Suchen

Gefährlicher Anhang

Die E-Mail als Schadcode-Träger

Seite: 2/2

Firmen zum Thema

Dokument-Exploits führen schnell zum Erfolg

Wie schon erwähnt, ist die Zahl solcher Attacken über infizierte Anhänge von E-Mails in den letzten Jahren angestiegen. Ein Grund hierfür liegt in der zunehmenden Programmierfreundlichkeit von Makros. So wird es immer einfacher, Malware als Teil eines PDF, einer Excel-Tabelle, eines Word-Dokuments oder auch einer Power Point-Präsentation zu tarnen.

Am häufigsten nutzen Angreifer derzeit PDF-Dokumente und MS-Office-Dateien. Auf Bilddateien wird momentan seltener als Übertragungsmedium zurückgegriffen. Dies hängt jedoch nur mit der derzeitigen Popularität von PDFs und MS-Office sowie der ungenügenden Kompatibilität von Bilddateien, deren Umfang, nach dem Einbau von Exploit oder Shellcode, so sehr ansteigt, dass der Missbrauch offen zu Tage tritt, zusammen. Mit der Weiterentwicklung der Software ist deshalb mit einer breiten Fächerung möglicher Übertragungsmedien zu rechnen.

Ein anderer Grund für die wachsende Zahl infizierter E-Mail-Anhänge ist dem Umstand geschuldet, dass solcherart aktivierte Malware kaum in der Auslastung der CPU zu Buche schlägt und nur deshalb schwer auszumachen ist. Die IT-Sicherheitsabteilung des Bundestages musste dies auf die schmerzvolle Art erfahren – in wachsender Zahl aber auch deutsche Unternehmen. Abhilfe kann eine Kombination aus Schadcode-Emulation und –Extraktion schaffen.

Emulation und Extraktion von eingebettetem Code

Bei der Threat Emulation wird ein Gateway vorgeschaltet, in dem die Anhänge sämtlicher eingehender E-Mails auf Schadcode geprüft werden, bevor sie dem eigentlichen Empfänger zugestellt werden. Das Gateway zeigt dabei jede Schadsoftware an, egal ob diese bekannt oder unbekannt ist.

Threat Emulation soll alle Bedrohungen daran hindern, ins Netzwerk einzudringen. Hierfür werden die Anhänge mit ihren Dokument-, Tabellen-, Bilddateien werden in der sicheren Umgebung des Gateways aktiviert und auf schädliche Funktionen getestet – ohne, dass das Netzwerk infiziert werden kann.

Threat Extraction eliminiert Bedrohungen von Microsoft-Office- und PDF-Dokumenten. Sie extrahiert jeden Code-Schnipsel, der eine Bedrohung darstellen könnte, z.B. Makros, eingebettete Objekte und Dateien sowie externe Links. Dieser Prozess verläuft so schnell, dass der Endnutzer praktisch keine Zeitverzögerung beim E-Mail-Empfang wahrnehmen kann.

Je nach Lösung ist es dann noch möglich, dem Anwender die Mail zuzustellen – samt der Meldung, dass die ursprüngliche E-Mail einen Anhang enthielt, der als unsicher eingestuft und deshalb gereinigt wurde. Möchte der Empfänger sich dennoch das Original ansehen, dann kann er den blockierten Anhang in einer gesicherten Umgebung öffnen und ansehen. Manch eine Lösung ist sogar in der Lage, nicht nur E-Mail-Anhänge, sondern auch Downloads aus dem Internet vor ihrem Eindringen in das Netzwerk auf Schadcode zu überprüfen.

* Orli Gan ist Produkt Marketing Manager bei Check Point Software Technologies.

(ID:43545115)