雖然大型企業正在建立防禦潛在內部攻擊者和駭客的梯隊堡壘,但網路釣魚和垃圾郵件仍然是簡單公司的頭痛問題。 如果馬蒂麥克弗萊知道 2015 年(2020 年更是如此)人們不僅不會發明懸浮滑板,甚至不會學會完全擺脫垃圾郵件,他可能會對人類失去信心。 此外,如今的垃圾郵件不僅令人煩惱,而且往往有害。 在大約 70% 的殺傷鏈實施中,網路犯罪分子使用附件中包含的惡意軟體或透過電子郵件中的網路釣魚連結滲透基礎設施。
最近,社會工程作為滲透組織基礎設施的一種方式已呈現出明顯的傳播趨勢。 比較 2017 年和 2018 年的統計數據,我們發現透過電子郵件正文中的附件或網路釣魚連結向員工電腦傳送惡意軟體的案例數量增加了近 50%。
一般來說,使用電子郵件實施的所有威脅可分為幾類:
- 傳入垃圾郵件
- 將組織的電腦納入發送傳出垃圾郵件的殭屍網絡
- 信件正文中包含惡意附件和病毒(小公司最常遭受像 Petya 這樣的大規模攻擊)。
為了防禦所有類型的攻擊,您可以部署多個資訊安全系統,或遵循服務模型的路徑。 我們已經 關於統一網路安全服務平台 - Solar MSS 管理的網路安全服務生態系統的核心。 除此之外,它還包括虛擬化安全電子郵件閘道 (SEG) 技術。 通常,該服務的訂閱由小公司購買,其中所有 IT 和資訊安全功能都分配給一個人 - 系統管理員。 垃圾郵件是使用者和管理人員始終可見的問題,且不容忽視。 然而,隨著時間的推移,即使是管理層也清楚地意識到,不可能簡單地將其「交給」系統管理員——這需要太多時間。
2小時解析郵件有點多
一位零售商向我們提出了類似的情況。 時間追蹤系統顯示,他的員工每天花費約 25% 的工作時間(2 小時!)來整理郵箱。
連線到客戶的郵件伺服器後,我們將 SEG 實例設定為傳入和傳出郵件的雙向閘道。 我們開始根據預先制定的政策進行過濾。 我們根據對客戶提供的資料的分析以及 Solar JSOC 專家作為其他服務(例如監控資訊安全事件)的一部分獲得的我們自己的潛在危險地址清單編制了黑名單。 此後,所有郵件都經過清理後才送達收件人,各種有關「大折扣」的垃圾郵件不再大量湧入客戶的郵件伺服器,從而為其他需求騰出了空間。
但在某些情況下,合法信件會被錯誤地歸類為垃圾郵件,例如,被認為是從不受信任的寄件者收到的。 在這種情況下,我們把決定權交給了客戶。 沒有太多選擇可以做什麼:立即刪除它或將其發送到隔離區。 我們選擇了第二條路徑,其中此類垃圾郵件儲存在SEG本身上。 我們為系統管理員提供了存取Web控制台的權限,他可以在其中隨時找到一封重要的信件,例如來自交易對手的信件,並將其轉發給使用者。
擺脫寄生蟲
電子郵件保護服務包括分析報告,其目的是監控基礎設施的安全性和所使用設定的有效性。 此外,這些報告還可以讓您預測趨勢。 例如,我們在報告中找到相應的「垃圾郵件按收件者」或「垃圾郵件按寄件者」部分,並查看誰的地址收到最多數量的阻止郵件。
正是在分析這樣一份報告時,一位客戶的信件總數急劇增加,這讓我們感到可疑。 它的基礎設施規模很小,字母數量也很少。 突然間,一個工作日後,被阻止的垃圾郵件數量幾乎增加了一倍。 我們決定仔細看看。
我們看到發出的信件數量有所增加,並且「寄件者」欄位中的所有信件都包含來自連接到郵件保護服務的網域的地址。 但有一個細微差別:在相當正常的、甚至可能存在的地址中,有明顯奇怪的地址。 我們查看了發送信件的 IP,結果出乎意料地發現它們不屬於受保護的位址空間。 顯然,攻擊者代表客戶發送垃圾郵件。
在這種情況下,我們為客戶提供如何正確配置 DNS 記錄(特別是 SPF)的建議。 我們的專家建議我們建立一條包含規則「v=spf1 mx ip:1.2.3.4/23 -all」的 TXT 記錄,其中包含允許代表受保護網域發送信件的地址的詳盡清單。
實際上,為什麼這很重要:代表一家不知名的小公司發送垃圾郵件令人不愉快,但並不重要。 例如,在銀行業,情況就完全不同。 根據我們的觀察,如果網路釣魚電子郵件是從受害者認識的另一家銀行或交易對手的網域發送的,那麼受害者對網路釣魚電子郵件的信任程度會增加許多倍。 這不僅使銀行員工與眾不同;在其他產業(例如能源產業),我們也面臨同樣的趨勢。
殺滅病毒
