Alors que les grandes entreprises construisent des redoutes échelonnées contre les attaquants et les pirates internes potentiels, le phishing et les spams restent un casse-tête pour les entreprises les plus simples. Si Marty McFly savait qu'en 2015 (et encore plus en 2020) non seulement les gens n'inventeraient pas les hoverboards, mais qu'ils n'apprendraient même pas à se débarrasser complètement du courrier indésirable, il perdrait probablement confiance en l'humanité. De plus, le spam est aujourd’hui non seulement ennuyeux, mais souvent nuisible. Dans environ 70 % des mises en œuvre de killchain, les cybercriminels pénètrent dans l'infrastructure à l'aide de logiciels malveillants contenus dans des pièces jointes ou via des liens de phishing contenus dans des e-mails.
Récemment, on a observé une nette tendance à la diffusion de l’ingénierie sociale comme moyen de pénétrer l’infrastructure d’une organisation. En comparant les statistiques de 2017 et 2018, nous constatons une augmentation de près de 50 % du nombre de cas où des logiciels malveillants ont été transmis aux ordinateurs des employés via des pièces jointes ou des liens de phishing dans le corps d'un e-mail.
En général, l'ensemble des menaces pouvant être exécutées par courrier électronique peut être divisé en plusieurs catégories :
- spam entrant
- inclusion des ordinateurs d'une organisation dans un botnet qui envoie du spam sortant
- pièces jointes malveillantes et virus dans le corps de la lettre (les petites entreprises souffrent le plus souvent d'attaques massives comme Petya).
Pour vous protéger contre tous types d'attaques, vous pouvez soit déployer plusieurs systèmes de sécurité de l'information, soit suivre le chemin d'un modèle de service. Nous avons déjà à propos de la plateforme de services de cybersécurité unifiée - le cœur de l'écosystème de services de cybersécurité gérés par Solar MSS. Entre autres choses, il inclut la technologie virtualisée Secure Email Gateway (SEG). En règle générale, l'abonnement à ce service est acheté par les petites entreprises dans lesquelles toutes les fonctions informatiques et de sécurité de l'information sont confiées à une seule personne - l'administrateur système. Le spam est un problème toujours visible pour les utilisateurs et la direction, et il ne peut être ignoré. Cependant, au fil du temps, même la direction devient claire qu'il est impossible de simplement « le confier » à l'administrateur système - cela prend trop de temps.
2 heures pour analyser le courrier, c'est un peu trop
Un des détaillants nous a contacté avec une situation similaire. Les systèmes de suivi du temps ont montré que chaque jour, ses employés consacraient environ 25 % de leur temps de travail (2 heures !) au tri de la boîte aux lettres.
Après avoir connecté le serveur de messagerie du client, nous avons configuré l'instance SEG comme passerelle bidirectionnelle pour le courrier entrant et sortant. Nous avons commencé à filtrer selon des politiques préétablies. Nous avons compilé la liste noire sur la base d'une analyse des données fournies par le client et de nos propres listes d'adresses potentiellement dangereuses obtenues par les experts de Solar JSOC dans le cadre d'autres services - par exemple, la surveillance des incidents de sécurité des informations. Après cela, tout le courrier n'a été livré aux destinataires qu'après nettoyage, et divers spams concernant les « grandes remises » ont cessé d'affluer en tonnes sur les serveurs de messagerie des clients, libérant ainsi de l'espace pour d'autres besoins.
Mais il est arrivé qu'une lettre légitime soit classée par erreur comme spam, par exemple parce qu'elle avait été reçue d'un expéditeur non fiable. Dans ce cas, nous avons donné le droit de décision au client. Il n'y a pas beaucoup d'options quant à la marche à suivre : supprimez-le immédiatement ou envoyez-le en quarantaine. Nous avons choisi le deuxième chemin, dans lequel ces courriers indésirables sont stockés sur le SEG lui-même. Nous avons fourni à l'administrateur système un accès à la console Web, dans laquelle il pouvait à tout moment trouver une lettre importante, par exemple d'une contrepartie, et la transmettre à l'utilisateur.
