Zatímco velká Enterprise buduje silné pevnůstky z potenciálních interních útočníků a hackerů, phishing a spam zůstávají pro jednodušší společnosti bolestí hlavy. Kdyby Marty McFly věděl, že v roce 2015 (a ještě více v roce 2020) lidé nejen že nebudou vymýšlet hoverboardy, ale nenaučí se ani zcela zbavovat nevyžádané pošty, pravděpodobně by ztratil víru v lidstvo. Spam je dnes navíc nejen obtěžující, ale často i škodlivý. V přibližně 70 % implementací killchain pronikají kyberzločinci do infrastruktury pomocí malwaru obsaženého v přílohách nebo prostřednictvím phishingových odkazů v e-mailech.
V poslední době existuje jasný trend k šíření sociálního inženýrství jako způsobu, jak proniknout do infrastruktury organizace. Při srovnání statistik z let 2017 a 2018 vidíme téměř 50% nárůst v počtu případů, kdy byl malware doručen do počítačů zaměstnanců prostřednictvím příloh nebo phishingových odkazů v těle e-mailu.
Obecně lze celou škálu hrozeb, které lze provést pomocí e-mailu, rozdělit do několika kategorií:
- příchozí spam
- zahrnutí počítačů organizace do botnetu, který rozesílá odchozí spam
- škodlivé přílohy a viry v těle dopisu (malé firmy nejčastěji trpí masivními útoky jako Petya).
Chcete-li se chránit před všemi typy útoků, můžete buď nasadit několik systémů zabezpečení informací, nebo sledovat cestu modelu služby. Jsme již o platformě Unified Cybersecurity Services Platform – jádru ekosystému řízených kybernetických služeb Solar MSS. Mimo jiné obsahuje virtualizovanou technologii Secure Email Gateway (SEG). Předplatné této služby si zpravidla kupují malé společnosti, ve kterých jsou všechny funkce IT a bezpečnosti informací přiřazeny jedné osobě – správci systému. Spam je problém, který je vždy viditelný pro uživatele a management a nelze jej ignorovat. Postupem času se však i správě ukáže, že není možné to jednoduše „přehodit“ správci systému - zabere to příliš mnoho času.
2 hodiny na analýzu pošty je trochu moc
S podobnou situací se na nás obrátil jeden z prodejců. Systémy sledování času ukázaly, že každý den jeho zaměstnanci strávili asi 25 % své pracovní doby (2 hodiny!) tříděním poštovní schránky.
Po připojení poštovního serveru zákazníka jsme nakonfigurovali instanci SEG jako obousměrnou bránu pro příchozí i odchozí poštu. Začali jsme filtrovat podle předem stanovených zásad. Blacklist jsme sestavili na základě analýzy dat poskytnutých zákazníkem a vlastních seznamů potenciálně nebezpečných adres získaných odborníky Solar JSOC v rámci dalších služeb – např. monitorování incidentů informační bezpečnosti. Poté byla veškerá pošta doručena příjemcům až po vyčištění a různé spamy o „velkých slevách“ se přestaly hrnout na poštovní servery zákazníka v tunách, čímž se uvolnil prostor pro jiné potřeby.
Existují však situace, kdy byl legitimní dopis omylem klasifikován jako spam, například jako dopis přijatý od nedůvěryhodného odesílatele. V tomto případě jsme dali právo rozhodnutí zákazníkovi. Není mnoho možností, co dělat: okamžitě jej smazat nebo poslat do karantény. Zvolili jsme druhou cestu, ve které je taková nevyžádaná pošta uložena na samotném SEG. Správci systému jsme zajistili přístup do webové konzole, ve které mohl kdykoliv najít důležitý dopis např. od protistrany a přeposlat jej uživateli.
Zbavit se parazitů
Součástí služby emailové ochrany jsou analytické reporty, jejichž účelem je sledovat bezpečnost infrastruktury a efektivitu použitých nastavení. Kromě toho vám tyto zprávy umožňují předpovídat trendy. V přehledu najdeme například odpovídající sekci „Spam od příjemce“ nebo „Spam od odesílatele“ a podíváme se, na čí adresu přichází největší počet blokovaných zpráv.
