Fhad ‘s a tha an Iomairt mhòr a’ togail teagamhan bho luchd-ionnsaigh a-staigh agus luchd-hackers, tha post-d phishing agus spama fhathast na cheann goirt do chompanaidhean nas sìmplidh. Nam biodh fios aig Marty McFly ann an 2015 (agus eadhon nas motha mar sin ann an 2020) chan e a-mhàin nach biodh daoine a ’dealbhadh hoverboards, ach nach ionnsaicheadh e eadhon cuidhteas fhaighinn de phost sgudail gu tur, is dòcha gun cailleadh e creideamh ann an cinne-daonna. A bharrachd air an sin, chan e a-mhàin gu bheil spam an-diugh a 'cur dragh air, ach gu tric cronail. Ann an timcheall air 70% de bhuileachadh killchain, bidh cybercriminals a ’dol a-steach don bhun-structar a’ cleachdadh malware a tha ann an ceanglachan no tro cheanglaichean fiasgaich ann am puist-d.
O chionn ghoirid, tha gluasad soilleir air a bhith ann a dh’ ionnsaigh sgaoileadh innleadaireachd sòisealta mar dhòigh air faighinn a-steach do bhun-structar buidhne. A’ dèanamh coimeas eadar staitistig bho 2017 agus 2018, chì sinn àrdachadh faisg air 50% anns an àireamh de chùisean far an deach malware a lìbhrigeadh gu coimpiutairean luchd-obrach tro cheanglachan no ceanglaichean fiasgaich ann am bodhaig post-d.
San fharsaingeachd, faodar an raon iomlan de chunnartan a ghabhas coileanadh le post-d a roinn ann an grunn roinnean:
- spam a 'tighinn a-steach
- toirt a-steach coimpiutairean buidhne ann am botnet a chuireas spam a-mach
- ceanglachan droch-rùnach agus bhìorasan ann am bodhaig na litreach (mar as trice bidh companaidhean beaga a’ fulang le ionnsaighean mòra mar Petya).
Gus dìon an aghaidh gach seòrsa ionnsaigh, faodaidh tu grunn shiostaman tèarainteachd fiosrachaidh a chuir an gnìomh, no lean slighe modail seirbheis. Tha sinn mu thràth mun Àrd-ùrlar Seirbheisean Cybersecurity Aonaichte - cridhe eag-shiostam seirbheisean cybersecurity air a riaghladh le Solar MSS. Am measg rudan eile, tha e a’ toirt a-steach teicneòlas Geata Post-d Tèarainte Mas-fhìor (SEG). Mar riaghailt, tha fo-sgrìobhadh don t-seirbheis seo air a cheannach le companaidhean beaga anns a bheil a h-uile gnìomh IT agus tèarainteachd fiosrachaidh air a shònrachadh do aon neach - rianadair an t-siostaim. Tha spam na dhuilgheadas a tha an-còmhnaidh ri fhaicinn do luchd-cleachdaidh agus luchd-stiùiridh, agus chan urrainnear a leigeil seachad. Ach, thar ùine, bidh eadhon an riaghladh a’ fàs soilleir gu bheil e do-dhèanta dìreach “a leigeil sìos” gu rianadair an t-siostaim - bheir e cus ùine.
Tha 2 uair a thìde airson post a pharsadh beagan
Thàinig aon den luchd-reic thugainn le suidheachadh coltach ris. Sheall siostaman tracadh ùine gun robh an luchd-obrach aige a’ cosg timcheall air 25% den ùine obrach (2 uair!) a h-uile latha air am bogsa puist a rèiteach.
An dèidh dhuinn frithealaiche puist an neach-ceannach a cheangal, shuidhich sinn an t-eisimpleir SEG mar gheata dà-shligheach airson post a-steach agus a-mach. Thòisich sinn a’ sìoladh a rèir poileasaidhean ro-stèidhichte. Chuir sinn ri chèile an Blacklist stèidhichte air mion-sgrùdadh air an dàta a thug an neach-ceannach seachad agus na liostaichean againn fhèin de sheòlaidhean a dh’ fhaodadh a bhith cunnartach a fhuair eòlaichean Solar JSOC mar phàirt de sheirbheisean eile - mar eisimpleir, a’ cumail sùil air tachartasan tèarainteachd fiosrachaidh. Às deidh sin, chaidh a h-uile post a lìbhrigeadh gu luchd-faighinn dìreach às deidh glanadh, agus sguir grunn phuist spama mu “lasachadh mòr” a bhith a ’dòrtadh a-steach do luchd-frithealaidh puist an neach-ceannach ann an tonna, a’ saoradh àite airson feumalachdan eile.