Se débarrasser des parasites
Le service de protection de la messagerie comprend des rapports analytiques dont le but est de surveiller la sécurité de l'infrastructure et l'efficacité des paramètres utilisés. De plus, ces rapports vous permettent de prédire les tendances. Par exemple, nous trouvons la section correspondante « Spam par destinataire » ou « Spam par expéditeur » dans le rapport et regardons quelle adresse reçoit le plus grand nombre de messages bloqués.
C'est en analysant un tel rapport que le nombre total de lettres en forte augmentation de l'un des clients nous a paru suspect. Son infrastructure est petite, le nombre de lettres est faible. Et soudain, après une journée de travail, la quantité de spam bloqué a presque doublé. Nous avons décidé d'y regarder de plus près.
Nous constatons que le nombre de lettres sortantes a augmenté, et toutes dans le champ « Expéditeur » contiennent des adresses d'un domaine connecté au service de protection du courrier. Mais il y a une nuance : parmi des adresses tout à fait saines, peut-être même existantes, il y en a clairement des étranges. Nous avons examiné les adresses IP à partir desquelles les lettres ont été envoyées et, comme on pouvait s'y attendre, il s'est avéré qu'elles n'appartenaient pas à l'espace d'adressage protégé. De toute évidence, l’attaquant envoyait du spam au nom du client.
Dans ce cas, nous avons fait des recommandations au client sur la manière de configurer correctement les enregistrements DNS, notamment SPF. Notre spécialiste nous a conseillé de créer un enregistrement TXT contenant la règle « v=spf1 mx ip:1.2.3.4/23 -all », qui contient une liste exhaustive des adresses autorisées à envoyer des lettres au nom du domaine protégé.
En fait, pourquoi c'est important : le spam de la part d'une petite entreprise inconnue est désagréable, mais pas critique. La situation est complètement différente, par exemple dans le secteur bancaire. D’après nos observations, le niveau de confiance de la victime dans un e-mail de phishing augmente plusieurs fois s’il est censé être envoyé depuis le domaine d’une autre banque ou d’une contrepartie connue de la victime. Et cela ne concerne pas seulement les employés de banque : dans d'autres secteurs - le secteur de l'énergie par exemple - nous sommes confrontés à la même tendance.
Tuer les virus
Mais l’usurpation d’identité n’est pas un problème aussi courant que, par exemple, les infections virales. Comment combattez-vous le plus souvent les épidémies virales ? Ils installent un antivirus et espèrent que « l’ennemi ne passera pas ». Mais si tout était si simple, étant donné le coût relativement faible des antivirus, tout le monde aurait depuis longtemps oublié le problème des logiciels malveillants. Pendant ce temps, nous recevons constamment des demandes de la série "Aidez-nous à restaurer les fichiers, nous avons tout crypté, le travail est bloqué, les données sont perdues". Nous ne nous lassons pas de répéter à nos clients que l’antivirus n’est pas une panacée. Outre le fait que les bases de données antivirus ne sont pas mises à jour assez rapidement, nous rencontrons souvent des logiciels malveillants capables de contourner non seulement les antivirus, mais également les bacs à sable.
Malheureusement, peu d'employés ordinaires des organisations sont conscients du phishing et des courriels malveillants et sont capables de les distinguer de la correspondance régulière. En moyenne, un utilisateur sur sept qui ne fait pas l'objet d'une sensibilisation régulière succombe à l'ingénierie sociale : ouverture d'un fichier infecté ou envoi de ses données à des attaquants.
Bien que le vecteur social des attaques, en général, ait progressivement augmenté, cette tendance est devenue particulièrement visible l'année dernière. Les e-mails de phishing ressemblaient de plus en plus aux e-mails réguliers concernant les promotions, les événements à venir, etc. Ici, nous pouvons rappeler l'attaque Silence contre le secteur financier - les employés de la banque ont reçu une lettre prétendument avec un code promotionnel pour participer à la populaire conférence industrielle iFin, et le pourcentage de ceux qui ont succombé à l'astuce était très élevé, même si, rappelons-le. , nous parlons du secteur bancaire - le plus avancé en matière de sécurité de l'information.
Avant le Nouvel An dernier, nous avons également observé plusieurs situations assez curieuses où des employés d'entreprises industrielles recevaient des lettres de phishing de très haute qualité avec une « liste » des promotions du Nouvel An dans des magasins en ligne populaires et avec des codes promotionnels pour des réductions. Les employés ont non seulement essayé de suivre eux-mêmes le lien, mais ont également transmis la lettre à des collègues d'organisations liées. Depuis que la ressource vers laquelle menait le lien contenu dans l'e-mail de phishing a été bloquée, les employés ont commencé à soumettre en masse des demandes au service informatique pour y donner accès. En général, le succès du mailing a dû dépasser toutes les attentes des attaquants.
