Fragwürdige E-Mails und Anhänge gefahrlos öffnen mit VirtualBox

Hallo Ruby,

deine Überlegung ist zwar legitim, jedoch aus meiner Sicht unüblich. Grundsätzlich, kann dir das aus sicherheitstechnischer Sicht niemand beantworten. Das ist ja der Witz an 0Dayz. Vorsicht bei Experimenten in Betriebsumgebungen. Vorsatz heißt auch Vollhaftung. Um deine Frage dann doch zu beantworten, schaffe eine autarke Umgebung. Transferiere das Testfile offline und führe es aus. Ich frage mich nur, warum das Rad neu erfinden willst? Diese Arbeit wird doch zu genüge von Admins erledigt, die den ganzen Tag nichts Anderes machen.

BG

Hallo GWeidt,

Nicht verzweifeln. Die (oft guten) Ratschläge hier bilden einfach ein zu großes Spektrum ab. Wenn Du Hochsicherheit brauchst, ist das was anderes als zuhause oder im KMU. Dein Ansatz ist schon mal nicht schlecht. Und der Hinweis von @Carsqul gibt die Richtung im Idealfall vor: schaffe eine autarke Umgebung.

D.h. im Idealfall einen separaten Host ohne oder in separatem Netzwerk, auf dem eine VM läuft. Idealerweise läuft dieser und auch der Gast nicht mit dem Betriebssystem, das Du produktiv nutzt (also das das Angriffsziel wäre). Also wenn Du allgemein mit Windows arbeitest, erstelle Deine Analyseumgebung unter Linux. Oder wenigstens den Host oder die VM unter Linux. Dorthin transferierst Du die fragliche Datei/Mail mittels USB-Stick und kannst dann in Ruhe untersuchen.

Ich bin weniger ängstlich und nehme (ähnlich wie Du) auf meinem Arbeits-PC eine VM (die allerdings unter Linux) und leite die Mail dorthin weiter (per Mail oder USB). Dort untersuche ich die Mail dann und/oder öffne sie ggf. auch. Vorher Virus-Total-Check und Quelltext der Mail ansehen. Meist reicht das schon zur Identifikation als Spam (schützt aber natürlich nicht vor Viren, die an sich vertrauenswürdige Quellen mitliefern).

Basis jeder Arbeit mit dem PC ist eine kluge Datensicherung. Passieren kann immer etwas. Ach so, ein guter Mailserver und eine Adressen-Policy hilft auch gegen Spam. Es gibt leider immer noch Provider, die Spam-Mails ausgesprochen schwach filtern. Aber das ist ein anderes Thema.

Moin,

Einen 100%igen Schutz gibt es nicht, grade bei den Vorstellungen die du hast. Du kannst dich nur mit einem Gesamtsystem davor schützen. Erstmal musst du deine Firewall vernünftig konfigurieren. Stichwörter: Können Mails von eurer Domain von außen kommen? Wenn nein generell ablehnen. Kenn viele Firmen wo das vernachlässigt wird. Dann weiter in dem Kontext: Packet und Mail Inspection an der Firewall anschalten. Unsere Firewall prüft (neben SPF-Check) den Inhalt und die Anhänge, lädt die Anhänge in eine Sandbox hoch und analysiert diese. Erst wenn das durch ist, wird die E-Mail dann ggf. Zugestellt. Dadurch kann es (je nach Anhang-Größe) auch mal eine Stunde dauern bis Mails mit Anhängen ankommen. Ist in der Mail zum Beispiel eine mailto:Admin@domäne.de, die Mail kommt aber von administrator@domäne.de oder admin@domäne2.de dann wird die auch manchmal schonmal falsch abgelehnt. Grade bei Großen Konzernen kommt das durchaus mal vor, da muss man dann Ausnahmen für generieren. Ein Lernprozess für Admin und Firewall Was die Firewall nicht öffnen kann (zum Beispiel passwortgeschützte Zip-Archive) landet im Müll. Wenn eine Exe als txt getarnt wird, so merkt es die Firewall und es landet im Müll.

