Cyberkriminelle sind ständig auf der Suche nach neuen Wegen, um moderne Sicherheitsmechanismen zu unterlaufen. Eine aktuell beobachtete Methode zielt dabei auf die Umgehung von Natural-Language-Processing-Funktionen (NLP) in E-Mail-Sicherheitslösungen ab. Wie die Sicherheitsforscher des Threat-Intelligence-Teams von KnowBe4 herausgefunden haben, ergänzen Angreifer ihre Phishing-Mails zunehmend um zusätzliche Zeichen, Zeilenumbrüche und legitime Links. Damit verstecken sie schädliche Inhalte zwischen harmlosen Bestandteilen und erschweren so die Erkennung durch NLP-Modelle.
Für die Untersuchung analysierte das Team 40 Angriffe, die von KnowBe4-Defend identifiziert wurden und bei denen diese Technik zum Einsatz kam. Ziel war es, die Funktionsweise der Methode, die Gründe für deren Einsatz durch Angreifer und ihr Erfolgspotenzial zu verstehen. Dabei zeigte sich, dass die am häufigsten angehängte legitime Komponente die E-Mail-Signatur der Bank of America war, während „Uber.com“ und „Bofa.com“ zu den am häufigsten verwendeten legitimen Links gehörten.
Diese Angriffsmethode besteht im Kern aus zwei Teilen: dem am Anfang der E-Mail sichtbaren bösartigen Inhalt und einem zusätzlich angehängten Verschleierungselement am Ende. Letzteres enthält in der Regel harmlose Sprache, legitime Verlinkungen oder andere unauffällige Textbestandteile. Zwischen beiden Bereichen setzen Angreifer häufig zahlreiche HTML-Zeilenumbrüche ein, um große Leerflächen zu erzeugen und die Empfänger davon abzuhalten, bis zum unteren Teil der Nachricht zu scrollen. In nur acht der untersuchten Fälle wurden weniger als 100 Zeilenumbrüche verwendet, im Durchschnitt waren es 157.
Zusätzlich erhöhen die Täter die Gesamtzeichenzahl der E-Mail gezielt, damit NLP-Systeme mehr Daten verarbeiten müssen. Nach Auswertung der analysierten Angriffe entfielen die gutartigen Bestandteile durchschnittlich zu 5,93 Prozent auf zufällig erzeugten Text, zu 62,6 Prozent auf Graymail und zu 31,47 Prozent auf legitime E-Mail-Verläufe. Wurden Links eingebunden, enthielten die E-Mails im Durchschnitt 4,68 legitime Links gegenüber nur 1,87 schädlichen Links.
Zwei Angriffe aus der Praxis
Im ersten von KnowBe4 untersuchten Beispiel gab sich die E-Mail als Nachricht eines Voicemail-Dienstes aus. Der Empfänger wurde aufgefordert, auf einen bösartigen HTML-Anhang zu klicken, um eine vermeintliche Sprachnachricht abzurufen. Der Angriff war Teil einer umfassenderen Phishing-Kampagne und enthielt ein polymorphes Element: Sowohl die Betreffzeile als auch der Name des Anhangs wurden zufällig variiert. Dadurch wird es Sicherheitsteams erschwert, E-Mails mit identischem Betreff manuell zu bereinigen oder gezielt nach einer bestimmten Datei zu suchen, da jede Nachricht individuell auf den jeweiligen Empfänger zugeschnitten ist.
Scrollt der Nutzer in dieser E-Mail weiter nach unten, erscheint der Verschleierungsteil. In diesem Fall wurde eine Art E-Mail-Kette mit zufälligen Zeichen angehängt, um die Nachricht künstlich aufzublähen. Dies dient nach Einschätzung der Forscher zwei Zwecken: Erstens steigt die Zahl harmloser Elemente, die ein NLP-System auswerten muss. Zweitens verlängert sich die E-Mail deutlich. Bei einigen Sicherheitslösungen kann das dazu führen, dass eine Nachricht freigegeben wird, bevor die Analyse vollständig abgeschlossen ist, wenn der Scan zu lange dauert.
Im zweiten Beispiel imitiert der Angriff Adobe. Die Nachricht stammt aus einem kompromittierten Konto, gibt sich als das HR-Team des Empfängers aus und fordert dazu auf, auf einen schädlichen Link zu klicken, um mehr über Mitarbeiter-Benefits zu erfahren. Auch hier folgt unterhalb des eigentlichen Phishing-Inhalts ein zweiter Abschnitt. In diesem Fall handelt es sich um eine scheinbar legitime Uber-Werbeanzeige mit mehreren echten Verlinkungen zu weiteren Seiten oder Angeboten. Dadurch sieht der Empfänger neben dem schädlichen Link eine Reihe unverdächtiger Links, die die Gesamtwirkung der E-Mail harmloser erscheinen lassen sollen.
Fazit
Nach Einschätzung des Threat-Intelligence-Teams von KnowBe4 wurden diese Angriffe speziell dafür entwickelt, um fortschrittliche cloudbasierte Schutzmechanismen wie „Integrated Cloud Email Security“ (ICES) zu umgehen. Traditionelle Secure-E-Mail Gateways nutzen dagegen typischerweise keine NLP-Funktionen. Dies deutet darauf hin, dass Bedrohungsakteure den Wandel hin zu cloudbasierter E-Mail-Sicherheit genau beobachten und ihre Taktiken an die eingesetzte Technologie ihrer Zielorganisationen anpassen.
Doch auch wenn diese Angriffe offenbar darauf ausgelegt sind, moderne ICES-Lösungen auszutricksen, sind sie nicht unbedingt erfolgreich. In den gezeigten Beispielen wurden die E-Mails als Phishing erkannt.
Letztlich zeigt die Analyse, dass sich diese neue Technik nicht auf ein einzelnes Täuschungsmerkmal beschränkt. Vielmehr kombinieren die Angreifer verschiedene Methoden wie polymorphe Betreffzeilen, Brand Imitation, kompromittierte Konten, legitime Links und umfangreiche Textverschleierung. Um solche Bedrohungen wirksam zu erkennen und zu stoppen, sind Sicherheitslösungen erforderlich, die diese unterschiedlichen Bestandteile im Zusammenhang bewerten und auch neuartige Angriffe zuverlässig neutralisieren können.
Info: Weitere Details finden sich im KnowBe4-Blog: https://blog.knowbe4.com/nlp-obfuscation-techniques-email-security-evasion?
#KnowBe4