Právě při analýze takové zprávy se nám prudce zvýšený celkový počet dopisů od jednoho ze zákazníků zdál podezřelý. Jeho infrastruktura je malá, počet písmen nízký. A najednou se po pracovním dni množství zablokovaného spamu téměř zdvojnásobilo. Rozhodli jsme se, že se na to podíváme blíže.
Vidíme, že se zvýšil počet odchozích dopisů a všechny v poli Odesílatel obsahují adresy z domény, která je připojena ke službě ochrany pošty. Ale je tu jedna nuance: mezi docela zdravými, možná dokonce existujícími adresami, jsou jasně podivné. Podívali jsme se na IP adresy, ze kterých byly dopisy odesílány, a celkem očekávaně se ukázalo, že nepatří do chráněného adresního prostoru. Útočník zjevně rozesílal spam jménem zákazníka.
V tomto případě jsme pro zákazníka udělali doporučení, jak správně nakonfigurovat DNS záznamy, konkrétně SPF. Náš specialista nám doporučil vytvořit TXT záznam obsahující pravidlo „v=spf1 mx ip:1.2.3.4/23 -all“, který obsahuje vyčerpávající seznam adres, které mohou odesílat dopisy jménem chráněné domény.
Proč je to vlastně důležité: spam jménem neznámé malé společnosti je nepříjemný, ale není kritický. Zcela jiná situace je například v bankovnictví. Podle našich pozorování se míra důvěry oběti v phishingový e-mail mnohonásobně zvyšuje, pokud je údajně odeslán z domény jiné banky nebo protistrany, kterou oběť zná. A to odlišuje nejen zaměstnance bank, ale se stejným trendem se potýkáme i v jiných odvětvích – například v energetice.
Zabíjení virů
Spoofing ale není tak častým problémem jako například virové infekce. Jak nejčastěji bojujete s virovými epidemiemi? Instalují antivirus a doufají, že „nepřítel neprojde“. Pokud by však bylo vše tak jednoduché, pak by vzhledem k poměrně nízkým nákladům na antiviry každý dávno zapomněl na problém malwaru. Mezitím neustále dostáváme požadavky ze série „pomozte nám obnovit soubory, vše jsme zašifrovali, práce se zastavila, data se ztratila“. Neúnavně opakujeme našim zákazníkům, že antivirus není všelék. Kromě toho, že se antivirové databáze nemusí aktualizovat dostatečně rychle, často se setkáváme s malwarem, který dokáže obejít nejen antiviry, ale i sandboxy.
Bohužel jen málo běžných zaměstnanců organizací zná phishing a škodlivé e-maily a dokáže je odlišit od běžné korespondence. V průměru každý 7. uživatel, který neprochází pravidelným zvyšováním povědomí, podlehne sociálnímu inženýrství: otevření infikovaného souboru nebo odeslání svých dat útočníkům.
Přestože se sociální vektor útoků obecně postupně zvyšuje, tento trend se stal patrným zejména v loňském roce. Phishingové e-maily se stále více podobaly běžným zprávám o akcích, nadcházejících událostech atd. Zde si můžeme připomenout útok Silence na finanční sektor – zaměstnanci banky dostali dopis údajně s propagačním kódem pro účast na populární oborové konferenci iFin a procento těch, kteří podlehli triku, bylo velmi vysoké, i když si připomeňme , mluvíme o bankovnictví - nejpokročilejším v otázkách bezpečnosti informací.
Před posledním Novým rokem jsme také zaznamenali několik poněkud kuriózních situací, kdy zaměstnanci průmyslových podniků dostávali velmi kvalitní phishingové dopisy se „seznamem“ novoročních akcí v oblíbených internetových obchodech a s propagačními kódy na slevy. Zaměstnanci se nejen snažili odkaz sami sledovat, ale dopis přeposlali i kolegům ze spřízněných organizací. Vzhledem k tomu, že zdroj, na který odkaz v phishingovém e-mailu vedl, byl zablokován, zaměstnanci začali hromadně odesílat požadavky na IT službu, aby k němu poskytli přístup. Obecně platí, že úspěch mailingu musel předčit všechna očekávání útočníků.
