Ankündigung

Einklappen
1 von 3 < >

On-Premise Sandboxing mit Symantec Content Analysis – Dynamic Sandboxing

Wer seine verdächtigen Dateien ohne Gefahr und ausführlich untersuchen möchte, kann dies nun über die On-Premise Sandbox mit Symantec Content Analysis – Dynamic Sandboxing machen.

https://www.niwis.com/forum/forum/bl...mic-sandboxing
2 von 3 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
3 von 3 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
Mehr anzeigen
Weniger anzeigen

Neuartiger Phishingtrick

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Neuartiger Phishingtrick

    Hi zusammen,
    bei uns ist letzte Woche ein neuer Phishingtrick aufgetaucht. Eine Mail nur mit einem HTML-File als Anhang.

    Beim Starten des Files erhält man folgendes Fenster:
    Klicke auf die Grafik für eine vergrößerte Ansicht  Name: Phishing 1.jpg Ansichten: 0 Größe: 13,0 KB ID: 36358

    Sofern man auf View Document klickt erscheint folgendes Fenster, nach der Eingabe irgendeines Passwortes erhält man die Meldung dass die Zeit abgelaufen sei.

    Klicke auf die Grafik für eine vergrößerte Ansicht  Name: phishing 2.png Ansichten: 0 Größe: 42,1 KB ID: 36359

    Die Meldung mit der abgelaufenen Session erscheint jedesmal, bei Sign-In wird dennoch das Passwort an eine externe Seite übermittelt. Dies ist leider sehr raffiniert gemacht.

    Symantec erkennt diesen Trick nicht. Ist etwas derartiges bei euch auch schon aufgetaucht? Gibt es eine Möglichkeit, dass Symantec dies blockt?

    Die HTML-Datei ist im ZIP-File.

    #2
    Habe die Datei schon bei Symantec Security Response hochgeladen. Würde euch bitten, das gleiche zu tun.

    https://submit.symantec.com/websubmit/retail.cgi

    Kommentar


      #3
      Über die Blacklist Policy der Cloud Konsole den Hash Wert der Datei eingeben, wäre der einfachste Weg. Den Hashwert bekommt man auch zurück gemailt wenn man die Datei an Symantec Security Response geschickt hat.

      Klicke auf die Grafik für eine vergrößerte Ansicht

Name: blacklist.JPG
Ansichten: 35
Größe: 35,4 KB
ID: 36362

      Kommentar


        #4
        Hallo Manuel,

        Der Hashwert bringt nichts, da jede Datei anders aussieht, da jeweils die E-Mailadresse eingefügt ist.

        Es geht mir auch nicht um genau diese Datei sondern um weitere auch ähnliche die folgen können.

        Kommentar


          #5
          Ich habe die Datei ebenfalls bei Symantec hochgeladen und bekam hier folgendes Ergebnis:
          1. Docu8901.html - Phish. It is not malicious itself, but may attempt to obtain sensitive information.
          Tja ... schade ...

          Kommentar


            #6
            Das Problem ist, dass Symantec Endpoint Protection nur bedingt gegen Phishing Angriffe schützt. Dafür sind die Mail Security Produkte besser geeignet. (z. B. Symantec Messaging Gateway). Wenn diese Produkte eine phishing Mail nicht erkannt haben, sollte diese ebenfalls an Security Response gesendet werden.

            Falls jemand Messaging Gateway im Einsatz hat, könnte dieser Artikel hilfreich sein.



            Kommentar


              #7
              Tja das ist leider die falsche Baustelle, das ist mr klar ;-(. Zum Glück wurde diese Phishingmail von einem gaaaaanz externen unbekannten Absender verschickt. Sollten jedoch derartige Phishingmails von angeblich eigenen Mitarbeitenden oder von gephishten Konten aus versendet werden haben wir ein grosses Problem ...

              Kommentar


                #8
                Habt ihr mal versucht, den Traffik über Wireshark zu analysieren? Vielleicht kann die Custom IPS hiewr ewtas erreichen. Mit Application Control kann wohl nichts erreicht werden, oder?

                Kommentar


                  #9
                  Hallo Ulf,
                  die Datei wurde durch SWITCH analysiert, laut deren Test in einer Sandbox war der Server nicht verfügbar. Es geht mir hier nicht um dieses File sondern um neue welche eventuell kommen werden.

                  Bislang sage ich den Mitarbeitenden dass sie sich nicht auf fremden Seiten anmelden sollen aber mit ein bisschen Feintuning vor allem im Anschreiben wird dies richtig gut aussehen. Und vor allem wenn es von bekannten Adressen versendet wird schwarnt mir übles ...

                  Ich denke das dieses Thema auch allgemein interessant ist denn Phishing wird wohl überall eine Rolle spielen.
                  Zuletzt geändert von GResch; 26.03.2019, 16:03.

                  Kommentar


                    #10
                    Ja, deshalb kann evtl. eine Custom Intrusion Prevention helfen. Evtl. auch eine Application Control Regel, aber nur wenn eine Datei geschrieben/gelesen wird, welche eindeutig über eine regular Expression wiedererkannt werden kann.

                    Kommentar


                      #11
                      Hallo Ulf,
                      zum Analysieren eventueller neuer Attacken fehlt uns die Zeit sowie auch das Know-How. Wenn wir sie bei uns entdecken sind sie ja im Normalfall schon in vielen anderen Postfächern. Eine Regel wäre hier daher gewiss viel zu unflexibel.

                      Kommentar


                        #12
                        ich habe schon eine Regel gemeint, welche nicht nur den o. a. Fall verhindert, aber auch mir fehlt die Zeit, deshalb die Ideen. Z. B. kann mit einer Application Control Regel outlook.exe untersagt werden, html Dateien zu schreiben, oder es findet sich im Netzwerkverkehr eine eindeutige Zeichenkette, welche für eine Custom Intrusion Prevention verwendet werden kann.

                        Kommentar

                        Lädt...
                        X