Et récemment, une entreprise « cryptée » s’est tournée vers nous pour obtenir de l’aide. Tout a commencé lorsque les comptables ont reçu une lettre prétendument de la Banque centrale de la Fédération de Russie. Le comptable a cliqué sur le lien contenu dans la lettre et a téléchargé sur sa machine le mineur WannaMine qui, comme le célèbre WannaCry, exploitait la vulnérabilité EternalBlue. Le plus intéressant est que la plupart des antivirus sont capables de détecter ses signatures depuis début 2018. Mais soit l'antivirus était désactivé, soit les bases de données n'étaient pas mises à jour, soit il n'était pas là du tout - de toute façon, le mineur était déjà sur l'ordinateur, et rien ne l'empêchait de se propager davantage sur le réseau, chargeant les serveurs. CPU et postes de travail à 100% .
Ce client, après avoir reçu un rapport de notre équipe d'investigation, a constaté que le virus l'avait d'abord pénétré par courrier électronique et a lancé un projet pilote pour connecter un service de protection de courrier électronique. La première chose que nous avons mise en place était un antivirus de messagerie. Dans le même temps, la recherche de logiciels malveillants est effectuée en permanence et les mises à jour des signatures étaient initialement effectuées toutes les heures, puis le client est passé à deux fois par jour.
Une protection complète contre les infections virales doit être superposée. Si nous parlons de transmission de virus par courrier électronique, il est alors nécessaire de filtrer ces lettres à l'entrée, de former les utilisateurs à reconnaître l'ingénierie sociale, puis de s'appuyer sur des antivirus et des bacs à sable.
à SEGda en garde
Bien entendu, nous ne prétendons pas que les solutions Secure Email Gateway soient une panacée. Les attaques ciblées, y compris le spear phishing, sont extrêmement difficiles à empêcher car... Chacune de ces attaques est « adaptée » à un destinataire spécifique (organisation ou personne). Mais pour une entreprise qui s’efforce de fournir un niveau de sécurité de base, cela représente beaucoup, surtout avec l’expérience et l’expertise appropriées appliquées à la tâche.
Le plus souvent, lors du spear phishing, les pièces jointes malveillantes ne sont pas incluses dans le corps des lettres, sinon le système antispam bloquera immédiatement une telle lettre avant son acheminement vers le destinataire. Mais ils incluent des liens vers une ressource Web préparée à l’avance dans le texte de la lettre, et ce n’est alors qu’une petite affaire. L'utilisateur suit le lien, puis après plusieurs redirections en quelques secondes, il se retrouve sur la dernière de toute la chaîne, dont l'ouverture téléchargera un malware sur son ordinateur.
Encore plus sophistiqué : au moment où vous recevez la lettre, le lien peut être inoffensif et ce n'est qu'après un certain temps, lorsqu'il a déjà été analysé et ignoré, qu'il commencera à rediriger vers un malware. Malheureusement, les spécialistes de Solar JSOC, même en tenant compte de leurs compétences, ne pourront pas configurer la passerelle de messagerie de manière à « voir » les logiciels malveillants tout au long de la chaîne (bien que, comme protection, vous puissiez utiliser le remplacement automatique de tous les liens dans les lettres à SEG, afin que ce dernier scanne le lien non seulement au moment de la remise du courrier, mais à chaque transition).
Pendant ce temps, même une redirection typique peut être traitée par l'agrégation de plusieurs types d'expertise, y compris les données obtenues par notre JSOC CERT et OSINT. Cela vous permet de créer des listes noires étendues, sur la base desquelles même une lettre avec transferts multiples sera bloquée.
L’utilisation de SEG n’est qu’une petite brique dans le mur que toute organisation souhaite construire pour protéger ses actifs. Mais ce lien doit également être correctement intégré dans l’ensemble, car même le SEG, s’il est correctement configuré, peut devenir un moyen de protection à part entière.
Ksenia Sadunina, consultante du département expert de prévente des produits et services Solar JSOC
Source: habr.com