{"id":341,"date":"2025-02-16T10:19:57","date_gmt":"2025-02-16T09:19:57","guid":{"rendered":"https:\/\/reindersweb.de\/?page_id=341"},"modified":"2025-02-16T10:24:25","modified_gmt":"2025-02-16T09:24:25","slug":"anstieg-von-e-mail-bedrohungen-mit-verstecktem-poisoning","status":"publish","type":"page","link":"https:\/\/www.reindersweb.de\/?page_id=341","title":{"rendered":"Anstieg von E-Mail-Bedrohungen mit verstecktem Poisoning"},"content":{"rendered":"

Dieser Artikel ist eine \u00dcbersetzung eines englischsprachigen Artikels aus dem Blog von Talos Intelligence<\/a><\/p>\n

Cisco Talos<\/a> beobachtete in der zweiten H\u00e4lfte des Jahres 2024 einen Anstieg der Zahl der E-Mail-Bedrohungen, die verstecktes Text-Salting (auch als \u201e Poisoning<\/a>\u201c bekannt) nutzen.<\/li>\n
Hidden Text Salting ist eine einfache, aber effektive Technik zur Umgehung von E-Mail-Parsern, zur Verwirrung von Spam-Filtern und zur Umgehung von Erkennungsprogrammen, die auf Schl\u00fcsselw\u00f6rter angewiesen sind. Die Idee besteht darin, einige Zeichen in den HTML-Quelltext einer E-Mail einzuf\u00fcgen, die visuell nicht erkennbar sind.<\/li>\n
Talos hat beobachtet, dass diese Technik zu verschiedenen Zwecken eingesetzt wird, u. a. zur Umgehung der Markennamenextraktion durch E-Mail-Parser, zur Verwirrung von Spracherkennungsverfahren und zur Umgehung von Spam-Filtern und Erkennungsprogrammen beim HTML-Schmuggel.<\/li>\n<\/ul>\n
Einf\u00fchrung in Hidden Text Salting<\/b><\/font>
\nHidden Text Salting (oder \u201ePoisoning\u201c) ist eine effektive Technik, die von Bedrohungsakteuren eingesetzt wird, um E-Mails so zu gestalten, dass sie Parser umgehen, Spam-Filter verwirren und Erkennungssysteme, die auf Schl\u00fcsselw\u00f6rter angewiesen sind, umgehen k\u00f6nnen. Bei diesem Ansatz werden Funktionen der Hypertext Markup Language (HTML) und Cascading Style Sheets (CSS) verwendet, um Kommentare und irrelevante Inhalte einzuf\u00fcgen, die f\u00fcr das Opfer nicht sichtbar sind, wenn die E-Mail in einem E-Mail-Client angezeigt wird, aber die Wirksamkeit von Parsern und Erkennungsprogrammen beeintr\u00e4chtigen k\u00f6nnen.
