Medtem ko veliko podjetje gradi ešalonirane opornice pred morebitnimi notranjimi napadalci in hekerji, lažno predstavljanje in neželena pošta ostajata glavobol za enostavnejša podjetja. Če bi Marty McFly vedel, da leta 2015 (še bolj pa leta 2020) ljudje ne le ne bodo izumili lebdečih desk, ampak se ne bodo niti naučili popolnoma znebiti neželene pošte, bi verjetno izgubil vero v človeštvo. Poleg tega vsiljena pošta danes ni samo moteča, ampak pogosto tudi škodljiva. V približno 70 % implementacij killchaina kibernetski kriminalci prodrejo v infrastrukturo z uporabo zlonamerne programske opreme v priponkah ali prek lažnih povezav v e-pošti.
V zadnjem času je prišlo do jasnega trenda širjenja socialnega inženiringa kot načina prodiranja v infrastrukturo organizacije. Če primerjamo statistične podatke iz let 2017 in 2018, opazimo skoraj 50-odstotno povečanje števila primerov, ko je bila zlonamerna programska oprema dostavljena v računalnike zaposlenih prek priponk ali povezav do lažnega predstavljanja v telesu e-poštnega sporočila.
Na splošno lahko celotno paleto groženj, ki jih je mogoče izvesti z uporabo elektronske pošte, razdelimo v več kategorij:
- dohodna neželena pošta
- vključitev računalnikov organizacije v botnet, ki pošilja odhodno neželeno pošto
- zlonamerne priloge in virusi v telesu pisma (majhna podjetja najpogosteje trpijo zaradi množičnih napadov, kot je Petya).
Za zaščito pred vsemi vrstami napadov lahko uvedete več informacijskih varnostnih sistemov ali sledite poti storitvenega modela. Mi smo že o platformi Unified Cybersecurity Services Platform – jedru ekosistema storitev kibernetske varnosti, ki ga upravlja Solar MSS. Med drugim vključuje virtualizirano tehnologijo Secure Email Gateway (SEG). Naročnino na to storitev praviloma kupijo manjša podjetja, v katerih so vse funkcije IT in informacijske varnosti dodeljene eni osebi – sistemskemu skrbniku. Neželena pošta je problem, ki je uporabnikom in vodstvu vedno viden in ga ni mogoče prezreti. Vendar pa sčasoma tudi vodstvu postane jasno, da ga ni mogoče preprosto "spustiti" skrbniku sistema - traja preveč časa.
2 uri za razčlenjevanje pošte je malo
S podobno situacijo se je na nas obrnil eden od trgovcev. Sistemi za sledenje časa so pokazali, da njegovi zaposleni vsak dan porabijo približno 25% svojega delovnega časa (2 uri!) za urejanje nabiralnika.
Ko smo povezali poštni strežnik stranke, smo instanco SEG konfigurirali kot dvosmerni prehod za dohodno in odhodno pošto. Začeli smo filtrirati v skladu z vnaprej določenimi politikami. Črno listo smo sestavili na podlagi analize podatkov, ki jih je posredovala stranka, in lastnih seznamov potencialno nevarnih naslovov, ki so jih pridobili strokovnjaki Solar JSOC v okviru drugih storitev – na primer spremljanja informacijsko varnostnih incidentov. Po tem je bila vsa pošta dostavljena prejemnikom šele po čiščenju, različna neželena pošta o "velikih popustih" pa se je v tonah nehala zlivati v strankine poštne strežnike, kar je sprostilo prostor za druge potrebe.
Vendar so bile situacije, ko je bilo legitimno pismo pomotoma razvrščeno kot neželena pošta, na primer, da je bilo prejeto od nezaupljivega pošiljatelja. V tem primeru smo dali pravico odločitve stranki. Ni veliko možnosti, kaj storiti: takoj izbrisati ali poslati v karanteno. Izbrali smo drugo pot, pri kateri se taka neželena pošta shrani na samem SEG. Skrbniku sistema smo omogočili dostop do spletne konzole, v kateri je lahko kadarkoli našel pomembno pismo, na primer od nasprotne stranke, in ga posredoval uporabniku.
Znebite se parazitov
Storitev zaščite elektronske pošte vključuje analitična poročila, katerih namen je spremljanje varnosti infrastrukture in učinkovitosti uporabljenih nastavitev. Poleg tega vam ta poročila omogočajo napovedovanje trendov. V poročilu na primer najdemo ustrezen razdelek »Neželena pošta po prejemniku« ali »Neželena pošta po pošiljatelju« in pogledamo, čigav naslov prejme največje število blokiranih sporočil.
