Embora as grandes empresas estejam construindo redutos escalonados contra possíveis invasores internos e hackers, as correspondências de phishing e spam continuam sendo uma dor de cabeça para as empresas mais simples. Se Marty McFly soubesse que em 2015 (e ainda mais em 2020) as pessoas não apenas não inventariam os hoverboards, mas nem sequer aprenderiam a se livrar completamente do lixo eletrônico, ele provavelmente perderia a fé na humanidade. Além disso, o spam hoje não é apenas irritante, mas muitas vezes prejudicial. Em aproximadamente 70% das implementações de killchain, os cibercriminosos penetram na infraestrutura usando malware contido em anexos ou através de links de phishing em e-mails.
Recentemente, tem havido uma tendência clara para a disseminação da engenharia social como forma de penetrar na infraestrutura de uma organização. Comparando as estatísticas de 2017 e 2018, vemos um aumento de quase 50% no número de casos em que malware foi entregue aos computadores dos funcionários através de anexos ou links de phishing no corpo de um e-mail.
Em geral, toda a gama de ameaças que podem ser realizadas por email pode ser dividida em várias categorias:
- spam recebido
- inclusão dos computadores de uma organização em uma botnet que envia spam
- anexos maliciosos e vírus no corpo da carta (as pequenas empresas costumam sofrer ataques massivos como o Petya).
Para se proteger contra todos os tipos de ataques, você pode implantar vários sistemas de segurança da informação ou seguir o caminho de um modelo de serviço. Nós já sobre a Plataforma Unificada de Serviços de Segurança Cibernética - o núcleo do ecossistema de serviços de segurança cibernética gerenciados pelo Solar MSS. Entre outras coisas, inclui tecnologia virtualizada Secure Email Gateway (SEG). Via de regra, a assinatura deste serviço é adquirida por pequenas empresas nas quais todas as funções de TI e segurança da informação são atribuídas a uma pessoa - o administrador do sistema. O spam é um problema sempre visível para os usuários e a gestão e não pode ser ignorado. Porém, com o tempo, até mesmo a administração fica claro que é impossível simplesmente “deixá-lo” para o administrador do sistema - leva muito tempo.
2 horas para analisar e-mails é um pouco demais
Um dos varejistas nos abordou com uma situação semelhante. Os sistemas de controle de tempo mostraram que todos os dias seus funcionários gastavam cerca de 25% do seu tempo de trabalho (2 horas!) arrumando a caixa de correio.
Depois de conectar o servidor de e-mail do cliente, configuramos a instância SEG como um gateway bidirecional para e-mails recebidos e enviados. Começamos a filtrar de acordo com políticas pré-estabelecidas. Compilamos a lista negra com base em uma análise dos dados fornecidos pelo cliente e em nossas próprias listas de endereços potencialmente perigosos obtidas por especialistas do Solar JSOC como parte de outros serviços - por exemplo, monitoramento de incidentes de segurança da informação. Depois disso, todas as correspondências foram entregues aos destinatários somente após a limpeza, e várias correspondências de spam sobre “grandes descontos” pararam de chegar aos servidores de correio dos clientes em toneladas, liberando espaço para outras necessidades.
Mas houve situações em que uma carta legítima foi erroneamente classificada como spam, por exemplo, como tendo sido recebida de um remetente não confiável. Neste caso, demos o direito de decisão ao cliente. Não há muitas opções sobre o que fazer: excluí-lo imediatamente ou enviá-lo para quarentena. Escolhemos o segundo caminho, no qual esse lixo eletrônico é armazenado no próprio SEG. Fornecemos ao administrador do sistema acesso ao console web, onde ele poderia encontrar a qualquer momento uma carta importante, por exemplo, de uma contraparte, e encaminhá-la ao usuário.
Livrar-se de parasitas
O serviço de proteção de e-mail inclui relatórios analíticos, cujo objetivo é monitorar a segurança da infraestrutura e a eficácia das configurações utilizadas. Além disso, esses relatórios permitem prever tendências. Por exemplo, encontramos a seção correspondente “Spam por Destinatário” ou “Spam por Remetente” no relatório e verificamos qual endereço recebe o maior número de mensagens bloqueadas.
Foi durante a análise de tal relatório que o aumento acentuado do número total de cartas de um dos clientes nos pareceu suspeito. Sua infraestrutura é pequena, o número de letras é baixo. E de repente, depois de um dia útil, a quantidade de spam bloqueado quase dobrou. Decidimos dar uma olhada mais de perto.
Vemos que o número de cartas enviadas aumentou, e todas elas no campo “Remetente” contêm endereços de um domínio que está conectado ao serviço de proteção de correio. Mas há uma ressalva: entre endereços bastante sensatos, talvez até existentes, há outros claramente estranhos. Observamos os IPs dos quais as cartas foram enviadas e, como era de se esperar, descobrimos que elas não pertenciam ao espaço de endereços protegido. Obviamente, o invasor estava enviando spam em nome do cliente.
Neste caso, fizemos recomendações ao cliente sobre como configurar corretamente os registros DNS, especificamente SPF. Nosso especialista nos aconselhou a criar um registro TXT contendo a regra “v=spf1 mx ip:1.2.3.4/23 -all”, que contém uma lista exaustiva de endereços que podem enviar cartas em nome do domínio protegido.
Na verdade, por que isso é importante: spam em nome de uma pequena empresa desconhecida é desagradável, mas não crítico. A situação é completamente diferente, por exemplo, no setor bancário. De acordo com as nossas observações, o nível de confiança da vítima num e-mail de phishing aumenta muitas vezes se este for supostamente enviado do domínio de outro banco ou de uma contraparte conhecida da vítima. E isto distingue não só os bancários; noutras indústrias – no sector da energia, por exemplo – deparamo-nos com a mesma tendência.
Matando vírus
Mas a falsificação não é um problema tão comum como, por exemplo, as infecções virais. Como você luta com mais frequência contra epidemias virais? Eles instalam um antivírus e esperam que “o inimigo não consiga passar”. Mas se tudo fosse tão simples, dado o custo bastante baixo dos antivírus, todos já teriam esquecido há muito tempo o problema do malware. Enquanto isso, recebemos constantemente pedidos da série “ajude-nos a restaurar os arquivos, criptografamos tudo, o trabalho está paralisado, os dados estão perdidos”. Nunca nos cansamos de repetir aos nossos clientes que antivírus não é uma panacéia. Além do fato de que os bancos de dados de antivírus podem não ser atualizados com rapidez suficiente, frequentemente encontramos malware que pode ignorar não apenas os antivírus, mas também as sandboxes.
Infelizmente, poucos funcionários comuns de organizações estão cientes do phishing e dos e-mails maliciosos e são capazes de distingui-los da correspondência normal. Em média, cada sétimo usuário que não passa por ações de conscientização regulares sucumbe à engenharia social: abrir um arquivo infectado ou enviar seus dados a invasores.
Embora o vetor social dos ataques, em geral, tenha aumentado gradualmente, esta tendência tornou-se especialmente perceptível no ano passado. Os e-mails de phishing estavam se tornando cada vez mais semelhantes aos e-mails regulares sobre promoções, eventos futuros, etc. Aqui podemos relembrar o ataque do Silêncio ao setor financeiro - funcionários do banco receberam uma carta supostamente com um código promocional para participação na popular conferência do setor iFin, e a porcentagem de quem sucumbiu ao truque foi muito alta, embora, lembremos , estamos falando do setor bancário - o mais avançado em matéria de segurança da informação.
