Zatiaľ čo veľký Enterprise buduje prestížne pevnôstky z potenciálnych interných útočníkov a hackerov, phishing a spamové korešpondencie sú pre jednoduchšie spoločnosti problémom. Ak by Marty McFly vedel, že v roku 2015 (a ešte viac v roku 2020) ľudia nielenže nevymyslia hoverboardy, ale nenaučia sa ani úplne zbaviť nevyžiadanej pošty, pravdepodobne by stratil vieru v ľudskosť. Navyše, spam je dnes nielen nepríjemný, ale často aj škodlivý. V približne 70 % implementácií killchain kyberzločinci prenikajú do infraštruktúry pomocou malvéru obsiahnutého v prílohách alebo prostredníctvom phishingových odkazov v e-mailoch.
V poslednej dobe existuje jasný trend šírenia sociálneho inžinierstva ako spôsobu preniknutia do infraštruktúry organizácie. Pri porovnaní štatistík z rokov 2017 a 2018 vidíme takmer 50% nárast v počte prípadov, keď bol malvér doručený do počítačov zamestnancov prostredníctvom príloh alebo phishingových odkazov v tele e-mailu.
Vo všeobecnosti možno celú škálu hrozieb, ktoré možno vykonať pomocou e-mailu, rozdeliť do niekoľkých kategórií:
- prichádzajúci spam
- zahrnutie počítačov organizácie do botnetu, ktorý odosiela odchádzajúce spamy
- škodlivé prílohy a vírusy v tele listu (malé firmy najčastejšie trpia masívnymi útokmi ako Petya).
Na ochranu pred všetkými typmi útokov môžete buď nasadiť niekoľko systémov informačnej bezpečnosti, alebo postupovať podľa modelu služby. My už o platforme Unified Cybersecurity Services Platform – jadro ekosystému služieb riadenej kybernetickej bezpečnosti Solar MSS. Okrem iného obsahuje virtualizovanú technológiu Secure Email Gateway (SEG). Predplatné tejto služby si spravidla kupujú malé spoločnosti, v ktorých sú všetky funkcie IT a informačnej bezpečnosti pridelené jednej osobe – správcovi systému. Spam je problém, ktorý je vždy viditeľný pre používateľov a manažment a nemožno ho ignorovať. Postupom času sa však aj manažmentu ukáže, že nie je možné ho jednoducho „prehodiť“ správcovi systému - trvá to príliš veľa času.
2 hodiny na analýzu pošty je trochu veľa
S podobnou situáciou sa na nás obrátil jeden z predajcov. Systémy sledovania času ukázali, že každý deň jeho zamestnanci strávili asi 25 % svojho pracovného času (2 hodiny!) triedením poštovej schránky.
Po pripojení poštového servera zákazníka sme inštanciu SEG nakonfigurovali ako obojsmernú bránu pre prichádzajúcu aj odchádzajúcu poštu. Začali sme filtrovať podľa vopred stanovených zásad. Čiernu listinu sme zostavili na základe analýzy údajov poskytnutých zákazníkom a vlastných zoznamov potenciálne nebezpečných adries, ktoré získali experti Solar JSOC v rámci iných služieb – napríklad monitorovanie incidentov informačnej bezpečnosti. Potom bola všetka pošta doručená príjemcom až po vyčistení a rôzne spamy o „veľkých zľavách“ prestali prúdiť na poštové servery zákazníka v tonách, čím sa uvoľnil priestor pre iné potreby.
Vyskytli sa však situácie, keď bol legitímny list omylom klasifikovaný ako spam, napríklad ako list prijatý od nedôveryhodného odosielateľa. V tomto prípade sme dali právo rozhodnutia zákazníkovi. Nie je veľa možností, čo robiť: okamžite ho vymazať alebo poslať do karantény. My sme zvolili druhú cestu, v ktorej sa takáto nevyžiadaná pošta ukladá na samotnom SEG. Správcovi systému sme poskytli prístup do webovej konzoly, v ktorej mohol kedykoľvek nájsť dôležitý list, napríklad od protistrany, a preposlať ho používateľovi.
Zbavenie sa parazitov
Súčasťou služby emailovej ochrany sú analytické reporty, ktorých účelom je sledovať bezpečnosť infraštruktúry a efektivitu použitých nastavení. Okrem toho vám tieto prehľady umožňujú predpovedať trendy. Napríklad v prehľade nájdeme zodpovedajúcu sekciu „Spam od príjemcu“ alebo „Spam od odosielateľa“ a pozrieme sa, na koho adresu dostáva najväčší počet blokovaných správ.
