Поки великий Enterprise вибудовує ешелоновані редути від потенційних внутрішніх зловмисників та хакерів, для компаній простіше головним болем залишаються фішингові та спам-розсилки. Якби Марті Макфлай знав, що у 2015 році (а надто у 2020) люди не те що не винайдуть ховерборди, але навіть не навчаться повністю позбавлятися небажаної пошти, він би, напевно, втратив віру в людство. Більше того, спам сьогодні не просто настирливий, але часто і шкідливий. Приблизно в 70% випадків в ході реалізації killchain кіберзлочинці проникають в інфраструктуру за допомогою шкідливого програмного забезпечення, що міститься у вкладеннях, або через фішингові посилання в електронних листах.
Останнім часом явно простежується тенденція поширення соціальної інженерії як способу проникнути всередину інфраструктури організації. Порівнюючи статистику 2017 та 2018 рр., ми спостерігаємо майже 50-відсоткове зростання числа випадків, коли шкідливе програмне забезпечення доставлялося на комп'ютери співробітників саме через вкладення або фішингові посилання в тілі листа.
Загалом увесь спектр загроз, які можуть бути реалізовані за допомогою електронної пошти, можна поділити на кілька категорій:
- вхідний спам
- включення комп'ютерів організації в бот-мережу, що розсилає вихідний спам
- шкідливі вкладення та віруси в тілі листа (невеликі компанії найчастіше страждають від масових атак типу Petya).
Для захисту від усіх видів атак можна або розгорнути кілька СЗІ, або йти шляхом сервісної моделі. Ми вже про Єдину платформу сервісів кібербезпеки - ядрі екосистеми керованих сервісів кібербезпеки Solar MSS. Серед іншого вона включає віртуалізовану технологію Secure Email Gateway (SEG). Як правило, підписку на цей сервіс набувають невеликі компанії, у яких всі функції ІТ та ІБ покладено на одну особу – системного адміністратора. Спам – це така проблема, яка завжди на увазі у користувачів та керівництва, і не вирішувати її не можна. Однак згодом навіть керівництву стає зрозуміло, що просто «докинути» її сисадміну не виходить – надто багато часу вона забирає.
2 години на розбір пошти - це забагато
З такою ситуацією до нас звернувся один із ритейлерів. Системи обліку робочого часу показували, що кожного дня його співробітники витрачали близько 25% робочого часу (2 години!) на розбір поштової скриньки.
Підключивши сервер пошти замовника, ми налаштували інстанс SEG як двосторонній шлюз і для вхідної, і для вихідної пошти. Запустили фільтрацію за заздалегідь встановленими політиками. Blacklist ми склали на основі аналізу наданих замовником даних та наших власних списків потенційно небезпечних адрес, отриманих експертами Solar JSOC в рамках інших сервісів, наприклад моніторингу інцидентів ІБ. Після цього вся пошта доставлялася адресатам лише після очищення і різні спам-розсилки про «грандіозні знижки» перестали тоннами сипатися на поштові сервери замовника, звільняючи простір для інших потреб.
Але бували ситуації, коли легітимний лист помилково був віднесений до спаму, наприклад, як отриманий від не довіреного відправника. І тут право рішення ми надали замовнику. Варіантів, що робити, не так багато: одночасно видаляти чи відправляти на карантин. Обрали другий шлях, коли така небажана пошта зберігається на самому SEG. Сисадмін ми надали доступ до веб-консолі, в якій він міг у будь-який час знайти важливий лист, наприклад, від контрагента, і пропустити його до користувача.
Позбавляємося паразитів
До складу сервісу захисту електронної пошти входять аналітичні звіти, метою яких є контроль захищеності інфраструктури та ефективності застосовуваних налаштувань. Крім того, ці звіти дозволяють прогнозувати тренди. Наприклад, знаходимо у звіті відповідний розділ «Spam by Recipient» або «Spam by Sender» і дивимося, на чию адресу надходить найбільша кількість повідомлень, що блокуються.
Саме при аналізі такого звіту нам здалося підозрілим загальна кількість листів, що різко зросла, в одного із замовників. Інфраструктура у нього невелика, кількість листів невисока. І раптом після робочого дня майже вдвічі побільшало блокованого спаму. Вирішили придивитися уважніше.
Бачимо, що збільшилася кількість вихідних листів, і в усіх у полі «Відправник» стоять адреси з домену, який підключений до сервісу захисту пошти. Але є один нюанс: серед цілком осудних, можливо навіть існуючих адрес трапляються явно дивні. Подивилися IP, з яких відправлялися листи, і, цілком очікувано, виявилося, що вони не належать адресному простору, що захищається. Очевидно, зловмисник розсилав спам від імені замовника.
У цьому випадку ми склали для замовника рекомендації щодо правильного настроювання DNS-записів, а саме SPF. Наш фахівець порадив створити TXT-запис, що містить правило "v=spf1 mx ip:1.2.3.4/23 -all", яке містить вичерпний список адрес, яким дозволено відправляти листи від імені домену, що захищається.
Власне чому це важливо: спам від імені нікому не відомої дрібної компанії — це неприємно, але не критично. Зовсім інакше, наприклад, у банківській галузі. За нашими спостереженнями, там рівень довіри жертви до фішингового листа багаторазово підвищується, якщо він відправлений нібито з домену іншого банку чи відомого жертві контрагента. І це відрізняє не лише банківських співробітників, в інших галузях – тій самій енергетиці – ми стикаємося з такою самою тенденцією.
