Podczas gdy duże przedsiębiorstwo buduje oddzielną bazę przed potencjalnymi wewnętrznymi napastnikami i hakerami, prostsze firmy nadal borykają się z phishingiem i spamem. Gdyby Marty McFly wiedział, że w 2015 (a tym bardziej w 2020) ludzie nie tylko nie wynajdą hoverboardów, ale nawet nie nauczą się całkowicie pozbywać się niechcianych wiadomości, prawdopodobnie straci wiarę w ludzkość. Co więcej, dzisiejszy spam jest nie tylko irytujący, ale często szkodliwy. W około 70% wdrożeń killchain cyberprzestępcy penetrują infrastrukturę za pomocą złośliwego oprogramowania zawartego w załącznikach lub poprzez linki phishingowe w wiadomościach e-mail.
W ostatnim czasie można zaobserwować wyraźny trend w kierunku upowszechniania się inżynierii społecznej jako sposobu penetracji infrastruktury organizacji. Porównując statystyki z lat 2017 i 2018, widzimy prawie 50% wzrost liczby przypadków dostarczania szkodliwego oprogramowania na komputery pracowników poprzez załączniki lub linki phishingowe w treści wiadomości e-mail.
Ogólnie całą gamę zagrożeń, jakie można przeprowadzić za pomocą poczty elektronicznej, można podzielić na kilka kategorii:
- przychodzący spam
- włączenie komputerów organizacji do botnetu wysyłającego spam
- złośliwe załączniki i wirusy w treści listu (małe firmy najczęściej cierpią z powodu masowych ataków, takich jak Petya).
Aby chronić się przed wszelkiego rodzaju atakami, możesz wdrożyć kilka systemów bezpieczeństwa informacji lub podążać ścieżką modelu usługowego. My już o Zunifikowanej Platformie Usług Cyberbezpieczeństwa – rdzeniu ekosystemu usług cyberbezpieczeństwa zarządzanych przez Solar MSS. Zawiera między innymi zwirtualizowaną technologię Secure Email Gateway (SEG). Z reguły abonament na tę usługę wykupują małe firmy, w których wszystkie funkcje związane z IT i bezpieczeństwem informacji przypisane są do jednej osoby – administratora systemu. Spam to problem, który jest zawsze widoczny dla użytkowników i kierownictwa i nie można go ignorować. Jednak z czasem nawet kierownictwo staje się jasne, że nie można po prostu „zrzucić” tego administratorowi systemu – zajmuje to zbyt dużo czasu.
2 godziny na analizę poczty to trochę dużo
Jeden ze sprzedawców zwrócił się do nas z podobną sytuacją. Systemy śledzenia czasu pokazały, że jego pracownicy każdego dnia spędzali około 25% swojego czasu pracy (2 godziny!) na porządkowaniu skrzynek pocztowych.
Po podłączeniu serwera pocztowego klienta skonfigurowaliśmy instancję SEG jako dwukierunkową bramę zarówno dla poczty przychodzącej, jak i wychodzącej. Zaczęliśmy filtrować według wcześniej ustalonych zasad. Czarną Listę stworzyliśmy na podstawie analizy danych dostarczonych przez Klienta oraz własnych list potencjalnie niebezpiecznych adresów uzyskanych przez ekspertów Solar JSOC w ramach innych usług – np. monitorowania incydentów związanych z bezpieczeństwem informacji. Od tego czasu cała poczta była dostarczana do adresatów dopiero po oczyszczeniu, a różne przesyłki spamowe dotyczące „wielkich rabatów” przestały napływać tonami na serwery pocztowe klientów, zwalniając miejsce na inne potrzeby.
Zdarzały się jednak sytuacje, gdy prawidłowy list został błędnie zaklasyfikowany jako spam, na przykład jako otrzymany od niezaufanego nadawcy. W tym przypadku daliśmy prawo decyzji klientowi. Nie ma wielu opcji, co zrobić: usuń go natychmiast lub wyślij do kwarantanny. Wybraliśmy drugą ścieżkę, w której takie wiadomości-śmieci są przechowywane w samym SEG. Administratorowi systemu udostępniliśmy dostęp do konsoli webowej, w której w każdej chwili mógł odnaleźć ważną wiadomość np. od kontrahenta i przekazać ją użytkownikowi.
Pozbycie się pasożytów
W ramach usługi ochrony poczty elektronicznej dostępne są raporty analityczne, których celem jest monitorowanie bezpieczeństwa infrastruktury oraz skuteczności stosowanych ustawień. Ponadto raporty te umożliwiają przewidywanie trendów. Na przykład znajdujemy w raporcie odpowiednią sekcję „Spam według odbiorcy” lub „Spam według nadawcy” i sprawdzamy, na czyj adres trafia największa liczba zablokowanych wiadomości.