\nAufgrund der Einfachheit von Hidden Text Salting und der Vielzahl von M\u00f6glichkeiten, wie Bedrohungsakteure Kauderwelsch in E-Mails einf\u00fcgen k\u00f6nnen, kann dieser Ansatz E-Mail-Parser, Spam-Filter und Erkennungssysteme vor erhebliche Herausforderungen stellen.<\/p>\n
Technische Erkl\u00e4rung<\/b><\/font>
\nTalos hat beobachtet, dass verstecktes Text-Salting zu verschiedenen Zwecken eingesetzt wird, beispielsweise um die Extraktion von Markennamen durch E-Mail-Parser zu umgehen. Nachfolgend finden Sie ein Beispiel f\u00fcr eine Phishing-E-Mail, die sich als die Marke Wells Fargo ausgibt.<\/p>\n
$\"\"$
\nAbb. 1: Eine Phishing-E-Mail, die sich als die Marke Wells Fargo ausgibt<\/p>\n
Der HTML-Quelltext der obigen E-Mail ist unten abgebildet. Der <style>-Tag wird verwendet, um Stilinformationen f\u00fcr eine E-Mail \u00fcber CSS zu definieren. Innerhalb des <style>-Elements kann man angeben, wie HTML-Elemente in einem Browser oder E-Mail-Client dargestellt werden sollen. Das <style>-Element muss innerhalb des -Abschnitts des Dokuments eingef\u00fcgt werden. In diesem Beispiel haben die Threat-Akteure die Eigenschaft display auf inline-block gesetzt. Wenn inline-block anstelle von inline verwendet wird, kann man eine Breite und H\u00f6he f\u00fcr das Element festlegen. In diesem Fall ist die Breite des Blocks auf Null gesetzt. Au\u00dferdem ist die Eigenschaft overflow auf \u201ehidden\u201c gesetzt, was dazu f\u00fchrt, dass der Inhalt au\u00dferhalb des Elementrahmens dem Opfer nicht angezeigt wird, wenn die E-Mail im E-Mail-Client dargestellt wird.<\/p>\n
$\"\"$
\nAbb. 2: Der HTML-Quellcode der obigen Phishing-E-Mail zeigt, wie die Eigenschaft \u201ewidth\u201c in CSS verwendet wird, um die irrelevanten Zeichen zwischen den Buchstaben der Marke Wells Fargo zu verbergen.<\/p>\n
Als zweites Beispiel zeigt die folgende E-Mail eine Phishing-E-Mail, die an einen anderen Kunden gesendet wurde und sich als die Norton LifeLock-Marke ausgibt.<\/p>\n
$\"\"$
\nAbb. 3: A phishing email impersonating the Norton LifeLock brand<\/p>\n
In diesem Fall haben Bedrohungsakteure Zero-Width SPace (ZWSP) und Zero-Width Non-Joiner (ZWNJ) Zeichen zwischen die Buchstaben von Norton LifeLock eingef\u00fcgt, um die Erkennung zu umgehen. Obwohl diese Zeichen f\u00fcr das blo\u00dfe Auge nicht sichtbar sind, werden sie von den meisten E-Mail-Parsern als Zeichen oder Zeichenketten betrachtet. Daher kann man sie als unsichtbare Zeichen betrachten.<\/p>\n
$\"\"$
\nAbb. 4: Der HTML-Quellcode der obigen Phishing-E-Mail mit den Zeichen Zero-Width SPace (ZWSP) und Zero-Width Non-Joiner (ZWNJ), die zwischen den Buchstaben der Norton LifeLock-Marke eingef\u00fcgt wurden.<\/p>\n
Hidden text salting has also been used to confuse language detection procedures, thus evading possible spam filters that rely on such procedures. The example below shows a phishing email that impersonates the Harbor Freight brand. As it is visually obvious, the language of this email is English.<\/p>\n
$\"\"$
\nAbb.5 : Eine Phishing-E-Mail, die sich als die Marke Harbor Freight ausgibt.<\/p>\n
