Об это уже много раз писали
О проблемах вредоносного кода, в т.ч. использующего e-mail для доставки, действительно написано много.
Цель статьи — систематизировать подходы и опыт, дать понимание механизмов, используемых некоторыми авторами вредоносов.
Как и что рассылают
Рассылки с вредоносным кодом, условно, можно разделить на три группы (по уровню предварительной подготовки, проработки):
- супер массовые (без разбора кому и куда) — чаще всего англоязычные, адреса получателей из различных баз (встречается даже, когда получатели из blacklist адресов злостных спамеров), вредоносны не самые свежие, следуют тезису «количество переходит в качество»;
- массовые (минимальный анализ получателей) — язык, как правило, родной для получателя, текст может соответствовать актуальным событиям или быть общим, социальная инженерия на низком уровне;
- целевые (с предварительным анализом получателей) — почти обязательно родной язык получателя, нередко используется ФИО получателя и известный ему отправитель, наименования организаций получателей не путают, даже если п/я в одном домене, принадлежащем одной из организаций, социальная инженерия высокого качества.
Социальная инженерия развивается, появляются новые и адаптируются старые приемы. Например, письма, оформленные от имени контролирующих гос.органов (хорошо оформленные, литературно, с эмблемами) со ссылками на настоящие законы об электронном взаимодействии и ссылками на подставные сайты.
Источники рассылки:
- бот-сети (обратный адрес подделан и не существует);
- взломанные/купленные п/я на бесплатных почтовых сервисах;
- взломанные п/я, не использованные ранее для других целей (часто известны получателю и получатель доверяет этому отправителю).
Что рассылают:
- «старые добрые» вирусы — встречаются не слишком часто, т.к. достаточно эффективно режутся на стороне отправителя или на промежуточных узлах. Обычно это супер массовые рассылки, с которыми справляются подавляющее большинство современных антивирусных решений [условно, virustotal.com показывает более 20 из 56];
- свежий вредоносный код, который уже отработан на других «рынках» (ранее использовался для целевых атак, недавно использовался в других регионах/странах) [условно, virustotal.com показывает более 5-7 из 56];
- новый вредоносный код, который может быть получен модификацией уже известного или вы счастливый участник одного из первых «рынков», где обкатывается данная версия зловреда [условно, virustotal.com показывает более 0-4 из 56];
- письма не содержат вложенного вредоносного кода, а полностью основаны на социальной инженерии и содержат ссылки файлы вредоносного кода.
Последний случай встречается всё чаще и имеет следующие особенности:
- злоумышленник может постоянно менять/обновлять вредонос, что повышает опасность и «пробивную способность» рассылки;
- некоторые злоумышленники стараются выявлять обращения от антивирусных сервисов и отдавать им чистый контент, что сильно затрудняет оперативное обнаружение экземпляров новых вредоносов;
- даже если администраторы почтовых систем оперативно отправляют подозрительные файлы из карантина в антивирусные лаборатории, ссылки, по описанным выше причинам, усложняют или создают дополнительную временную задержку поступления образцов на анализ.
Что делать
Советы что делать не изменились за последние N-дцать лет:
- использовать антивирус на почтовом сервере (или перед ним), как бы банально это ни звучало. Это не панацея, но обязательная составляющая терапии. Из опыта, к сожалению, ClamAV лишь немногим лучше, чем ничего;
- принудительно отправлять в карантин все исполняемые файлы и скрипты, в т.ч. в архивах;
- комплексно защищать рабочие станции пользователей: установка обновлений, минимальные права доступа, антивирус и т.д.;
- объяснять пользователям что можно делать, а что нельзя, даже если файл поступил от известного адресата. Составить пользователям памятку, как выглядит подозрительное письмо. Если пользователи сомневаются, пусть трактуют сомнения в пользу «нельзя» и обращаются к специалисту (ИТ-шнику, безопаснику);
- стараться построить комплексную систему защиты, включающую также IDS/IPS, межсетевые экраны и т.д..
