Outgoing HTTP security calibration days
Hallo, da wir mittlerweile recht erfolgreich sind, im eduroam und VPN per Deep Inspection und Virenscanning Schadsoftwarezugriffe zu detektieren und zu unterbinden, habe ich dies für die ausgehenden HTTP Requests von Clients für die ganze Hochschule ebenfalls um ca. 20:08 aktiviert. In eduroam und VPN machen wir das für den gesamten Traffic, hier will ich mit der auf HTTP (aka TCP/80) beschränkten Maßnahme erst mal die Lastzustände a) auf den Firewalls b) bei mir (wg. Alarmen, der erste ist schon da) c) bei Euch (wg. E-Mails vom SOC) studieren. Ich denke mal, dass wir die meisten false positives in den letzten Jahre aussortiert haben, sollte es Probleme geben, E-Mail mit Zeitpunkt, Quell- und Ziel-IP (ggf. URL) an unser Servicedesk schicken. Gruß, Jens Hektor
Ohai, On 16.11.21 20:22, Jens Hektor wrote:
da wir mittlerweile recht erfolgreich sind, im eduroam und VPN per Deep Inspection und Virenscanning Schadsoftwarezugriffe zu detektieren und zu unterbinden, habe ich dies für die ausgehenden HTTP Requests von Clients für die ganze Hochschule ebenfalls um ca. 20:08 aktiviert. Welchen Anteil der HTTP-Requests machen dabei eigentlich Spam- & Phishingemails aus, die mit so Subjects wie "Wichtig :Registrieren 3D Secure." und Headern wie "X-IronPort-Anti-Spam-Filtered: true", "Authentication-Results: mail-in-2.itc.rwth-aachen.de; dkim=none (message not signed) header.i=none; spf=Fail smtp.mailfrom=zzokxj@dsaf.de" in (zumindest) meiner Inbox landen?
Schadsoftware im Mailanhang (funktioniert die unter wine eigentlich überhaupt?) scheint ausgehend von Subjectprefixen wie "***** VIRUS REMOVED / ENTFERNT *****" durchaus schon entfernt zu werden und vermutlich sind dann die EMails mit "Ihr Passwort läuft in wenigen Tagen ab.' im body auch nur noch übliche Phishingmails, aber kommt da dennoch mal ein Link durch, der ggf. von unbedarften Nutzern angeklickt wird? Gruß Markus
Hi, Am 17.11.21 um 01:32 schrieb Markus Witt:
Welchen Anteil der HTTP-Requests machen dabei eigentlich Spam- & Phishingemails aus, die mit so Subjects wie "Wichtig :Registrieren 3D Secure." und Headern wie "X-IronPort-Anti-Spam-Filtered: true", "Authentication-Results: mail-in-2.itc.rwth-aachen.de; dkim=none (message not signed) header.i=none; spf=Fail smtp.mailfrom=zzokxj@dsaf.de" in (zumindest) meiner Inbox landen?
eher wenig. Hierbei geht es eher um Driveby Javascript basierten misst. Aber solche Klassiker kommen durchaus vor. Ob die dann allerdings HTTP oder HTTPS sind, ist ein Gegenstand der "Forschung".
Schadsoftware im Mailanhang (funktioniert die unter wine eigentlich überhaupt?) scheint ausgehend von Subjectprefixen wie "***** VIRUS REMOVED / ENTFERNT *****" durchaus schon entfernt zu werden und vermutlich sind dann die EMails mit "Ihr Passwort läuft in wenigen Tagen ab.' im body auch nur noch übliche Phishingmails, aber kommt da dennoch mal ein Link durch, der ggf. von unbedarften Nutzern angeklickt wird?
Yup. Hint 1: es ist gut gemacht Hint 2: es trifft keinen Muttersprachler Hint 3: im RWTH-VPN gewesen zu sein, wäre besser gewesen. Jedenfalls besser als Nord-, Hola- oder sonst ein "VPN". Gruß, Jens
Hi, Zwischenstand 24 später: Am 16.11.21 um 20:22 schrieb Jens Hektor:
hier will ich mit der auf HTTP (aka TCP/80) beschränkten Maßnahme erst mal die Lastzustände
a) auf den Firewalls b) bei mir (wg. Alarmen, der erste ist schon da) c) bei Euch (wg. E-Mails vom SOC)
studieren.
zu a) + 10-20% abgeschätzt. Mehr als ich mir gewünscht hätte. zu b) 10+ Cases, in wesentlichem ein Threat (javascript versucht Funktion zur Kontrolle über Windows Defender zu etablieren) zu c) hoffe es war ertragbar und es standen keine erbosten User mit Mistgabeln vor der Tür ;-) Gruß, Jens Hektor
participants (2)
-
Jens Hektor -
Markus Witt