Antes do último Ano Novo, também observámos várias situações bastante curiosas em que funcionários de empresas industriais recebiam cartas de phishing de altíssima qualidade com uma “lista” de promoções de Ano Novo em lojas online populares e com códigos promocionais para descontos. Os funcionários não apenas tentaram seguir o link, mas também encaminharam a carta para colegas de organizações relacionadas. Como o recurso para o qual levava o link do e-mail de phishing foi bloqueado, os funcionários começaram a enviar solicitações em massa ao serviço de TI para fornecer acesso a ele. Em geral, o sucesso do mailing deve ter superado todas as expectativas dos atacantes.
E recentemente uma empresa que havia sido “criptografada” recorreu a nós em busca de ajuda. Tudo começou quando os contadores receberam uma carta supostamente do Banco Central da Federação Russa. O contador clicou no link da carta e baixou em sua máquina o minerador WannaMine, que, assim como o famoso WannaCry, explorava a vulnerabilidade EternalBlue. O mais interessante é que a maioria dos antivírus consegue detectar suas assinaturas desde o início de 2018. Mas ou o antivírus estava desabilitado, ou os bancos de dados não foram atualizados, ou não estava lá - de qualquer forma, o minerador já estava no computador, e nada impedia que ele se espalhasse ainda mais pela rede, carregando os servidores' CPU e estações de trabalho em 100%.
Este cliente, tendo recebido um relatório da nossa equipe forense, percebeu que o vírus o penetrou inicialmente por e-mail e lançou um projeto piloto para conectar um serviço de proteção de e-mail. A primeira coisa que configuramos foi um antivírus de e-mail. Ao mesmo tempo, a verificação de malware é realizada constantemente, e as atualizações de assinatura eram inicialmente realizadas a cada hora e, em seguida, o cliente mudava para duas vezes por dia.
A proteção total contra infecções virais deve ser estratificada. Se falamos em transmissão de vírus por e-mail, então é preciso filtrar essas cartas na entrada, treinar os usuários para reconhecer a engenharia social e depois contar com antivírus e sandboxes.
em SEGda em guarda
É claro que não afirmamos que as soluções Secure Email Gateway sejam uma panacéia. Ataques direcionados, incluindo spear phishing, são extremamente difíceis de prevenir porque... Cada ataque é “adaptado” para um destinatário específico (organização ou pessoa). Mas para uma empresa que tenta fornecer um nível básico de segurança, isso é muito, especialmente com a experiência e o conhecimento certos aplicados à tarefa.
Na maioria das vezes, quando o spear phishing é realizado, os anexos maliciosos não são incluídos no corpo das cartas; caso contrário, o sistema antispam bloqueará imediatamente essa carta no caminho para o destinatário. Mas eles incluem links para um recurso da web pré-preparado no texto da carta, e isso é uma questão pequena. O usuário segue o link e, após vários redirecionamentos em questão de segundos, chega ao último de toda a cadeia, cuja abertura fará o download de malware em seu computador.
Ainda mais sofisticado: no momento em que você recebe a carta, o link pode ser inofensivo e só depois de algum tempo, quando já tiver sido verificado e ignorado, é que começará a redirecionar para malware. Infelizmente, os especialistas do Solar JSOC, mesmo levando em consideração suas competências, não conseguirão configurar o gateway de e-mail para “ver” malware em toda a cadeia (embora, como proteção, você possa usar a substituição automática de todos os links em letras ao SEG, para que este faça a leitura do link não só no momento da entrega da carta, mas a cada transição).
Entretanto, mesmo um redirecionamento típico pode ser tratado pela agregação de vários tipos de conhecimentos, incluindo dados obtidos pelo nosso JSOC CERT e OSINT. Isso permite que você crie listas negras estendidas, com base nas quais até mesmo uma carta com encaminhamento múltiplo será bloqueada.
Usar o SEG é apenas um pequeno tijolo na parede que qualquer organização deseja construir para proteger seus ativos. Mas esse link também precisa ser corretamente integrado ao quadro geral, pois mesmo o SEG, com configuração adequada, pode ser transformado em um meio de proteção completo.
Ksenia Sadunina, consultora do departamento especializado de pré-venda de produtos e serviços Solar JSOC
Fonte: habr.com