Das Problem Emotet: Rspamd und Oletools

Das Problem Emotet: aktive Elemente beim Dateiaustausch (und die Lösung mit Rspamd)

Die Schlagzeilen kennt jeder: Ein Gericht, verschiedene Behörden, Universitäten und Unternehmen wurden von einem Virus befallen, der in Word-Dateien lauerte. Die genutzten Angriffsvektoren sind über 20 Jahre bekannt – warum also ist es immer noch ein Problem?

Doch es geht nicht nur um Microsoft Word. Erstaunlich viele Dateitypen erlauben aktive Inhalte, die beim Öffnen der Datei ausgeführt werden. Und überhaupt – wie schaffen es die Spammer immer wieder, dass die schädlichen Dateien, allen Warnungen zum Trotz, geöffnet und aktiviert werden?

Wie kann die Infiltrierung eines Netzwerkes verhindert werden? Kann ich mit Anti-Virus-Lösungen, Analyse oder einer Sandbox Angriffe verhindern? Oder muss strikt blockiert werden?

Der Vortrag gibt einen Einblick in die Technik der dynamischen Makro-Viren, das Problem aktiver Inhalte an sich und die Möglichkeiten, sich davor zu schützen - auch in Zukunft. Dabei schauen wir auch auf die Reaktion der Angreifer auf verschiedene Abwehrmechanismen. -- Unsere Lösung heißt dabei Rspamd und Oletools. Mit unserem Wrapper olefy verbinden wir das führende Anti-Spam und E-Mail Framework Rspamd mit dem SIEM Tool Oletools. Im Vortrag zeigen wir wie Oletools arbeitet und wie wir das Ergebnis im Rspamd verarbeiten. Außerdem geben wir einen Ausblick auf neue Entwicklungen und Ideen Spam und Viren noch besser erkennen zu können.

Referent:

Carsten RosenbergCarsten Rosenberg ist seit 2017 Senior Linux Consultant bei Heinlein Support und betreut größere Mailserver-Installationen unserer Kunden. Damit gehören Postfix und Dovecot und vor allem E-Mail-Sicherheit zu seinen Lieblingsthemen. Im Rspamd-Projekt entwickelt er eigene Plugins und Erweiterungen. Außerdem ist er als Dozent für unsere Akademie tätig.