虽然大型企业正在建立防御潜在内部攻击者和黑客的梯队堡垒,但网络钓鱼和垃圾邮件仍然是简单公司的头疼问题。 如果马蒂·麦克弗莱知道 2015 年(2020 年更是如此)人们不仅不会发明悬浮滑板,甚至不会学会完全摆脱垃圾邮件,他可能会对人类失去信心。 此外,如今的垃圾邮件不仅令人烦恼,而且往往有害。 在大约 70% 的杀伤链实施中,网络犯罪分子使用附件中包含的恶意软件或通过电子邮件中的网络钓鱼链接渗透基础设施。
最近,社会工程作为渗透组织基础设施的一种方式已呈现出明显的传播趋势。 比较 2017 年和 2018 年的统计数据,我们发现通过电子邮件正文中的附件或网络钓鱼链接向员工计算机传送恶意软件的案例数量增加了近 50%。
一般来说,使用电子邮件实施的所有威胁可分为几类:
- 传入垃圾邮件
- 将组织的计算机纳入发送传出垃圾邮件的僵尸网络
- 信件正文中包含恶意附件和病毒(小公司最常遭受像 Petya 这样的大规模攻击)。
为了防御所有类型的攻击,您可以部署多个信息安全系统,或者遵循服务模型的路径。 我们已经 关于统一网络安全服务平台 - Solar MSS 管理的网络安全服务生态系统的核心。 除此之外,它还包括虚拟化安全电子邮件网关 (SEG) 技术。 通常,该服务的订阅由小公司购买,其中所有 IT 和信息安全功能都分配给一个人 - 系统管理员。 垃圾邮件是用户和管理人员始终可见的问题,且不容忽视。 然而,随着时间的推移,即使是管理层也清楚地意识到,不可能简单地将其“交给”系统管理员——这需要太多时间。
2个小时解析邮件有点多
一位零售商向我们提出了类似的情况。 时间跟踪系统显示,他的员工每天花费大约 25% 的工作时间(2 小时!)来整理邮箱。
连接客户的邮件服务器后,我们将 SEG 实例配置为传入和传出邮件的双向网关。 我们开始根据预先制定的政策进行过滤。 我们根据对客户提供的数据的分析以及 Solar JSOC 专家作为其他服务(例如监控信息安全事件)的一部分获得的我们自己的潜在危险地址列表编制了黑名单。 此后,所有邮件都经过清理后才送达收件人,各种有关“大折扣”的垃圾邮件不再大量涌入客户的邮件服务器,从而为其他需求腾出了空间。
但在某些情况下,合法信件会被错误地归类为垃圾邮件,例如,被认为是从不受信任的发件人处收到的。 在这种情况下,我们把决定权交给了客户。 没有太多选择可以做什么:立即删除它或将其发送到隔离区。 我们选择了第二条路径,其中此类垃圾邮件存储在SEG本身上。 我们为系统管理员提供了访问Web控制台的权限,他可以在其中随时找到一封重要的信件,例如来自交易对手的信件,并将其转发给用户。
摆脱寄生虫
电子邮件保护服务包括分析报告,其目的是监控基础设施的安全性和所使用设置的有效性。 此外,这些报告还可以让您预测趋势。 例如,我们在报告中找到相应的“垃圾邮件按收件人”或“垃圾邮件按发件人”部分,并查看谁的地址收到最多数量的阻止邮件。
正是在分析这样一份报告时,一位客户的信件总数急剧增加,这让我们感到可疑。 它的基础设施规模很小,字母数量也很少。 突然间,一个工作日后,被阻止的垃圾邮件数量几乎增加了一倍。 我们决定仔细看看。
我们看到发出的信件数量有所增加,并且“发件人”字段中的所有信件都包含来自连接到邮件保护服务的域的地址。 但有一个细微差别:在相当正常的、甚至可能存在的地址中,有明显奇怪的地址。 我们查看了发送信件的 IP,结果出乎意料地发现它们不属于受保护的地址空间。 显然,攻击者代表客户发送垃圾邮件。
在这种情况下,我们为客户提供了如何正确配置 DNS 记录(特别是 SPF)的建议。 我们的专家建议我们创建一条包含规则“v=spf1 mx ip:1.2.3.4/23 -all”的 TXT 记录,其中包含允许代表受保护域发送信件的地址的详尽列表。
实际上,为什么这很重要:代表一家不知名的小公司发送垃圾邮件令人不愉快,但并不重要。 例如,在银行业,情况就完全不同。 根据我们的观察,如果网络钓鱼电子邮件是从受害者认识的另一家银行或交易对手的域发送的,那么受害者对网络钓鱼电子邮件的信任程度会增加许多倍。 这不仅使银行员工与众不同;在其他行业(例如能源行业),我们也面临着同样的趋势。
杀灭病毒
