Míg a nagyvállalat lépcsőzetes redoutokat épít ki a potenciális belső támadóktól és hackerektől, az adathalász és spam levelek továbbra is fejfájást okoznak az egyszerűbb cégeknek. Ha Marty McFly tudná, hogy 2015-ben (és még inkább 2020-ban) az emberek nemhogy nem találnák fel a hoverboardokat, de még a levélszeméttől sem tanulnának meg teljesen megszabadulni, valószínűleg elveszítené az emberiségbe vetett hitét. Ráadásul manapság a spam nemcsak bosszantó, de gyakran káros is. A killchain megvalósítások körülbelül 70%-ában a kiberbűnözők a mellékletekben található rosszindulatú programok vagy az e-mailekben található adathalász hivatkozások segítségével hatolnak be az infrastruktúrába.
A közelmúltban egyértelmű tendencia volt a social engineering elterjedése felé, mint a szervezet infrastruktúrájába való behatolás módja. A 2017-es és 2018-as statisztikákat összehasonlítva azt látjuk, hogy csaknem 50%-kal nőtt azon esetek száma, amikor egy e-mail szövegében csatolmányokon vagy adathalász hivatkozásokon keresztül rosszindulatú programokat juttattak el az alkalmazottak számítógépére.
Általánosságban elmondható, hogy az e-mail használatával végrehajtható fenyegetések teljes skálája több kategóriába sorolható:
- bejövő spam
- egy szervezet számítógépeinek bevonása egy kimenő spameket küldő botnetbe
- rosszindulatú mellékletek és vírusok a levél törzsében (a kisvállalatok leggyakrabban szenvednek olyan hatalmas támadásoktól, mint a Petya).
Az összes típusú támadás elleni védelem érdekében több információbiztonsági rendszert telepíthet, vagy követheti egy szolgáltatási modell útját. Mi már a Unified Cybersecurity Services Platformról – a Solar MSS által felügyelt kiberbiztonsági szolgáltatások ökoszisztémájának magjáról. Többek között virtualizált Secure Email Gateway (SEG) technológiát tartalmaz. Általában kis cégek vásárolnak előfizetést erre a szolgáltatásra, ahol az összes informatikai és információbiztonsági funkció egy személyhez - a rendszergazdához - van hozzárendelve. A spam olyan probléma, amely mindig látható a felhasználók és a menedzsment számára, és nem hagyható figyelmen kívül. Idővel azonban még a menedzsment is világossá válik, hogy lehetetlen egyszerűen „ledobni” a rendszergazdának - túl sok időt vesz igénybe.
2 óra a levelek elemzése kicsit sok
Az egyik kereskedő hasonló helyzettel keresett meg minket. Az időkövető rendszerek kimutatták, hogy alkalmazottai minden nap munkaidejük 25%-át (2 órát!) a postafiók rendezésére fordították.
Miután csatlakoztattuk az ügyfél levelezőszerverét, a SEG példányt kétirányú átjáróként konfiguráltuk a bejövő és a kimenő levelek számára. Elkezdtük a szűrést az előre meghatározott irányelvek szerint. A Feketelistát az ügyfél által megadott adatok elemzése és a Solar JSOC szakértői által más szolgáltatások – például információbiztonsági incidensek figyelése – részeként megszerzett saját, potenciálisan veszélyes címlistáink alapján állítottuk össze. Ezt követően minden levelet csak tisztítás után juttattak el a címzettekhez, és a különböző „nagy kedvezményekről” szóló spam-levelek tonnában nem özönlöttek a megrendelő levelezőszervereire, így más igényekre is szabadult fel hely.
De előfordultak olyan helyzetek, amikor egy jogos levelet tévesen spamnek minősítettek, például úgy, hogy nem megbízható feladótól érkezett. Ebben az esetben a döntés jogát a megrendelőnek adtuk. Nincs sok lehetőség arra, hogy mit tegyen: azonnal törölje, vagy küldje karanténba. A második utat választottuk, ahol az ilyen kéretlen leveleket magán a SEG-n tároljuk. A rendszergazdának hozzáférést biztosítottunk a webkonzolhoz, amelyben bármikor megtalálhatta a fontos levelet, például egy partnertől, és továbbította azt a felhasználónak.
Megszabadulni a parazitáktól
Az e-mail védelmi szolgáltatás elemző jelentéseket tartalmaz, amelyek célja az infrastruktúra biztonságának és a használt beállítások hatékonyságának figyelemmel kísérése. Ezenkívül ezek a jelentések lehetővé teszik a trendek előrejelzését. Például megtaláljuk a jelentésben a megfelelő „Spam címzett szerint” vagy „Spam feladó szerint” részt, és megnézzük, kinek a címére érkezik a legtöbb blokkolt üzenet.
