SecuMail Kunden geschützt vor neuem Trojaner Ordinypt


Derzeit verbreitet sich ein neuer Erpressungstrojaner. Dieser gibt nach einer Infektion vor, lokale Dateien verschlüsselt zu haben und fordert das übliche Lösegeld. Die Zahlung des Lösegeldes würde den Geschädigten jedoch nicht helfen, da die Dateien nicht verschlüsselt, sondern unwiederbringlich zerstört werden.

Ordinypt wird als Anhang an Phishing-Mails in sehr gutem Deutsch versendet. Ziel-Adressaten sind bevorzugt Mitarbeiter mit Personalverantwortung in Firmen. Angehängt an diese Phishing-Mails ist jeweils ein Zip-Archiv, das widerum mindestens ein, als PDF getarntes, Executable enthält. Angreifbar sind Rechner mit dem Betriebssystem Windows.

SecuMail öffnet sämtliche Archive und untersucht deren Inhalte. Auch getarnte Windows-Executable werden dabei erkannt. Die gefährlichen eMails werden daher zuverlässig gefiltert, bevor Sie den Ziel-Mailserver erreichen.

Für Fragen stehen wir Ihnen gerne zur Verfügung.

Ihr SecuMail-Team

 

Weitere Quellen:
https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-intentionally-destroys-files-currently-targeting-germany/
https://www.heise.de/security/meldung/Ordinypt-Erpressungstrojaner-bedroht-deutsche-Firmen-3887249.html

https://www.secumail.de

Systemhaus Kreutzpointner gewinnt dank Cloud-Lösung an Rückenwind


Wenn es um die IT-Sicherheit von Kunden geht, zählt im Kampf gegen moderne Trojaner und Viren jede Minute. Das weiß auch Elektro Kreutzpointner. Das bayerische Elektrounternehmen stellt deswegen seine Kunden auf SecuMail® um – ein ausgefuchstes Netzwerk von Filterservern, das in Sachen Cyberkriminalität automatisch auf dem neuesten Stand ist. Ohne zeitaufwendige externe Updates.

H. Siegert, Infrastruktur und IT-Sicherheit

H. Siegert, Infrastruktur und IT-Sicherheit

1923 fiel der Startschuss für das Unternehmen Elektro Kreutzpointner mit Sitz im oberbayerischen Burghausen. Seitdem hat sich der familiengeführte Betrieb über drei Generationen zu einem der größten bayerischen Elektrounternehmen aufgeschwungen. Zu den Kunden, denen Kreutzpointner auch in IT-Fragen zur Seite steht, zählen öffentliche Einrichtungen, Industrieunternehmen, Büro- und Geschäftshäuser sowie Krankenhäuser und Flughäfen. Und für alle diese Kunden wird ein Thema immer wichtiger: Spam-Nachrichten – die lästigen und ungebetenen E-Mails, die das Postfach verstopfen, Mitarbeiter von der Arbeit abhalten und schlimmstenfalls das Firmennetzwerk mit Viren und Trojanern verseuchen.

Problem: On-Premise-Lösung zwingt zu zeitaufwendigen Anpassungen per Fernwartung

Weiterlesen

Spam- und Virenschutz für Unternehmen: Was macht einen guten Filter-Service aus?


Ransomeware wie Locky oder Jigsaw können großen Schaden in Unternehmen anrichten – sind Sie ausreichend geschützt? Besonders gefährlich macht Schadsoftware aus dem Netz, dass sie immer besser getarnt ist und dadurch zunehmend unbemerkt auf Endgeräte und Datenträger gelangt; um mitunter die gesamte IT-Infrastruktur zur infizieren.  Unternehmen brauchen einen effektiven Filterservice, der am besten eine Kombination aus Virenschutzprogramm und Spamfilter ist und abhängig von der eigenen IT-Infrastruktur funktioniert: Stichwort Cloud-Software. Was einen guten Filter-Service für Unternehmen ausmacht, zeigen wir Ihnen in diesem Ratgeber.

 

Weiterlesen

DDOS-Attacke Teil III – Auswirkung und Abhilfe


Letzter Teil der DDOS-Story:

wie gut hat der böse Plan funktioniert und was konnten wir dagegen tun?

Selbstverständlich haben wir unsere Spamfilter nicht abschalten müssen! 🙂 Trotzdem hat die Attacke für etwas Aufregung gesorgt.

