Spam+malware van copier@ jouwbedrijf.nl
Deze mails, die lastig te onderscheiden zijn van een echte mail van bijv. copier@ of scanner@ bevatten een kwaadaardige bijlage. Momenteel zijn dat meestal .doc bestanden met macro's erin - maar andere bestandsformaten zijn ook denkbaar. Het kan ook zijn dat je wordt verzocht te klikken op een kwaadaardige link in de e-mail.
Wees dus s.v.p. heel voorzichtig met e-mail schijnbaar afkomstig van:
• copier@[bedrijf-waar-je-werkt].[TLD]
• scanner@[bedrijf-waar-je-werkt].[TLD]
• fax@[bedrijf-waar-je-werkt].[TLD]
vooral als je zo'n mail niet verwacht.
Nb. De laatste tijd zie ik regelmatig van dat soort malware die, de eerste uren na verzending, nog door geen enkele virusscanner wordt herkend.
Bronnen:
(Engels): http://myonlinesecurity.co.uk/scanned-image-from-copiervictimdomain-tld-word-doc-malware/
(Duits): http://www.heise.de/security/meldung/Aktuell-im-Umlauf-Trojaner-Mail-im-Namen-des-Kopierers-verschickt-3088536.html
Voor andere soort malware kun je soortelijke maatregelen nemen: blokkeren van uitvoerbare bestanden. Die bestanden kunnen in archiefbestanden zijn verpakt. Je scanner dient in staat te zijn uitvoerbare bestandstypen te herkennen in allerlei archiefbestanden, zoals ZIP, jar, rar, ace, arj.
Sommige bestandstypen zijn te herkennen aan de header. Zo begint een Windows PE executable met de letters MZ en de letters PE op een bepaalde positie. Andere typen bestanden hebben geen header en moeten worden geclassificeerd op inhoud. Voorbeelden zijn scripts zoals JavaScript, VB Script. Die zijn o.a. herkenbaar aan functieaanroepen.
Daarnaast kun je ook op bestandsextensie blokkeren. Dat is geen alternatief voor bestandsidentificatie; de methoden vullen elkaar aan. Dat is ook zo voor het blokkeren van bepaalde veel voorkomende kwaadaardige dubbele extensies.
Een speciaal type dreiging is een mso MIME bestand. Dat is een MIME bericht met erin, als bijlage, een ActiveMime file. In die ActiveMime file kan een Office macro worden ondergebracht. Deze methode wordt actief gebruikt. Veel scanners zijn niet in staat deze methode te herkennen of te decoderen. Daarbij komt dat Microsoft Word bestanden als MIME herkent die dat volgens de regels (RFC's) niet zijn. Daardoor worden nog meer scanners omzeild. Dat soort technieken heten "bypass exploits".
Anti-spoofing is toepasbaar als extra beveiligingslaag, maar dat is geen oplossing van het onderliggende probleem. Anti-spoofing kijkt of een afzender een verzender IP gebruikt buiten het eigen netwerk terwijl het eigen domein als afzender wordt gebruikt. Dat gebeurt in principe tijdens een SMTP sessie, dat zie je niet als ontvanger. Deze anti-spoofing methode kan makkelijk worden omzeild omdat er meestal niet wordt gecontroleerd op afzender domeinen in from/sender headers, die de gebruiker wel ziet. Dus de anti-spoofing moet werken op SMTP sessie niveau en op SMTP header niveau.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.