• +49 (0)89 - 45 22 094 0
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

2 - 4 Minuten Lesezeit

Bereits im Dezember 2014 sorgte der Trojaner Emotet für Aufsehen. Vier Jahre später ist er wieder da. Das Bundesamt für Sicherheit in der Informationstechnik spricht aktuell von einer „neuen Qualität der Gefährdung“ und gibt eine offizielle Warnmeldung zu Emotet heraus. Welchen Schutz bietet Proofpoint E-Mail-Security?

Der Emotet-Trojaner (s. auch heise.de und faz.net), bei dem eine Doc-Datei im E-Mail-Anhang den Schadcode transportiert, ist ein typischer Fall für Proofpoint-Modul Targeted Attack Protection (kurz TAP)

Wie schützt Sie Proofpoint vor Emotet?

Mit Proofpoint greifen drei Mechanismen, die einer Zustellung von E-Mails, die via Attachment das Ziel haben, Clients mit dem Emotet-Trojaner zu infizieren – vorbeugen:

Statistische Verhaltensanalyse

Durch den Einsatz von Heuristiken und die Überprüfung von Signaturen und der Reputation werden gängige Exploit-Kits, Deobfuskationen von Makros, sowie der Versuch, bekannte Infrastrukturen von Angreifern zu kontaktieren und bereits bekannter Schadcode (als auch nur Teile davon), erkannt.

Dynamische Verhaltensanalyse

E-Mail-Anhänge und URLs werden an speziell eingerichtete virtuelle Maschinen gesendet und im Rahmen einer sicheren Umgebung in der jeweiligen Anwendung geöffnet (z.B. Word-Dokumente in Microsoft Word oder URLs im Browser).

Hierbei wird menschliches Verhalten nachgeahmt. Dadurch wird die künstliche Handhabe in einer virtuellen Umgebung verschleiert. Die virtuelle Maschine wird während der Verarbeitung der Anhänge und URLs beobachtet, um auffälliges Verhalten gezielt festzustellen. Hierzu können zählen:

  • - Schreibender Zugriff auf die Registry
  • - Das Herunterladen ausführbarer Anhänge
  • - Das Ausführen neuer Prozesse
  • - Versuche, sich dauerhaft im System zu verankern

Strukturierte Trafficanalyse

Wenn eine URL in vielen E-Mails binnen kurzer Zeit festgestellt wird, entscheidet Proofpoint diese URL proaktiv zu scannen und gegebenenfalls zu blockieren, noch bevor jemand klicken konnte. Ebendieses gilt auch für gleichartige Anhänge, die in hoher Anzahl von verschiedenen Quellen gesendet werden – sie werden ebenfalls blockiert.

Hier nutzt Proofpoint die schiere Masse an Organisationen, Unternehmen, Usern und E-Mail-Accounts, die auf Proofpoint E-Mail-Security setzen. (Nicht nur weltweit, sondern auch insbesondere im deutschsprachigen Raum.)

Inoffiziell kursieren spannende Zahlen, wonach die Proofpoint-E-Mail-Security-Technologien heute einen beachtlichen Teil des weltweiten E-Mail-Verkehrs analysieren. In jedem Fall ist die Schwarmintelligenz dahinter als Leistungskriterium nicht zu unterschätzen.

Trotz Konkurrenz im E-Mail-Security-Markt findet Austausch im Sinne bestmöglicher Sicherheit statt: Proofpoint tauscht sich mit anderen Herstellern aus, nimmt manuelle Prüfungen durch Analytiker vor (weltweit und 24/7 durch das Proofpoint Threat Operations Center) und betreibt darüber hinaus Honeypots, um Schadcode bereits proaktiv scannen zu können.


Bedrohungsanalyse weltweit und 24/7: im Proofpoint Threat Operations Center.

Aktuelles Statement von Proofpoint zu Emotet

Speziell zu Office-Dokumenten im XML-Flat-OPC-Format, wie sie gegenwärtig bei Emotet (oder auch schon beim Gozi-Trojaner) beobachtet wurden, gibt es ein aktuelles Feedback seitens Proofpoint: „Diese Dokumente werden erkannt und durch ständige Aktualisierung des Regelwerks entsprechend behandelt. Hierbei werden Daten durch eine Vielzahl von ET Intel (Emerging Threats Intelligence) Feeds weltweit gesammelt und verwertet.“

Experten-Tipp: Blockieren von E-Mails mit ausführbaren Anhängen

Innerhalb der Proofpoint-Instanz gibt es die Möglichkeit, spezielle Regeln auf E-Mails mit ausführbaren Anhängen, bzw. angehängten Office-Dokumenten anzuwenden.