Es zeigte sich ein seltsames Bild auf den SecuMail-Servern:
Kaum Maildurchsatz, ein größer immer werdender Mail-Stau aber nahezu keine Last.
Erst nach einigem Grübeln und einem sehr nützlichem Tool namens TCP-Dump, war es uns dann gelungen die Ursache fest zu stellen:
Die Maschinen langweilten sich untätig, während sie vergeblich auf DNS-Antworten der russischen Fake-Domains warteten.
Nach sehr kurzer Zeit waren alle SecuMail-Prozesse auf diese Weise mit „nichts tun“ beschäftigt, so dass kaum noch eMails ausgeliefert werden konnten.


Kann denn eine DNS-Abfrage den kompletten Betrieb aufhalten?

Nein, so einfach ist das nicht möglich. Aber Kleinvieh macht auch Mist und erst recht haufenweise davon!
Was passierte also genau:

Beim Versuch, alle im Mail-Text enthaltenen Linkurls per DNS aufzulösen, haben die SecuMail Prozesse
nie eine Antwort erhalten und nach ca. 3 Sekunden aufgegeben. Wenn jedoch nicht einmal Fehlermeldungen von DNS-Server zurück kommen, wird dieser als „unerreichbar“ eingestuft und anschließend das Glück beim nächsten, im System eingetragenen DNS-Server versucht, was in diesem Falle natürlich ebenfalls keine Aussichten auf Erfolg haben konnte.
In der Regel sind auf unseren Servern drei DNS-Server eingetragen.

~~~
http://keineantwort.russischedomain.ru
http://auchkeineantwort.russischedomain.ru
http://nieantwort.andere-russischedomain.ru
http://stumm.andere-russischedomain.ru
http://sagkeinwort.andere-russischedomain.ru

~~~

Nach Adam Riese wären das insgesamt:
(durchschnittlich) fünf Link-URLs im Text (siehe oben), für die jeweils drei Nameserver mindestens drei Sekunden lang auf DNS-Antworten warten.
Macht ganze 45 Sekunden Wartezeit pro Mail (!). Damit wäre der langsame Maildurchsatz bei geringer Last erklärt.

Wie haben wir dieses Ungemach bekämpft?
Als erste Sofortmaßnahme haben wir die Anzahl der eingetragenen DNS-Server auf einen reduziert und damit die Wartezeit pro Mail
deutlich reduzieren können. Danach wurde es schwieriger weitere Maßnahmen zu finden. Blacklists oder manuelle Domain-Einträge auf unserem DNS-Server scheideten wegen der großen Anzahl an Einträgen, die nötig gewesen wären, aus. Den „Url-Resolver“ komplett zu deaktivieren kam für uns nicht in Frage, da er als wichtiger Bestandteil der Spam-Erkennung kaum entbehrlich ist.

Die Lösung heißt „negative caching“.
Dabei sollen die Ergebnisse der DNS-Abfragen einfach zwischen gespeichert werden, so dass pro Link-Url nur genau einmal abgefragt werden muss. Leider zeigte sich dabei, dass unsere Nameserver (Bind) trotz aktiviertem negative caching nicht in der Lage waren, durch Timeout abgebrochene Anfragen zu cachen. Das chaching funktioniert nur für regulär erhaltene DNS-Antworten, nicht aber, wenn der DNS-Server nicht antwortet.
Es gibt da auf Linux Systemen jedoch noch einen unscheinbaren Dienst namens nscd (Name Service Caching Daemon), welcher bisher kaum jemals unsere Aufmerksamkeit erregt hatte. Und dieser ist auch in der Lage sich eine zeitlang zu merken, ob ein Server überhaupt antwortet. Weil die Menge der im Text verlinkten Urls nicht unendlich groß sein kann, haben sich selbige nach kurzer Zeit fast vollständig in den NSCD-Caches eingefunden und damit einen Scanvorgang in normaler Geschwindigkeit ermöglicht.

Wenig später waren alle eMails in der Warteschlange abgearbeitet. Abgesehen von der verzögerten Auslieferung haben unsere Kunden nichts von alledem mitbekommen.

Fazit:
Die Bekämpfung von Spam bleibt ein mühsames „Katz und Maus Spiel“.
Mit einem flexiblen und offenen Filter-System in der eigenen Hand, das man zeitig anpassen und erweitern kann, ist man allerdings gut für den Kampf gerüstet.

Viele Grüße
Hannes Wilhelm

DDOS-Attacke Teil II – Funktionsweise und Motivation


Zweiter Teil der DDOS-Story:

Wie hat es funktioniert und wofür machen sich die Spamer nur all die Mühe?

