Mentre que la gran empresa està construint reductes escalonats de potencials atacants interns i pirates informàtics, els missatges de pesca i correu brossa segueixen sent un maldecap per a les empreses més senzilles. Si Marty McFly sabés que el 2015 (i encara més el 2020) la gent no només no inventaria els hoverboards, sinó que ni tan sols aprendria a desfer-se completament del correu brossa, probablement perdria la fe en la humanitat. A més, el correu brossa avui no només és molest, sinó que sovint és perjudicial. En aproximadament el 70% de les implementacions de killchain, els ciberdelinqüents penetren la infraestructura mitjançant programari maliciós contingut en fitxers adjunts o mitjançant enllaços de pesca als correus electrònics.
Recentment, hi ha hagut una clara tendència a la difusió de l'enginyeria social com a forma d'introduir-se en la infraestructura d'una organització. Si comparem les estadístiques del 2017 i del 2018, veiem un augment de gairebé un 50% en el nombre de casos en què es va lliurar programari maliciós als ordinadors dels empleats mitjançant fitxers adjunts o enllaços de pesca al cos d'un correu electrònic.
En general, tota la gamma d'amenaces que es poden dur a terme mitjançant el correu electrònic es poden dividir en diverses categories:
- correu brossa entrant
- inclusió dels ordinadors d'una organització en una botnet que envia correu brossa sortint
- fitxers adjunts maliciosos i virus al cos de la carta (les empreses petites pateixen sovint atacs massius com Petya).
Per protegir-se de tot tipus d'atacs, podeu implementar diversos sistemes de seguretat de la informació o seguir el camí d'un model de servei. Nosaltres ja sobre la Plataforma de serveis de ciberseguretat unificada: el nucli de l'ecosistema de serveis de ciberseguretat gestionats de Solar MSS. Entre altres coses, inclou la tecnologia Secure Email Gateway (SEG) virtualitzada. Com a regla general, les petites empreses adquireixen una subscripció a aquest servei en què totes les funcions de seguretat informàtica i de la informació s'assignen a una sola persona: l'administrador del sistema. El correu brossa és un problema que sempre és visible per als usuaris i la direcció, i no es pot ignorar. Tanmateix, amb el pas del temps, fins i tot la gestió es fa evident que és impossible simplement "deixar-lo" a l'administrador del sistema: triga massa temps.
2 hores per analitzar el correu és una mica massa
Un dels minoristes ens va acostar amb una situació semblant. Els sistemes de seguiment del temps van mostrar que cada dia els seus empleats dedicaven al voltant del 25% del seu temps de treball (2 hores!) a ordenar la bústia.
Després d'haver connectat el servidor de correu del client, vam configurar la instància SEG com a passarel·la bidireccional tant per al correu entrant com per al correu sortint. Vam començar a filtrar segons les polítiques preestablertes. Hem compilat la llista negra a partir d'una anàlisi de les dades proporcionades pel client i de les nostres pròpies llistes d'adreces potencialment perilloses obtingudes pels experts de Solar JSOC com a part d'altres serveis, per exemple, el seguiment d'incidents de seguretat de la informació. Després d'això, tot el correu es va lliurar als destinataris només després de la neteja, i diversos missatges de correu brossa sobre "grans descomptes" van deixar d'abocar-se als servidors de correu del client en tones, alliberant espai per a altres necessitats.
Però hi ha hagut situacions en què una carta legítima es va classificar erròniament com a correu brossa, per exemple, com a rebut d'un remitent no fiable. En aquest cas, vam donar el dret de decisió al client. No hi ha moltes opcions sobre què fer: eliminar-lo immediatament o enviar-lo a la quarantena. Vam triar el segon camí, en el qual aquest correu brossa s'emmagatzema al propi SEG. Vam proporcionar a l'administrador del sistema accés a la consola web, en la qual podia trobar una carta important en qualsevol moment, per exemple, d'una contrapart, i reenviar-la a l'usuari.
Desfer-se dels paràsits
El servei de protecció de correu electrònic inclou informes analítics, la finalitat dels quals és controlar la seguretat de la infraestructura i l'eficàcia de la configuració utilitzada. A més, aquests informes permeten predir tendències. Per exemple, trobem a l'informe l'apartat corresponent “Correu brossa per destinatari” o “Correu brossa per remitent” i observem l'adreça de qui rep el major nombre de missatges bloquejats.
Va ser mentre analitzàvem aquest informe que el nombre total de cartes d'un dels clients ens va semblar sospitós. La seva infraestructura és petita, el nombre de lletres és baix. I de sobte, després d'un dia laborable, la quantitat de correu brossa bloquejada gairebé es va duplicar. Vam decidir fer una ullada més de prop.
Veiem que el nombre de cartes sortints ha augmentat, i totes elles al camp "Remitent" contenen adreces d'un domini connectat al servei de protecció de correu. Però hi ha un matís: entre adreces força sensates, potser fins i tot existents, n'hi ha de clarament estranyes. Vam mirar les IP des de les quals s'enviaven les cartes i, com era d'esperar, va resultar que no pertanyien a l'espai d'adreces protegit. Òbviament, l'atacant enviava correu brossa en nom del client.
En aquest cas, vam fer recomanacions al client sobre com configurar correctament els registres DNS, concretament SPF. El nostre especialista ens va aconsellar crear un registre TXT que contingués la regla “v=spf1 mx ip:1.2.3.4/23 -all”, que conté una llista exhaustiva d'adreces que poden enviar cartes en nom del domini protegit.
En realitat, per què això és important: el correu brossa en nom d'una petita empresa desconeguda és desagradable, però no crític. La situació és completament diferent, per exemple, en el sector bancari. Segons les nostres observacions, el nivell de confiança de la víctima en un correu electrònic de pesca augmenta moltes vegades si suposadament s'envia des del domini d'un altre banc o d'una contrapart coneguda per la víctima. I això no només distingeix els empleats de la banca; en altres indústries -el sector energètic per exemple- ens trobem davant de la mateixa tendència.
Matar virus
Però la falsificació no és un problema tan comú com, per exemple, les infeccions víriques. Com combats més sovint les epidèmies virals? Instal·len un antivirus i esperen que "l'enemic no passi". Però si tot fos tan senzill, doncs, donat el cost bastant baix dels antivirus, fa temps que tothom s'hauria oblidat del problema del programari maliciós. Mentrestant, rebem constantment peticions de la sèrie "ajudeu-nos a restaurar els fitxers, ho hem xifrat tot, la feina està aturada, les dades es perden". No ens cansem de repetir als nostres clients que l'antivirus no és una panacea. A més del fet que les bases de dades antivirus no s'actualitzen prou ràpidament, sovint ens trobem amb programari maliciós que pot evitar no només els antivirus, sinó també els sandbox.
Malauradament, pocs empleats normals de les organitzacions són conscients de la pesca i dels correus electrònics maliciosos i són capaços de distingir-los de la correspondència habitual. De mitjana, cada 7è usuari que no se sotmet a una conscienciació regular sucumbeix a l'enginyeria social: obrir un fitxer infectat o enviar les seves dades als atacants.
Tot i que el vector social dels atacs, en general, ha anat augmentant progressivament, aquesta tendència s'ha fet especialment notable l'any passat. Els correus electrònics de pesca s'anaven semblant cada cop més als correus electrònics habituals sobre promocions, propers esdeveniments, etc. Aquí podem recordar l'atac del silenci al sector financer: els empleats del banc van rebre una carta suposadament amb un codi promocional per participar a la popular conferència del sector iFin, i el percentatge dels que van sucumbir al truc va ser molt elevat, tot i que, recordem-ho. , estem parlant del sector bancari, el més avançat en matèria de seguretat de la informació.
Abans de l'últim any nou, també vam observar diverses situacions força curioses quan els empleats d'empreses industrials rebien cartes de pesca de gran qualitat amb una "llista" de promocions d'Any Nou a les botigues en línia populars i amb codis promocionals per a descomptes. Els empleats no només van intentar seguir l'enllaç ells mateixos, sinó que també van enviar la carta a col·legues d'organitzacions relacionades. Atès que el recurs al qual portava l'enllaç del correu electrònic de phishing estava bloquejat, els empleats van començar massivament a presentar sol·licituds al servei informàtic per donar-hi accés. En general, l'èxit del correu ha d'haver superat totes les expectatives dels atacants.
I recentment una empresa que havia estat "xifrada" va recórrer a nosaltres per demanar ajuda. Tot va començar quan els empleats de comptabilitat van rebre una carta suposadament del Banc Central de la Federació Russa. El comptable va fer clic a l'enllaç de la carta i va descarregar el miner WannaMine a la seva màquina, que, com el famós WannaCry, va explotar la vulnerabilitat EternalBlue. El més interessant és que la majoria d'antivirus han estat capaços de detectar les seves signatures des de principis del 2018. Però, o l'antivirus estava desactivat, o les bases de dades no estaven actualitzades, o no hi era del tot; en tot cas, el miner ja estava a l'ordinador, i res va impedir que s'estengués més per la xarxa, carregant els servidors. CPU i estacions de treball al 100%.
Aquest client, després d'haver rebut un informe del nostre equip forense, va veure que el virus inicialment li va penetrar a través del correu electrònic i va llançar un projecte pilot per connectar un servei de protecció de correu electrònic. El primer que vam configurar va ser un antivirus de correu electrònic. Al mateix temps, l'escaneig de programari maliciós es porta a terme constantment i les actualitzacions de signatures es van dur a terme inicialment cada hora, i després el client va canviar a dues vegades al dia.
S'ha d'aplicar una protecció total contra les infeccions víriques. Si parlem de la transmissió de virus a través del correu electrònic, cal filtrar aquestes cartes a l'entrada, formar els usuaris per reconèixer l'enginyeria social i, després, confiar en antivirus i caixes de sorra.
en SEGda en guàrdia
Per descomptat, no afirmem que les solucions de Secure Email Gateway siguin una panacea. Els atacs dirigits, inclòs el spear phishing, són extremadament difícils de prevenir perquè... Cada atac d'aquest tipus està "adaptat" a un destinatari específic (organització o persona). Però per a una empresa que intenta proporcionar un nivell bàsic de seguretat, això és molt, especialment amb l'experiència i els coneixements adequats aplicats a la tasca.
Molt sovint, quan es duu a terme una pesca de pesca, els fitxers adjunts maliciosos no s'inclouen al cos de les cartes, en cas contrari, el sistema antispam bloquejarà immediatament aquesta carta en el camí cap al destinatari. Però inclouen enllaços a un recurs web preparat prèviament al text de la carta, i llavors és una qüestió petita. L'usuari segueix l'enllaç, i després de diverses redireccions en qüestió de segons acaba a l'últim de tota la cadena, l'obertura de la qual descarregarà programari maliciós al seu ordinador.
Encara més sofisticat: en el moment en què rebeu la carta, l'enllaç pot ser inofensiu i només després d'haver passat un temps, quan ja s'hagi escanejat i saltat, començarà a redirigir a programari maliciós. Malauradament, els especialistes de Solar JSOC, fins i tot tenint en compte les seves competències, no podran configurar la passarel·la de correu per "veure" programari maliciós a través de tota la cadena (tot i que, com a protecció, podeu utilitzar la substitució automàtica de tots els enllaços en lletres). a SEG, de manera que aquest últim escaneja l'enllaç no només en el moment de l'entrega de la carta, i en cada transició).
Mentrestant, fins i tot una redirecció típica es pot tractar mitjançant l'agregació de diversos tipus d'experiència, incloses les dades obtingudes pel nostre JSOC CERT i OSINT. Això us permet crear llistes negres ampliades, a partir de les quals es bloquejarà fins i tot una carta amb reenviament múltiple.
L'ús de SEG és només un petit maó a la paret que qualsevol organització vol construir per protegir els seus actius. Però aquest enllaç també s'ha d'integrar correctament a la imatge general, perquè fins i tot SEG, amb una configuració adequada, es pot convertir en un mitjà de protecció complet.
Ksenia Sadunina, consultora del departament expert de prevenda de productes i serveis de Solar JSOC
Font: www.habr.com