So ist es möglich, ausführbare Anhänge aus E-Mails zu entfernen und der betroffenen E-Mail einen Text hinzuzufügen, der den Empfänger darüber informiert, dass Anhänge entfernt wurden. Namen und Dateitypen der entfernten Anhänge werden ebenfalls im Detail aufgelistet. Eine solche Methode ist auch für Office-Dokumente konfigurierbar.

Aus Sicht unserer Proofpoint-Experten ist eine Entfernung aller Office-Dokumente durch eine zusätzliche Regel aber nicht zwingend nötig (sofern das TAP-Modul aktiv und entsprechend konfiguriert ist) – kann aber wie obig erwähnt – natürlich dennoch konfiguriert werden.

Wir nehmen die durch das BSI geschilderte Gefahr durch die Schadsoftware Emotet ernst. Gerne beantworten wir Ihre Fragen, inwiefern der Einsatz von Proofpoint und des TAP-Moduls (Targeted Attack Protection) den Schutz vor Emotet & Co sicherstellt. Hierfür dienen auch die regelmäßigen Proofpoint-Reviews, die wir mit unseren Proofpoint-Kunden gerne gemeinsam durchgehen.

Sprechen und schreiben Sie uns gerne an.

Ähnliche Artikel

Was ist Zero Trust? Das Prinzip erklärt, verständlich

Virtual Private Network? Voll 2019. Experten sind sich einig: VPNs, also Zugangstunnel in das Unternehmensnetzwerk, sterben aus. Mitarbeiter greifen heute von remote aus auf ihre Ressourcen zu. Gleichzeitig liegen Anwendungen nicht länger im eigenen Rechenzentrum. Sie liegen in Multiple-Cloud-Umgebungen. Zero Trust heißt das Prinzip für die Sicherheit in der neuen IT-Welt.

Hallo 2020! Die 8 wichtigsten Trends der IT-Sicherheit im Jahr 2020

Welche Trends werden die IT-Security in Zukunft prägen? Als System-Integrator von Cybersicherheitslösungen für über 500 Unternehmen der DACH-Region haben wir einen breiten wie tiefen Einblick in Handlungsfelder, die IT-Sicherheitsverantwortliche aktuell und perspektivisch beschäftigen. Zum Jahreswechsel zeigen wir auf, welche Themen das Cyber-Security-Jahr 2020 prägen werden.

Sicherer Zugriff auf Anwendungen: Was ist Zscaler Private Access (ZPA)?

Morgens ins Büro kommen, ins Unternehmensnetzwerk einloggen und die Arbeit mit Anwendungen und Dateien kann los gehen. Die Realität sieht etwas anders aus: Irgendwo unterwegs, als „Road Warrior“ vor Ort beim Kunden oder im Home Office – Mitarbeiter benötigen heute immer häufiger von außerhalb des Unternehmensnetzwerks Zugriff auf ihre Firmenanwendungen und -daten. Eine neue Situation, die einen neuen Ansatz erfordert.

Wissenswertes und regelmäßige IT-Security-Updates direkt über E-Mail erhalten?

Wir haben festgestellt, dass Abonnenten unseres Newsletters früher Bescheid wissen, besser informiert sind und rund 46,8% cooler sind.



CYQUEO Newsletter
Please wait

Lassen Sie uns gemeinsam loslegen

Wir unterstützen Sie gerne!

Servus aus München

A gscheids Haferl Kaffee
hat´s hier:

CYQUEO
Kistlerhofstraße 75
D-81379 München

Anrufen

Alle Klarheiten beseitigt?
Rufen Sie uns an! Unser Team berät Sie
qualifiziert und ehrlich zur bestmöglichen
IT-Security für Ihr Unternehmen.

+49 89 45 22 094 - 40

Wir rufen Sie zurück

Ich habe die Datenschutzerklärung gelesen und akzeptiert.