Ein genauerer Blick auf die Kopfzeilen der E-Mail zeigt jedoch, dass die Sprache dieser E-Mail als Franz\u00f6sisch identifiziert wurde, da sie im LANG-Feld des X-Forefront-Antispam-Report-Antispam-Headers von Microsoft gespeichert ist. Das LANG-Feld gibt die Sprache an, in der die Nachricht verfasst wurde, und der X-Forefront-Antispam-Report-Header enth\u00e4lt Informationen \u00fcber die Nachricht und ihre Verarbeitung. Dieser Header wird von Exchange Online Protection (EOP), dem Cloud-basierten Filterdienst von Microsoft, zu jeder Nachricht hinzugef\u00fcgt.<\/p>\n
$\"\"$
\nAbb. 6: Ein Ausschnitt aus der Kopfzeile der obigen E-Mail zeigt, dass der Cloud-basierte Filterdienst von Microsoft (EOP) Franz\u00f6sisch als Sprache dieser E-Mail identifiziert hat.<\/p>\n
Bei der Untersuchung des HTML-Quelltextes dieser E-Mail werden mehrere franz\u00f6sische W\u00f6rter und S\u00e4tze gefunden, die visuell verborgen sind. In diesem Fall haben die Bedrohungsakteure die Display-Eigenschaft des div-Elements verwendet, um die franz\u00f6sischen W\u00f6rter zu verbergen und so das Spracherkennungsmodul von Microsoft zu verwirren.<\/p>\n
$\"\"$
\nAbb.7: Der HTML-Quellcode der obigen Phishing-E-Mail, mit franz\u00f6sischen Zeichen, die mit der Eigenschaft display ausgeblendet werden.<\/p>\n
Ein weiterer Fall, in dem verstecktes Text-Salting verwendet wurde, ist der HTML-Schmuggel, um Erkennungsmaschinen zu umgehen (siehe das folgende Beispiel)<\/p>\n
$\"\"$
\nAbb.8: Eine Spear-Phishing-E-Mail mit einem HTML-Anhang.<\/p>\n
Nachfolgend ist ein Ausschnitt des HTML-Anhangs aus der oben genannten E-Mail zu sehen. Die Bedrohungsakteure haben mehrere irrelevante Kommentare zwischen die Base64-kodierten Zeichen eingef\u00fcgt, um zu verhindern, dass Parser f\u00fcr Dateianh\u00e4nge diese Zeichenfolgen problemlos zusammensetzen und dekodieren k\u00f6nnen.<\/p>\n
$\"\"$
\nAbb. 9: Der HTML-Quellcode der obigen Phishing-E-Mail, mit irrelevanten Kommentaren, die zwischen den base64-kodierten Zeichen eingef\u00fcgt wurden.<\/p>\n
Entsch\u00e4rfung<\/b><\/font><\/p>\n
Die oben genannten F\u00e4lle sind nur einige Beispiele, die zeigen, wie einfach und effektiv sich diese Technik der Erkennung entzieht. Die Erkennung von E-Mail-Inhalten, die durch diese Technik verborgen werden, mit der der HTML-Quelltext einer E-Mail vergiftet wird, ist wichtig, da die Identifizierung von E-Mail-Bedrohungen, die sich diese Methode zunutze machen, eine gro\u00dfe Herausforderung darstellt. Im Folgenden werden einige Strategien zur Eind\u00e4mmung und Erkennung er\u00f6rtert, die bei dieser Aufgabe hilfreich sein k\u00f6nnten.
\nErweiterte Filtertechniken: Eine Strategie zur Schadensbegrenzung besteht in der Erforschung und Entwicklung fortschrittlicher Filtertechniken, die verstecktes Text-Salting und die Verschleierung von Inhalten effektiver erkennen k\u00f6nnen. Beispielsweise k\u00f6nnten Filtersysteme so entwickelt werden, dass sie die fragw\u00fcrdige Verwendung von CSS-Eigenschaften wie Sichtbarkeit (z. B. \u201evisibility: hidden\u201c) und Anzeige (z. B. \u201edisplay: none\u201c) erkennen, die h\u00e4ufig zur Verschleierung von Text verwendet werden. Diese Systeme k\u00f6nnten auch die Struktur des HTML-Quelltextes von E-Mails untersuchen, um die \u00fcberm\u00e4\u00dfige Verwendung von Inline-Styles oder eine ungew\u00f6hnliche Verschachtelung von Elementen zu finden, die auf den Versuch hindeuten k\u00f6nnten, Inhalte zu verbergen.