Egy ilyen jelentés elemzése közben tűnt gyanúsnak számunkra az egyik ügyféltől érkező levelek meredeken megnövekedett száma. Infrastruktúrája kicsi, a levelek száma alacsony. És hirtelen, egy munkanap után majdnem megduplázódott a blokkolt spam mennyisége. Úgy döntöttünk, hogy közelebbről is megnézzük.
Azt látjuk, hogy megnőtt a kimenő levelek száma, és a „Feladó” mezőben mindegyik olyan domain címét tartalmazza, amely a levélvédelmi szolgáltatáshoz kapcsolódik. De van egy árnyalat: az egészen épelméjű, talán még létező címek között is vannak egyértelműen furcsa címek. Megnéztük az IP-címeket, ahonnan a leveleket küldték, és várhatóan kiderült, hogy nem tartoznak a védett címtérbe. Nyilvánvaló, hogy a támadó az ügyfél nevében küldött spamet.
Ebben az esetben javaslatokat tettünk az ügyfélnek a DNS-rekordok, különösen az SPF helyes konfigurálására. Szakértőnk azt tanácsolta, hogy hozzunk létre egy „v=spf1 mx ip:1.2.3.4/23 -all” szabályt tartalmazó TXT rekordot, amely tartalmazza azon címek kimerítő listáját, amelyek számára engedélyezett a levelek küldése a védett tartomány nevében.
Tulajdonképpen miért is fontos ez: egy ismeretlen kis cég nevében spam kellemetlen, de nem kritikus. Teljesen más a helyzet például a bankszektorban. Megfigyeléseink szerint az áldozat bizalma egy adathalász e-mailben sokszorosára nő, ha azt feltételezhetően egy másik bank vagy az áldozat által ismert partner domainjéről küldték. Ez pedig nemcsak a banki alkalmazottakat különbözteti meg, hanem más iparágakban – például az energiaszektorban – ugyanezzel a tendenciával állunk szemben.
Vírusok megölése
De a hamisítás nem olyan gyakori probléma, mint például a vírusfertőzések. Hogyan küzdesz leggyakrabban a vírusjárványok ellen? Telepítenek egy vírusirtót, és remélik, hogy „az ellenség nem jut át”. De ha minden ilyen egyszerű lenne, akkor, tekintettel a víruskeresők meglehetősen alacsony költségére, mindenki régen elfelejtette volna a rosszindulatú programok problémáját. Mindeközben folyamatosan kapunk kéréseket a „segítsetek visszaállítani a fájlokat, mindent titkosítottunk, a munka elakad, az adatok elvesznek” sorozatból. Soha nem fáradunk el ismételgetni ügyfeleinknek, hogy a vírusvédelem nem csodaszer. Amellett, hogy a víruskereső adatbázisok nem frissülnek elég gyorsan, gyakran találkozunk olyan kártevőkkel, amelyek nemcsak a vírusirtókat, hanem a homokozókat is megkerülhetik.
Sajnos a szervezetek kevés hétköznapi alkalmazottja ismeri az adathalászat és a rosszindulatú e-maileket, és képes megkülönböztetni őket a szokásos levelezéstől. Átlagosan minden 7. olyan felhasználó, aki nem vesz részt rendszeres figyelemfelkeltésen, behódol a social engineeringnek: megnyit egy fertőzött fájlt vagy elküldi adatait a támadóknak.
Bár a támadások társadalmi vektora általában véve fokozatosan növekszik, ez a tendencia tavaly különösen szembetűnővé vált. Az adathalász e-mailek egyre jobban hasonlítottak a promóciókról, közelgő eseményekről stb. szóló szokásos levelekhez. Itt felidézhetjük a Silence támadást a pénzügyi szektor ellen - a banki alkalmazottak állítólag egy promóciós kóddal ellátott levelet kaptak az iFin népszerű iparági konferencián való részvételhez, és nagyon magas volt azoknak az aránya, akik engedtek a trükknek, bár ne feledjük , a bankszektorról beszélünk - a legfejlettebb információbiztonsági kérdésekben.
Az elmúlt szilveszter előtt több, meglehetősen furcsa helyzetet is megfigyelhettünk, amikor az ipari cégek dolgozói nagyon jó minőségű adathalász leveleket kaptak a népszerű webáruházak újévi akcióinak „listájával”, illetve a kedvezményekre vonatkozó promóciós kódokkal. Az alkalmazottak nem csak maguk próbálták követni a linket, hanem a levelet továbbították a kapcsolódó szervezetek kollégáinak is. Mivel az erőforrás, amelyre az adathalász e-mailben található hivatkozás vezetett, le van tiltva, az alkalmazottak tömegesen kérelmezték az informatikai szolgáltatást, hogy biztosítsák a hozzáférést. Általánosságban elmondható, hogy a postázás sikere meghaladta a támadók minden várakozását.
