Журнал "Information Security/ Информационная безопасность" #6, 2021

В 26% инцидентов, исследованных лабо- раторией компьютерной криминалистики Group-IB, шифровальщики получили доступ в инфраструктуру компаний именно с помощью фишинговых рассылок 1 . Так, по данным аналитиков из Verizon 2 , в про- шлом году 46% компаний были атакованы исключительно через почту, а в случае использования в атаках социальной инже- нерии процент увеличился аж до 96. В условиях массового перехода сотрудников на удаленный режим рабо- ты ситуация будет ухудшаться. Многие до сих пор работают с личных устройств – ноутбуков или смартфонов, на которых часто отсутствуют даже самые примитивные средства защиты, а ОС давно не обновлялась. Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group- IB Threat Hunting Framework. Они нагляд- но демонстрируют, как злоумышленники умело эксплуатируют недостатки совре- менного подхода к защите электронной почты. Грамотно выстроенная защита корпоративной электронной почты ста- новится чуть ли не единственным эше- лоном безопасности для организации. Кейс первый: обходим репутационный анализ отправителя При анализе системами комплексной защиты высокого потока писем первич- ная фильтрация осуществляется на осно- ве репутационного анализа отправителя, а основная доля методов доставки ВПО через электронную почту решается за счет жестких политик фильтрации. Например, если в письме содержится запароленный архив, то неважно, как "хитро" указан ключ: письмо в любом случае не будет доставлено! Аналогичным образом решаются слу- чаи распространения ВПО в виде испол- няемых файлов, скриптов, вложенных писем или html-документов. Такие пись- ма не будут доставлены вне зависимости от статуса самого файла. Задача встроенной песочницы сво- дится к фильтрации писем, содержащих офисные документы. В то же время почтовые домены круп- ных корпораций, поставщиков решений, государственных учреждений в случае, если они прошли проверку подлинности отправителя, считаются защитными решениями, "не представляющими угро- зы", поэтому большинство писем достав- ляются без дополнительного анализа. Именно этим и воспользовались ата- кующие в следующем примере. 11 сентября 2021 г. система защиты Threat Hunting Framework выявила вре- доносную фишинговую рассылку, направленную на крупную российскую организацию – негосударственное объ- единение предпринимателей. Адреса отправителя и получателя в данной атаке принадлежали одной и той же организации. Исследование самого письма не выявило подделки заголовка, что в такой ситуации означа- ло бы компрометацию отправителя. В ходе анализа было установлено, что письмо отправили через форму обратной связи на официальном сайте организации. В качестве полезной нагрузки письмо содержало модульный банковский троян TrickBot, который используется злоумыш- ленниками в качестве опорной точки на этапе постэксплуатации уязвимостей. Например, группировка Wizzard Spider активно использовала Trickbot в качестве замены Cobalt Strike на ранних этапах атаки. Подобные атаки требуют от злоумыш- ленника ручного труда и предваритель- ного исследования потенциальной жерт- вы, затрат ресурсов и времени. Следо- вательно, подобные атаки не являются массовыми, а скорее относятся к слож- ным и целевым. Но при этом данный пример однозначно не исключительный случай. Он хорошо демонстрирует недо- статок систем защиты почты, где сни- жение нагрузки решается за счет репу- тационного анализа отправителя. Если в состав используемого решения входит антиспам-система, настоятельно реко- мендуем протестировать ее на защиту от описанного вектора вторжения. Кейс второй: проходим защиту нестандартным форматом файла во вложении Следующий шаг (после проверки репу- тации) в классической системе защиты почты – проверка формата вложенных файлов. Здесь подход к безопасности вновь отталкивается от бизнес-процессов, в которых получение запароленного архи- ва или исполняемого файла, прикреп- ленного к письму, в большей степени аномалия. А вот получение в корпоративную почту файлов незнакомых системе защи- ты форматов, вероятнее всего, расце- нивается как событие, не представляю- щее угрозы. Подобные файлы предна- значены для чтения специфическим соф- том, используемым внутри организации для решения различных задач. Однако, как мы увидим в данном примере, это открывает новые возможности для зло- умышленника, который решил восполь- 32 • ТЕХНОЛОГИИ Своя атмосфера: что давно пора сделать для защиты электронной почты 1 https://www.group-ib.ru/resources/threat-research/2021-reports.html%23report-2 2 https://www.verizon.com/business/resources/reports/2020-data-breach-investigations-report.pdf дной из примет нашего времени является массовое внедрение облачных почтовых решений, в основном таких гигантов, как Google и Microsoft. Бизнес внедряет эти решения, зачастую полагаясь на встроенные в них системы защиты. Иногда, если позволяет бюджет, стандартную защиту “прокачивают" системами класса “антиспам", традиционными песочницами и облачными антивирусами. Но, несмотря на весь этот внушительный “зоопарк" решений, корпоративная электронная почта до сих пор остается одной из основных точек входа для киберпреступников. О Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB