Fragwürdige E-Mails und Anhänge gefahrlos öffnen mit VirtualBox

Mitglied: GWeidt

GWeidt (Level 1) - Jetzt verbinden

29.04.2021 um 08:30 Uhr, 828 Aufrufe, 9 Kommentare

Hallo in die Runde!

Zunehmend öfter bekomme ich Mails, deren Inhalt oder Anhang Anlass zu Misstrauen liefert. Manchmal bekomme ich auch Mails von Kunden weitergeleitet, die mich ebenfalls fragen, ob eine Mail "echt" sei. Dann gibt es auch die Fälle des berüchtigten "MS-Support", nach denen ich Daten sichern und bereinigen muss sowie herausfinden soll, wohin Phishing-Links tatsächlich führen.
Einige typische Merkmale wie Rechtschreibfehler, Links prüfen durch Mouseover etc. kenne ich schon, aber manchmal muss oder möchte ich doch einen tieferen Blick riskieren. Bisher habe ich das mit VirtualBox in einem Win7 gemacht, das ich anschließend auf den vorigen Sicherungszustand zurückgesetzt habe. Sicher wird es besser sein, hierfür auf ein aktuelles Update-taugliches System, z.B. Win10 zu wechseln.

Frage:
Welche Verbindungen kann ich nach Eurer Einschätzung guten Gewissens nach außen offen halten, ohne Schaden für den realen PC zu riskieren?
Ich würde natürlich gerne Internet (Mail-Postfach), Drucker und vor allem einen freigegebenen Ordner nutzen, um zu prüfende Daten transferieren zu können.

Gruß, ruby
Mitglied: H41mSh1C0R
29.04.2021 um 08:43 Uhr
Moin,

Alles was mir suspekt erscheint und nach Phishing o.Ä. schreit wird nicht angefasst sondern gelöscht.
Genau den Tipp bekommen auch andere wenn sie mich Fragen.

Auch wenn du zu Windows 10 wechselst schließt du damit etwaige Zero-Days nicht aus.
D.h. ist irgend eine Sicherheitslücke im Umlauf die MS noch nicht kennt und beim Patchen ist kann das blöd sein.
Das selbe gilt für Sicherheitslücken im Virtualisierer.

VG
Bitte warten ..
Mitglied: Carsqul
29.04.2021 um 09:09 Uhr
Hallo Ruby,

deine Überlegung ist zwar legitim, jedoch aus meiner Sicht unüblich. Grundsätzlich, kann dir das aus sicherheitstechnischer Sicht niemand beantworten. Das ist ja der Witz an 0Dayz. Vorsicht bei Experimenten in Betriebsumgebungen. Vorsatz heißt auch Vollhaftung. Um deine Frage dann doch zu beantworten, schaffe eine autarke Umgebung. Transferiere das Testfile offline und führe es aus. Ich frage mich nur, warum das Rad neu erfinden willst? Diese Arbeit wird doch zu genüge von Admins erledigt, die den ganzen Tag nichts Anderes machen.

BG
Bitte warten ..
Mitglied: GWeidt
29.04.2021 um 09:22 Uhr
Danke für Eure schnelle Antworten!
Ganz konkreter Anlass heute morgen ist eine Mail meines ehemaligen Webhosters, auf dessen Antwort ich schon lange warte (schwer zu erreichen), und der mir einen ZIP-Anhang geschickt hat mit Passwortschutz. Auch wenn ich das höchst verdächtig finde, muss ich in disem Fall doch in der Lage sein, zu reagieren. Und das ist nicht der erste Fall dieser Art. Und es gibt eben auch die Fälle, wo ich von anderen um Rat gefragt werde, dafür möchte ich auch mal was Neues dazulernen. In solchen Momenten möchte ich gefahrlos testen und zum vorigen Zustand zurückkehren können.

Ich hätte auch die Möglichkeit, einen ausrangierten PC zu konfigurieren, der nur zum Testen verwendet würde. Aber bei realer Hardware dauert das Zurücksetzen über ein Image doch deutlich länger als den Sicherungspunkt einer VM wiederherzustellen.
Das wäre wohl nach Eurer Meinung trotzdem die bessere Wahl?

Ich hatte noch einen Artikel der PC-Welt gelesen, der mir Mut gemacht hat. Eure Kommentare lassen mich dann doch zweifeln ...
Bitte warten ..
Mitglied: commodity
29.04.2021 um 09:49 Uhr
Hallo GWeidt,

Nicht verzweifeln. Die (oft guten) Ratschläge hier bilden einfach ein zu großes Spektrum ab. Wenn Du Hochsicherheit brauchst, ist das was anderes als zuhause oder im KMU. Dein Ansatz ist schon mal nicht schlecht. Und der Hinweis von @Carsqul gibt die Richtung im Idealfall vor: schaffe eine autarke Umgebung.

D.h. im Idealfall einen separaten Host ohne oder in separatem Netzwerk, auf dem eine VM läuft. Idealerweise läuft dieser und auch der Gast nicht mit dem Betriebssystem, das Du produktiv nutzt (also das das Angriffsziel wäre). Also wenn Du allgemein mit Windows arbeitest, erstelle Deine Analyseumgebung unter Linux. Oder wenigstens den Host oder die VM unter Linux. Dorthin transferierst Du die fragliche Datei/Mail mittels USB-Stick und kannst dann in Ruhe untersuchen.

Ich bin weniger ängstlich und nehme (ähnlich wie Du) auf meinem Arbeits-PC eine VM (die allerdings unter Linux) und leite die Mail dorthin weiter (per Mail oder USB). Dort untersuche ich die Mail dann und/oder öffne sie ggf. auch. Vorher Virus-Total-Check und Quelltext der Mail ansehen. Meist reicht das schon zur Identifikation als Spam (schützt aber natürlich nicht vor Viren, die an sich vertrauenswürdige Quellen mitliefern).

Basis jeder Arbeit mit dem PC ist eine kluge Datensicherung. Passieren kann immer etwas. Ach so, ein guter Mailserver und eine Adressen-Policy hilft auch gegen Spam. Es gibt leider immer noch Provider, die Spam-Mails ausgesprochen schwach filtern. Aber das ist ein anderes Thema.
Bitte warten ..
Mitglied: Doskias
29.04.2021 um 09:53 Uhr
Moin,

Einen 100%igen Schutz gibt es nicht, grade bei den Vorstellungen die du hast. Du kannst dich nur mit einem Gesamtsystem davor schützen. Erstmal musst du deine Firewall vernünftig konfigurieren. Stichwörter: Können Mails von eurer Domain von außen kommen? Wenn nein generell ablehnen. Kenn viele Firmen wo das vernachlässigt wird. Dann weiter in dem Kontext: Packet und Mail Inspection an der Firewall anschalten. Unsere Firewall prüft (neben SPF-Check) den Inhalt und die Anhänge, lädt die Anhänge in eine Sandbox hoch und analysiert diese. Erst wenn das durch ist, wird die E-Mail dann ggf. Zugestellt. Dadurch kann es (je nach Anhang-Größe) auch mal eine Stunde dauern bis Mails mit Anhängen ankommen. Ist in der Mail zum Beispiel eine mailto:Admin@domäne.de, die Mail kommt aber von administrator@domäne.de oder admin@domäne2.de dann wird die auch manchmal schonmal falsch abgelehnt. Grade bei Großen Konzernen kommt das durchaus mal vor, da muss man dann Ausnahmen für generieren. Ein Lernprozess für Admin und Firewall :-) face-smile Was die Firewall nicht öffnen kann (zum Beispiel passwortgeschützte Zip-Archive) landet im Müll. Wenn eine Exe als txt getarnt wird, so merkt es die Firewall und es landet im Müll.

Dann weiter an der Firewall: Wir haben unsere Firewall auf Whitelisting umgestellt. Auch hier ein dauerhafter Lernprozess. Kommt doch mal eine Mail von oben durch und ist ein böser link drin und der User klickt drauf besteht eine sehr hohe Wahrscheinlichkeit, dass die Seite nicht in der Whitelist steht. Jede Seite die da rein soll wird händisch von einem Admin geprüft und nur freigegeben wenn ein betriebliches Interesse besteht. Ja das führt zwangsläufig dazu, dass privates Surfen unmöglich ist und auch seriöse Seiten wie zum Beispiel news.google.de oder maps.google.de nicht gehen, aber es wird halt beruflich nicht gebraucht. Im Gegensatz dazu haben aber Phishing Links kaum eine Chance.

Kommt dann doch mal ein suspekter Anhang durch, wird der erstmal auf Virustotal hochgeladen. Selbst wenn da nichts gefunden wird und er dann immer noch suspekt ist, wird er in der Windows 10 Sandbox geöffnet. Die Sandbox ist bei Windows 10 dabei, muss aber händisch nachinstallieren (Feature hinzufügen) und baut über die eigene Netzwerkkarte eine Verbindung ins Internet auf. Bei uns dann halt wieder nicht, da der User nicht in der Domäne ist und folglich alles von der Firewall geblockt wird. Das schöne an der Sandbox ist, dass sie keinen Netzwerkzugriff hat. Man kann über die Netzwerkverbindung nur auf den eigenen Rechner zugreifen und auch nur, wenn man sich händisch authentifiziert. Einziger Weg der Datenübertragung zwischen dem Rechner und der Sandbox ist die Zwischenablage. Nachteil: Man kann sie nicht wirklich gut auf seine eigenen Bedürfnisse anpassen und Software nachinstallieren, da die beim Ausschalten der Sandbox wieder in den Ausgangszustand zurück gesetzt wird. Meine Sandbox zum Beispiel hat immer noch die Edge-Version 76, da das die aktuelle Version bei der Installation war. Stört mich nicht, kann ich mit leben. Im Regelfall öffne ich in der Sandbox nur PDF-Dateien.

Ich muss allerdings sagen, dass seit der Umstellung auf Whitelist und Paket-/Mail-Inspection sich jeder Verdacht sowohl bei Virus-Total als auch in der Windows 10 Sandbox als unbegründet herausgestellt hat.

Ganz konkreter Anlass heute morgen ist eine Mail meines ehemaligen Webhosters, auf dessen Antwort ich schon lange warte (schwer zu erreichen), und der mir einen ZIP-Anhang geschickt hat mit Passwortschutz.
Für solche Fälle nutzen wir eine externe Adresse auf speziellen Rechner, die alles dürfen. Hier wird dann die Mail geöffnet, der Anhang entpackt und dann entweder die Daten abgeschrieben oder per Mail an eine interne Adresse geleitet, damit die oben beschriebene Sicherheitsstruktur eingehalten wird.
Konkret in deinem Fall wäre es bei uns so gewesen: Die Mail wäre von unsere Firewall abgelehnt worden und der Sender hätte eine Unzustellbarkeitsnachricht erhalten. Der Sender (zumindest bei uns) meldet sich dann bei dem Mitarbeiter, der sich bei mir meldet und ich das überprüfe. Dabei kommt dann raus, dass die Firewall dies abgelehnt hat, wg. passwortgeschützter Zip-Datei. Ich gebe dem Sender eine alternative externe Adresse, die nicht auf unserem Exchange liegt. Der Sender schickt die passwortgeschützte Datei an diese Adresse. Dort geht der Mitarbeiter hin, entpackt diese und sendet sich von der externen Adresse die entpackten Dateien auf seine interne Adresse. Fertig.

Ich hätte auch die Möglichkeit, einen ausrangierten PC zu konfigurieren, der nur zum Testen verwendet würde. Aber bei realer Hardware dauert das Zurücksetzen über ein Image doch deutlich länger als den Sicherungspunkt einer VM wiederherzustellen.
Das wäre wohl nach Eurer Meinung trotzdem die bessere Wahl?
Das ist korrekt. Sicherheit bedeutet nun mal Aufwand (wie man in meiner obigen Erläuterung sieht). Ohne Aufwand zu betreiben wirst du deine Umgebung nicht absichern können. Schnelle Lösungen sind meistens irgendwo unsicher. Die Entscheidung wie viel Aufwand du betreiben willst und wie viel Aufwand du den Usern zugestehen willst/kannst muss in meinen Augen jeder (IT-)Chef selbst treffen und wird dir hier keiner abnehmen können.

Gruß
Doskias

PS: Sorry für die Wall of Text. Ist länger geworden als geplant :-D face-big-smile
Bitte warten ..
Mitglied: commodity
29.04.2021 um 10:37 Uhr
genau das meinte ich oben:

@Doskias beschreibt hier einen Weg, den man als vorbildlich bezeichnen kann. Aber das ist sicher kein 8-Mitarbeiter-Unternehmen ;-) face-wink Und mit so strengem Whitelisting fühlt man sich auch irgendwie in einer anderen Welt. Hängt sicher auch vom persönlichen und beruflichen Bedarf ab.

Eine Anmerkung daraus ist aber für jeden leicht umsetzbar: Kommt eine zweifelhafte Mail an, einfach zunächst den Kontakt zum Absender suchen.

