Etwas wie dieser Songtitel sollte E-Mail-Nutzer zwar nicht dauerhaft verunsichern, meint Klaus Gheri, Leiter der Network Security bei Barracuda Networks. «Aber sie sollten stets wachsam sein, was da an Dokumenten so alles mitgeschickt wird». Die Security-Analysten von Barracuda Networks verzeichnen seit Jahresbeginn einen deutlichen Anstieg dokumentenbasierter Malware. Eine aktuelle E-Mail-Analyse, die das Unternehmen vornahm, offenbarte, dass es sich im ersten Quartal 2019 bei 59 Prozent aller entdeckten bösartigen Dateien um Dokumente handelte. Im gleichen Zeitraum des Vorjahres waren es noch 41 Prozent. In den letzten 12 Monaten kamen 48 Prozent aller entdeckten bösartigen Dateien als Dokument daher. Über 300.000 Dokumente liessen sich als eindeutig und bösartig identifizieren.
Üblich ist es, die Malware entweder direkt im Dokument selbst zu verstecken oder aber ein eingebettetes Skript lädt sie von einer externen Website herunter. Und schon starten Viren, Trojaner, Spyware, Würmer und Ransomware ihr bösartiges Vorhaben. Gheri spricht von sieben Phasen eines Angriffsszenarios. Ein gängiges Modell zum besseren Verständnis von Angriffen namens Cyber Kill Chain baut darauf auf, Angreifer, bevor sie richtigen Schaden anrichten können, zu erkennen und unschädlich zu machen.
Das siebenstufige Modell ist der militärischen Abwehr entlehnt, wonach Angriffe unmittelbar zu analysieren, zu strukturieren und in einzelne Schritte zu zerlegen seien:
1. Erkundung zur Zielauswahl und -einordnung
2. Waffen individuell auf das Ziel abstimmen, d.h., die geeignete Angriffsmethode finden
3. Gezielter Angriff
4. Brückenkopf bilden, d.h., in der erkannten Schwachstelle wird mittels Exploits ein Programm hinterlegt, das einen Zugriff von aussen ermöglicht
5. Installation schafft Persistenz innerhalb des Zielsystems
6. Steuerung und Kontrolle - Nutzung der Persistenz von ausserhalb des Netzwerks
7. Massnahmen zur Erreichung des Ziels, das Zweck des Angriffs war; oft Exfiltration von Daten
Das Gros an bösartiger Schadsoftware werde als Spam an weit verbreitete E-Mail-Listen gesendet. Diese werden verkauft, gehandelt, aggregiert und überarbeitet, während sie sich durch die Untiefen des Netzes bewegen. Schutzmassnahmen seien Blacklisting, Spam-Filter/Phishing-Detection-Systeme, Malware-Erkennung und eine Erweiterte Firewall: Öffnet ein Benutzer eine bösartige Anlage oder klickt auf einen Link zu einem Drive-by-Download, ermöglicht es eine erweiterte Netzwerk-Firewall, die in der Lage ist, Malware-Analysen durchzuführen, den Angriff zu stoppen, indem sie die ausführbare Datei kennzeichnet. Gheri: «Am überall gegenwärtigen Bösen lässt sich vermutlich nicht viel ändern. Aufmerksame Kolleginnen und Kollegen sowie eine ausgereifte IT-Security können aber dabei helfen, dass das Gute in den meisten Fällen die Oberhand behält».
