Terwijl de grote onderneming steeds meer weerstand opbouwt tegen potentiële interne aanvallers en hackers, blijven phishing- en spammailings een probleem voor eenvoudigere bedrijven. Als Marty McFly wist dat mensen in 2015 (en nog meer in 2020) niet alleen geen hoverboards zouden uitvinden, maar zelfs niet zouden leren om volledig van junkmail af te komen, zou hij waarschijnlijk het vertrouwen in de mensheid verliezen. Bovendien is spam tegenwoordig niet alleen vervelend, maar vaak ook schadelijk. Bij ongeveer 70% van de killchain-implementaties dringen cybercriminelen de infrastructuur binnen met behulp van malware in bijlagen of via phishing-links in e-mails.
De laatste tijd is er een duidelijke trend te zien in de richting van de verspreiding van social engineering als een manier om de infrastructuur van een organisatie binnen te dringen. Als we de statistieken van 2017 en 2018 vergelijken, zien we een toename van bijna 50% in het aantal gevallen waarin malware op de computers van werknemers werd afgeleverd via bijlagen of phishing-links in de hoofdtekst van een e-mail.
Over het algemeen kan het hele scala aan bedreigingen die via e-mail kunnen worden uitgevoerd, in verschillende categorieën worden verdeeld:
- binnenkomende spam
- opname van de computers van een organisatie in een botnet dat uitgaande spam verstuurt
- kwaadaardige bijlagen en virussen in de hoofdtekst van de brief (kleine bedrijven hebben het vaakst last van massale aanvallen zoals Petya).
Om u tegen alle soorten aanvallen te beschermen, kunt u meerdere informatiebeveiligingssystemen inzetten of het pad van een servicemodel volgen. Wij al over het Unified Cybersecurity Services Platform - de kern van het door Solar MSS beheerde ecosysteem voor cyberbeveiligingsdiensten. Het omvat onder meer gevirtualiseerde Secure Email Gateway (SEG)-technologie. In de regel wordt een abonnement op deze dienst gekocht door kleine bedrijven waarin alle IT- en informatiebeveiligingsfuncties aan één persoon zijn toegewezen: de systeembeheerder. Spam is een probleem dat altijd zichtbaar is voor gebruikers en management en dat niet kan worden genegeerd. Na verloop van tijd wordt zelfs het management echter duidelijk dat het onmogelijk is om het eenvoudigweg aan de systeembeheerder te 'laten vallen' - het kost te veel tijd.
2 uur om e-mail te analyseren is een beetje veel
Eén van de retailers benaderde ons met een soortgelijke situatie. Uit urenregistratiesystemen bleek dat zijn medewerkers dagelijks ongeveer 25% van hun werktijd (2 uur!) besteedden aan het sorteren van de brievenbus.
Nadat we de mailserver van de klant hadden aangesloten, hebben we de SEG-instantie geconfigureerd als een tweerichtingsgateway voor zowel inkomende als uitgaande e-mail. We zijn begonnen met filteren volgens vooraf vastgesteld beleid. We hebben de zwarte lijst samengesteld op basis van een analyse van de door de klant verstrekte gegevens en onze eigen lijsten met potentieel gevaarlijke adressen verkregen door Solar JSOC-experts als onderdeel van andere diensten, bijvoorbeeld het monitoren van informatiebeveiligingsincidenten. Daarna werd alle e-mail pas na het opschonen bij de ontvangers afgeleverd, en diverse spammailings over ‘grote kortingen’ stroomden niet meer in tonnen naar de mailservers van de klant, waardoor er ruimte vrijkwam voor andere behoeften.
Maar er zijn situaties geweest waarin een legitieme brief ten onrechte als spam werd geclassificeerd, bijvoorbeeld omdat deze van een niet-vertrouwde afzender was ontvangen. In dit geval hebben wij het beslissingsrecht aan de klant gegeven. Er zijn niet veel opties om te doen: verwijder het onmiddellijk of stuur het in quarantaine. We kozen voor het tweede pad, waarbij dergelijke junkmail op de SEG zelf wordt opgeslagen. Wij gaven de systeembeheerder toegang tot de webconsole, waarin hij op ieder moment een belangrijke brief van bijvoorbeeld een wederpartij kon opzoeken en doorsturen naar de gebruiker.