Ach tha suidheachaidhean air a bhith ann nuair a chaidh litir dhligheach a mheas mar spam le mearachd, mar eisimpleir, mar a fhuaireadh bho neach-cuiridh neo-earbsach. Anns a 'chùis seo, thug sinn còir co-dhùnadh don neach-cleachdaidh. Chan eil mòran roghainnean ann air dè a nì thu: cuir às dha sa bhad no cuir gu cuarantine e. Thagh sinn an dàrna slighe, anns a bheil post sgudail mar sin air a stòradh air an SEG fhèin. Thug sinn cothrom do rianadair an t-siostaim air a’ chonsail lìn, anns am faigheadh e litir chudromach aig àm sam bith, mar eisimpleir, bho neach-cunnraidh, agus a chuir air adhart chun neach-cleachdaidh.
A 'toirt air falbh parasites
Tha an t-seirbheis dìon post-d a’ toirt a-steach aithisgean anailis, a tha ag amas air sùil a chumail air tèarainteachd a’ bhun-structair agus èifeachdas nan roghainnean a thathar a’ cleachdadh. A bharrachd air an sin, leigidh na h-aithisgean sin leat gluasadan a ro-innse. Mar eisimpleir, lorg sinn an earrann fhreagarrach “Spam by Recipient” no “Spam by Sender” san aithisg agus coimhead air cò an seòladh a gheibh an àireamh as motha de theachdaireachdan dùinte.
B’ ann fhad ‘s a bha sinn a’ dèanamh anailis air aithisg mar seo gun robh an àireamh iomlan de litrichean àrdachadh gu mòr bho aon den luchd-ceannach a’ coimhead amharasach dhuinn. Tha am bun-structar beag, tha an àireamh de litrichean ìosal. Agus gu h-obann, às deidh latha-obrach, cha mhòr nach do dhùblaich an àireamh de spam a chaidh a bhacadh. Cho-dhùin sinn sùil nas mionaidiche a thoirt.
Chì sinn gu bheil an àireamh de litrichean a-mach air a dhol suas, agus tha seòlaidhean bho àrainn a tha ceangailte ris an t-seirbheis dìon puist anns a h-uile gin dhiubh san raon “Sender”. Ach tha aon nuance ann: am measg seòlaidhean gu math ciallach, is dòcha eadhon a tha ann mar-thà, tha e soilleir gu bheil feadhainn neònach ann. Thug sinn sùil air na IPan às an deach na litrichean a chuir, agus, gu ìre mhòr an dùil, thionndaidh sinn a-mach nach buineadh iad don àite seòlaidh dìon. Gu follaiseach, bha an neach-ionnsaigh a’ cur spama às leth an neach-ceannach.
Anns a 'chùis seo, rinn sinn molaidhean don neach-cleachdaidh air mar a bu chòir clàran DNS a rèiteachadh gu ceart, gu sònraichte SPF. Chomhairlich an speisealaiche againn dhuinn clàr TXT a chruthachadh anns a bheil an riaghailt “v = spf1 mx ip: 1.2.3.4 / 23 -all”, anns a bheil liosta iomlan de sheòlaidhean a tha ceadaichte litrichean a chuir às leth an fhearainn dìonta.
Gu fìrinneach, carson a tha seo cudromach: tha spam às leth companaidh bheag neo-aithnichte mì-thlachdmhor, ach chan eil e riatanach. Tha an suidheachadh gu tur eadar-dhealaichte, mar eisimpleir, ann an gnìomhachas bancaireachd. A rèir ar beachdan, bidh ìre earbsa an neach-fulang ann am post-d fiasgach a’ dol suas iomadh uair ma thèid a chuir a-mach à fearann banca eile no neach-ionaid air a bheil an neach-fulang eòlach. Agus tha seo a’ dèanamh eadar-dhealachadh chan ann a-mhàin air luchd-obrach banca; ann an gnìomhachasan eile - mar eisimpleir, lùth - tha an aon ghluasad romhainn.
