image

Meeste besmette e-mails bevatten zip-bijlage

donderdag 18 augustus 2016, 14:28 door Redactie, 7 reacties

De meeste kwaadaardige e-mails die in het tweede kwartaal van dit jaar internetgebruikers met malware probeerden te infecteren maakten hiervoor gebruik van zip-bestanden. Dat blijkt uit kwartaalcijfers van het Russische anti-virusbedrijf Kaspersky Lab.

Van april tot en met juni ging het om miljoenen zip-bijlagen waarin malware zat verstopt, voornamelijk downloaders die ransomware op computers installeren. In de eerste weken van juni was er echter een daling van het aantal e-mails met besmette zip-bestanden. De oorzaak bleek te liggen in de inactiviteit van een botnet dat veel voor dergelijke spam wordt gebruikt. Eind juni werd het botnet weer operationeel wat te zien is in een stijging van het aantal besmette e-mailbijlagen. Naast de tijdelijke inactiviteit noemt Kaspersky het opvallend dat kwaadaardige zip-bijlagen niet in het weekend worden verstuurd.

Vanwege het risico op ransomware gaf beveiligingsbedrijf Dell SecureWorks vorig jaar het advies aan organisaties om archiefbestanden zoals zip te blokkeren. Wolfgang Kandek, CTO bij beveiligingsbedrijf Qualys, liet eerder nog aan Security.NL weten dat e-mailproviders standaard zip-bijlagen zouden moeten blokkeren om zo gebruikers tegen malware te beschermen.

Image

Reacties (7)
18-08-2016, 15:29 door Anoniem
"Vanwege het risico op ransomware gaf beveiligingsbedrijf Dell SecureWorks vorig jaar het advies aan organisaties om archiefbestanden zoals zip te blokkeren."

Wat een flut advies zeg! Is dat alleen maar om te verbergen dat het product niet in staat is om in zip bestanden te kijken
en deze alleen onder bepaalde criteria toe te laten?

"XYZZY security geeft organisaties het advies de internet verbinding inclusief mail af te sluiten om de gebruikers te
beschermen tegen malware"
18-08-2016, 18:13 door Anoniem
Tja, wat moet je hier mee... Zip blokkeren heeft ook geen zin, dan maar Sandboxen.
18-08-2016, 19:58 door Anoniem
Over kwartaalkwartetten gesproken, Maria Garnaeva heeft er in ieder geval wat versterking bij gekregen met 4 nieuwe collega's.
Nieuwe wind bij kaspersky?

Helaas is er geen statistiek te vinden naar documentsoort.
Docx bestanden zijn natuurlijk ook zip bestanden en komen eveneens veel voor.
Misschien wel steeds meer.
18-08-2016, 23:39 door Anoniem
In quarantaine zetten van berichten die ZIP, RAR en Gzip attachments (via file typing) die recursief bestanden met een exectuable extensie bevatten is de beste methode. De recent meest voorkomende executable extensies zijn: exe, scr, js, wsh, hta en jse. Er zijn er veel meer.

Naast rar komt ook xz, 7z, gzip voor als extensie bij RAR format bestanden.

Naast ZIP bestanden komen ook js en doc veelvuldig voor als attachment extensie. Macro malware maakt recent weer een vernieuwing door met andere methoden om executables uit te voeren, zoals het uitvoeren van Script code (b.v. JavaScript) vanuit een macro.

Docx en Jar hebben wel het ZIP format, maar die moeten anders worden behandeld door een scanner.

In het weekend wordt er relatief veel phishing verstuurd.
19-08-2016, 09:13 door Anoniem
Door Anoniem: In quarantaine zetten van berichten die ZIP, RAR en Gzip attachments (via file typing) die recursief bestanden met een exectuable extensie bevatten is de beste methode.

Nou dat is een beetje een naieve methode. Een goede methode is om niet alleen naar extensies te kijken maar ook naar
de bestanden zelf. Aan het begin van het bestand is meestal wel af te leiden wat voor soort bestand het is.
"ik heb deze .exe even gerenamed naar .jpg anders houdt jullie scanner hem tegen" dat werkt dan niet.
20-08-2016, 02:41 door Anoniem
Door Anoniem:
Door Anoniem: In quarantaine zetten van berichten die ZIP, RAR en Gzip attachments (via file typing) die recursief bestanden met een exectuable extensie bevatten is de beste methode.

Nou dat is een beetje een naieve methode. Een goede methode is om niet alleen naar extensies te kijken maar ook naar
de bestanden zelf. Aan het begin van het bestand is meestal wel af te leiden wat voor soort bestand het is.
"ik heb deze .exe even gerenamed naar .jpg anders houdt jullie scanner hem tegen" dat werkt dan niet.

Het is een slimme methode. Je kunt een bestand met een verkeerde extensie niet uitvoeren. In de praktijk blijkt het klikvolk het uit te voeren. Als het niet lukt, gaan ze echt niet een bestand hernoemen. De meesten weten niet eens hoe dat moet.

Je voorbeeld laat ook zien dat je je iets te ver op het pad van BofH begeeft. Het zijn niet de gebruikers die je moet dwarsbomen, maar de criminelen die malware sturen. Er zijn overigens talloze methode om executables of welk bestand dan ook naar binnen te smokkelen als je dat zou willen, het tegenhouden op content gaat daar niet bij werken.
20-08-2016, 19:10 door Anoniem
Door Anoniem: Tja, wat moet je hier mee... Zip blokkeren heeft ook geen zin, dan maar Sandboxen.
zip blokkeren geen zin ? Welke fucking randdebiel verstuurt nu nog zips via mail ? En wel oetlul opent die rotzooi nog ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.