Prav pri analizi takšnega poročila se nam je zdelo sumljivo močno povečano skupno število pisem ene od strank. Njegova infrastruktura je majhna, število črk je majhno. In nenadoma se je po delovnem dnevu količina blokirane neželene pošte skoraj podvojila. Odločili smo se, da pogledamo pobliže.
Vidimo, da se je število odhodnih pisem povečalo in vsa v polju »Pošiljatelj« vsebujejo naslove iz domene, ki je povezana s storitvijo zaščite pošte. Vendar obstaja en odtenek: med povsem razumnimi, morda celo obstoječimi naslovi so očitno čudni. Pogledali smo IP-je, s katerih so bila pisma poslana, in povsem pričakovano se je izkazalo, da ne sodijo v zaščiteni naslovni prostor. Očitno je napadalec pošiljal neželeno pošto v imenu stranke.
V tem primeru smo dali priporočila za stranko, kako pravilno konfigurirati zapise DNS, natančneje SPF. Naš strokovnjak nam je svetoval, da ustvarimo zapis TXT, ki vsebuje pravilo “v=spf1 mx ip:1.2.3.4/23 -all”, ki vsebuje izčrpen seznam naslovov, ki lahko pošiljajo pisma v imenu zaščitene domene.
Pravzaprav, zakaj je to pomembno: vsiljena pošta v imenu neznanega majhnega podjetja je neprijetna, ni pa kritična. Povsem drugače je na primer v bančništvu. Po naših opažanjih se stopnja zaupanja žrtve v e-poštno sporočilo z lažnim predstavljanjem večkrat poveča, če je domnevno poslano z domene druge banke ali nasprotne stranke, ki jo žrtev pozna. In to ne odlikuje le bančnih uslužbencev, tudi v drugih panogah – na primer v energetiki – se soočamo z istim trendom.
Ubijanje virusov
A ponarejanje ni tako pogosta težava kot na primer virusne okužbe. Kako se najpogosteje borite proti virusnim epidemijam? Namestijo protivirusni program in upajo, da »sovražnik ne bo prišel skozi«. Če pa bi bilo vse tako preprosto, bi glede na dokaj nizke stroške protivirusnih programov vsi že zdavnaj pozabili na problem zlonamerne programske opreme. Medtem nenehno prejemamo zahteve iz serije "pomagajte nam obnoviti datoteke, vse smo šifrirali, delo je zastalo, podatki so izgubljeni." Našim strankam se ne naveličamo ponavljati, da protivirusni program ni zdravilo. Poleg tega, da se protivirusne baze morda ne posodabljajo dovolj hitro, pogosto naletimo na zlonamerno programsko opremo, ki lahko zaobide ne samo protivirusne programe, ampak tudi peskovnike.
Na žalost se le malo običajnih zaposlenih v organizacijah zaveda lažnega predstavljanja in zlonamerne elektronske pošte ter jih lahko razlikuje od običajne korespondence. V povprečju vsak sedmi uporabnik, ki ni podvržen rednemu ozaveščanju, podleže socialnemu inženiringu: odpiranju okužene datoteke ali pošiljanju svojih podatkov napadalcem.
Čeprav se socialni vektor napadov na splošno postopoma povečuje, je ta trend postal še posebej opazen v zadnjem letu. Lažna e-poštna sporočila so postajala vse bolj podobna običajnim pošiljanjem sporočil o promocijah, prihajajočih dogodkih itd. Tu lahko spomnimo na Silence napad na finančni sektor - bančni uslužbenci so prejeli pismo, domnevno s promocijsko kodo za udeležbo na priljubljeni industrijski konferenci iFin, odstotek tistih, ki so podlegli triku, pa je bil zelo visok, čeprav, spomnimo, , govorimo o bančni industriji - najnaprednejši na področju informacijske varnosti.
Pred zadnjim novim letom smo opazili tudi nekaj precej radovednih situacij, ko so zaposleni v industrijskih podjetjih prejeli zelo kakovostna phishing pisma s "seznamom" novoletnih akcij v priljubljenih spletnih trgovinah in s promocijskimi kodami za popuste. Zaposleni niso samo poskušali slediti povezavi sami, ampak so pismo posredovali tudi kolegom iz sorodnih organizacij. Ker je bil vir, do katerega je vodila povezava v lažnem e-poštnem sporočilu, blokiran, so zaposleni začeli množično pošiljati zahteve IT službi za dostop do njega. Na splošno je uspeh pošiljanja gotovo presegel vsa pričakovanja napadalcev.