Właśnie analizując taki raport, podejrzana wydała nam się gwałtownie zwiększona łączna liczba listów od jednego z klientów. Jego infrastruktura jest niewielka, liczba listów niewielka. I nagle, po dniu roboczym, ilość zablokowanego spamu niemal się podwoiła. Postanowiliśmy przyjrzeć się bliżej.
Widzimy, że wzrosła liczba listów wychodzących i wszystkie w polu „Nadawca” zawierają adresy z domeny podłączonej do usługi ochrony poczty. Ale jest jeden niuans: wśród całkiem rozsądnych, a może nawet istniejących adresów, są wyraźnie dziwne. Przyjrzeliśmy się adresom IP, z których wysyłane były listy i, co całkiem oczekiwane, okazało się, że nie należały one do chronionej przestrzeni adresowej. Oczywiście osoba atakująca wysyłała spam w imieniu klienta.
W tym przypadku przedstawiliśmy klientowi rekomendacje dotyczące prawidłowego skonfigurowania rekordów DNS, a konkretnie SPF. Nasz specjalista doradził nam utworzenie rekordu TXT zawierającego regułę „v=spf1 mx ip:1.2.3.4/23 -all”, który zawiera wyczerpującą listę adresów, które mogą wysyłać listy w imieniu chronionej domeny.
Właściwie dlaczego to jest ważne: spam w imieniu nieznanej małej firmy jest nieprzyjemny, ale nie krytyczny. Zupełnie inna sytuacja jest na przykład w branży bankowej. Z naszych obserwacji wynika, że poziom zaufania ofiary do wiadomości phishingowej wzrasta wielokrotnie, jeśli rzekomo została ona wysłana z domeny innego banku lub znanej ofierze kontrahenta. I to wyróżnia nie tylko pracowników banków, w innych branżach – na przykład w energetyce – mamy do czynienia z tą samą tendencją.
Zabijanie wirusów
Jednak fałszowanie nie jest tak powszechnym problemem, jak na przykład infekcje wirusowe. Jak najczęściej walczycie z epidemiami wirusowymi? Instalują program antywirusowy i mają nadzieję, że „wróg się nie przedrze”. Ale gdyby wszystko było takie proste, to biorąc pod uwagę dość niski koszt programów antywirusowych, wszyscy już dawno zapomnieliby o problemie złośliwego oprogramowania. Tymczasem stale otrzymujemy prośby z serii „pomóżcie nam przywrócić pliki, wszystko zaszyfrowaliśmy, praca stoi w miejscu, dane giną”. Nie przestajemy powtarzać naszym klientom, że program antywirusowy nie jest panaceum. Oprócz tego, że antywirusowe bazy danych mogą nie być aktualizowane wystarczająco szybko, często spotykamy się ze złośliwym oprogramowaniem, które potrafi ominąć nie tylko antywirusy, ale także piaskownice.
Niestety, niewielu zwykłych pracowników organizacji ma świadomość istnienia phishingu i złośliwych wiadomości e-mail i potrafi odróżnić je od zwykłej korespondencji. Średnio co 7 użytkownik, który nie poddaje się regularnemu podnoszeniu świadomości, ulega socjotechnice: otwieraniu zainfekowanego pliku lub wysyłaniu swoich danych do atakujących.
Chociaż ogólnie rzecz biorąc, społeczny wektor ataków stopniowo się zwiększa, tendencja ta stała się szczególnie widoczna w zeszłym roku. E-maile phishingowe stawały się coraz bardziej podobne do zwykłych mailingów dotyczących promocji, nadchodzących wydarzeń itp. Przypomnijmy tutaj atak Silence na sektor finansowy – pracownicy banku otrzymali list rzekomo z kodem promocyjnym na udział w popularnej konferencji branżowej iFin, a odsetek tych, którzy ulegli podstępowi był bardzo wysoki, choć pamiętajmy , mówimy o branży bankowej – najbardziej zaawansowanej w kwestiach bezpieczeństwa informacji.
Przed ostatnim Nowym Rokiem zaobserwowaliśmy także kilka dość ciekawych sytuacji, gdy pracownicy firm przemysłowych otrzymywali bardzo wysokiej jakości listy phishingowe z „listą” noworocznych promocji w popularnych sklepach internetowych oraz kodami promocyjnymi na rabaty. Pracownicy nie tylko sami próbowali wejść w link, ale także przekazali list kolegom z powiązanych organizacji. W związku z zablokowaniem zasobu, do którego prowadził odnośnik zawarty w wiadomości phishingowej, pracownicy zaczęli masowo przesyłać prośby do serwisu IT o udostępnienie go. Ogólnie rzecz biorąc, sukces wysyłki musiał przekroczyć wszelkie oczekiwania atakujących.
