du die E-Mail mit Anhang wegsichern und parallel den Anhang löschen.


Gruß,
Dani
goscho
goscho 31.07.2019 um 14:34:33 Uhr
Goto Top
Mahlzeit,

bei mir und vielen meiner Kunden mit eigenen Mailservern werden Office-Dokumente als Anhänge nicht automatisch in das Postfach des Empfängers zugestellt. Das gilt aber auch für viele andere Dateitypen als Anhänge.
Die Anhänge werden von der Mailsecurity in Quarantäne gepackt, der Empfänger bekommt die Quarantäne-Info und der entsprechende Benutzer bittet den Admin (zumeist uns), die entsprechende Mail aus der Quarantäne zu holen.
Das passiert entweder durch Abspeichern auf Dateifreigabe oder Zustellung per Mail.
wiesi200
wiesi200 31.07.2019 um 14:39:15 Uhr
Goto Top
Zitat von @goscho:

Die Anhänge werden von der Mailsecurity in Quarantäne gepackt, der Empfänger bekommt die Quarantäne-Info und der entsprechende Benutzer bittet den Admin (zumeist uns), die entsprechende Mail aus der Quarantäne zu holen.

Sei mir nicht böse, aber das ist meiner Meinung nach eine reine Arbeitsbeschaffung. Oder man ist masochistisch veranlagt.
Ich würd da nen Anfall bekommen wenn die Leute immer zu mir rennen.
informatikkfm
informatikkfm 31.07.2019 um 14:39:47 Uhr
Goto Top
Zitat von @Dani:

Moin,
Was macht man mit sowas?
a) Es wird der MIME Type der Datei geprüft. Denn die Dateiendung ist nicht verbindlich. Stimmt diese nicht überein -> abgelehnt.
b) Alte Formate wie doc, xls, ppt, etc... -> abgelehnt.
c) Anhänge mit Markos und nicht signiert sind -> abgelehnt.
d) Alle Anhänge werden auf einem Download-Server hochgeladen und in der eigentliche E-Mail entfernt. Es erfolgt ein Querverweis.
e) Alle Anhänge werden in einer Sandbox verschiedene Analysen/Tests unterzogen. Wenn die Prüfung zu einem negatives Resultat kommt, wird der Anhang freigebene zum Download. Bei positiven Resultat muss der Servicdesk eine Sichtprüfung vornehmen.
f) Jeden Morgen ein Gebet sprechen. Denn alle technischen Maßnahmen sind nicht 100% sicher.

Das ist ein grober Umriss. Da spielen im Detail noch weitere Parameter eine Rolle und das System hat uns einige graue Haare gekostet, bis die False Positv Meldungen auf 2% gesenkt waren.

Das Internet abschalten ...?
Den Gedanken hatte ich in letzten Monaten immer öfters. Würde aber bei uns dafür sorgen, dass eine Vielzahl von ITlern arbeitslos wären. face-confused


Gruß,
Dani

Mit was für einer Software oder Gateway arbeitet ihr bei dem Vorgehen?
goscho
goscho 31.07.2019 um 14:46:53 Uhr
Goto Top
Zitat von @wiesi200:

Zitat von @goscho:

Die Anhänge werden von der Mailsecurity in Quarantäne gepackt, der Empfänger bekommt die Quarantäne-Info und der entsprechende Benutzer bittet den Admin (zumeist uns), die entsprechende Mail aus der Quarantäne zu holen.

Sei mir nicht böse, aber das ist meiner Meinung nach eine reine Arbeitsbeschaffung. Oder man ist masochistisch veranlagt.
Ich würd da nen Anfall bekommen wenn die Leute immer zu mir rennen.
Ja, das ist Aufwand.
Dieser Aufwand wird uns von unseren Kunden bezahlt. face-wink

Es rennt niemand zu mir. Es kommt eine Mail mit der Bitte um Zustellung der Anhänge.

Wir hatten getestet, Office-Dokumente komplett abzulehnen -> das war nicht umsetzbar.
Allein den Endbenutzer entscheiden lassen, ging ebensowenig.

PS: Viel häufiger als Office-Dokumente kommen Archive als ZIP oder RAR bei den Benutzern an. Das sind oft Pläne und weitere Dokumente und Bilder. Auch die werden einzeln freigegeben.
aqui
aqui 31.07.2019 aktualisiert um 15:53:03 Uhr
Goto Top
Es sieht ja so aus, dass erst dann wenn man die Ausführung von Makros gestattet, der Teufel freigelassen wird.
Nein, nicht wenn man einen Mac unter Mac OS hat.
Nur rein Winblows User sind die Gekniffenen wie immer face-wink
Und...es gibt auch noch LibreOffice...
Lochkartenstanzer
Lochkartenstanzer 31.07.2019 aktualisiert um 16:23:25 Uhr
Goto Top
Zitat von @aqui:

Es sieht ja so aus, dass erst dann wenn man die Ausführung von Makros gestattet, der Teufel freigelassen wird.
Nein, nicht wenn man einen Mac unter Mac OS hat.

Makroviren gibt es auch sowohl und MacOS als auch unter Linux. Selbst mit Libre- oder OpenOffice ist man davor nicht gefeit.

