Электронная почта остается одним из основных каналов корпоративной да и личной коммуникации. Спам и письма с вредоносным кодом постоянно стараются добраться до пользователей. Остановимся подробнее на распространении вредоносного кода.
Об это уже много раз писали
О проблемах вредоносного кода, в т.ч. использующего e-mail для доставки, действительно написано много.
Цель статьи — систематизировать подходы и опыт, дать понимание механизмов, используемых некоторыми авторами вредоносов.
Как и что рассылают
Рассылки с вредоносным кодом, условно, можно разделить на три группы (по уровню предварительной подготовки, проработки):
- супер массовые (без разбора кому и куда) — чаще всего англоязычные, адреса получателей из различных баз (встречается даже, когда получатели из blacklist адресов злостных спамеров), вредоносны не самые свежие, следуют тезису «количество переходит в качество»;
- массовые (минимальный анализ получателей) — язык, как правило, родной для получателя, текст может соответствовать актуальным событиям или быть общим, социальная инженерия на низком уровне;
- целевые (с предварительным анализом получателей) — почти обязательно родной язык получателя, нередко используется ФИО получателя и известный ему отправитель, наименования организаций получателей не путают, даже если п/я в одном домене, принадлежащем одной из организаций, социальная инженерия высокого качества.
Социальная инженерия развивается, появляются новые и адаптируются старые приемы. Например, письма, оформленные от имени контролирующих гос.органов (хорошо оформленные, литературно, с эмблемами) со ссылками на настоящие законы об электронном взаимодействии и ссылками на подставные сайты.
Источники рассылки:
- бот-сети (обратный адрес подделан и не существует);
- взломанные/купленные п/я на бесплатных почтовых сервисах;
- взломанные п/я, не использованные ранее для других целей (часто известны получателю и получатель доверяет этому отправителю).
Что рассылают:
- «старые добрые» вирусы — встречаются не слишком часто, т.к. достаточно эффективно режутся на стороне отправителя или на промежуточных узлах. Обычно это супер массовые рассылки, с которыми справляются подавляющее большинство современных антивирусных решений [условно, virustotal.com показывает более 20 из 56];
- свежий вредоносный код, который уже отработан на других «рынках» (ранее использовался для целевых атак, недавно использовался в других регионах/странах) [условно, virustotal.com показывает более 5-7 из 56];
- новый вредоносный код, который может быть получен модификацией уже известного или вы счастливый участник одного из первых «рынков», где обкатывается данная версия зловреда [условно, virustotal.com показывает более 0-4 из 56];
- письма не содержат вложенного вредоносного кода, а полностью основаны на социальной инженерии и содержат ссылки файлы вредоносного кода.
Последний случай встречается всё чаще и имеет следующие особенности:
- злоумышленник может постоянно менять/обновлять вредонос, что повышает опасность и «пробивную способность» рассылки;
- некоторые злоумышленники стараются выявлять обращения от антивирусных сервисов и отдавать им чистый контент, что сильно затрудняет оперативное обнаружение экземпляров новых вредоносов;
- даже если администраторы почтовых систем оперативно отправляют подозрительные файлы из карантина в антивирусные лаборатории, ссылки, по описанным выше причинам, усложняют или создают дополнительную временную задержку поступления образцов на анализ.
Что делать
Советы что делать не изменились за последние N-дцать лет:
- использовать антивирус на почтовом сервере (или перед ним), как бы банально это ни звучало. Это не панацея, но обязательная составляющая терапии. Из опыта, к сожалению, ClamAV лишь немногим лучше, чем ничего;
- принудительно отправлять в карантин все исполняемые файлы и скрипты, в т.ч. в архивах;
- комплексно защищать рабочие станции пользователей: установка обновлений, минимальные права доступа, антивирус и т.д.;
- объяснять пользователям что можно делать, а что нельзя, даже если файл поступил от известного адресата. Составить пользователям памятку, как выглядит подозрительное письмо. Если пользователи сомневаются, пусть трактуют сомнения в пользу «нельзя» и обращаются к специалисту (ИТ-шнику, безопаснику);
- стараться построить комплексную систему защиты, включающую также IDS/IPS, межсетевые экраны и т.д..
Предвосхищая некоторые комментарии
Предвосхищая некоторые комментарии в духе:
- «переходите на нормальную операционку, где нет вирусов [Linux, *nix, MacOS и прочее]», «под ОС […] нет вирусов, если ты сам не запустишь/скачаешь» — вредоносный код, как и уязвимости, существует под все современные системы, где-то больше, где-то меньше. Публикации о выявлении, к примеру, вирусов-шифровальщиков под [любимая ОС], скорее всего, можно найти за несколько минут;
- «опять продавцы воздуха впаривают бесполезные антивирусны» — не будем спорить, не пользуйтесь не нужной лично вам антивирусной защитой;
- «зачем тратить время на негарантированное лечение, когда можно быстро переустановить или восстановить из резервной копии» — несколько возможных причин: лечение, как правило, может проводиться без отключения сервиса, резервная копия может быть заражена (вредонос давно в системе, просто не проявлял себя, а ждал своего звездного часа), откат даже на актуальную резервную копию, часто, связан с некоторой потерей данных;
- «у меня нет вирусов ЧЯДНТ», «все кто подхватил заразу ССЗБ» — если у вас всё в порядке это отлично, вы молодцы, к сожалению, так не у всех.
ссылка на оригинал статьи https://habrahabr.ru/post/278923/
Добавить комментарий