Bei @Doskias geht das automatisch (als Unzustellbarkeitsmitteilung), im KMU werden aber nicht so viele "Zweifelsfälle" ankommen, da kann man auch selbst mal zur Tastatur greifen. Eine darauf folgende Bestätigung schützt zwar nicht vor Viren, die von der Quelle unabsichtlich mitgeschickt werden (dafür ist der Virenscanner), aber vor bösen Absendern, die es gar nicht gibt. Meist zeigt sich das schon bei der Kontaktaufnahme, denn die Mailadressen des Bösen Buben sind ja normaler Weise nicht echt.
Bitte warten ..
Mitglied: Doskias
29.04.2021 um 10:58 Uhr
Zitat von @commodity:
genau das meinte ich oben:
@Doskias beschreibt hier einen Weg, den man als vorbildlich bezeichnen kann. Aber das ist sicher kein 8-Mitarbeiter-Unternehmen ;-) face-wink Und mit so strengem Whitelisting fühlt man sich auch irgendwie in einer anderen Welt. Hängt sicher auch vom persönlichen und beruflichen Bedarf ab.
Danke für das Lob und wir sind im zweistelligen-Stelligen Bereich was Mitarbeiter angeht, PC-Arbeitsplätze haben wir 70, davon haben einige Mitarbeiter aber auch teilweise 3 (2ter Standort, HomeOffice). Mitarbeiter am PC würde ich 50 bis 60 sagen. Allerdings habe ich ähnliche Konstrukte auch schon bei 15-Mann betrieben umgesetzt. Der wirkliche Aufwand ist es die ganzen Sachen zu konfigurieren. Wenn es dann läuft, dann läuft es.

Und damit man sich nicht ganz in einer anderen Welt fühlt haben wir für die Mitarbeiter frei Terminals im Unternehmen, so wie Laptops bei den Abteilungsleitern, die keine Internetbeschränkung unterliegen. Diese sind aber in einem physisch getrennten Netzwerk mit eigener Internetverbindung, eigenen Switch, etc. Die Geräte kommen nie mit der Domäne in Kontakt.

Eine Anmerkung daraus ist aber für jeden leicht umsetzbar: Kommt eine zweifelhafte Mail an, einfach zunächst den Kontakt zum Absender suchen.

Bei @Doskias geht das automatisch (als Unzustellbarkeitsmitteilung), im KMU werden aber nicht so viele "Zweifelsfälle" ankommen, da kann man auch selbst mal zur Tastatur greifen. Eine darauf folgende Bestätigung schützt zwar nicht vor Viren, die von der Quelle unabsichtlich mitgeschickt werden (dafür ist der Virenscanner), aber vor bösen Absendern, die es gar nicht gibt. Meist zeigt sich das schon bei der Kontaktaufnahme, denn die Mailadressen des Bösen Buben sind ja normaler Weise nicht echt.

Wenn ich so an das letzte Jahr zurückdenke, sind es insgesamt 5 Fälle in denen die Firewall zu unrecht Alarm geschlagen hat, 2 Davon waren allerdings gezippte mit Passwörtern versehene Daten der Bank. In 2 Fällen hat die Firewall sich daran gestört, dass eine von uns gesendete Mail als Anhang einer eingehenden Mail zugeordnet war. Die Mail Inspektion hat dann im Anhang erkannt, dass eine Mail von außen mit unser Domäne kam und das abgelehnt und der letzte Fall war ein verlinktes Firmenlogo einer Firma, dessen Link zum Logo auf die Website des Konzernes ging. Also zum Beispiel Audi sendet unter Audi.de nutzt aber ein Logo welches auf dem ftp von volkswagen.de liegt. Das mag die Firewall nicht. :-) face-smile

Gruß
Doskias
Bitte warten ..
Mitglied: VGem-e
29.04.2021 um 11:09 Uhr
Moin,

bei uns sind Archivdateien grundsätzlich gesperrt, ebenso verschiedene Arten "alter" Dateitypen. Somit ist schon mal viel "Mist" weg und diese Anhänge landen nicht in der Quarantäne, sondern im digitalen Nirwana...
Lässt sich sicherlich nicht überall durchziehen und erntet auch bei uns öfters Rückfragen. Aber es erleichtert das Leben als Admin doch bedeutend.