Dann weiter an der Firewall: Wir haben unsere Firewall auf Whitelisting umgestellt. Auch hier ein dauerhafter Lernprozess. Kommt doch mal eine Mail von oben durch und ist ein böser link drin und der User klickt drauf besteht eine sehr hohe Wahrscheinlichkeit, dass die Seite nicht in der Whitelist steht. Jede Seite die da rein soll wird händisch von einem Admin geprüft und nur freigegeben wenn ein betriebliches Interesse besteht. Ja das führt zwangsläufig dazu, dass privates Surfen unmöglich ist und auch seriöse Seiten wie zum Beispiel news.google.de oder maps.google.de nicht gehen, aber es wird halt beruflich nicht gebraucht. Im Gegensatz dazu haben aber Phishing Links kaum eine Chance.

Kommt dann doch mal ein suspekter Anhang durch, wird der erstmal auf Virustotal hochgeladen. Selbst wenn da nichts gefunden wird und er dann immer noch suspekt ist, wird er in der Windows 10 Sandbox geöffnet. Die Sandbox ist bei Windows 10 dabei, muss aber händisch nachinstallieren (Feature hinzufügen) und baut über die eigene Netzwerkkarte eine Verbindung ins Internet auf. Bei uns dann halt wieder nicht, da der User nicht in der Domäne ist und folglich alles von der Firewall geblockt wird. Das schöne an der Sandbox ist, dass sie keinen Netzwerkzugriff hat. Man kann über die Netzwerkverbindung nur auf den eigenen Rechner zugreifen und auch nur, wenn man sich händisch authentifiziert. Einziger Weg der Datenübertragung zwischen dem Rechner und der Sandbox ist die Zwischenablage. Nachteil: Man kann sie nicht wirklich gut auf seine eigenen Bedürfnisse anpassen und Software nachinstallieren, da die beim Ausschalten der Sandbox wieder in den Ausgangszustand zurück gesetzt wird. Meine Sandbox zum Beispiel hat immer noch die Edge-Version 76, da das die aktuelle Version bei der Installation war. Stört mich nicht, kann ich mit leben. Im Regelfall öffne ich in der Sandbox nur PDF-Dateien.

Ich muss allerdings sagen, dass seit der Umstellung auf Whitelist und Paket-/Mail-Inspection sich jeder Verdacht sowohl bei Virus-Total als auch in der Windows 10 Sandbox als unbegründet herausgestellt hat.

Für solche Fälle nutzen wir eine externe Adresse auf speziellen Rechner, die alles dürfen. Hier wird dann die Mail geöffnet, der Anhang entpackt und dann entweder die Daten abgeschrieben oder per Mail an eine interne Adresse geleitet, damit die oben beschriebene Sicherheitsstruktur eingehalten wird.
Konkret in deinem Fall wäre es bei uns so gewesen: Die Mail wäre von unsere Firewall abgelehnt worden und der Sender hätte eine Unzustellbarkeitsnachricht erhalten. Der Sender (zumindest bei uns) meldet sich dann bei dem Mitarbeiter, der sich bei mir meldet und ich das überprüfe. Dabei kommt dann raus, dass die Firewall dies abgelehnt hat, wg. passwortgeschützter Zip-Datei. Ich gebe dem Sender eine alternative externe Adresse, die nicht auf unserem Exchange liegt. Der Sender schickt die passwortgeschützte Datei an diese Adresse. Dort geht der Mitarbeiter hin, entpackt diese und sendet sich von der externen Adresse die entpackten Dateien auf seine interne Adresse. Fertig.