Práve pri analýze takejto správy sa nám zdal podozrivý prudký nárast celkového počtu listov od jedného zo zákazníkov. Jeho infraštruktúra je malá, počet písmen nízky. A zrazu sa po pracovnom dni množstvo zablokovaného spamu takmer zdvojnásobilo. Rozhodli sme sa, že sa na to pozrieme bližšie.
Vidíme, že počet odchádzajúcich listov sa zvýšil a všetky v poli „Odosielateľ“ obsahujú adresy z domény, ktorá je pripojená k službe ochrany pošty. Je tu však jedna nuansa: medzi celkom zdravými, možno dokonca existujúcimi adresami, sú jednoznačne zvláštne. Pozreli sme sa na adresy IP, z ktorých boli listy odoslané, a celkom očakávane sa ukázalo, že nepatria do chráneného adresného priestoru. Útočník očividne posielal spam v mene zákazníka.
V tomto prípade sme zákazníkovi dali odporúčania, ako správne nakonfigurovať DNS záznamy, konkrétne SPF. Náš špecialista nám odporučil vytvoriť TXT záznam obsahujúci pravidlo „v=spf1 mx ip:1.2.3.4/23 -all“, ktorý obsahuje úplný zoznam adries, ktoré môžu posielať listy v mene chránenej domény.
Prečo je to vlastne dôležité: spam v mene neznámej malej spoločnosti je nepríjemný, ale nie kritický. Úplne iná situácia je napríklad v bankovníctve. Podľa našich pozorovaní sa úroveň dôvery obete v phishingový e-mail mnohonásobne zvyšuje, ak je údajne odoslaný z domény inej banky alebo protistrany, ktorú obeť pozná. A to odlišuje nielen zamestnancov bánk, ale s rovnakým trendom sa stretávame aj v iných odvetviach – napríklad v energetike.
Zabíjanie vírusov
Spoofing však nie je taký bežný problém ako napríklad vírusové infekcie. Ako najčastejšie bojujete s vírusovými epidémiami? Nainštalujú antivírus a dúfajú, že „nepriateľ neprejde“. Ak by však bolo všetko také jednoduché, potom by vzhľadom na pomerne nízke náklady na antivírusy každý dávno zabudol na problém malvéru. Medzitým neustále dostávame požiadavky zo série „pomôžte nám obnoviť súbory, všetko sme zašifrovali, práca sa zastavila, údaje sa stratili“. Neúnavne opakujeme našim zákazníkom, že antivírus nie je všeliekom. Okrem toho, že antivírusové databázy sa nemusia aktualizovať dostatočne rýchlo, často sa stretávame s malvérom, ktorý dokáže obísť nielen antivírusy, ale aj sandboxy.
Bohužiaľ, len málo bežných zamestnancov organizácií pozná phishing a škodlivé e-maily a dokáže ich rozlíšiť od bežnej korešpondencie. V priemere každý 7. používateľ, ktorý nepodstupuje pravidelné zvyšovanie povedomia, podľahne sociálnemu inžinierstvu: otvoreniu infikovaného súboru alebo odoslanie svojich údajov útočníkom.
Hoci sa sociálny vektor útokov vo všeobecnosti postupne zvyšoval, tento trend sa prejavil najmä v minulom roku. Phishingové e-maily sa čoraz viac podobali bežným správam o akciách, pripravovaných udalostiach atď. Tu si môžeme pripomenúť Tichý útok na finančný sektor – zamestnanci banky dostali list údajne s propagačným kódom pre účasť na populárnej priemyselnej konferencii iFin a percento tých, ktorí podľahli triku, bolo veľmi vysoké, aj keď, pamätajme , hovoríme o bankovom sektore – najpokročilejšom v otázkach informačnej bezpečnosti.
Pred posledným Novým rokom sme zaznamenali aj niekoľko kurióznych situácií, keď zamestnanci priemyselných podnikov dostávali veľmi kvalitné phishingové listy so „zoznamom“ novoročných akcií v obľúbených internetových obchodoch a s propagačnými kódmi na zľavy. Zamestnanci sa nielen snažili odkaz sledovať sami, ale list preposlali aj kolegom z príbuzných organizácií. Keďže zdroj, na ktorý odkaz v phishingovom e-maile viedol, bol zablokovaný, zamestnanci začali hromadne odosielať žiadosti IT službe o poskytnutie prístupu k nemu. Vo všeobecnosti úspech mailingu musel prevýšiť všetky očakávania útočníkov.