Gruß
Bitte warten ..
Mitglied: GWeidt
29.04.2021 um 15:39 Uhr
Ui, da habe ich ja was angestoßen - vielen Dank an alle für den lehrreichen Input! Würde mich glatt bei dem Einen oder Anderen auf ein Praktikum bewerben wollen :-) face-smile
Die Whitelisting-Idee hatte ich auch schon mal angedacht, aber bei mir gehen dafür zu individuelle Anfragen ein. Ich müsste dabei zu viel kontrollieren und nachjustieren, das gibt mein "Betrieb" (Mitarbeiterzahl: 1, incl. Chef) nicht her. Dennoch gibt mir insbesondere das beschriebene Prozedere von @Doskias einige Denkanstöße mit.
Wird dann wohl tatsächlich auf einen eigenen Rechner hinauslaufen, der per HDMI-Switch zugeschaltet wird und grundsätzlich erstmal offline läuft.

Dazu mal die Frage nach dem Wiederherstellungsaufwand: Wie bekommt man am besten (Zeit vs. Aufwand) das Zurücksetzen des (potentiell) beschädigten Systems hin, außer mit einem System-Image?
Vor Jahren habe ich mal für eine Kundin einen Rechner mit Kiosk-Modus eingerichtet (damals noch XP), das scheint mir so was Ähnliches wie die Win10-Sandbox zu sein (werde ich auf jeden Fall gelegentlich testen). Damals war das keine VM, sondern ein Benutzerkonto, das sich nach dem Schließen automatisch zurücksetzte. Aber eben nur das Konto, nicht das gesamte System, und das dürfte bei manchen Schädlingen nicht reichen. Gibt es sowas auch für ein ganzes BS oder sind wir dann wieder beim Image vs. VM auf dem realen Rechner? Bei der VM hätten wir doch dann wieder das Problem, dass die VM vom Schädling u.U. als solche erkannt wird, wie seinerzeit auf PC-Welt berichtet!?

Noch zu dem Fall von heute morgen: Das war natürlich nur ein aktuelles Beispiel. Sicher kann ich mich beim Absender melden und nachfragen. Im konkreten Fall würde ich nicht mit einer zeitnahen Rückmeldung rechnen (der Hoster hat seinen Dienst aus gesundheitlichen Gründen eingestellt und ist kaum noch erreichbar). Dieser Fall ließe sich auch anders lösen, aber es kommen immer wieder ähnliche Fälle, in denen aus dem einen oder anderen Grund die Alternativen schwierig bis unmöglich umzusetzen sind. Im o.g. Beispiel kann ich mit Sicherheit ausschließen, dass der Absender auf meine Bitte die Nachricht nochmal an eine andere Adresse schicken würde...
Was die Spam-Filter von Mail-Providern angeht: Die macht sich ein Kunde ganz praktisch zunutze - alle paar Tage leitet er mir Mails weiter, deren Echtheit er bestätigt haben möchte, und wenn T-Online die nicht weiterschicken mag, hat er schon Klarheit. Danke Telekom, dass Du mir die Arbeit abnimmst! GMX z.B. lässt sowas einfach passieren.
@VGem-e: Natürlich werde ich bei einer ZIP auch sofort hellhörig. Aber so offensichtlich verdächtig kommt nicht jede falsche Mail daher, und nicht immer geht es um Anhänge. Anderer Fall dieser Tage: Eine Kundin fragt mich, warum sie nach jeder Überweisung (nicht nur Online, sondern auch über SK-Terminal!) die weit verbreitete SIBS-Mail bekommt. Zwar kann ich einfach sagen "Frag die Sparkasse"), aber mich würde schon ohne Gefahr für mein System interessieren, was alles dahintersteckt - und sei es nur aus akademischer Neugier.

Sonnige Grüße
ruby
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
FAX ist nicht mehr Datenschutzkonform
brammerVor 1 TagInformationDatenschutz52 Kommentare

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin95Vor 1 TagAllgemeinHumor (lol)16 Kommentare

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Netzwerkgrundlagen
Statische Route auf UTM
gelöst Ex0r2k16Vor 15 StundenFrageNetzwerkgrundlagen31 Kommentare

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
gelöst CoreknabeVor 1 TagFrageWindows Update12 Kommentare

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgbornVor 1 TagInformationExchange Server4 Kommentare

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausBVor 1 TagFrageExchange Server8 Kommentare

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
OrmensonVor 1 TagFrageSAN, NAS, DAS10 Kommentare

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
gelöst imebroVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...