Niedawno firma, która została „zaszyfrowana”, zwróciła się do nas o pomoc. Wszystko zaczęło się od tego, że pracownicy księgowi otrzymali list rzekomo z Banku Centralnego Federacji Rosyjskiej. Księgowy kliknął link zawarty w liście i pobrał na swój komputer koparkę WannaMine, która podobnie jak słynny WannaCry wykorzystywała lukę w zabezpieczeniach EternalBlue. Najciekawsze jest to, że większość programów antywirusowych jest w stanie wykryć jego sygnatury od początku 2018 roku. Ale albo program antywirusowy został wyłączony, albo bazy danych nie zostały zaktualizowane, albo w ogóle go nie było - w każdym razie górnik był już na komputerze i nic nie przeszkodziło mu w dalszym rozprzestrzenianiu się w sieci, ładując serwery Procesor i stacje robocze na 100%.
Klient ten, po otrzymaniu raportu od naszego zespołu kryminalistycznego, zauważył, że wirus początkowo przedostał się do niego za pośrednictwem poczty elektronicznej, i rozpoczął pilotażowy projekt mający na celu podłączenie usługi ochrony poczty elektronicznej. Pierwszą rzeczą, którą skonfigurowaliśmy, był program antywirusowy poczty e-mail. Jednocześnie skanowanie w poszukiwaniu złośliwego oprogramowania odbywa się stale, a aktualizacje sygnatur odbywały się początkowo co godzinę, a następnie klient przełączał się na dwa razy dziennie.
Pełna ochrona przed infekcjami wirusowymi musi być wielowarstwowa. Jeśli mówimy o przenoszeniu wirusów za pośrednictwem poczty elektronicznej, to należy odfiltrować takie litery przy wejściu, przeszkolić użytkowników w zakresie socjotechniki, a następnie polegać na programach antywirusowych i piaskownicach.
w SEGda na straży
Oczywiście nie twierdzimy, że rozwiązania Secure Email Gateway są panaceum. Ukierunkowane ataki, w tym spear phishing, są niezwykle trudne do uniknięcia, ponieważ... Każdy taki atak jest „szyty na miarę” pod konkretnego odbiorcę (organizację lub osobę). Jednak dla firmy starającej się zapewnić podstawowy poziom bezpieczeństwa to dużo, szczególnie przy odpowiednim doświadczeniu i wiedzy specjalistycznej zastosowanej do tego zadania.
Najczęściej podczas spear phishingu złośliwe załączniki nie są dołączane do treści listów, w przeciwnym razie system antyspamowy natychmiast zablokuje taki list w drodze do odbiorcy. Ale w tekście listu znajdują się linki do wcześniej przygotowanego zasobu internetowego i to już drobnostka. Użytkownik podąża za linkiem, a następnie po kilku przekierowaniach w ciągu kilku sekund trafia na ostatni w całym łańcuchu, którego otwarcie powoduje pobranie szkodliwego oprogramowania na jego komputer.
Jeszcze bardziej wyrafinowany: w momencie otrzymania listu link może być nieszkodliwy i dopiero po pewnym czasie, gdy został już zeskanowany i pominięty, zacznie przekierowywać do złośliwego oprogramowania. Niestety specjaliści Solar JSOC, nawet biorąc pod uwagę ich kompetencje, nie będą w stanie skonfigurować bramy pocztowej tak, aby „widzieć” złośliwe oprogramowanie w całym łańcuchu (choć dla zabezpieczenia można zastosować automatyczną zamianę wszystkich linków w listach do SEG, tak aby ten ostatni skanował link nie tylko w momencie doręczenia listu, ale przy każdym przejściu).
Tymczasem nawet typowe przekierowanie można obsłużyć poprzez agregację kilku rodzajów ekspertyz, w tym danych uzyskanych przez nasz JSOC CERT i OSINT. Dzięki temu możesz tworzyć rozbudowane czarne listy, na podstawie których blokowany będzie nawet list z wielokrotnym przekierowaniem.
Korzystanie z SEG to tylko mała cegiełka w murze, którą każda organizacja chce wznieść, aby chronić swoje aktywa. Ale to łącze również musi być poprawnie zintegrowane z ogólnym obrazem, ponieważ nawet SEG przy odpowiedniej konfiguracji można przekształcić w pełnoprawny środek ochrony.
Ksenia Sadunina, konsultantka eksperckiego działu przedsprzedaży produktów i usług Solar JSOC
Źródło: www.habr.com