Diese Spam-Attacke kam sogar mehrfach „verteilt“ daher:
Unzählige unerwünschte eMails wurden in üblicher Spam Manier an zahlreiche Adressen unserer Kunden versandt. Klar, dass dabei sowohl Absender-Adressen, als auch die IP-Adressen der Absender, ständig wechselten, um ein leichtes Ausfiltern durch SecuMail an dieser Stelle zu verhindern. Bis hierher sollte sich die Angelegenheit noch nicht weiter vom Alltag eines Spamfilters unterscheiden. Außergewöhnlich war allerdings der Inhalt der eMails:
Neben ein paar Zeilen Random-Text enthielt dieser nämlich eine Reihe von HTML-Links, deren Urls auf seltsame Domains zeigten. Diese Urls waren stets nach folgendem Strickmuster aufgebaut: x743h.russische-domain.ru, wobei „x743h“ als scheinbar zufällige Zeichenkombination den unzähligen russischen Domains, angehängt wurde. Natürlich tauchte dabei kaum eine Kombination mehr als einmal auf, was die manuelle Filterung praktisch ausschließt.

Der böse Plan hinter all dem sah vor, dass die Nameserver, auf welchen die russischen Domains gehostet wurden, so eingestellt waren, dass Anfragen auf Sublevel-Domains nie beantwortet wurden. Das bedeutet wiederum, dass jede Anfrage in einem DNS-Timeout endet. Ein guter Spamfilter untersucht jedoch alle Links, die er im eMail-Text findet und prüft, ob diese im DNS aufgelöst werden können oder ob es sich um bekannte Spam-Urls handelt.
Ziel des Plans war also, dass die Filterserver während der Untersuchung der eMails extrem viele DNS-Abfragen tätigen müssen, um sie dabei auch noch möglichst lange hinhalten zu können. Die extreme Häufigkeit dieser Wartezeiten sollte dann für einen Stillstand der eMail-Verarbeitung sorgen.
Auf derartige Ausfälle bei der eMail Zustellung reagieren Administratoren dann in der Regel mit dem kleineren Übel, nämlich mit dem Abschalten der Spam-Filter Funktion. Und damit hätte der Spamer freie und ungebremste Fahrt, direkt in die Postfächer der Adressaten – unserer Kunden!

Ob und wie dieser Plan zum Erfolg führte, erfahren Sie im dritten Teil.

Viele Grüße

Hannes Wilhelm

DDOS – SecuMail und die Distributed-Denial-of-Service-Attacke


Teil I

Anfang Juni dieses Jahres wurden die SecuMail Server – so wie vermutlich alle schlaueren Spamfilter – Opfer einer DDOS Attacke.
Wenngleich sich der entstandene Schaden im Fall SecuMail auf lediglich wenige Stunden mit stark verzögerter Auslieferungszeit beschränkt hat, ist es doch ein interessanter und erwähnenswerter Fall.

Weil ich Ihnen nicht zu viel Stoff auf einmal zumuten möchte, kommt die ganze Story auf drei Einträge verteilt in den „Vernetzte-Welt-Cast“. Dies ist der erste Teil.

Was ist eine DDOS-Attacke überhaupt?
Bei einer sog. Distributed-Denial-Of-Service Attacke (zu deutsch: Verteilter Dienst-Verweigerungs Angriff) wird ein Dienst im Internet von einer Vielzahl anderer, im Netz verteilter Rechner zeitlich koordiniert, mit derart vielen und oder aufwändig zu bearbeitenden Anfragen belastet, so dass er deren Abarbeitung nicht mehr bewältigen kann und damit zwangsläufig auch reguläre Anfragen nicht mehr beantwortet werden können. Auf diese Weise können böse Häcker nahezu beliebige Webpräsenzen oder Web-Dienste zeitweise vom Netz nehmen. Einen einfachen Schutz gibt es nicht.

Genau so etwas ist mit unserem Antispam-Service SecuMail versucht worden.

In den kommenden beiden Teilen beschreibe ich die Funktionsweise und Motivation des Angriffes bzw. die Auswirkung und Gegenmaßnahmen.

Viele Grüße
und bis bald

Hannes Wilhelm

Spam lohnt sich!