Het wegwerken van parasieten
De e-mailbeveiligingsservice omvat analytische rapporten, die tot doel hebben de veiligheid van de infrastructuur en de effectiviteit van de gebruikte instellingen te monitoren. Bovendien kunt u met deze rapporten trends voorspellen. We vinden bijvoorbeeld de overeenkomstige sectie ‘Spam per ontvanger’ of ‘Spam per afzender’ in het rapport en kijken naar wiens adres het grootste aantal geblokkeerde berichten ontvangt.
Tijdens het analyseren van een dergelijke melding kwam het sterk toegenomen aantal brieven van een van de klanten ons verdacht voor. De infrastructuur is klein, het aantal brieven is laag. En plotseling, na een werkdag, was de hoeveelheid geblokkeerde spam bijna verdubbeld. We besloten het van dichterbij te bekijken.
We zien dat het aantal uitgaande brieven is toegenomen en dat ze allemaal in het veld ‘Afzender’ adressen bevatten van een domein dat is verbonden met de mailbeveiligingsservice. Maar er is één nuance: onder redelijk gezonde, misschien zelfs bestaande adressen zijn er duidelijk vreemde. We hebben gekeken naar de IP's waarvandaan de brieven zijn verzonden en, geheel naar verwachting, bleek dat deze niet tot de beschermde adresruimte behoorden. Het is duidelijk dat de aanvaller namens de klant spam verzond.
In dit geval hebben we aanbevelingen gedaan voor de klant over hoe DNS-records, met name SPF, correct kunnen worden geconfigureerd. Onze specialist adviseerde ons om een TXT-record aan te maken met de regel “v=spf1 mx ip:1.2.3.4/23 -all”, die een volledige lijst bevat van adressen die brieven mogen versturen namens het beschermde domein.
Waarom dit eigenlijk belangrijk is: spam namens een onbekend klein bedrijf is onaangenaam, maar niet kritisch. De situatie is bijvoorbeeld compleet anders in de banksector. Volgens onze waarnemingen neemt het vertrouwen van het slachtoffer in een phishing-e-mail vele malen toe als deze zogenaamd wordt verzonden vanaf het domein van een andere bank of een bij het slachtoffer bekende tegenpartij. En dit onderscheidt niet alleen bankmedewerkers; in andere sectoren – de energiesector bijvoorbeeld – worden we met dezelfde trend geconfronteerd.
Virussen doden
Maar spoofing is niet zo’n vaak voorkomend probleem als bijvoorbeeld virale infecties. Hoe bestrijdt u virusepidemieën het vaakst? Ze installeren een antivirusprogramma en hopen dat ‘de vijand er niet doorheen komt’. Maar als alles zo eenvoudig zou zijn, zou iedereen, gezien de vrij lage kosten van antivirussen, het probleem van malware al lang vergeten zijn. Ondertussen ontvangen we voortdurend verzoeken uit de serie “help ons de bestanden te herstellen, we hebben alles gecodeerd, het werk loopt vast, de gegevens zijn verloren.” We worden het nooit moe om tegen onze klanten te herhalen dat antivirus geen wondermiddel is. Naast het feit dat antivirusdatabases mogelijk niet snel genoeg worden bijgewerkt, komen we vaak malware tegen die niet alleen antivirusprogramma's, maar ook sandboxes kan omzeilen.
Helaas zijn maar weinig gewone medewerkers van organisaties op de hoogte van phishing en kwaadaardige e-mails en kunnen deze onderscheiden van reguliere correspondentie. Gemiddeld valt elke zevende gebruiker die niet regelmatig bewustmakingscampagnes ondergaat, ten prooi aan social engineering: het openen van een geïnfecteerd bestand of het verzenden van gegevens naar aanvallers.
Hoewel de sociale vector van aanvallen over het algemeen geleidelijk is toegenomen, is deze trend vorig jaar vooral merkbaar geworden. Phishing-e-mails gingen steeds meer lijken op reguliere mailings over promoties, aankomende evenementen, enz. Hier kunnen we ons de Silence-aanval op de financiële sector herinneren - bankmedewerkers ontvingen een brief met zogenaamd een promotiecode voor deelname aan de populaire brancheconferentie iFin, en het percentage van degenen die voor de truc bezweken was zeer hoog, maar laten we niet vergeten hebben we het over de banksector – de meest geavanceerde op het gebied van informatiebeveiliging.
