Während das große Unternehmen massive Schutzmaßnahmen gegen potenzielle interne Angreifer und Hacker aufbaut, bereiten Phishing- und Spam-Mails einfacheren Unternehmen weiterhin Kopfzerbrechen. Wenn Marty McFly wüsste, dass die Menschen im Jahr 2015 (und noch mehr im Jahr 2020) nicht nur keine Hoverboards erfinden würden, sondern auch nicht einmal lernen würden, Junk-Mail vollständig loszuwerden, würde er wahrscheinlich das Vertrauen in die Menschheit verlieren. Darüber hinaus ist Spam heutzutage nicht nur lästig, sondern oft auch schädlich. Bei etwa 70 % der Killchain-Implementierungen dringen Cyberkriminelle mithilfe von in Anhängen enthaltener Malware oder über Phishing-Links in E-Mails in die Infrastruktur ein.
In letzter Zeit gibt es einen klaren Trend zur Verbreitung von Social Engineering als Möglichkeit, in die Infrastruktur einer Organisation einzudringen. Beim Vergleich der Statistiken aus den Jahren 2017 und 2018 sehen wir einen Anstieg der Fälle, in denen Malware über Anhänge oder Phishing-Links im E-Mail-Text auf die Computer der Mitarbeiter gelangte, um fast 50 %.
Generell lässt sich das gesamte Spektrum an Bedrohungen, die per E-Mail ausgeführt werden können, in mehrere Kategorien einteilen:
- eingehender Spam
- Einbeziehung der Computer einer Organisation in ein Botnetz, das ausgehenden Spam versendet
- bösartige Anhänge und Viren im Textkörper des Briefes (kleine Unternehmen leiden am häufigsten unter massiven Angriffen wie Petya).
Um sich vor allen Arten von Angriffen zu schützen, können Sie entweder mehrere Informationssicherheitssysteme einsetzen oder den Weg eines Servicemodells verfolgen. Wir schon über die Unified Cybersecurity Services Platform – den Kern des von Solar MSS verwalteten Ökosystems für Cybersicherheitsdienste. Es umfasst unter anderem die virtualisierte Secure Email Gateway (SEG)-Technologie. In der Regel wird ein Abonnement für diesen Dienst von kleinen Unternehmen erworben, bei denen alle IT- und Informationssicherheitsfunktionen einer Person zugewiesen sind – dem Systemadministrator. Spam ist ein Problem, das für Benutzer und Management immer sichtbar ist und nicht ignoriert werden kann. Mit der Zeit wird jedoch auch dem Management klar, dass es unmöglich ist, es einfach dem Systemadministrator „abzugeben“ – es nimmt zu viel Zeit in Anspruch.
2 Stunden zum Parsen von E-Mails sind etwas viel
Einer der Einzelhändler kam mit einer ähnlichen Situation auf uns zu. Zeiterfassungssysteme zeigten, dass seine Mitarbeiter jeden Tag etwa 25 % ihrer Arbeitszeit (2 Stunden!) mit dem Sortieren des Briefkastens verbrachten.
Nachdem wir den Mailserver des Kunden angeschlossen hatten, konfigurierten wir die SEG-Instanz als Zwei-Wege-Gateway für eingehende und ausgehende E-Mails. Wir haben begonnen, nach vorab festgelegten Richtlinien zu filtern. Wir haben die Blacklist auf der Grundlage einer Analyse der vom Kunden bereitgestellten Daten und unserer eigenen Listen potenziell gefährlicher Adressen erstellt, die von Solar JSOC-Experten im Rahmen anderer Dienstleistungen – beispielsweise der Überwachung von Informationssicherheitsvorfällen – erhalten wurden. Danach wurden alle E-Mails den Empfängern erst nach der Bereinigung zugestellt, und verschiedene Spam-Mails mit „großen Rabatten“ strömten nicht mehr in Massen auf die Mailserver des Kunden, wodurch Platz für andere Zwecke frei wurde.
Es kam jedoch vor, dass ein legitimer Brief fälschlicherweise als Spam eingestuft wurde, weil er beispielsweise von einem nicht vertrauenswürdigen Absender stammte. In diesem Fall haben wir dem Kunden das Entscheidungsrecht eingeräumt. Es gibt nicht viele Möglichkeiten: sofort löschen oder in die Quarantäne schicken. Wir haben den zweiten Weg gewählt, bei dem solche Junk-Mails auf dem SEG selbst gespeichert werden. Wir stellten dem Systemadministrator einen Zugriff auf die Webkonsole zur Verfügung, in der er jederzeit einen wichtigen Brief, beispielsweise von einer Gegenpartei, finden und an den Benutzer weiterleiten konnte.
Parasiten loswerden
Der E-Mail-Schutzdienst umfasst Analyseberichte, deren Zweck darin besteht, die Sicherheit der Infrastruktur und die Wirksamkeit der verwendeten Einstellungen zu überwachen. Darüber hinaus ermöglichen Ihnen diese Berichte, Trends vorherzusagen. Beispielsweise finden wir im Bericht den entsprechenden Abschnitt „Spam nach Empfänger“ oder „Spam nach Absender“ und schauen uns an, an wessen Adresse die meisten blockierten Nachrichten eingehen.