Nemrég pedig egy „titkosított” cég fordult hozzánk segítségért. Az egész akkor kezdődött, amikor a számviteli alkalmazottak állítólag levelet kaptak az Orosz Föderáció Központi Bankjától. A könyvelő rákattintott a levélben található linkre, és letöltötte gépére a WannaMine bányászt, amely a híres WannaCry-hez hasonlóan kihasználta az EternalBlue sebezhetőségét. A legérdekesebb dolog az, hogy a legtöbb vírusirtó 2018 eleje óta képes észlelni az aláírásait. De vagy a vírusirtó le volt tiltva, vagy nem frissültek az adatbázisok, vagy egyáltalán nem volt ott – mindenesetre a bányász már a számítógépen volt, és semmi sem akadályozta meg, hogy továbbterjedjen a hálózaton, betöltve a szervereket. CPU és munkaállomások 100%-on.
Ez az ügyfél, miután jelentést kapott kriminalisztikai csapatunktól, látta, hogy a vírus kezdetben e-mailen keresztül hatolt be hozzá, és kísérleti projektet indított egy e-mail védelmi szolgáltatás összekapcsolására. Az első dolog, amit beállítottunk, egy e-mailes víruskereső volt. Ugyanakkor a rosszindulatú programok keresése folyamatosan zajlik, az aláírásfrissítések kezdetben óránként történtek, majd az ügyfél naponta kétszer váltott rá.
A vírusfertőzések elleni teljes védelmet rétegesen kell biztosítani. Ha a vírusok e-mailen keresztüli továbbításáról beszélünk, akkor ki kell szűrni az ilyen leveleket a bejáratnál, meg kell tanítani a felhasználókat a social engineering felismerésére, majd vírusirtókra és homokozókra kell hagyatkozni.
SEGdában őrségben
Természetesen nem állítjuk, hogy a Secure Email Gateway megoldások csodaszer. A célzott támadásokat, köztük a lándzsás adathalászatot rendkívül nehéz megakadályozni, mert... Minden ilyen támadás egy adott címzettre (szervezetre vagy személyre) „szabott”. De egy alapszintű biztonságot nyújtani igyekvő cégnek ez nagyon sok, különösen a feladathoz alkalmazott megfelelő tapasztalat és szakértelem mellett.
Leggyakrabban a lándzsás adathalászat során a rosszindulatú mellékletek nem szerepelnek a levéltörzsben, ellenkező esetben a levélszemét-szűrő rendszer azonnal blokkolja az ilyen leveleket a címzetthez vezető úton. De egy előre elkészített webes forrásra mutató hivatkozásokat tartalmaznak a levél szövegében, és akkor ez apróság. A felhasználó követi a linket, majd többszöri átirányítás után pillanatok alatt a teljes lánc utolsójára kerül, melynek megnyitása kártevőt tölt le a számítógépére.
Még kifinomultabb: abban a pillanatban, amikor megkapja a levelet, a link ártalmatlan lehet, és csak bizonyos idő elteltével, amikor már átvizsgálták és kihagyták, kezd átirányítani a rosszindulatú programokra. Sajnos a Solar JSOC szakemberei még kompetenciáikat figyelembe véve sem tudják úgy konfigurálni a levelezőátjárót, hogy a rosszindulatú programokat a teljes láncon keresztül „lássa” (bár védelemként használhatja a levelekben lévő összes link automatikus cseréjét a SEG-hez, hogy az utóbbi ne csak a levél kézbesítésekor, hanem minden átmenetkor is beolvassa a linket).
Eközben még egy tipikus átirányítás is kezelhető többféle szakértelem összesítésével, beleértve a JSOC CERT és OSINT által szerzett adatokat is. Ez lehetővé teszi kiterjesztett feketelisták létrehozását, amelyek alapján még a többszörös továbbítású levelet is blokkolják.
A SEG használata csak egy kis tégla a falban, amelyet bármely szervezet fel akar építeni eszközei védelmére. De ezt a linket is helyesen kell integrálni az összképbe, mert még a SEG is megfelelő konfigurációval teljes értékű védelmi eszközzé varázsolható.
Ksenia Sadunina, a Solar JSOC termékek és szolgáltatások szakértői előzetes értékesítési osztályának tanácsadója
Forrás: will.com