fixed typos in recent blogpost
ci/woodpecker/push/woodpecker Pipeline was successful
Details
ci/woodpecker/push/woodpecker Pipeline was successful
Details
parent
6271cc50b6
commit
4f1455a95d
|
@ -12,14 +12,14 @@ einfach. Am besten lässt es sich an einem Beispiel verstehen:
|
||||||
|
|
||||||
## 1. Stufe - Seltsame E-Mail
|
## 1. Stufe - Seltsame E-Mail
|
||||||
Der Benutzer hat diese Mail bekommen:
|
Der Benutzer hat diese Mail bekommen:
|
||||||
[![E-Mail mit HTML anhang](/img/blog/2023-08-28-email.png)]
|
![E-Mail mit HTML anhang](/img/blog/2023-08-28-email.png)
|
||||||
Die meisten Benutzer werden diesen Anhang vermutlich öffnen, da sie nichts verwerfliches daran sehen.
|
Die meisten Benutzer werden diesen Anhang vermutlich öffnen, da sie nichts verwerfliches daran sehen.
|
||||||
|
|
||||||
## 2.Stufe - Download der Datei aus dem Browser
|
## 2.Stufe - Download der Datei aus dem Browser
|
||||||
Das öffnen der Datei führt dann zu dieser Seite:
|
Das öffnen der Datei führt dann zu dieser Seite:
|
||||||
[!["Secure File" Portal](/img/blog/2023-08-28-securefileportal.png)
|
!["Secure File" Portal](/img/blog/2023-08-28-securefileportal.png)
|
||||||
In diesem Beispiel ist die HTML-Seite bewusst sehr einfach gehalten und nicht obfuscated oder anderweitig
|
In diesem Beispiel ist die HTML-Seite bewusst sehr einfach gehalten und nicht obfuscated oder anderweitig
|
||||||
odifiziert. Auf dieser Seite könnten ggf. auch Instruktionen zum weiteren Verfahren sein.
|
modifiziert. Auf dieser Seite könnten ggf. auch Instruktionen zum weiteren Verfahren sein.
|
||||||
|
|
||||||
## 3.a Stufe - Entblocken
|
## 3.a Stufe - Entblocken
|
||||||
Wenn das Attachment auf einem Windows-Computer geöffnet wurde und ein Microsoft Office-Dokument ist, muss - je nach
|
Wenn das Attachment auf einem Windows-Computer geöffnet wurde und ein Microsoft Office-Dokument ist, muss - je nach
|
||||||
|
@ -31,7 +31,7 @@ ausführbar sein soll.
|
||||||
|
|
||||||
## 3.b - Dateien sind lokal auf dem Computer
|
## 3.b - Dateien sind lokal auf dem Computer
|
||||||
Bei Dateitypen, die keiner so starken Absicherung unterliegen, oder bei Systemen, die dieses Prinzip der Absicherung
|
Bei Dateitypen, die keiner so starken Absicherung unterliegen, oder bei Systemen, die dieses Prinzip der Absicherung
|
||||||
nicht nutzen, steht die Datei im vollen Umfang zur verfügung. Wird der Benutzer jetzt dazu angeleitet, die Warnung
|
nicht nutzen, steht die Datei im vollen Umfang zur Verfügung. Wird der Benutzer jetzt dazu angeleitet, die Warnung
|
||||||
gegen das Ausführen von aus dem Internet heruntergeladenen Dateien zu ignorieren (oder diese wird umgangen), kann
|
gegen das Ausführen von aus dem Internet heruntergeladenen Dateien zu ignorieren (oder diese wird umgangen), kann
|
||||||
Schadcode ausgeführt werden. Da die Datei auf dem Rechner selbst generiert wird und nicht aus dem Internet kommt,
|
Schadcode ausgeführt werden. Da die Datei auf dem Rechner selbst generiert wird und nicht aus dem Internet kommt,
|
||||||
greifen auch viele Antivirus/EDR-Tools nicht unbedingt ein.
|
greifen auch viele Antivirus/EDR-Tools nicht unbedingt ein.
|
||||||
|
@ -41,10 +41,10 @@ Nachdem die Malware an den Netzwerk - und manchen Endpoint - angekommen ist und
|
||||||
ausgeführt wurde, kann der Computer übernommen werden und sich weiter im Netzwerk verbreitet werden.
|
ausgeführt wurde, kann der Computer übernommen werden und sich weiter im Netzwerk verbreitet werden.
|
||||||
|
|
||||||
## Wie funktioniert es?
|
## Wie funktioniert es?
|
||||||
Web- und Emailfilter (Proxy, Gateway, File inspection etc) führen in der Regel keine dynamische Analyse von Dateien
|
Web- und Emailfilter (Proxy, Gateway, File inspection etc.) führen in der Regel keine dynamische Analyse von Dateien
|
||||||
(e-Mail-Anhängen, heruntergeladene Dateien o.ä.) durch. Daher ist es möglich, Dateien in einem eigentlich harmlosen
|
(e-Mail-Anhängen, heruntergeladene Dateien o.ä.) durch. Daher ist es möglich, Dateien in einem eigentlich harmlosen
|
||||||
und auch oft verwendeten Dateiformat (z.B. HTML) an diesen Sicherheitsmaßnahmen vorbeizuschleusen.
|
und auch oft verwendeten Dateiformat (z.B. HTML) an diesen Sicherheitsmaßnahmen vorbeizuschleusen.
|
||||||
Beispieldateien finden sich [Hier](https://cloud.jmbit.de/s/AJ6wW32dc5qfGd6), das Projekt zur erstellung von solchen
|
Beispieldateien finden sich [Hier](https://cloud.jmbit.de/s/AJ6wW32dc5qfGd6), das Projekt zur Erstellung von solchen
|
||||||
Dateien findet sich [Hier](https://codeberg.org/jmbit/trojantool)
|
Dateien findet sich [Hier](https://codeberg.org/jmbit/trojantool)
|
||||||
|
|
||||||
## Was kann man dagegen tun?
|
## Was kann man dagegen tun?
|
||||||
|
|
Loading…
Reference in New Issue