A nedávno sa na nás obrátila so žiadosťou o pomoc spoločnosť, ktorá bola „zašifrovaná“. Všetko sa to začalo, keď účtovníci dostali list údajne z Centrálnej banky Ruskej federácie. Účtovník klikol na odkaz v liste a stiahol si do svojho stroja baníka WannaMine, ktorý podobne ako slávny WannaCry využíval zraniteľnosť EternalBlue. Najzaujímavejšie je, že väčšina antivírusov dokázala od začiatku roka 2018 odhaliť jeho podpisy. Ale buď bol antivírus zakázaný alebo databázy neboli aktualizované, alebo tam nebol vôbec - v každom prípade bol baník už na počítači a nič nebránilo tomu, aby sa šíril ďalej po sieti a načítal servery. CPU a pracovné stanice na 100 %.
Tento zákazník, ktorý dostal správu od nášho forenzného tímu, videl, že vírus k nemu pôvodne prenikol prostredníctvom e-mailu, a spustil pilotný projekt na pripojenie služby ochrany e-mailov. Prvá vec, ktorú sme nastavili, bol e-mailový antivírus. Zároveň sa neustále vykonáva skenovanie škodlivého softvéru a aktualizácie podpisov sa spočiatku vykonávali každú hodinu a potom zákazník prešiel na dvakrát denne.
Plná ochrana proti vírusovým infekciám musí byť vrstvená. Ak hovoríme o prenose vírusov prostredníctvom e-mailu, potom je potrebné takéto písmená odfiltrovať pri vchode, vyškoliť používateľov, aby rozpoznali sociálne inžinierstvo, a potom sa spoliehať na antivírusy a sandboxy.
v SEGda na stráži
Samozrejme, netvrdíme, že riešenia Secure Email Gateway sú všeliekom. Cieleným útokom, vrátane spear phishingu, je mimoriadne ťažké zabrániť, pretože... Každý takýto útok je „šitý na mieru“ konkrétnemu príjemcovi (organizácii alebo osobe). Ale pre spoločnosť, ktorá sa snaží poskytnúť základnú úroveň zabezpečenia, je to veľa, najmä so správnymi skúsenosťami a odbornými znalosťami aplikovanými na danú úlohu.
Najčastejšie, keď sa vykonáva spear phishing, škodlivé prílohy nie sú zahrnuté v tele listov, inak antispamový systém okamžite zablokuje takýto list na ceste k príjemcovi. V texte listu však obsahujú odkazy na vopred pripravený webový zdroj a potom je to malá záležitosť. Používateľ nasleduje odkaz a po niekoľkých presmerovaniach v priebehu niekoľkých sekúnd skončí na poslednom v celom reťazci, ktorého otvorením sa mu do počítača stiahne malvér.
Ešte sofistikovanejšie: v momente, keď dostanete list, môže byť odkaz neškodný a až po určitom čase, keď už bude naskenovaný a preskočený, začne presmerovávať na malvér. Bohužiaľ, špecialisti Solar JSOC, aj keď vezmú do úvahy ich kompetencie, nebudú môcť nakonfigurovať poštovú bránu tak, aby „videla“ malvér v celom reťazci (hoci ako ochranu môžete použiť automatické nahradenie všetkých odkazov v písmenách na SEG, aby tento naskenoval odkaz nielen v čase doručenia listu a pri každom prechode).
Medzitým sa aj s typickým presmerovaním dá zvládnuť agregácia niekoľkých typov odborných znalostí vrátane údajov získaných našimi JSOC CERT a OSINT. To umožňuje vytvárať rozšírené čierne listiny, na základe ktorých bude zablokovaný aj list s viacnásobným preposielaním.
Používanie SEG je len malá tehla v stene, ktorú chce postaviť každá organizácia na ochranu svojho majetku. Ale aj toto prepojenie je potrebné správne integrovať do celkového obrazu, pretože aj SEG sa pri správnej konfigurácii môže zmeniť na plnohodnotný prostriedok ochrany.
Ksenia Sadunina, konzultantka odborného oddelenia predpredaja produktov a služieb Solar JSOC
Zdroj: hab.com