essiess
Goto Top

Und täglich grüßt das Murmeltier. PDF + Office-Dateien Diskussion

Jeder kennt es. Viele stehen vor dem gleichen Problem.
Es lässt sich in manchen Branchen nicht verhindern, dass man auf per E-Mail zugesendete Dateien (z.B. PDF/Office) angewiesen ist. Auch unbekannte Absender müssen möglich sein (z.B. im Fall von Anfragen).
Selbst in der Automobilbranche werden teilweise Excel-Dateien mit Makros (XLSM) ausgetauscht. Ein kategorisches Verbot wäre zielführend; ist aber in der Praxis nicht immer durchzusetzen.
Natürlich sollte der Mailserver über Enkennung / Sandboxing verfürgen und natürlich sollten moderne EDR/XDR-Systeme im Einsatz sein und natürlich sollte eine Firewall der Traffic untersuchen/blocken und im Auge haben.

Wenn aber aber mit großer Wahrscheinlichkeit beurteilen möchte, ob eine Excel-Datei oider eine PDF-Datei "clean" ist, wird es oft aufwändig.

Teilweise untersuchen wir die Dateien statisch.:

PDF mit pdfid.py und pdf-parser.py

Office mit oledump.py oder olevba.py

Das ist aber auch sehr aufwändig und auch nur von versiertem Usern zu beurteilen.

Gibt es möglicherweise weiterentwickelte Produkte, die PDF-Dateien oder Office-Dateien auf enthaltene Links, Operationen und alles, was bösartig sein kann, untersuchen und dieses anzeigen; idealerweise deaktivieren lassen? Z.B. Erzeugen einer Safe-Version (also Markos entfernen, Links entfernen, etc.)?
Was ist Best Practice wenn man Dateien als sicher oder bösartig erklären möchte? Die o.g. Tools sind wirklich nicht schlecht; aber leider nicht für den täglichen Bedarf weiterentwickelt worden.

Content-ID: 32676046965

Url: https://administrator.de/contentid/32676046965

Printed on: October 5, 2024 at 10:10 o'clock

Tommy70
Tommy70 May 15, 2024 at 09:01:32 (UTC)
Goto Top
Hallo

Du wirst das nie zu 100% automatisieren können. Allerdings kann dir eine E-Mail Security Lösung (z. Bsp. Fortimail) die Optionen wie Content Disarm, Archive Handling, URL Filtering, usw. unterstützt einiges an Arbeit abnehmen.

Tom
ThePinky777
ThePinky777 May 15, 2024 at 09:29:23 (UTC)
Goto Top
Ganz einfach, Quarantäne...
Und so bekommt man als Admin mit vorher das kommt.

ggf. kann man dann Exceptions bauen, wenns nur bestimmter absender immer ist oder der Email Domain vertrauen schenken will, wenn nicht dann halt immer manuell aus Quarantäne holen.

keiner hat je gesagt security sei bequem...
MacLeod
MacLeod May 15, 2024 at 09:31:12 (UTC)
Goto Top
Hallo,
wir betreuen Firmen aus der Automobilbranche. Und ja, Office Dokumente werden komplett über den Inhaltsfilter geblockt. Ausnahmslos! Nur pdf gehen durch. In 99% der Fälle muss man feststellen, daß das gesendete Office Dokument nicht nachgearbeitet werden muss und somit auch als pdf gesendet werden kann. Meist sind es Bewerbungen, Listen oder profane Termintabellen etc. Da werden dann die Versender per Auto-Reply abgewatscht.
Da von ganz oben immer wieder auf die BSI Richtlinien hingewiesen wird, setzen wir das eben an der Basis soweit als möglich um. Befreundete Betriebe, die das lockerer sahen wurden fast alle schon mit diversen Emotet Besuchen erfreut. Bei unseren Kunden war bislang nichts (Auf-Holz-klopf)
In den wenigen Fällen, in denen das doch mal nötig ist, kommt von der Werks IT aus deren Sharepoint ein Einmal-Link zum Download und in einer zweiten Mail ein Einmal-Link mit dem Passwort für das gepackte file.
Ähnlich kann man das intern lösen. Die Datei zippen mit Passwort (sonst schaut der Inhaltsfilter da auch rein und löscht) und per Telefon oder notfalls in einer zweiten Mail das Passwort senden.
Wir stellen gerade bei den "einfachen" Mechanikern oder den jungen Bewerbern fest, daß das auf Anhieb klappt; während bei den älteren Entwicklern oder Ingenieuren die Lernkurve sehr flach bis waagrecht ist. Da meinen manche, daß der Schwanz mit dem Hund wedeln muss und senden die gleiche Mail bis zu 10(!) mal.
MfG,
Macleod
ThePinky777
ThePinky777 May 15, 2024 at 11:28:19 (UTC)
Goto Top
@mcleod
security technisch solltet ihr aber encrypted files ebenfalls blocken, also passwort gesicherte zips.
weil auch nicht das erste mal das so viren reingebracht werden.