Vóór het laatste nieuwe jaar hebben we ook een aantal nogal merkwaardige situaties waargenomen waarin werknemers van industriële bedrijven phishing-brieven van zeer hoge kwaliteit ontvingen met een "lijst" van nieuwjaarspromoties in populaire online winkels en met promotiecodes voor kortingen. Medewerkers probeerden niet alleen zelf de link te volgen, maar stuurden de brief ook door naar collega’s van gerelateerde organisaties. Omdat de bron waarnaar de link in de phishing-e-mail leidde werd geblokkeerd, begonnen medewerkers massaal verzoeken in te dienen bij de IT-dienst om er toegang toe te verlenen. Over het algemeen moet het succes van de mailing alle verwachtingen van de aanvallers hebben overtroffen.
En onlangs wendde een bedrijf dat “versleuteld” was zich tot ons voor hulp. Het begon allemaal toen accountantsmedewerkers een brief ontvingen, zogenaamd van de Centrale Bank van de Russische Federatie. De accountant klikte op de link in de brief en downloadde de WannaMine-miner op zijn machine, die net als de beroemde WannaCry misbruik maakte van de EternalBlue-kwetsbaarheid. Het meest interessante is dat de meeste antivirussen sinds begin 2018 de handtekeningen ervan hebben kunnen detecteren. Maar ofwel was de antivirus uitgeschakeld, ofwel waren de databases niet bijgewerkt, ofwel was deze er helemaal niet - in ieder geval stond de mijnwerker al op de computer en niets verhinderde dat deze zich verder over het netwerk verspreidde en de servers laadde. CPU en werkstations op 100%.
Deze klant zag, nadat hij een rapport van ons forensisch team had ontvangen, dat het virus hem aanvankelijk via e-mail binnendrong en startte een proefproject om een e-mailbeveiligingsservice aan te sluiten. Het eerste dat we hebben ingesteld, was een e-mailantivirus. Tegelijkertijd wordt er voortdurend gescand op malware en worden handtekeningupdates aanvankelijk elk uur uitgevoerd, waarna de klant overschakelt naar twee keer per dag.
Volledige bescherming tegen virale infecties moet gelaagd zijn. Als we het hebben over de overdracht van virussen via e-mail, dan is het noodzakelijk om dergelijke brieven bij de ingang eruit te filteren, gebruikers te trainen in het herkennen van social engineering en vervolgens te vertrouwen op antivirussen en sandboxes.
in SEGda op wacht
Uiteraard beweren we niet dat Secure Email Gateway-oplossingen een wondermiddel zijn. Gerichte aanvallen, waaronder spearphishing, zijn uiterst moeilijk te voorkomen omdat... Elke aanval is ‘op maat gemaakt’ voor een specifieke ontvanger (organisatie of persoon). Maar voor een bedrijf dat een basisniveau van beveiliging probeert te bieden, is dit veel, vooral als de juiste ervaring en expertise op de taak wordt toegepast.
Wanneer spearphishing wordt uitgevoerd, worden er meestal geen kwaadaardige bijlagen in de brieven opgenomen, anders zal het antispamsysteem een dergelijke brief onmiddellijk blokkeren op weg naar de ontvanger. Maar ze bevatten links naar een vooraf voorbereide webbron in de tekst van de brief, en dan is het een kleine zaak. De gebruiker volgt de link en komt na verschillende omleidingen binnen enkele seconden terecht op de laatste in de hele keten, waarvan de opening malware naar zijn computer zal downloaden.
Nog geavanceerder: op het moment dat u de brief ontvangt, kan de link onschadelijk zijn en pas na enige tijd, wanneer deze al is gescand en overgeslagen, zal deze beginnen om te leiden naar malware. Helaas zullen de Solar JSOC-specialisten, zelfs als ze rekening houden met hun competenties, de mailgateway niet kunnen configureren om malware door de hele keten te ‘zien’ (hoewel je als bescherming de automatische vervanging van alle links in brieven kunt gebruiken aan SEG, zodat deze de link niet alleen scant op het moment van bezorging van de brief, maar ook bij elke overgang).
Ondertussen kan zelfs een typische omleiding worden aangepakt door de samenvoeging van verschillende soorten expertise, inclusief gegevens verkregen door onze JSOC CERT en OSINT. Hiermee kunt u uitgebreide zwarte lijsten maken, op basis waarvan zelfs een brief met meerdere doorzendingen wordt geblokkeerd.
Het gebruik van SEG is slechts een kleine steen in de muur die elke organisatie wil bouwen om haar activa te beschermen. Maar deze link moet ook correct in het totaalbeeld worden geïntegreerd, omdat zelfs SEG, met de juiste configuratie, kan worden omgezet in een volwaardig beschermingsmiddel.
Ksenia Sadunina, consultant van de deskundige voorverkoopafdeling van Solar JSOC-producten en -diensten
Bron: www.habr.com