2.500 E-Mails, keine davon infiziert: So effizient sind EX und ETP

Aktuelle Sicherheitsprodukte sind gut genug, um alltägliche Spamkampagnen wie beispielsweise den Nigerianischen Prinzen nicht länger relevant werden zu lassen. Dennoch finden Angreifer Mittel und Wege, diese Maßnahmen zu umgehen und im großen Stil E-Mails mit gefährlicher Malware in fremden Netzwerken zu verbreiten.

Die FireEye-Produkte EX und ETP sind auf diese Arten von fortschrittlichen E-Mail-Bedrohungen abgestimmt. Denn wenn herkömmliche Technologien versagen, sind FireEye EX und FireEye ETP in der Lage, großangelegte Spamkampagnen erfolgreich zu verhindern.

Erst kürzlich konnten wir eine umfangreiche und ausgeklügelte Spear-Phishing-Attacke beobachten: Inhalt des Cybervorfalls waren knapp 2.500 mit Malware infizierte E-Mails pro Stunde, die die eingesetzten Anti-Spam-Technologien umgingen und erst von ETP gestoppt werden konnten. Zum Vergleich: Üblicherweise identifizierten unsere Lösungen etwa 50 bis 60 bösartige E-Mails pro Stunde, die weder von Anti-Spam noch Antivirus erkannt wurden. Vereinzelte Spitzenwerte lagen bei 250 E-Mails pro Stunde.

Die Angreifer griffen auf verschiedene Methoden und Techniken sowie hochgradig verteilte Strukturen zurück, um die eingesetzten Anti-Spam-Maßnahmen zu umgehen. Dieses Vorgehen lässt auf einen genau geplanten Angriff der Cyberkriminellen schließen.

Die verteilten Strukturen lassen sich aus der Zahl der verwendeten IPs, die der Spamschutz-Anbieter feststellen konnte, folgern. Demzufolge waren 1.976 unterschiedliche IPs an dieser Attacke beteiligt. Der Schluss liegt nahe, dass die Angreifer über ein eigenes Botnetz verfügten oder ein Auto-Mailer-System (auf Source Code-Ebene) kompromittiert hatten, um darüber die Nachrichten zu verschicken.

Ein Grund für die Effizienz der Attacke – und der Grund, warum herkömmliche Technologien umgangen werden konnten – ist die Menge an E-Mails, Quellen und Betreffzeilen, die nicht einfach zu filtern waren. Das Muster war für unsere Analysten leicht nachzuverfolgen. Die große Zahl der Hostsites, von denen die Payload heruntergeladen wurde, zeigt jedoch den beträchtlichen Aufwand, der hinter diesem Angriff steckte.

Es ist anzunehmen, dass der Angriff vorab geplant war und im Zuge einer vorangegangenen politischen Ankündigung der Stadt durchgeführt wurde.

Manchmal ist Spam einfach nur ein Ärgernis. Derartig fortschrittliche, großangelegte und zielgerichtete Spear-Phishing-Attacken können aber auch besonders gefährlich werden. Denn nur eine Person, die kompromittiert wird, ist nötig, um die gesamte Organisation einem Risiko auszusetzen.

In diesem speziellen Fall hätte nur jemand den Anhang der E-Mail öffnen oder per Link eine ZIP-Datei herunterladen müssen und schon wäre das Konto – und kurz darauf das gesamte Netzwerk – mit Malware infiziert gewesen. Ohne den Einsatz von FireEye EX und ETP hätte diese Attacke wohl nicht gestoppt werden können.

Die FireEye EX und ETP-Produkte sind entscheidend, wenn es um den Schutz vor E-Mail-Attacken geht. Sie sichern die Netzwerke, die durch herkömmliche, signaturbasierte Verteidigungsmaßnahmen wie Antivirus und Spam-Filter nicht geschützt werden können. Weiter sind die Produkte in der Lage, verdächtige Anhänge und eingebettete URLs in einer sicheren Umgebung auf Schadcode zu prüfen und zu analysieren sowie schädliche Aktivitäten zu unterbinden. Dadurch können Organisationen Bedrohungen durch E-Mails verhindern, erkennen und stoppen. Weitere Informationen zu den E-Mail-Lösungen von FireEye finden sich hier