A nedávno se na nás obrátila o pomoc společnost, která byla „zašifrována“. Vše začalo, když účetní dostali dopis údajně z Centrální banky Ruské federace. Účetní klikl na odkaz v dopise a stáhl si do svého stroje těžař WannaMine, který stejně jako slavný WannaCry zneužil zranitelnost EternalBlue. Nejzajímavější je, že většina antivirů dokázala od začátku roku 2018 detekovat jeho podpisy. Ale buď byl antivirus deaktivován, nebo databáze nebyly aktualizovány, nebo tam nebyl vůbec - v každém případě byl těžař již na počítači a nic mu nebránilo v dalším šíření po síti a načítání serverů CPU a pracovní stanice na 100 %.
Tento zákazník, který obdržel zprávu od našeho forenzního týmu, viděl, že k němu virus původně pronikl prostřednictvím e-mailu, a zahájil pilotní projekt připojení služby ochrany e-mailu. První věc, kterou jsme nastavili, byl e-mailový antivirus. Zároveň se neustále provádí skenování malwaru a aktualizace signatur byly zpočátku prováděny každou hodinu a poté zákazník přešel na dvakrát denně.
Plná ochrana proti virovým infekcím musí být vrstvená. Pokud se budeme bavit o přenosu virů emailem, pak je potřeba taková písmena na vstupu odfiltrovat, vycvičit uživatele k rozpoznání sociálního inženýrství a pak se spolehnout na antiviry a sandboxy.
v SEGda na stráži
Samozřejmě netvrdíme, že řešení Secure Email Gateway jsou všelékem. Cíleným útokům, včetně spear phishingu, je extrémně obtížné zabránit, protože... Každý takový útok je „šitý na míru“ konkrétnímu příjemci (organizaci nebo osobě). Ale pro společnost, která se snaží poskytnout základní úroveň zabezpečení, je to hodně, zvláště se správnými zkušenostmi a odbornými znalostmi aplikovanými na daný úkol.
Nejčastěji, když se provádí spear phishing, škodlivé přílohy nejsou zahrnuty do těla dopisů, jinak antispamový systém okamžitě zablokuje takový dopis na cestě k příjemci. Ale obsahují odkazy na předem připravený webový zdroj v textu dopisu, a pak je to malá záležitost. Uživatel následuje odkaz a po několika přesměrováních během několika sekund skončí na posledním v celém řetězci, jehož otevřením se mu do počítače stáhne malware.
Ještě sofistikovanější: ve chvíli, kdy dopis obdržíte, může být odkaz neškodný a teprve po uplynutí určité doby, kdy je již naskenován a přeskočen, se začne přesměrovávat na malware. Specialisté Solar JSOC bohužel ani s přihlédnutím ke svým kompetencím nebudou schopni nakonfigurovat poštovní bránu tak, aby „viděla“ malware v celém řetězci (ačkoli jako ochranu můžete použít automatické nahrazení všech odkazů v písmenech na SEG, takže ten naskenuje odkaz nejen v době doručení dopisu a při každém přechodu).
Mezitím i typické přesměrování lze řešit agregací několika typů odborných znalostí, včetně dat získaných našimi JSOC CERT a OSINT. To umožňuje vytvářet rozšířené blacklisty, na základě kterých bude zablokován i dopis s vícenásobným přeposláním.
Používání SEG je jen malá cihla ve zdi, kterou chce každá organizace postavit, aby ochránila svůj majetek. Tento odkaz je ale také potřeba správně začlenit do celkového obrazu, protože i SEG se při správné konfiguraci může proměnit v plnohodnotný prostředek ochrany.
Ksenia Sadunina, konzultantka odborného předprodejního oddělení produktů a služeb Solar JSOC
Zdroj: www.habr.com