Bei der Analyse einer solchen Meldung kam uns die stark gestiegene Gesamtzahl der Briefe eines Kunden verdächtig vor. Die Infrastruktur ist klein, die Zahl der Briefe gering. Und plötzlich, nach einem Arbeitstag, verdoppelte sich die Menge an blockiertem Spam fast. Wir beschlossen, genauer hinzuschauen.
Wir sehen, dass die Anzahl der ausgehenden Briefe zugenommen hat und alle im Feld „Absender“ Adressen einer Domain enthalten, die mit dem Mail-Schutzdienst verbunden ist. Aber es gibt eine Nuance: Unter ganz vernünftigen, vielleicht sogar existierenden Adressen gibt es eindeutig seltsame. Wir haben uns die IPs angesehen, von denen die Briefe gesendet wurden, und erwartungsgemäß stellte sich heraus, dass sie nicht zum geschützten Adressraum gehörten. Offensichtlich verschickte der Angreifer Spam im Namen des Kunden.
In diesem Fall haben wir dem Kunden Empfehlungen zur korrekten Konfiguration von DNS-Einträgen, insbesondere SPF, gegeben. Unser Spezialist hat uns geraten, einen TXT-Eintrag mit der Regel „v=spf1 mx ip:1.2.3.4/23 -all“ zu erstellen, der eine vollständige Liste der Adressen enthält, die im Namen der geschützten Domain Briefe versenden dürfen.
Warum das eigentlich wichtig ist: Spam im Namen eines unbekannten Kleinunternehmens ist unangenehm, aber nicht kritisch. Ganz anders sieht es beispielsweise im Bankensektor aus. Nach unseren Beobachtungen erhöht sich das Vertrauen des Opfers in eine Phishing-E-Mail um ein Vielfaches, wenn diese angeblich von der Domain einer anderen Bank oder einer dem Opfer bekannten Gegenpartei versendet wird. Und das zeichnet nicht nur Bankmitarbeiter aus, auch in anderen Branchen – zum Beispiel im Energiesektor – sind wir mit dem gleichen Trend konfrontiert.
Viren abtöten
Doch Spoofing ist kein so häufiges Problem wie beispielsweise Virusinfektionen. Wie bekämpft man am häufigsten Virusepidemien? Sie installieren ein Antivirenprogramm und hoffen, dass „der Feind nicht durchkommt“. Aber wenn alles so einfach wäre, dann hätte jeder angesichts der relativ geringen Kosten von Antivirenprogrammen das Problem der Malware längst vergessen. Mittlerweile erhalten wir ständig Anfragen aus der Reihe „Helfen Sie uns, die Dateien wiederherzustellen, wir haben alles verschlüsselt, die Arbeit ist ins Stocken geraten, die Daten sind verloren.“ Wir werden nicht müde, unseren Kunden gegenüber immer wieder zu betonen, dass Antivirenprogramme kein Allheilmittel sind. Abgesehen davon, dass Antiviren-Datenbanken möglicherweise nicht schnell genug aktualisiert werden, stoßen wir häufig auf Malware, die nicht nur Antivirenprogramme, sondern auch Sandboxes umgehen kann.
Leider sind sich nur wenige normale Mitarbeiter von Organisationen der Phishing- und Schad-E-Mails bewusst und sind in der Lage, diese von normaler Korrespondenz zu unterscheiden. Im Durchschnitt erliegt jeder siebte Nutzer, der keine regelmäßige Sensibilisierung erhält, dem Social Engineering: dem Öffnen einer infizierten Datei oder dem Versenden seiner Daten an Angreifer.
Obwohl der soziale Vektor von Angriffen im Allgemeinen allmählich zunimmt, ist dieser Trend im letzten Jahr besonders deutlich geworden. Phishing-E-Mails ähnelten immer mehr regulären Mailings über Werbeaktionen, bevorstehende Veranstaltungen usw. Hier erinnern wir uns an den Silence-Angriff auf den Finanzsektor – Bankmitarbeiter erhielten angeblich einen Brief mit einem Aktionscode für die Teilnahme an der beliebten Branchenkonferenz iFin, und der Prozentsatz derjenigen, die dem Trick erlagen, war sehr hoch, erinnern wir uns jedoch Die Rede ist von der Bankenbranche, der in Sachen Informationssicherheit am weitesten fortgeschritten ist.
Vor dem letzten Neujahr beobachteten wir auch einige eher merkwürdige Situationen, in denen Mitarbeiter von Industrieunternehmen sehr hochwertige Phishing-Briefe mit einer „Liste“ von Neujahrsaktionen in beliebten Online-Shops und Aktionscodes für Rabatte erhielten. Mitarbeiter versuchten nicht nur selbst, dem Link zu folgen, sondern leiteten den Brief auch an Kollegen verwandter Organisationen weiter. Da die Ressource, zu der der Link in der Phishing-E-Mail führte, gesperrt war, begannen Mitarbeiter massenhaft, Anfragen an den IT-Dienst zu richten, um Zugriff darauf zu gewähren. Generell muss der Erfolg des Mailings alle Erwartungen der Angreifer übertroffen haben.