Allerdings machen sich die Malware-Programmierer selten die Mühe, wirklich plattformübergreifend zu programmieren

lks

PS: Look, No Hands! -- The Remote, Interaction-less Attack Surface of the iPhone. (Ja ich weiß, macOS und IOS sind verschiedene Paar Stiefel).
wiesi200
wiesi200 31.07.2019 um 16:19:40 Uhr
Goto Top
Zitat von @goscho:

Ja, das ist Aufwand.
Dieser Aufwand wird uns von unseren Kunden bezahlt. face-wink

Sorry, aber das find ich noch schlimmer.
VGem-e
VGem-e 31.07.2019 um 16:20:16 Uhr
Goto Top
Servus,

und, da hier LibreOffice genannt wird, war da aktuell nicht noch was?

https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-exe ...

Gruß
aqui
aqui 31.07.2019 aktualisiert um 16:37:45 Uhr
Goto Top
Vision2015
Vision2015 31.07.2019 um 16:28:55 Uhr
Goto Top
Moin...
Moin...
Zitat von @Dani:

Moin,
nun... einfach löschen ist albern, schon klar...in der regel bekommt der empfänger eine mail, das der Anhang XYZ. gelöscht wurde... je nach kundenwunsch der absender auch!
euch ist aber klar, dass dieses Vorgehen nicht zu 100% der gesetzlichen Anforderung der rev. Archivierung konform ist. Denn theoretisch müsstest du die E-Mail mit Anhang wegsichern und parallel den Anhang löschen.
das ist so nicht richtig... es müssen nur steuerrechtlich relevante elektronischen daten unter bezug auf die grundsätze ordnungsgemäßer buchführung archiviert werden....
viele kunden lassen alles in ihren mailstore laufen... muss aber nicht sein, grundsätzlich brauchst du keinen Virus zoo für das finanzamt züchten!

Frank




Gruß,
Dani
goscho
goscho 31.07.2019 um 16:29:53 Uhr
Goto Top
Zitat von @wiesi200:

Zitat von @goscho:

Ja, das ist Aufwand.
Dieser Aufwand wird uns von unseren Kunden bezahlt. face-wink

Sorry, aber das find ich noch schlimmer.
Was ist schlimm daran, solche Dienstleistungen anzubieten, wenn der Kunde niemanden mit EDV-Kenntnissen hat?

Das ist eine stinknormale Admintätigkeit, ähnlich wie das Wiederherstellen "verschwundener" Dateien oder Mails aus dem Backup. Auch dafür haben diese Firmen niemanden, der das kann.
Vision2015
Vision2015 31.07.2019 aktualisiert um 16:31:47 Uhr
Goto Top
Zitat von @wiesi200:

Zitat von @goscho:

Ja, das ist Aufwand.
Dieser Aufwand wird uns von unseren Kunden bezahlt. face-wink

Sorry, aber das find ich noch schlimmer.
wiso.... zu 9% leben wir davon!
Frank
goscho
goscho 31.07.2019 um 16:31:38 Uhr
Goto Top
Zitat von @Vision2015:
grundsätzlich brauchst du keinen Virus zoo für das finanzamt züchten!
OT: und dann per Elster übermitteln. face-big-smile
Vision2015
Vision2015 31.07.2019 um 16:34:04 Uhr
Goto Top
Zitat von @goscho:

Zitat von @Vision2015:
grundsätzlich brauchst du keinen Virus zoo für das finanzamt züchten!
OT: und dann per Elster übermitteln. face-big-smile

och... das würde ich auch persönlich überbringen face-smile

Frank
Lochkartenstanzer
Lochkartenstanzer 31.07.2019 um 16:37:34 Uhr
Goto Top
Zitat von @goscho:

Das ist eine stinknormale Admintätigkeit, ähnlich wie das Wiederherstellen "verschwundener" Dateien oder Mails aus dem Backup. Auch dafür haben diese Firmen niemanden, der das kann.

Moin,

Früher™ hat man die Bänder aus dem Schrank geholt und eingelegt oder wieder weggelegt, heute macht man das mit Mails.

Früher™ nannte man das Operator, heute Administrator. face-smile

lks
Dani
Dani 31.07.2019 um 17:38:01 Uhr
Goto Top
Moin,
das ist so nicht richtig... es müssen nur steuerrechtlich relevante elektronischen daten unter bezug auf die grundsätze ordnungsgemäßer buchführung archiviert werden....
Hm. Soweit ich das von uns weiß geht es nicht nur um steuerrechtliche Daten sondern auch um geschäftsrelevante Daten (Zeitsysteme, Vertragsunterlagen, Geschäftsbriefe, etc...) . Was einen deutlichen größeren Umfang bedeutet als nur der von dir genannte Bereich. Bei uns gab es vor 5-6 Jahren einen rießen Aufstand mit allem drum und dran bezüglich der von euch genannten Methode. Weil die E-Mail verändert worden ist und daher nicht mehr dem Original entspricht. Wir z.B. schieben alle eingehende/ausgehende E-Mails über den SMTP-Proxy in ein WORM Datenbank. Wird eine E-Mail abgelehnt so wird diese natürlich nicht erfasset. Denn es ist auf Grund der Massen an E-Mails gar nicht mehr möglich manuell zu filtern, was darunter (nicht) fällt. Denn auf die manuell Archivierung der Mitarbeiter zu vertrauen, ist uns in diesem Fall zu gefährlich. Wer schon mal die Steuerfahnung bzw. Finanzamt ärger hatte, weiß was ich meine. face-confused


Gruß,
Dani