Dynamite-Phishing-Trojaner Emotet: Welchen Schutz bietet Proofpoint?

Bereits im Dezember 2014 sorgte der Trojaner Emotet für Aufsehen. Vier Jahre später ist er wieder da. Das Bundesamt für Sicherheit in der Informationstechnik spricht aktuell von einer „neuen Qualität der Gefährdung“ und gibt eine offizielle Warnmeldung zu Emotet heraus. Welchen Schutz bietet Proofpoint E-Mail-Security?

Der Emotet-Trojaner (s. auch heise.de und faz.net), bei dem eine Doc-Datei im E-Mail-Anhang den Schadcode transportiert, ist ein typischer Fall für Proofpoint-Modul Targeted Attack Protection (kurz TAP)

Wie schützt Sie Proofpoint vor Emotet?

Mit Proofpoint greifen drei Mechanismen, die einer Zustellung von E-Mails, die via Attachment das Ziel haben, Clients mit dem Emotet-Trojaner zu infizieren – vorbeugen:

Statistische Verhaltensanalyse

Durch den Einsatz von Heuristiken und die Überprüfung von Signaturen und der Reputation werden gängige Exploit-Kits, Deobfuskationen von Makros, sowie der Versuch, bekannte Infrastrukturen von Angreifern zu kontaktieren und bereits bekannter Schadcode (als auch nur Teile davon), erkannt.

Dynamische Verhaltensanalyse

E-Mail-Anhänge und URLs werden an speziell eingerichtete virtuelle Maschinen gesendet und im Rahmen einer sicheren Umgebung in der jeweiligen Anwendung geöffnet (z.B. Word-Dokumente in Microsoft Word oder URLs im Browser).

Hierbei wird menschliches Verhalten nachgeahmt. Dadurch wird die künstliche Handhabe in einer virtuellen Umgebung verschleiert. Die virtuelle Maschine wird während der Verarbeitung der Anhänge und URLs beobachtet, um auffälliges Verhalten gezielt festzustellen. Hierzu können zählen:

  • Schreibender Zugriff auf die Registry
  • Das Herunterladen ausführbarer Anhänge
  • Das Ausführen neuer Prozesse
  • Versuche, sich dauerhaft im System zu verankern

Strukturierte Trafficanalyse

Wenn eine URL in vielen E-Mails binnen kurzer Zeit festgestellt wird, entscheidet Proofpoint diese URL proaktiv zu scannen und gegebenenfalls zu blockieren, noch bevor jemand klicken konnte. Ebendieses gilt auch für gleichartige Anhänge, die in hoher Anzahl von verschiedenen Quellen gesendet werden – sie werden ebenfalls blockiert.

Hier nutzt Proofpoint die schiere Masse an Organisationen, Unternehmen, Usern und E-Mail-Accounts, die auf Proofpoint E-Mail-Security setzen. (Nicht nur weltweit, sondern auch insbesondere im deutschsprachigen Raum.)

Inoffiziell kursieren spannende Zahlen, wonach die Proofpoint-E-Mail-Security-Technologien heute einen beachtlichen Teil des weltweiten E-Mail-Verkehrs analysieren. In jedem Fall ist die Schwarmintelligenz dahinter als Leistungskriterium nicht zu unterschätzen.

Trotz Konkurrenz im E-Mail-Security-Markt findet Austausch im Sinne bestmöglicher Sicherheit statt: Proofpoint tauscht sich mit anderen Herstellern aus, nimmt manuelle Prüfungen durch Analytiker vor (weltweit und 24/7 durch das Proofpoint Threat Operations Center) und betreibt darüber hinaus Honeypots, um Schadcode bereits proaktiv scannen zu können.

Aktuelles Statement von Proofpoint zu Emotet

Speziell zu Office-Dokumenten im XML-Flat-OPC-Format, wie sie gegenwärtig bei Emotet (oder auch schon beim Gozi-Trojaner) beobachtet wurden, gibt es ein aktuelles Feedback seitens Proofpoint: „Diese Dokumente werden erkannt und durch ständige Aktualisierung des Regelwerks entsprechend behandelt. Hierbei werden Daten durch eine Vielzahl von ET Intel (Emerging Threats Intelligence) Feeds weltweit gesammelt und verwertet.“

Experten-Tipp: Blockieren von E-Mails mit ausführbaren Anhängen

Innerhalb der Proofpoint-Instanz gibt es die Möglichkeit, spezielle Regeln auf E-Mails mit ausführbaren Anhängen, bzw. angehängten Office-Dokumenten anzuwenden.

So ist es möglich, ausführbare Anhänge aus E-Mails zu entfernen und der betroffenen E-Mail einen Text hinzuzufügen, der den Empfänger darüber informiert, dass Anhänge entfernt wurden. Namen und Dateitypen der entfernten Anhänge werden ebenfalls im Detail aufgelistet. Eine solche Methode ist auch für Office-Dokumente konfigurierbar.

Aus Sicht unserer Proofpoint-Experten ist eine Entfernung aller Office-Dokumente durch eine zusätzliche Regel aber nicht zwingend nötig (sofern das TAP-Modul aktiv und entsprechend konfiguriert ist) – kann aber wie obig erwähnt – natürlich dennoch konfiguriert werden.

Wir nehmen die durch das BSI geschilderte Gefahr durch die Schadsoftware Emotet ernst. Gerne beantworten wir Ihre Fragen, inwiefern der Einsatz von Proofpoint und des TAP-Moduls (Targeted Attack Protection) den Schutz vor Emotet & Co sicherstellt. Hierfür dienen auch die regelmäßigen Proofpoint-Reviews, die wir mit unseren Proofpoint-Kunden gerne gemeinsam durchgehen.

Sprechen und schreiben Sie uns gerne an.