\nVerlassen auf visuelle Merkmale: Obwohl verbesserte Filtersysteme bei der Erkennung von verstecktem Text-Salting und E-Mail-Bedrohungen, die sich dieser Technik bedienen, um einer Entdeckung zu entgehen, sehr n\u00fctzlich sein k\u00f6nnen, k\u00f6nnen Bedrohungsakteure schnell neue Techniken entwickeln. Daher k\u00f6nnte es hilfreich sein, sich auf einige Merkmale zus\u00e4tzlich zum Textbereich zu st\u00fctzen, z. B. auf die visuellen Merkmale von E-Mails.<\/p>\n
Schutz<\/b><\/font><\/p>\n
Der Schutz vor diesen raffinierten und hinterh\u00e4ltigen Bedrohungen erfordert eine umfassende E-Mail-Sicherheitsl\u00f6sung, die KI-gest\u00fctzte Erkennungsfunktionen nutzt. Secure Email Threat Defense nutzt einzigartige Modelle f\u00fcr tiefes und maschinelles Lernen, einschlie\u00dflich Natural Language Processing, in seinen fortschrittlichen Bedrohungserkennungssystemen, die mehrere Engines nutzen. Diese werten gleichzeitig verschiedene Teile einer eingehenden E-Mail aus, um bekannte, neue und gezielte Bedrohungen zu erkennen. Diese differenzierte KI-Technologie extrahiert und analysiert auch den Inhalt von reinen Bild-E-Mails, die darauf abzielen, textbasierte Erkennungen zu umgehen.
\nSecure Email Threat Defense identifiziert b\u00f6sartige Techniken, die bei Angriffen auf Ihr Unternehmen verwendet werden, leitet einen beispiellosen Kontext f\u00fcr spezifische Gesch\u00e4ftsrisiken ab, stellt durchsuchbare Bedrohungsdaten bereit und kategorisiert Bedrohungen, um zu verstehen, welche Bereiche Ihres Unternehmens am anf\u00e4lligsten f\u00fcr Angriffe sind.
\nSch\u00fctzen Sie Ihre Umgebung vor fortschrittlichen Bedrohungen. Melden Sie sich noch heute f\u00fcr eine kostenlose Testversion von Email Threat Defense an.<\/p>\n
Links:
\nOriginal-Artikel im Cisco Intelligence Blog (Englisch)<\/a>
\n Free Trial of Cisco Secure Email Threat Defense<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Dieser Artikel ist eine \u00dcbersetzung eines englischsprachigen Artikels aus dem Blog von Talos Intelligence Cisco Talos beobachtete in der zweiten H\u00e4lfte des Jahres 2024 einen Anstieg der Zahl der E-Mail-Bedrohungen, die verstecktes Text-Salting (auch als \u201ePoisoning\u201c bekannt) nutzen. Hidden Text Salting ist eine einfache, aber effektive Technik zur Umgehung von E-Mail-Parsern, zur Verwirrung von Spam-Filtern und zur Umgehung von Erkennungsprogrammen, die auf Schl\u00fcsselw\u00f6rter angewiesen sind. Die Idee besteht darin, einige Zeichen in den HTML-Quelltext einer E-Mail einzuf\u00fcgen, die visuell nicht erkennbar sind. Talos hat beobachtet, dass diese Technik zu verschiedenen Zwecken eingesetzt wird, u. a. zur Umgehung der Markennamenextraktion durch E-Mail-Parser, zur Verwirrung von Spracherkennungsverfahren und zur Umgehung von Spam-Filtern und Erkennungsprogrammen beim HTML-Schmuggel. Einf\u00fchrung in Hidden Text Salting Hidden Text Salting (oder \u201ePoisoning\u201c) ist eine effektive Technik, die von Bedrohungsakteuren eingesetzt wird, um E-Mails so zu gestalten, dass sie Parser umgehen, Spam-Filter verwirren und Erkennungssysteme, die auf Schl\u00fcsselw\u00f6rter angewiesen sind, umgehen k\u00f6nnen. Bei diesem Ansatz werden Funktionen der Hypertext Markup Language (HTML) und Cascading Style Sheets (CSS) verwendet, um Kommentare und irrelevante Inhalte einzuf\u00fcgen, die f\u00fcr das Opfer nicht sichtbar sind, wenn die E-Mail in einem E-Mail-Client angezeigt wird, aber die Wirksamkeit von Parsern und Erkennungsprogrammen beeintr\u00e4chtigen k\u00f6nnen. Aufgrund […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"pgc_sgb_lightbox_settings":"","footnotes":""},"class_list":["post-341","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=\/wp\/v2\/pages\/341","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=341"}],"version-history":[{"count":0,"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=\/wp\/v2\/pages\/341\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.reindersweb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=341"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}