A ' marbhadh bhìorasan
Ach chan eil spoofing na dhuilgheadas cho cumanta ri, mar eisimpleir, galairean viral. Ciamar as trice a bhios tu a’ sabaid an aghaidh galairean viral? Bidh iad a’ stàladh anti-bhìoras agus tha iad an dòchas “nach fhaigh an nàmhaid troimhe.” Ach nam biodh a h-uile dad cho sìmplidh, an uairsin, leis gu bheil cosgais an ìre mhath ìosal de anti-bhìorasan, bhiodh a h-uile duine air dìochuimhneachadh o chionn fhada mu dhuilgheadas malware. Aig an aon àm, bidh sinn an-còmhnaidh a ’faighinn iarrtasan bhon t-sreath“ cuidich sinn le bhith ag ath-nuadhachadh na faidhlichean, tha sinn air a h-uile càil a chrioptachadh, tha an obair air a stad, tha an dàta air chall. ” Cha bhith sinn uair sam bith sgìth de bhith ag ath-aithris don luchd-ceannach againn nach e panacea a th’ ann an antivirus. A bharrachd air an fhìrinn gur dòcha nach tèid stòran-dàta an-aghaidh bhìoras ùrachadh luath gu leòr, bidh sinn gu tric a’ tighinn tarsainn air malware a dh’ fhaodas a dhol seachad chan ann a-mhàin air anti-bhìorasan, ach cuideachd air bogsaichean gainmhich.
Gu mì-fhortanach, is e glè bheag de luchd-obrach àbhaisteach bhuidhnean a tha mothachail air puist-d fiasgach agus droch-rùnach agus is urrainn dhaibh an sgaradh bho litrichean cunbhalach. Gu cuibheasach, bidh a h-uile 7mh neach-cleachdaidh nach bi a ’togail mothachadh cunbhalach a’ gèilleadh ri innleadaireachd sòisealta: a ’fosgladh faidhle gabhaltach no a’ cur an dàta aca gu luchd-ionnsaigh.
Ged a tha vectar sòisealta ionnsaighean, san fharsaingeachd, air a bhith a’ dol am meud mean air mhean, tha an gluasad seo air fàs gu sònraichte follaiseach an-uiridh. Bha puist-d phishing a’ fàs nas coltaiche ri puist-d cunbhalach mu sanasachd, tachartasan ri thighinn, msaa. An seo faodaidh sinn cuimhneachadh air an ionnsaigh Silence air an roinn ionmhais - fhuair luchd-obrach banca litir a rèir aithris le còd brosnachaidh airson a bhith an sàs ann an co-labhairt gnìomhachas mòr-chòrdte iFin, agus bha an àireamh sa cheud den fheadhainn a ghabh ris a ’chleas glè àrd, ged, cuimhnich sinn , tha sinn a 'bruidhinn mu dheidhinn gnìomhachas bancaireachd - an fheadhainn as adhartaiche ann an cùisean tèarainteachd fiosrachaidh.
Ron Bhliadhn’ Ùr, chunnaic sinn cuideachd grunn shuidheachaidhean caran neònach nuair a fhuair luchd-obrach chompanaidhean tionnsgalach litrichean fiasgaich fìor àrd le “liosta” de sanasachd na Bliadhn’ Ùire ann an stòran air-loidhne mòr-chòrdte agus le còdan brosnachaidh airson lasachaidhean. Chan e a-mhàin gun do dh’ fheuch luchd-obrach ris a’ cheangal iad fhèin a leantainn, ach chuir iad cuideachd an litir air adhart gu co-obraichean bho bhuidhnean co-cheangailte. Bho chaidh an goireas ris an deach an ceangal sa phost-d phishing a bhacadh a bhacadh, thòisich luchd-obrach gu mòr a’ cur a-steach iarrtasan chun t-seirbheis IT gus cothrom a thoirt air. San fharsaingeachd, feumaidh soirbheachas a’ phuist a bhith air a dhol thairis air na bha dùil aig an luchd-ionnsaigh.
Agus o chionn ghoirid thionndaidh companaidh a bha “air a chrioptachadh” thugainn airson cuideachadh. Thòisich seo uile nuair a fhuair luchd-obrach cunntasachd litir a rèir aithris bho Bhanca Meadhanach Caidreachas na Ruis. Cliog an neach-cunntais air a’ cheangal san litir agus luchdaich e sìos am mèinneadair WannaMine chun inneal aige, a bha, mar an WannaCry ainmeil, a’ gabhail brath air so-leòntachd EternalBlue. Is e an rud as inntinniche gu bheil a ’mhòr-chuid de antiviruses air a bhith comasach air na ainmean-sgrìobhte aca a lorg bho thoiseach 2018. Ach, an dàrna cuid chaidh an antivirus a chuir à comas, no cha deach na stòran-dàta ùrachadh, no cha robh e ann idir - co-dhiù, bha am mèinneadair air a ’choimpiutair mu thràth, agus cha do chuir dad stad air bho bhith a’ sgaoileadh nas fhaide air feadh an lìonra, a ’luchdachadh na frithealaichean. CPU agus ionadan-obrach aig 100%.