Und kürzlich wandte sich ein Unternehmen, das „verschlüsselt“ worden war, hilfesuchend an uns. Alles begann, als Buchhaltungsmitarbeiter einen Brief erhielten, angeblich von der Zentralbank der Russischen Föderation. Der Buchhalter klickte auf den Link im Brief und lud den WannaMine-Miner auf seinen Rechner herunter, der wie der berühmte WannaCry die EternalBlue-Schwachstelle ausnutzte. Das Interessanteste ist, dass die meisten Antivirenprogramme seit Anfang 2018 in der Lage sind, seine Signaturen zu erkennen. Aber entweder war das Antivirenprogramm deaktiviert, oder die Datenbanken wurden nicht aktualisiert, oder es war überhaupt nicht vorhanden – in jedem Fall befand sich der Miner bereits auf dem Computer, und nichts hinderte ihn daran, sich weiter über das Netzwerk auszubreiten und die Server zu belasten. CPU und Workstations zu 100 % ausgelastet.
Nachdem dieser Kunde einen Bericht von unserem Forensik-Team erhalten hatte, stellte er fest, dass der Virus zunächst per E-Mail in ihn eingedrungen war, und startete ein Pilotprojekt zur Anbindung eines E-Mail-Schutzdienstes. Als erstes haben wir ein E-Mail-Antivirenprogramm eingerichtet. Gleichzeitig wird ständig nach Schadsoftware gescannt und Signaturaktualisierungen wurden zunächst stündlich durchgeführt, später wurde vom Kunden auf zweimal täglich umgestellt.
Der vollständige Schutz vor Virusinfektionen muss schichtweise erfolgen. Wenn wir über die Übertragung von Viren per E-Mail sprechen, ist es notwendig, solche Briefe am Eingang herauszufiltern, Benutzer darin zu schulen, Social Engineering zu erkennen, und dann auf Antivirenprogramme und Sandboxen zu setzen.
in SEGda auf der Hut
Natürlich behaupten wir nicht, dass Secure Email Gateway-Lösungen ein Allheilmittel sind. Gezielte Angriffe, einschließlich Spear-Phishing, sind äußerst schwer zu verhindern, weil... Jeder dieser Angriffe ist auf einen bestimmten Empfänger (Organisation oder Person) „zugeschnitten“. Aber für ein Unternehmen, das versucht, ein grundlegendes Maß an Sicherheit bereitzustellen, ist das eine Menge, insbesondere wenn die richtige Erfahrung und das richtige Fachwissen für die Aufgabe eingesetzt werden.
Bei Spear-Phishing werden in den meisten Fällen schädliche Anhänge nicht in den Briefkörper aufgenommen, da das Antispam-System einen solchen Brief sonst sofort auf dem Weg zum Empfänger blockiert. Aber sie enthalten im Text des Briefes Links zu einer vorbereiteten Webressource, und dann ist das eine Kleinigkeit. Der Benutzer folgt dem Link und gelangt dann nach mehreren Weiterleitungen innerhalb von Sekunden zum letzten Link in der gesamten Kette, bei dessen Öffnung Malware auf seinen Computer heruntergeladen wird.
Noch raffinierter: In dem Moment, in dem Sie den Brief erhalten, kann der Link harmlos sein und erst nach einiger Zeit, wenn er bereits gescannt und übersprungen wurde, beginnt er, auf Malware umzuleiten. Leider sind die Spezialisten von Solar JSOC selbst unter Berücksichtigung ihrer Kompetenzen nicht in der Lage, das Mail-Gateway so zu konfigurieren, dass Malware in der gesamten Kette „gesehen“ wird (obwohl Sie als Schutz die automatische Ersetzung aller Links in Briefen verwenden können). an SEG, damit dieser den Link nicht nur zum Zeitpunkt der Zustellung des Briefes, sondern auch bei jedem Übergang scannt).
Mittlerweile kann selbst eine typische Weiterleitung durch die Aggregation verschiedener Arten von Fachwissen bewältigt werden, einschließlich der von unserem JSOC CERT und OSINT erhaltenen Daten. Dadurch können Sie erweiterte Sperrlisten erstellen, auf deren Grundlage auch ein Brief mit mehrfacher Weiterleitung gesperrt wird.
Der Einsatz von SEG ist nur ein kleiner Baustein in der Mauer, den jedes Unternehmen zum Schutz seiner Vermögenswerte errichten möchte. Aber auch dieser Link muss richtig in das Gesamtbild integriert werden, denn auch SEG kann bei richtiger Konfiguration zu einem vollwertigen Schutzmittel werden.
Ksenia Sadunina, Beraterin der Experten-Vorverkaufsabteilung für Produkte und Dienstleistungen von Solar JSOC
Source: habr.com