Was bringt den Spamer dazu, immer wieder aufs neue gegen die Phalanx der neusten Anti-Spam Techniken anzutreten, um für einen kurzen Zeitraum mühsam ein paar eMails an den Filtern vorbei in die Mailbox des immer wachsameren eMail-Benutzers zu schleusen, der sie anschließend durch einen Mausklick und ungelesen und den Papierkorb schickt?
Wozu der Aufwand?
Spam

Mittlerweile sind außerdem fundierte technische Kenntnisse, sowie ein zur Verfügung stehendes Bot-Netz nötig, um unerwünschte Werbe-eMails in nennenswert großer Menge absetzen zu können.

Die Motivation, die dahinter steckt ist nach wie vor Folgende:

Spam ist (und bleibt) einfach ziemlich rentabel.

Zum einen liegt das an der immer noch verhältnismäßig kostengünstigen Verteilung der  Werbeinformation, die üblicher Weise auch gleich eine bequeme Möglichkeit zur Kontaktaufnahme beinhaltet. Zum anderen gibt es immer noch  bei weitem genügend Anwender, die solche unseriösen Angebote nutzen oder sich diesbezüglich zumindest ungünstig verhalten.

Wir sind selbst schuld?

Potenzspam Laut der Ergebnisse einer Studie der  Messaging Anti-Abuse Working Group (MAAWG) haben mehr als die Hälfte der Internet-Nutzer (57%) zugegeben, gelegentlich Spam-Mails zu öffnen, weiterzuleiten oder auf URL in Spam-Mails zu klicken.
Ungefähr jedem zweiten dieser Gruppe war dabei völlig bewusst, dass es sich hierbei um ein unseriöses Angebot handelt.

Es hat sich also trotz vieler Warnungen und ausgereifteren Sicherheitsvorkehrungen kaum etwas am unvernünftigen Umgang mit Spam geändert.

Scheinbar wird auf alles geklickt, das viel versprechend aussieht.

Viele Grüße

Hannes Wilhelm

WorNet AG
SecuMail Entwicklung

Wieder mehr Spam-Aufkommen trotz McColo-Schließung


Kurz:

  • Anzahl der unerwünschten eMail-Nachrichten wächst kontinuierlich
  • Spamaufkommen erreicht bald wieder den Allzeit-Höchstwert von 2008
  • Nachdem Ende 2008 mit McColo der weltweit größte Spam-Versender geschlossen wurde, konnte man auf der ganzen Welt eine dramatische Verringerung der versendeten Spams beobachten. Leider freute man sich damals etwas zu früh, denn seither steigt das Spamaufkommen wieder kontinuierlich an. In Kürze werden die alten Höhen von 2008 sogar noch übertroffen werden.

    Nie war der Anteil der erwünschten eMail kleiner.
    Derzeit werden nur ca. 3,5% der von SecuMail® verarbeiteten eMails als „erwünscht“ eingestuft und zum Empfänger duchgestellt.

    Mehr zum SecuMail Anti-Spam-Service.

    Ihr Hannes Wilhelm.

    Wir schenken Ihnen 33 Stunden pro Jahr und Mitarbeiter


    Hallo liebe Geschäftsfreunde und -partner,

    neulich hat uns ein Kunde angerufen und gesagt: „Gestern haben wir WorNet SecuMail AntiSpam aktiviert – jetzt kommen ja gar keine eMails mehr an!“ Zufällig hat er in diesem Zeitraum keine normalen eMails bekommen – er war aber gewöhnt trotzdem immer Spam-eMails zu bekommen – und der kommt halt jetzt nicht mehr. „Das geht ja wirklich überraschend gut!“ war sein abschließender Kommentar.

    Wir schenken Ihnen 33 Stunden pro Jahr und Mitarbeiter! Wie? Indem wir Sie und Ihre Mitarbeiter davon befreien, täglich Spam löschen zu müssen. Und Sie haben keine Arbeit damit, denn unser Service läuft komplett über unsere Server. Ihre eingehenden Mails müssen einmal durch die Prüfung dort und gehen dann an ihren bisherigen Mail-Server, an dem nichts geändert werden muss. Wir halten alles am Laufen, wir spielen das „Katz-und-Maus-Spiel“ mit den Spam-Versendern.

    Das ist besonders interessant für Firmen mit mehreren Mitarbeitern, eigener eMail-Domain und erst recht mit eigenem Mail-Server.

    Wie immer bei WorNet mit persönlicher Betreuung durch unsere Experten – wir sind kein Massenbetrieb.

    Mehr dazu finden Sie hier.

    Vernetzte Grüße,

    Dirk Steinkopf
    Vorstand WorNet AG, CEO