Журнал "Information Security/ Информационная безопасность" #1, 2021

Разумеется, признаков может быть и больше, но главное мы перечислили. Что дальше? Если пользователь посчитает письмо подозрительным, то нужно действовать по алгорит- му. В первую очередь – сохра- нить исходный текст письма вместе со всеми заголовками в файл txt или eml и переслать полученный файл в архивиро- ванном виде ответственному за защиту информации на спе- циальный адрес. Кроме того: l не сохранять и не открывать вложения до проведения иссле- дования письма ответственным за защиту информации; l не отвечать на письмо и не выполнять никаких действий до проведения исследования пись- ма ответственным за защиту информации. Далее ответственный за защи- ту информации проводит иссле- дование письма. Для этого необходимо запросить у пользо- вателя исходный код письма в формате eml или txt, предвари- тельно упакованный в архив с паролем infected. Затем специа- лист анализирует сообщение в отдельной виртуальной машине, изолированной от основной сети. Мы проводим анализ в дистрибутиве Kali Linux, с целью исключения возможности запуска вредоносного ПО фор- мата exe. Порядок следующий: l проводится анализ заголов- ков письма и значения заго- ловков; l проводится анализ вложений или ссылок. Примерный алгоритм представ- лен на схеме ниже (см. рис. 1). Не так давно нам пришло письмо примерно такого содер- жания (см. рис. 2). Можно увидеть, что данное письмо является подозрительным для пользователя, поэтому тре- бует дополнительного анализа. В заголовках письма были найдены следующие аномалии: 1. Несовпадение параметров доменных имен в заголовках From и Received. Также домен fair-express.com не ресолвится в адрес 5.253.18.225. 2. Согласно анализу заголов- ков Received, письмо прошло через два промежуточных узла, которые никак не связаны с доменом fair-express.com: Дальнейшее исследование предполагает анализ вложения. Тип файла после распаковки архива – exe (см. рис. 3). C результатами динамическо- го анализа можно ознакомиться по ссылкам в конце статьи, в итоге получается следующая картина: 1. Файл-вложение представ- ляет собой троян (семейство Remcos), написанный на C#. Детектируется большим числом антивирусов, на момент анали- за их было меньше. Распро- страняется под разными име- нами. 2. Троян взаимодействует с доменным именем uzbek- tourism8739.ddns.net и IP-адре- сом 185.140.53.129, причем ука- занный IP-адрес и еще некото- рые из AS209623 довольно часто встречаются при исполь- зовании вредоносного ПО, если верить поиску по сайту https://bazaar.abuse.ch/. По результатам проведения анализа мы скорректировали защиту с учетом возможных атак с указанных IP-адресов, письмо было помечено как спам, а настройки антиспам- фильтра были скорректированы для недопущения подобных атак в дальнейшем. Заключение В целом подобный подход к обработке подозрительных почтовых сообщений приносит пользу. Конечно, предложен- ные методы и систему защиты можно и нужно корректиро- вать с целью повышения эффективности системы и снижения влияния подобных атак. Из недостатков стоит отметить тот факт, что при достаточно большом количе- стве почтовых сообщений ана- лиз довольно трудно прово- дить – уходит много времени. Но здесь уже нужно действо- вать по ситуации: оценить обстановку в компании, коли- чество ресурсов, которые уйдут на анализ, и т.п. l From: "Steve Foreman"<sforeman@fair- express.com > Received: from server1.uthink.eu ([87.76.27.126]:46460 helo =server.uthink.eu ) by cpanel12.d.fozzy.com with esmtps (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_1 28_GCM_SHA256 (Exim 4.93) (envelope-from <sforeman@fair- express.com >) id 1kWzdI-000RWd-5b for order@shartrez.com ; Mon, 26 Oct 2020 13:21:51 +0300 Received: from fair- express.com (unknown [5.253.18.225]) by server.uthink.eu (Postfix) with ESMTPA id 80EFC131468B83 for <order@shartrez.com> ; Mon, 26 Oct 2020 09:20:10 +0000 (GMT) From: "Steve Foreman"<sfore- man@fair-express.com > Received: from fair- express.com (unknown [5.253.18.225]) by server.uthink.eu (Postfix) with ESMTPA id 80EFC131468B83 for <order@shartrez.com> ; Mon, 26 Oct 2020 09:20:10 +0000 (GMT) • 35 УПРАВЛЕНИЕ www.itsec.ru Мы проводим анализ в дистрибутиве Kali Linux, с целью исключения воз- можности запуска вредонос- ного ПО формата exe. Рис. 2 Рис. 3. Ваше мнение и вопросы присылайте по адресу is@groteck.ru