SOC_CSOC_Cyber Security Operations Center synalis dhpg Bonn

CSOC-Event der Woche KW38: Bösartige E-Mails

KW38: CSOC-Event der Woche – Bösartige E-Mails

Durchschnittliche CSOC-Gesamtevents pro Tag:    35.225
Detektionshäufigkeit:      227

Eventbeschreibung Bösartige E-Mails  / Kritikalität = hoch (10 / 10)

In dieser Woche berichten wir über ein Event, das potenziell überall auftreten kann, wo mit E-Mails gearbeitet wird. Genauer gesagt geht es um die E-Mail-Anhänge, die gelegentlich als Spam in den Postfächern landen. Wir verzeichnen eine hohe Anzahl an verschickten Spam-Mails mit schädlichen Dateianhängen – Tendenz steigend.

Zu den schädlichen Dateianhängen zählt prinzipiell alles, was im Rahmen von Spam verschickt wird. Dies können zum Beispiel Word-Dokumente (.doc, .docx, .docm), PDF-Dateien, ausführbare Anwendungen (.exe, .msi) oder auch Bilddateien (.jpg, .png) sein. Im Zweifel kann es beim Öffnen der Datei bereits zu einer Infektion des Systems kommen. Wir raten dazu – insbesondere bei E-Mails mit Anhängen – diese vorab auf Plausibilität zu überprüfen. Von wem kommt die E-Mail? Erwarte ich die anhängende Rechnung?

Technische Darstellung: Bösartige E-Mails

Im Fall des von uns untersuchten Anhangs werden gleich mehrere schädliche Applikationen ausgeführt. Hat der Virenscanner hier nicht bereits Alarm geschlagen, prüft das Virus ob er sich in einer Testumgebung befindet – dazu zählen Entwicklungsumgebungen (Debugger) und virtuelle Maschinen. Ist dies nicht der Fall, werden zunächst eine PDF-Datei und eine .exe-Datei erzeugt, mit deren Hilfe http-Verbindungen aufgebaut werden, um weiteren Schadcode nachzuladen. Zusätzlich wird ein Keylogger gestartet und eine Verbindung zu einem C&C-Server aufgebaut.