Starker Anstieg durch von Office-Makros aktivierter Malware

Carsten Pinnow im Interview mit Noam Green, Check Point Software Technologies

[datensicherheit.de, 26.03.2015] Carsten Pinnow (CP) für datensicherheit.de im Gespräch mit Noam Green, Produkt Manager bei Check Point Software Technologies zum Thema „Threat Extraction“, einem neuen Ansatz zur Bekämpfung von durch Office-Makros aktiverten Bedrohuingen.

CP: Können Sie die Gefahren, die sich in angehängten MS Office Dateien oder PDF Dokumenten verstecken können, in wenigen Sätzen erklären und wenn möglich einige Beispiele nennen?

Green: MS-Office-Dateien und PDF-Dokumente können zahlreiche Arten von Malware enthalten, wie Bots oder Trojaner. Zwar sind MS-Office-Makros standardmäßig deaktiviert, aber Nutzer können durch Social Engineering dazu gebracht werden, diese zu aktivieren. Der Microsoft Malware Protection Center gab im Januar 2015 bekannt, dass es in diesem Monat zu einem dramatischen Anstieg von Bedrohungen kam, die Makros benutzten, um Malware via Spam und Social Engineering zu verbreiten.

Aktuelle Beispiele von Malware finden Sie unter dem Link https://threatpost.com/microsoft-reports-massive-increase-in-macros-enabled-threats/110204 oder https://threatpost.com/microsoft-reports-massive-increase-in-macros-enabled-threats/110204.

CP: Wie genau funktioniert Threat Extraction und wann genau setzt es ein?

Green: Check Point Threat Extraction bietet einen komplett neuen Ansatz um Malware, die sich in E-Mail- oder Download-Dokumenten befindet, zu bekämpfen. Da theoretisch jedes Dokument Malware enthalten könnte, ist der einzig komplett sichere Weg zu Malware-freien Dokumenten, das Dokument sofort mit bekannten sicheren Elementen zu rekonstruieren. Aktiver Inhalt und eingebettete Objekte werden von dem Dokument extrahiert. So werden alle potentiellen Gefahren eliminiert, das Dokument rekonstruiert und allen Mitarbeitern werden sofort Malware-freie Dokumente geliefert.

Foto: Check Point

Noam Green, Produkt Manager bei Check Point Software Technologies

CP: Wenn Nutzer nicht jedes Dokument prüfen lassen wollen, können sie auch eigene Regeln formulieren und wie zeitaufwendig ist der Threat Extraction Vorgang?

Green: Threat Extraction ist extrem schnell und braucht nur wenige Sekunden (oder sogar lediglich Bruchteile einer Sekunde), um das sichere Dokument zu erstellen. Auch die Auswirkung auf die Performance ist unwesentlich (weniger als 1% Datenverlust bei einem Unternehmen mit 8.000 Nutzern). Check Point empfiehlt jedes Dokument durch die Threat Extraction laufen zu lassen, aber Administratoren können auch selbst festlegen, welche Dokumente rekonstruiert werden sollen.

CP: Was ist der technologische Unterschied zwischen Threat Emulation und Threat Extraction und wie arbeiten sie zusammen?

Green: Der Unterschied ist ziemlich ausgeprägt – während Threat Emulation versucht, zwischen gutartiger und infizierter Datei zu unterscheiden, betrachtet Threat Extraction von vornherein eine Datei mit aktivem Inhalt als mögliche Gefahr und rekonstruiert deshalb diese Dokumente sofort. Threat Extraction überprüft nicht, ob es sich bei dem aktiven Inhalt tatsächlich um Malware handelt, es rekonstruiert die Datei präventiv. Threat Emulation besitzt die sogenannte Sandboxing-Fähigkeit, die gutartige und infizierte Dateien identifiziert, indem sie in einer sicheren Umgebung nachgebildet werden. Zusammenfassend liefert Threat Extraction Null Malware Dokumente in Null Sekunden und Threat Emulation die Sichtbarkeit von Angriffsversuchen sowie die Inspektion und Kontrolle der Originaldokumente.

CP: Wie genau passt das Produkt in Check Points Threat Prevention Strategie?

Green: Um die beste Threat Prevention Lösung zu bieten, haben wir eine neue Lösung kreiert: die sogenannte NGTX – Next Generation Threat Extraction. Das Paket bietet die besten und vollständigsten Threat Prevention Fähigkeiten wie IPS, Application Control, Anti Bot, Anti Virus, URL Filter, Anti Spam, Threat Emulation und Threat Extraction.