Вбиваємо віруси
Але спуфінг не така часта проблема, як, наприклад, вірусні зараження. А як найчастіше борються із вірусними епідеміями? Ставлять антивірус і сподіваються, що «ворог не минеться». Але якби все було так просто, то, з урахуванням досить невисокої вартості антивірусів, всі вже давно забули б проблему шкідливого ПЗ. А тим часом, ми постійно отримуємо запити із серії «допоможіть відновити файли, у нас все пошифрувало, робота стоїть, дані втрачені». Ми не втомлюємося повторювати замовникам, що й антивірус не панацея. Крім того, що антивірусні бази можуть недостатньо швидко оновлюватися, ми часто зустрічаємо ВПО, здатне обходити не тільки антивіруси, а й пісочниці.
На жаль, мало хто з рядових співробітників організацій обізнаний про фішингові та шкідливі листи та в змозі відрізнити їх від звичайного листування. У середньому кожен 7-й користувач, який не проходить регулярне підвищення обізнаності, піддається соціальній інженерії: відкриває заражений файл або відправляє свої дані зловмисникам.
Хоча соціальний вектор атак, загалом, потроху посилювався, минулого року цей тренд став особливо помітним. Фішингові листи ставали все більше схожими на звичні розсилки про акції, майбутні заходи і т.д. Тут можна згадати атаку Silence на фінсектор – банківським співробітникам приходив лист нібито з промокодом на участь у популярній галузевій конференції iFin, і відсоток тих, хто піддався на виверт був дуже високий, хоча, нагадаємо, мова про банківську сферу – найпросунутішу в питаннях інформаційної безпеки.
Перед минулим Новим роком ми також спостерігали кілька досить курйозних ситуацій, коли співробітники промислових компаній отримали дуже якісні фішингові листи зі «списком» новорічних акцій у популярних інтернет-магазинах та з промокодами на знижки. Співробітники не лише самі намагалися перейти за посиланням, а й пересилали лист колегам із суміжних організацій. Оскільки ресурс, на який вело посилання у фішинговому листі, було заблоковано, співробітники почали масово залишати ІТ-службі заявки на надання доступу до нього. Загалом, успіх розсилки, мабуть, перевершив усі очікування зловмисників.
А нещодавно до нас звернулася за допомогою компанія, яку "пошифрувало". Почалося все з того, що співробітники бухгалтерії отримали листа нібито від ЦБ РФ. Бухгалтер клікнув за посиланням у листі – і скачав собі на машину майнер WannaMine, який, як і відомий WannaCry, експлуатував уразливість EternalBlue. Найцікавіше те, що більшість антивірусів вміють детектувати його сигнатури ще з початку 2018 року. Але, чи антивірус був відключений, чи бази не оновлені, чи взагалі його там не було, — у будь-якому випадку майнер уже був на комп'ютері, і ніщо йому не завадило поширюватися далі по мережі, завантажуючи ЦПУ серверів та АРМ на 100% .
Цей замовник, отримавши звіт нашої групи форензики, побачив, що спочатку вірус проник до нього через пошту, і запустив пілотний проект із підключення сервісу захисту електронної пошти. Першим, що ми налаштували, був антивірус. При цьому сканування на шкідливість здійснюється постійно, а оновлення сигнатур спочатку проводилося щогодини, а потім замовник перейшов на режим двічі на день.
Повноцінний захист від вірусних заражень має бути ешелонованим. Якщо говорити про передачу вірусів через електронну пошту, необхідно відсіювати такі листи на вході, навчати користувачів розпізнавати соціальну інженерію, а потім вже розраховувати на антивіруси та пісочниці.
вSEGда на варті
Звичайно, ми не стверджуємо, що рішення класу Secure Email Gateway – це панацея. Таргетовані атаки, зокрема і цільової фішинг, дуже важко запобігти, т.к. кожна така атака «заточується» під конкретного одержувача (організацію чи людину). Але для компанії, яка намагається забезпечувати базовий рівень безпеки, це чимало, особливо з правильно доданим до завдання досвідом та експертизою.
Найчастіше під час реалізації цільового фішингу в тіло листів не включають шкідливі вкладення, інакше система антиспаму відразу заблокує такий лист шляху до одержувачу. Натомість включають у текст листа посилання на заздалегідь підготовлений веб-ресурс, і тоді справа за малим. Користувач переходить за посиланням, а потім через кілька редиректів за лічені секунди виявляється на останньому зі всього ланцюжка, відкриття якого підвантажить на його комп'ютер шкідливість.
Навіть витонченіше: у момент отримання листа посилання може бути нешкідливим і тільки через деякий час, коли воно вже відскановано і пропущено, почне редиректити на шкідливість. На жаль, фахівці Solar JSOC, навіть з урахуванням їх компетенцій, не зможуть налаштувати поштовий шлюз так, щоб «бачити» шкідливість через весь ланцюжок (хоча як захист можна використовувати автоматичну заміну всіх посилань у листах на SEG, щоб останній сканував посилання не тільки у момент доставки листа, а за кожного переходу).
Тим часом, навіть із типовим редиректом допомагає справлятися агрегація кількох видів експертиз, у тому числі даних, які ми отримуємо нашим JSOC CERT, та OSINT. Це дозволяє формувати розширені чорні списки, на підставі яких навіть лист із множинною переадресацією буде заблоковано.
Використання SEG — це лише маленька цегла в тій стіні, яку хоче збудувати будь-яка організація для захисту своїх активів. Але і цю ланку необхідно правильно вкладати в загальну картину, тому що навіть SEG при грамотному налаштуванні можна зробити повноцінним засобом захисту.
Ксенія Садуніна, консультант відділу експертного пресейлу продуктів та сервісів Solar JSOC
Джерело: habr.com