Пакуль вялікі Enterprise выбудоўвае эшаланаваныя рэдуты ад патэнцыйных унутраных зламыснікаў і хакераў, для кампаній прасцей галаўным болем застаюцца фішынгавыя і спам-рассыланні. Калі б Марці Макфлай ведаў, што ў 2015 годзе (а ўжо тым больш у 2020) людзі не тое што не вынайдуць ховерборды, але нават не навучацца поўнасцю пазбаўляцца ад непажаданай пошты, ён бы, напэўна, страціў веру ў чалавецтва. Больш за тое, спам сёння не проста назойлівы, але часта і шкоднасны. Прыкладна ў 70% выпадкаў падчас рэалізацыі killchain кіберзлачынцы пранікаюць у інфраструктуру з дапамогай шкоднаснага ПА, які змяшчаецца ва ўкладаннях, або праз фішынгавыя спасылкі ў электронных лістах.
Апошнім часам відавочна прасочваецца тэндэнцыя да распаўсюджвання сацыяльнай інжынерыі як спосабу пракрасціся ўнутр інфраструктуры арганізацыі. Параўноўваючы статыстыку 2017 і 2018 гг., мы назіраем амаль 50-працэнтны рост колькасці выпадкаў, калі шкоднаснае ПЗ дастаўлялася на кампутары супрацоўнікаў менавіта праз укладанні або фішынгавыя спасылкі ў целе ліста.
У цэлым увесь спектр пагроз, якія могуць быць рэалізаваны пры дапамозе электроннай пошты, можна падзяліць на некалькі катэгорый:
- уваходны спам
- уключэнне кампутараў арганізацыі ў бот-сетку, якая рассылае выходны спам
- шкоднасныя ўкладанні і вірусы ў целе ліста (невялікія кампаніі часцей за ўсё пакутуюць ад масавых нападаў тыпу Petya).
Для абароны ад усіх выглядаў нападаў можна ці разгарнуць некалькі СЗІ, ці пайсці па шляху сэрвіснай мадэлі. Мы ўжо аб Адзінай платформе сэрвісаў кібербяспекі - ядры экасістэмы кіраваных сэрвісаў кібербяспекі Solar MSS. Сярод іншага яна ўключае і віртуалізаваную тэхналогію Secure Email Gateway (SEG). Як правіла, падпіску на гэты сэрвіс набываюць невялікія кампаніі, у якіх усе функцыі ІТ і ИБ ускладзены на аднаго чалавека - сістэмнага адміністратара. Спам - гэта такая праблема, якая заўсёды навідавоку ў карыстальнікаў і кіраўніцтва, і не вырашаць яе нельга. Аднак з часам нават кіраўніцтву становіцца зразумела, што проста "дакінуць" яе сісадміну не атрымліваецца - занадта шмат часу яна адымае.
2 гадзіны на разбор пошты - гэта зашмат
З падобнай сітуацыяй да нас звярнуўся адзін з рытэйлераў. Сістэмы ўліку працоўнага часу паказвалі, што кожны дзень яго супрацоўнікі марнавалі каля 25% працоўнага часу (2 гадзіны!) на разбор паштовай скрыні.
Падлучыўшы сервер пошты замоўца, мы наладзілі інстанс SEG`а як двухбаковы шлюз і для ўваходнай, і для выходнай пошты. Запусцілі фільтраванне па загадзя ўсталяваным палітыкам. Blacklist мы склалі на аснове аналізу прадстаўленых заказчыкам дадзеных і нашых уласных спісаў патэнцыйна небяспечных адрасоў, атрыманых экспертамі Solar JSOC у рамках іншых сэрвісаў – напрыклад, маніторынгу інцыдэнтаў ИБ. Пасля гэтага ўся пошта дастаўлялася адрасатам толькі пасля ачысткі, і розныя спам-рассыланні пра "грандыёзныя скідкі" перасталі тонамі сыпацца на паштовыя серверы заказчыка, вызваляючы прастору для іншых патрэб.
Але бывалі сітуацыі, калі легітымнае ліст памылкова было аднесена да спаму, напрыклад, як атрыманае ад не даверанага адпраўніка. У гэтым выпадку права рашэння мы падалі заказчыку. Варыянтаў, што рабіць, не так шмат: адразу выдаляць ці адпраўляць на каранцін. Выбралі другі шлях, пры якім такая непажаданая пошта захоўваецца на самім SEG. Сисадмину мы падалі доступ да вэба-кансолі, у якой ён мог у любы час знайсці важны ліст, напрыклад, ад контрагента, і прапусціць яго да карыстача.
Пазбаўляемся ад паразітаў
У склад сэрвісу абароны электроннай пошты ўваходзяць аналітычныя справаздачы, мэтай якіх з'яўляецца кантроль абароненасці інфраструктуры і эфектыўнасці прымяняемых настроек. Акрамя таго, гэтыя справаздачы дазваляюць прагназаваць трэнды. Напрыклад, знаходзім у справаздачы адпаведны раздзел "Spam by Recipient" або "Spam by Sender" і глядзім, на чый адрас паступае самая вялікая колькасць блакіруемых паведамленняў.
Якраз пры аналізе такой справаздачы нам падалося падазроным рэзка ўзросшая агульная колькасць лістоў у аднаго з заказчыкаў. Інфраструктура ў яго невялікая, колькасць лістоў невысокая. І раптам пасля працоўнага дня амаль у два разы павялічылася колькасць блакіраванага спаму. Вырашылі прыгледзецца больш уважліва.
Бачым, што павялічылася колькасць выходных лістоў, і ва ўсіх у полі "Адпраўнік" стаяць адрасы з дамена, які як раз падлучаны да сэрвісу абароны пошты. Але ёсць адзін нюанс: сярод цалкам разумных, магчыма нават наяўных, адрасоў трапляюцца відавочна дзіўныя. Паглядзелі IP, з якіх адпраўляліся лісты, і, цалкам чакана, апынулася, што яны не прыналежаць якая абараняецца адраснай прасторы. Відавочна, зламыснік рассылаў спам ад імя замоўца.
У дадзеным выпадку мы склалі для заказчыка рэкамендацыі па правільнай наладзе DNS-запісаў, а менавіта SPF. Наш спецыяліст параіў стварыць TXT-запіс, які змяшчае правіла "v=spf1 mx ip:1.2.3.4/23 -all", які змяшчае вычарпальны спіс адрасоў, якім дазволена адпраўляць лісты ад імя дамена, які абараняецца.
Уласна, чаму гэта важна: спам ад імя нікому не вядомай дробнай кампаніі - гэта непрыемна, але не крытычна. Зусім інакш справа ідзе, напрыклад, у банкаўскай галіне. Па нашых назіраннях, там узровень даверу ахвяры да фішынгавага ліста шматкроць падвышаецца, калі яно адпраўлена нібыта з дамена іншага банка або вядомага ахвяры контрагента. І гэта адрознівае не толькі банкаўскіх супрацоўнікаў, у іншых галінах - той жа энергетыцы - мы сутыкаемся з такой жа тэндэнцыяй.
Забіваем вірусы
Але спуфінг не такая частая праблема, як, напрыклад, вірусныя заражэнні. А як часцей за ўсё змагаюцца з віруснымі эпідэміямі? Ставяць антывірус і спадзяюцца, што "вораг не пройдзе". Але калі б усё было так проста, то, з улікам дастаткова невысокага кошту антывірусаў, усе ўжо даўно забыліся б аб праблеме шкоднаснага ПА. А між тым, мы ўвесь час атрымліваем запыты з серыі «дапамажыце аднавіць файлы, у нас усё пашыфравала, праца варта, дадзеныя згубленыя». Мы не стамляемся паўтараць заказчыкам, што і антывірус не панацэя. Акрамя таго, што антывірусныя базы могуць нядосыць хутка абнаўляцца, мы часта сустракаем ВПО, здольнае абыходзіць не толькі антывірусы, але і пясочніцы.
Нажаль, мала хто з радавых супрацоўнікаў арганізацый дасведчаны аб фішынгавых і шкоднасных лістах і ў стане адрозніць іх ад звычайнай перапіскі. У сярэднім кожны 7-й карыстач, які не праходзіць рэгулярнае падвышэнне дасведчанасці, паддаецца на сацыяльную інжынерыю: адчыняе заражаны файл ці адпраўляе свае дадзеныя зламыснікам.
Хоць сацыяльны вектар нападаў, увогуле, увесь час патроху ўзмацняўся, летась гэты трэнд стаў асабліва прыкметны. Фішынгавыя лісты станавіліся ўсё больш падобныя на звыклыя рассылкі аб промаакцыях, маючых адбыцца мерапрыемствах і г.д. Тут можна ўспомніць напад Silence на фінсектар - банкаўскім супрацоўнікам прыходзіў ліст нібы з промокодом на ўдзел у папулярнай галіновай канферэнцыі iFin, і адсотак якія паддаліся на выкрут быў вельмі высокі, хоць, нагадаем, гаворка аб банкаўскай сферы - самай прасунутай у пытаннях інфармацыйнай бяспекі.
Перад мінулым Новым годам мы таксама назіралі некалькі дастаткова кур'ёзных сітуацый, калі супрацоўнікі прамысловых кампаній атрымалі вельмі якасныя фішынгавыя лісты са «спісам» навагодніх акцый у папулярных інтэрнэт-крамах і з промакодамі на зніжкі. Супрацоўнікі не толькі самі спрабавалі перайсці па спасылцы, але і перасылалі ліст калегам з сумежных арганізацый. Паколькі рэсурс, на які вяла спасылка ў фішынгавым лісце, быў заблакаваны, супрацоўнікі пачалі масава пакідаць ІТ-службе заяўкі на падаванне доступу да яго. Увогуле, поспех рассылання, павінна быць, перасягнуў усе чаканні зламыснікаў.
А нядаўна да нас звярнулася за дапамогай кампанія, якую "пашыфравала". Пачалося ўсё з таго, што супрацоўнікі бухгалтэрыі атрымалі ліст нібы ад ЦБ РФ. Бухгалтар клікнуў па спасылцы ў лісце і запампаваў сабе на машыну майнер WannaMine, які, як і вядомы WannaCry, эксплуатаваў уразлівасць EternalBlue. Самае цікавае, што большасць антывірусаў умеюць дэтэктаваць яго сігнатуры яшчэ з пачатку 2018 года. Але, ці то антывірус быў адключаны, ці то базы не абноўлены, ці то наогул яго там не было, - у любым выпадку майнер ужо быў на кампутары, і нішто яму не перашкодзіла распаўсюджвацца далей па сетцы, загружаючы ЦПУ сервераў і АРМ на 100%. .
Гэты заказчык, атрымаўшы справаздачу нашай групы фарэнзікі, убачыў, што першапачаткова вірус пракраўся да яго праз пошту, і запусціў пілотны праект па падлучэнні сэрвісу па абароне электроннай пошты. Першым, што мы настроілі, быў паштовы антывірус. Пры гэтым сканіраванне на шкоднасы ажыццяўляецца ўвесь час, а абнаўленні сігнатур спачатку выраблялася кожную гадзіну, а затым замовец перайшоў на рэжым двойчы ў дзень.
Паўнавартасная абарона ад вірусных заражэнняў павінна быць эшаланаванай. Калі казаць аб перадачы вірусаў праз электронную пошту, то неабходна адсяваць такія лісты на ўваходзе, навучаць карыстальнікаў распазнаваць сацыяльную інжынерыю, а потым ужо разлічваць на антывірусы і пясочніцы.
уSEGда на варце
Вядома, мы не сцвярджаем, што рашэнні класа Secure Email Gateway - гэта панацэя. Таргетаваныя напады, у тым ліку і мэтавы фішынг, вельмі цяжка прадухіліць, т.к. кожная такая атака "вострыць" пад канкрэтнага атрымальніка (арганізацыю або чалавека). Але для кампаніі, якая спрабуе забяспечваць базавы ўзровень бяспекі, гэта нямала, асабліва з правільна прыкладзенымі да задачы досведам і экспертызай.
Часцей за ўсё пры рэалізацыі мэтавага фішынгу ў цела лістоў не ўключаюць шкоднасныя ўкладанні, інакш сістэма антыспаму адразу заблакуе такі ліст на шляхі да атрымальніка. Затое ўключаюць у тэкст ліста спасылкі на загадзя падрыхтаваны вэб-рэсурс, і тады справа за малым. Карыстальнік пераходзіць па спасылцы, а затым праз некалькі рэдырэктаў за лічаныя секунды аказваецца на апошнім з усяго ланцужка, адкрыццё якога падгрузіць на яго кампутар шкоднас.
Нават больш дасканалае: у момант атрымання ліста спасылка можа быць бяскрыўдная і толькі па сканчэнні некаторага часу, калі яна ўжо адсканаваная і прапушчаная, пачне рэдырэктаваць на шкоднас. Нажаль, адмыслоўцы Solar JSOC, нават з улікам іх кампетэнцый, не змогуць наладзіць паштовы шлюз так, каб "бачыць" шкоднасы праз увесь ланцужок (хоць у якасці абароны можна выкарыстоўваць аўтаматычную падмену ўсіх спасылак у лістах на SEG, каб апошні сканаваў спасылку не толькі у момант дастаўкі ліста, а пры кожным пераходзе).
Між тым, нават з тыповым рэдырэктам дапамагае спраўляцца агрэгацыя некалькіх відаў экспертыз, у тым ліку дадзеных, якія атрымліваюцца нашым JSOC CERT, і OSINT. Гэта дазваляе фармаваць пашыраныя чорныя спісы, на падставе якіх нават ліст са множнай пераадрасацыяй будзе заблакаваны.
Выкарыстанне SEG - гэта толькі маленькая цаглінка ў той сцяне, якую хоча выбудаваць любая арганізацыя для абароны сваіх актываў. Але і гэтае звяно неабходна правільна ўкладваць у агульную карціну, таму што нават SEG пры пісьменнай наладзе можна зрабіць паўнавартасным сродкам абароны.
Ксенія Садуніна, кансультант аддзела экспертнага прэсейла прадуктаў і сэрвісаў Solar JSOC
Крыніца: habr.com