Das wäre wohl nach Eurer Meinung trotzdem die bessere Wahl?
Das ist korrekt. Sicherheit bedeutet nun mal Aufwand (wie man in meiner obigen Erläuterung sieht). Ohne Aufwand zu betreiben wirst du deine Umgebung nicht absichern können. Schnelle Lösungen sind meistens irgendwo unsicher. Die Entscheidung wie viel Aufwand du betreiben willst und wie viel Aufwand du den Usern zugestehen willst/kannst muss in meinen Augen jeder (IT-)Chef selbst treffen und wird dir hier keiner abnehmen können.

Gruß
Doskias

PS: Sorry für die Wall of Text. Ist länger geworden als geplant

genau das meinte ich oben:

@Doskias beschreibt hier einen Weg, den man als vorbildlich bezeichnen kann. Aber das ist sicher kein 8-Mitarbeiter-Unternehmen Und mit so strengem Whitelisting fühlt man sich auch irgendwie in einer anderen Welt. Hängt sicher auch vom persönlichen und beruflichen Bedarf ab.

Eine Anmerkung daraus ist aber für jeden leicht umsetzbar: Kommt eine zweifelhafte Mail an, einfach zunächst den Kontakt zum Absender suchen.

Bei @Doskias geht das automatisch (als Unzustellbarkeitsmitteilung), im KMU werden aber nicht so viele "Zweifelsfälle" ankommen, da kann man auch selbst mal zur Tastatur greifen. Eine darauf folgende Bestätigung schützt zwar nicht vor Viren, die von der Quelle unabsichtlich mitgeschickt werden (dafür ist der Virenscanner), aber vor bösen Absendern, die es gar nicht gibt. Meist zeigt sich das schon bei der Kontaktaufnahme, denn die Mailadressen des Bösen Buben sind ja normaler Weise nicht echt.

Danke für das Lob und wir sind im zweistelligen-Stelligen Bereich was Mitarbeiter angeht, PC-Arbeitsplätze haben wir 70, davon haben einige Mitarbeiter aber auch teilweise 3 (2ter Standort, HomeOffice). Mitarbeiter am PC würde ich 50 bis 60 sagen. Allerdings habe ich ähnliche Konstrukte auch schon bei 15-Mann betrieben umgesetzt. Der wirkliche Aufwand ist es die ganzen Sachen zu konfigurieren. Wenn es dann läuft, dann läuft es.

Und damit man sich nicht ganz in einer anderen Welt fühlt haben wir für die Mitarbeiter frei Terminals im Unternehmen, so wie Laptops bei den Abteilungsleitern, die keine Internetbeschränkung unterliegen. Diese sind aber in einem physisch getrennten Netzwerk mit eigener Internetverbindung, eigenen Switch, etc. Die Geräte kommen nie mit der Domäne in Kontakt.


Wenn ich so an das letzte Jahr zurückdenke, sind es insgesamt 5 Fälle in denen die Firewall zu unrecht Alarm geschlagen hat, 2 Davon waren allerdings gezippte mit Passwörtern versehene Daten der Bank. In 2 Fällen hat die Firewall sich daran gestört, dass eine von uns gesendete Mail als Anhang einer eingehenden Mail zugeordnet war. Die Mail Inspektion hat dann im Anhang erkannt, dass eine Mail von außen mit unser Domäne kam und das abgelehnt und der letzte Fall war ein verlinktes Firmenlogo einer Firma, dessen Link zum Logo auf die Website des Konzernes ging. Also zum Beispiel Audi sendet unter Audi.de nutzt aber ein Logo welches auf dem ftp von volkswagen.de liegt. Das mag die Firewall nicht.

Gruß
Doskias

Moin,

bei uns sind Archivdateien grundsätzlich gesperrt, ebenso verschiedene Arten "alter" Dateitypen. Somit ist schon mal viel "Mist" weg und diese Anhänge landen nicht in der Quarantäne, sondern im digitalen Nirwana...
Lässt sich sicherlich nicht überall durchziehen und erntet auch bei uns öfters Rückfragen. Aber es erleichtert das Leben als Admin doch bedeutend.

Gruß