但欺骗并不像病毒感染那样常见。 您通常如何对抗病毒流行? 他们安装了防病毒软件,并希望“敌人无法得逞”。 但如果一切都这么简单,那么,考虑到防病毒软件的成本相当低,每个人早就忘记了恶意软件的问题。 与此同时,我们不断收到系列请求“帮助我们恢复文件,我们已经加密了所有内容,工作陷入停滞,数据丢失。” 我们不厌其烦地向客户重复防病毒不是万能药。 除了防病毒数据库更新速度不够快之外,我们还经常遇到不仅可以绕过防病毒软件而且还可以绕过沙箱的恶意软件。
不幸的是,很少有组织的普通员工了解网络钓鱼和恶意电子邮件,并能够将它们与常规信件区分开来。 平均而言,每 7 个未接受定期意识提升的用户都会屈服于社会工程:打开受感染的文件或将其数据发送给攻击者。
尽管总体而言,社交攻击媒介一直在逐渐增加,但这一趋势在去年尤为明显。 网络钓鱼电子邮件变得越来越类似于有关促销、即将举行的活动等的常规邮件。 在这里,我们可以回顾一下对金融业的沉默攻击——银行员工收到一封据称包含参加流行行业会议 iFin 的促销代码的信件,而屈服于这一伎俩的比例非常高,不过,让我们记住,我们谈论的是银行业——在信息安全方面最先进的行业。
去年新年之前,我们还观察到了一些相当奇怪的情况,工业公司的员工收到了非常高质量的网络钓鱼信件,其中包含流行在线商店的新年促销“列表”以及折扣促销代码。 员工们不仅尝试自己点击链接,还将这封信转发给相关组织的同事。 由于网络钓鱼电子邮件中的链接指向的资源被阻止,员工开始集体向 IT 服务提交请求以提供对其的访问权限。 总的来说,邮件的成功一定超出了攻击者的所有预期。
最近,一家被“加密”的公司向我们寻求帮助。 这一切都始于会计员工收到一封据称来自俄罗斯联邦中央银行的信函。 该会计师点击了信中的链接,将 WannaMine 矿机下载到他的机器上,该矿机与著名的 WannaCry 一样,利用了 EternalBlue 漏洞。 最有趣的是,自 2018 年初以来,大多数防病毒软件都能够检测到其签名。 但是,要么防病毒软件被禁用,要么数据库没有更新,要么根本不存在——无论如何,矿工已经在计算机上,没有什么可以阻止它在网络上进一步传播,加载服务器的CPU 和工作站处于 100% 状态。
该客户在收到我们取证团队的报告后,发现病毒最初是通过电子邮件渗透的,并启动了一个连接电子邮件保护服务的试点项目。 我们设置的第一件事是电子邮件防病毒软件。 同时,不断地进行恶意软件扫描,最初每小时进行一次签名更新,后来客户改为每天两次。
针对病毒感染的全面保护必须分层进行。 如果我们谈论通过电子邮件传播病毒,那么就需要在入口处过滤掉此类信件,训练用户识别社会工程学,然后依靠杀毒软件和沙箱。
在SEGda中守卫
当然,我们并不是说安全电子邮件网关解决方案是万能的。 包括鱼叉式网络钓鱼在内的有针对性的攻击极难预防,因为…… 每次此类攻击都是针对特定接收者(组织或个人)“量身定制”的。 但对于试图提供基本安全级别的公司来说,这已经很多了,尤其是在将正确的经验和专业知识应用于该任务的情况下。
大多数情况下,进行鱼叉式网络钓鱼时,恶意附件不会包含在信件正文中,否则反垃圾邮件系统会立即阻止此类信件发送给收件人。 但他们在信的正文中包含了指向预先准备好的网络资源的链接,那就是小事了。 用户点击该链接,然后在几秒钟内进行几次重定向后,最终到达整个链中的最后一个,打开该链接会将恶意软件下载到他的计算机上。
更复杂的是:在您收到信件的那一刻,该链接可能是无害的,只有在一段时间后,当它已经被扫描并跳过时,它才会开始重定向到恶意软件。 不幸的是,Solar JSOC 专家即使考虑到他们的能力,也无法配置邮件网关以便通过整个链“看到”恶意软件(尽管作为保护,您可以使用自动替换信件中的所有链接)发送给 SEG,以便后者不仅在信件递送时扫描链接,而且在每次转换时扫描链接)。
同时,即使是典型的重定向也可以通过多种类型的专业知识的聚合来处理,包括我们的 JSOC CERT 和 OSINT 获得的数据。 这允许您创建扩展的黑名单,在此基础上,即使是多次转发的信件也将被阻止。
使用 SEG 只是任何组织都希望构建的一小块砖来保护其资产。 但这个环节也需要正确地融入到全局中,因为即使是SEG,只要配置得当,也可以变成一种成熟的保护手段。
Solar JSOC 产品和服务专家售前部门顾问 Ksenia Sadunina
来源: habr.com