In pred kratkim se je podjetje, ki je bilo "šifrirano", obrnilo na nas za pomoč. Vse se je začelo, ko so zaposleni v računovodstvu prejeli pismo domnevno Centralne banke Ruske federacije. Računovodja je kliknil na povezavo v pismu in na svoj računalnik prenesel rudar WannaMine, ki je tako kot slavni WannaCry izkoriščal ranljivost EternalBlue. Najbolj zanimivo pa je, da večina protivirusnih programov že od začetka leta 2018 zazna njegove podpise. Toda ali je bil protivirusni program onemogočen, ali baze podatkov niso bile posodobljene, ali pa ga sploh ni bilo - v vsakem primeru je bil rudar že v računalniku in nič mu ni preprečilo, da bi se širil naprej po omrežju in nalagal strežnike. CPU in delovne postaje na 100 %.
Ta stranka, ki je prejela poročilo naše forenzične ekipe, je ugotovila, da je virus sprva prodrl vanjo prek e-pošte, in sprožila pilotni projekt za povezavo storitve zaščite e-pošte. Prva stvar, ki smo jo nastavili, je bil protivirusni program za elektronsko pošto. Hkrati se skeniranje za zlonamerno programsko opremo izvaja nenehno, posodobitve podpisov pa so se sprva izvajale vsako uro, nato pa je stranka prešla na dvakrat na dan.
Popolna zaščita pred virusnimi okužbami mora biti večplastna. Če govorimo o prenosu virusov preko e-pošte, potem je treba tovrstna pisma že na vhodu filtrirati, usposobiti uporabnike za prepoznavanje socialnega inženiringa in se nato zanesti na antiviruse in peskovnike.
v SEGda na straži
Seveda ne trdimo, da so rešitve Secure Email Gateway rešitev. Ciljno usmerjene napade, vključno s lažnim predstavljanjem, je izjemno težko preprečiti, ker ... Vsak tak napad je »prikrojen« za določenega prejemnika (organizacijo ali osebo). Toda za podjetje, ki poskuša zagotoviti osnovno raven varnosti, je to veliko, zlasti s pravimi izkušnjami in strokovnim znanjem, uporabljenim pri nalogi.
Najpogosteje pri izvajanju spear phishing zlonamerne priponke niso vključene v telo pisma, sicer sistem za zaščito pred neželeno pošto takšno pismo takoj blokira na poti do prejemnika. Toda v besedilo pisma vključijo povezave do vnaprej pripravljenega spletnega vira in potem je to majhna stvar. Uporabnik sledi povezavi, nato pa po več preusmeritvah v nekaj sekundah pristane na zadnji v celotni verigi, katere odprtje bo na njegov računalnik naložilo zlonamerno programsko opremo.
Še bolj sofisticirano: v trenutku, ko prejmete pismo, je povezava lahko neškodljiva in šele po preteku časa, ko je že skenirana in preskočena, začne preusmerjati na zlonamerno programsko opremo. Na žalost strokovnjaki Solar JSOC, tudi ob upoštevanju svojih kompetenc, ne bodo mogli konfigurirati poštnega prehoda tako, da bi "videli" zlonamerno programsko opremo skozi celotno verigo (čeprav kot zaščito lahko uporabite samodejno zamenjavo vseh povezav v pismih do SEG, tako da slednji skenira povezavo ne samo v času dostave pisma, ampak ob vsakem prehodu).
Medtem pa je mogoče celo običajno preusmeritev obravnavati z združevanjem več vrst strokovnega znanja, vključno s podatki, pridobljenimi s strani našega JSOC CERT in OSINT. To vam omogoča ustvarjanje razširjenih črnih seznamov, na podlagi katerih bo blokirano tudi pismo z večkratnim posredovanjem.
Uporaba SEG je le majhna opeka v zidu, ki jo želi zgraditi vsaka organizacija za zaščito svojih sredstev. Toda to povezavo je treba tudi pravilno vključiti v celotno sliko, saj se lahko tudi SEG s pravilno konfiguracijo spremeni v popolno zaščito.
Ksenia Sadunina, svetovalka strokovnega oddelka za predprodajo izdelkov in storitev Solar JSOC
Vir: www.habr.com