Phishing mail gefaked mit PW gesichertem Zip File und Text der animiert zum öffnen....

Nur so am rande. Weil wenn das erlaubt ist hebelt ihr eure security selbst aus...

Und mit rigoros blocken ist so ne sache, ist man deinstleister also will ein geschäft mit einer firma und diese schickt einem das zeug so... dann steht man dumm da... ist man Kunde kann man das von zulieferern und so erwarten ist logisch... sind halt immer 2 paar schuhe...
MacLeod
MacLeod May 15, 2024 at 12:04:02 (UTC)
Goto Top
Hallo
Bei passwortgeschütztem Attachment und einer zweiten Mail mit Passwort, oder Whatsapp, oder Telefonanruf muss der Empfänger aber zweimal aktiv darüber nachdenken was er macht. Da muss das Hirn schon anlaufen, gerade wenn das Attachment erst auf vertrauenswürdigem Speicher abgelegt und manuell angepackt werden muss.
MfG,
MacLeod
Essiess
Essiess May 15, 2024 at 13:34:38 (UTC)
Goto Top
Gibt es möglicherweise weiterentwickelte Produkte, die PDF-Dateien oder Office-Dateien auf enthaltene Links, Operationen und alles, was bösartig sein kann, untersuchen und dieses anzeigen; idealerweise deaktivieren lassen? Z.B. Erzeugen einer Safe-Version (also Markos entfernen, Links entfernen, etc.)?
Was ist Best Practice wenn man Dateien als sicher oder bösartig erklären möchte? Die o.g. Tools sind wirklich nicht schlecht; aber leider nicht für den täglichen Bedarf weiterentwickelt worden.

Es geht primär um diese Fragestellung (s.o.). Es gibt Kunden, die sind einfach auf den Austausch von z.B. Excel angewiesen. Ich rede hier u.a. von DAX-Unternehmen, die man leider nicht einfach einmal umkrempeln kann.
Wenn man also nicht anders kann, würden wir gern diese Dateien vorher "entschäfren" oder analysieren. Dass VB/Makros oder Links ins Internet danach nicht mehr funktionieren ist klar und auch gewünscht.
Richtig gut gemachte Angriffe sind von seriösen Anfragen kaum zu unterscheiden. Es wäre super, wenn es ein Analysetool gäbe, welches suspekte Objekte z.B. Befehle zum Ausführen oder Links aufzeigt/ausschaltet. Didier Stevens hat einmal etwas in der Art gebastelt (Python). Das ist aber nichts für dden täglichen Einsatz. Mit PDF24 kann man aus PDF->sicheres PDF machen. Ich habe aber keine Doku gefunden, was alles entfernt wird. Vielleicht sehe ich auch den Wald vor lauter Bäumen nicht. Aber es müsste in der Richtung doch kommerzielle Tools geben?!
DivideByZero
DivideByZero May 15, 2024 at 20:10:17 (UTC)
Goto Top
Moin,

Zitat von @Essiess:
Aber es müsste in der Richtung doch kommerzielle Tools geben?!

Schau mal bei Hornetsecurity ATP und Hornetsecurity Antispam/Antimalware, das ist ein kommerzieller Dienst, der vorgeschaltet wird und so einiges in der Richtung versucht.

Perfekte Sicherheit gibt es nie, aber so ist die Hürde wieder ein wenig höher gelegt.

Gruß

DivideByZero