Chunnaic an neach-ceannach seo, às deidh dhaibh aithisg fhaighinn bhon sgioba forensics againn, gun do chuir am bhìoras a-steach e tro phost-d an toiseach, agus chuir iad air bhog pròiseact pìleat gus seirbheis dìon post-d a cheangal. B 'e a' chiad rud a chuir sinn air dòigh antivirus post-dealain. Aig an aon àm, bidh sganadh airson malware air a dhèanamh gu cunbhalach, agus chaidh ùrachaidhean ainm-sgrìobhte a dhèanamh an toiseach gach uair a thìde, agus an uairsin thionndaidh an neach-ceannach gu dà uair san latha.
Feumaidh làn dhìon an aghaidh ghalaran viral a bhith air a chòmhdach. Ma tha sinn a 'bruidhinn mu dheidhinn sgaoileadh bhìorasan tro phost-dealain, feumar na litrichean sin a shìoladh aig an t-slighe a-steach, luchd-cleachdaidh a thrèanadh gus innleadaireachd sòisealta aithneachadh, agus an uairsin a bhith an urra ri antiviruses agus bogsaichean gainmhich.
ann an SEGda air freiceadan
Gu dearbh, chan eil sinn ag agairt gur e panacea a th’ ann am fuasglaidhean Geata Post-d Tèarainte. Tha e uamhasach duilich casg a chuir air ionnsaighean cuimsichte, a’ toirt a-steach fiasgach sleagh air sgàth... Tha gach ionnsaigh mar sin “air a dhealbhadh gu sònraichte” airson neach sònraichte (buidheann no neach). Ach airson companaidh a tha a’ feuchainn ri ìre bunaiteach de thèarainteachd a thoirt seachad, tha seo tòrr, gu sònraichte leis an eòlas agus an eòlas ceart air a chuir an sàs san obair.
Mar as trice, nuair a thèid fiasgach sleagh a dhèanamh, chan eil ceanglachan droch-rùnach air an toirt a-steach don bhodhaig litrichean, air neo cuiridh an siostam antispam casg air a leithid de litir sa bhad air an t-slighe chun neach a gheibh e. Ach tha iad a’ toirt a-steach ceanglaichean gu goireas lìn a chaidh ullachadh ro-làimh ann an teacsa na litreach, agus an uairsin is e rud beag a th’ ann. Bidh an neach-cleachdaidh a ’leantainn a’ cheangail, agus an uairsin às deidh grunn ath-sheòlaidhean ann an diog no dhà thig e gu crìch air an fhear mu dheireadh san t-sreath gu lèir, agus bidh fosgladh a ’luchdachadh sìos malware air a’ choimpiutair aige.
Fiù ‘s nas ionnsaichte: aig an àm a gheibh thu an litir, faodaidh an ceangal a bhith gun chron agus is ann dìreach às deidh beagan ùine a dhol seachad, nuair a chaidh a sganadh agus a leum mu thràth, a thòisicheas e air ath-stiùireadh gu malware. Gu mì-fhortanach, cha bhith e comasach do eòlaichean Solar JSOC, eadhon a’ toirt aire do na comasan aca, an geata puist a rèiteachadh gus malware “fhaicinn” tron t-sreath gu lèir (ged, mar dhìon, faodaidh tu ath-nuadhachadh fèin-ghluasadach a h-uile ceangal ann an litrichean a chleachdadh gu SEG, gus am bi an tè mu dheireadh a’ sganadh a’ cheangail chan ann a-mhàin aig àm lìbhrigidh na litreach, agus aig gach eadar-ghluasad).
Aig an aon àm, faodar eadhon ath-sheòladh àbhaisteach a làimhseachadh le bhith a’ cruinneachadh grunn sheòrsaichean eòlais, a’ toirt a-steach dàta a fhuair ar JSOC CERT agus OSINT. Leigidh seo leat liostaichean dubha leudaichte a chruthachadh, stèidhichte air an tèid eadhon litir le ioma-chuir air adhart a bhacadh.
Chan eil ann an cleachdadh SEG ach breige beag sa bhalla a tha buidheann sam bith airson a thogail gus a maoin a dhìon. Ach feumaidh an ceangal seo cuideachd a bhith air a fhilleadh a-steach gu ceart san dealbh iomlan, oir faodar eadhon SEG, le rèiteachadh ceart, a thionndadh gu bhith na dhòigh dìon làn-chuimseach.
Ksenia Sadunina, comhairliche na roinne ro-reic eòlach air toraidhean agus seirbheisean Solar JSOC
Source: www.habr.com