但欺騙並不像病毒感染那麼常見。 您通常如何對抗病毒流行? 他們安裝了防毒軟體,並希望「敵人無法得逞」。 但如果一切都這麼簡單,那麼,考慮到防毒軟體的成本相當低,每個人早就忘記了惡意軟體的問題。 同時,我們不斷收到系列請求“幫助我們恢復文件,我們已經加密了所有內容,工作陷入停滯,資料遺失。” 我們不厭其煩地向客戶重複防毒不是萬能藥。 除了防毒資料庫更新速度不夠快之外,我們還經常遇到不僅可以繞過防毒軟體而且還可以繞過沙箱的惡意軟體。
不幸的是,很少有組織的普通員工了解網路釣魚和惡意電子郵件,並能夠將它們與常規信件區分開來。 平均而言,每 7 個未接受定期意識提升的使用者都會屈服於社會工程:開啟受感染的檔案或將其資料傳送給攻擊者。
儘管總體而言,社群攻擊媒介一直在逐漸增加,但這一趨勢在去年尤為明顯。 網路釣魚電子郵件變得越來越類似於有關促銷、即將舉行的活動等的常規郵件。 在這裡,我們可以回顧一下對金融業的沉默攻擊——銀行員工收到一封據稱包含參加流行行業會議iFin 的促銷代碼的信件,而屈服於這一伎倆的比例非常高,不過,讓我們記住,我們談論的是銀行業——在資訊安全方面最先進的行業。
去年新年之前,我們還觀察到了一些相當奇怪的情況,工業公司的員工收到了非常高品質的網路釣魚信件,其中包含流行線上商店的新年促銷「清單」以及折扣促銷代碼。 員工們不僅嘗試自己點擊鏈接,還將這封信轉發給相關組織的同事。 由於網路釣魚電子郵件中的連結指向的資源被阻止,員工開始集體向 IT 服務提交請求以提供對其的存取權限。 總的來說,郵件的成功一定超出了攻擊者的所有預期。
最近,一家被「加密」的公司向我們尋求幫助。 這一切都始於會計員工收到一封據稱來自俄羅斯聯邦中央銀行的信函。 該會計師點擊了信中的鏈接,將 WannaMine 礦機下載到他的機器上,該礦機與著名的 WannaCry 一樣,利用了 EternalBlue 漏洞。 最有趣的是,自 2018 年初以來,大多數防毒軟體都能夠偵測到其簽名。 但是,要么防毒軟體被禁用,要么資料庫沒有更新,要么根本不存在——無論如何,礦工已經在電腦上,沒有什麼可以阻止它在網路上進一步傳播,加載伺服器的CPU 和工作站處於100% 狀態。
該客戶在收到我們取證團隊的報告後,發現病毒最初是透過電子郵件滲透的,並啟動了一個連接電子郵件保護服務的試點計畫。 我們設定的第一件事是電子郵件防毒軟體。 同時,不斷地進行惡意軟體掃描,最初每小時進行一次簽名更新,後來客戶改為每天兩次。
針對病毒感染的全面保護必須分層進行。 如果我們談論透過電子郵件傳播病毒,那麼就需要在入口處過濾掉此類信件,訓練使用者識別社會工程學,然後依靠防毒軟體和沙箱。
在SEGda中守衛
當然,我們並不是說安全電子郵件網關解決方案是萬能的。 包括魚叉式網路釣魚在內的有針對性的攻擊極難預防,因為… 每次此類攻擊都是針對特定接收者(組織或個人)「量身定制」的。 但對於試圖提供基本安全等級的公司來說,這已經很多了,尤其是在將正確的經驗和專業知識應用於該任務的情況下。
大多數情況下,進行魚叉式網路釣魚時,惡意附件不會包含在信件正文中,否則反垃圾郵件系統會立即阻止此類信件發送給收件者。 但他們在信的正文中包含了指向預先準備好的網絡資源的鏈接,那就是小事了。 用戶點擊該鏈接,然後在幾秒鐘內進行幾次重定向後,最終到達整個鏈中的最後一個,打開該鏈接會將惡意軟體下載到他的電腦上。
更複雜的是:在您收到信件的那一刻,該連結可能是無害的,只有在一段時間後,當它已經被掃描並跳過時,它才會開始重定向到惡意軟體。 不幸的是,Solar JSOC 專家即使考慮到他們的能力,也無法配置郵件網關以便透過整個鏈「看到」惡意軟體(儘管作為保護,您可以使用自動替換信件中的所有連結)發送給SEG,以便後者不僅在信件遞送時掃描鏈接,而且在每次轉換時掃描鏈接)。
同時,即使是典型的重定向也可以透過多種類型的專業知識的聚合來處理,包括我們的 JSOC CERT 和 OSINT 獲得的資料。 這允許您創建擴展的黑名單,在此基礎上,即使是多次轉發的信件也將被阻止。
使用 SEG 只是任何組織都希望建造的一小塊磚來保護其資產。 但這個環節也需要正確地融入全局中,因為即使是SEG,只要配置得當,也可以變成一種成熟的保護手段。
Solar JSOC 產品和服務專家售前部門顧問 Ksenia Sadunina
來源: www.habr.com