Предвосхищая некоторые комментарии
Предвосхищая некоторые комментарии в духе:
- «переходите на нормальную операционку, где нет вирусов [Linux, *nix, MacOS и прочее]», «под ОС [...] нет вирусов, если ты сам не запустишь/скачаешь» — вредоносный код, как и уязвимости, существует под все современные системы, где-то больше, где-то меньше. Публикации о выявлении, к примеру, вирусов-шифровальщиков под [любимая ОС], скорее всего, можно найти за несколько минут;
- «опять продавцы воздуха впаривают бесполезные антивирусны» — не будем спорить, не пользуйтесь не нужной лично вам антивирусной защитой;
- «зачем тратить время на негарантированное лечение, когда можно быстро переустановить или восстановить из резервной копии» — несколько возможных причин: лечение, как правило, может проводиться без отключения сервиса, резервная копия может быть заражена (вредонос давно в системе, просто не проявлял себя, а ждал своего звездного часа), откат даже на актуальную резервную копию, часто, связан с некоторой потерей данных;
- «у меня нет вирусов ЧЯДНТ», «все кто подхватил заразу ССЗБ» — если у вас всё в порядке это отлично, вы молодцы, к сожалению, так не у всех.
Комментарии (23)
alk
10.03.2016 12:45К clamav есть полезные дополнения, позволяющие существенно расширить функционал и обнаружение вредоносных ссылок внутри писем.
Но в целом против социальной инженерии злоумышленников должна быть построена социальная инженерия компании, когда сотрудникам постоянно и толково объясняют, как пользоваться почтой в современных условиях. Растить антивирус в головеnvv
10.03.2016 13:05Растить антивирус в голове [пользователя] — эта рекомендация есть в статье.
Но эта сложно реализуемая рекомендация для компаний, по разным причинам, в т.ч. из-за текучести кадров и ограниченности ресурсов ИТ/ИБ подразделения.
Alexeyslav
10.03.2016 14:35+1Этот антивирус спасает только от социнженерии(и то надо сказать не всегда, например типичный Белорусский вирус прекрасно размножается, хоть и честно предупреждает о своей функциональности — http://jokesland.net.ru/virus.html), от вирусов использующих уязвимости конкретных почтовиков и систем(вирусы в картинках, PDF, DOC и т.д.) это не спасёт.
vilgeforce
10.03.2016 12:51+2Сказать-то вы что этим хотели? Ваше разделение на старое-новое не имеет смысла, например. Никакой статистики нет даже по такому дурному делению. Ниачом, короче.
nvv
10.03.2016 13:07Не совсем понял какая статистика вам необходима?
vilgeforce
10.03.2016 13:08Мне — никакая. Это вам она нужна, чтобы писанина выглядела хоть как-то осмысленно. Приводите какую-то классификацию — дайте по ней же статистику.
nvv
10.03.2016 13:14Повторю вопрос — какая статистика вам действительно необходима? Хотя бы пример приведите.
Классификация по набору признаков. Соотношения меняются, устойчивой зависимости нет, как с гриппом — постоянно появляются новые штаммы, но вспышки эпидемий могут вызывать как новые, так и старые штаммы.
teecat
10.03.2016 13:05+1свежий вредоносный код, который уже отработан на других «рынках» (ранее использовался для целевых атак, недавно использовался в других регионах/странах)… [условно, virustotal.com показывает более 5-7 из 56];
новый вредоносный код, который может быть получен модификацией уже известного или вы счастливый участник одного из первых «рынков», где обкатывается данная версия зловреда
Если честно не понял про регионы. Антивирусные базы — единые для всего мира. Во всяком случае я об исключениях не слышал
некоторые злоумышленники стараются выявлять обращения от антивирусных сервисов и отдавать им чистый контент,
Не понял. Какие антивирусные сервисы запрашивают контент?
использовать антивирус на почтовом сервере (или перед ним)
Касательно почтового сервера — смотря для чего. Если для проверки проходящего трафика, то бесполезно. На сервере антивирус совсем для иного. На прокси — да, вещь нужнаяnvv
10.03.2016 13:25про регионы
У каждого крупного антивирусного вендора есть приоритетные рынки распространения/сбыта (страны), соответственно:
- угрозы, выявленные на приоритетных рынках, имеют более высокий приоритет при анализе и нейтрализации (никакой демократии и равноправия, оптимизация ресурсов, подстраивание под тех, кто приносит основную прибыть);
- многие вредоносы специфичны для стран/регионов (по языку, по общему менталитету для социальной инженерии и т.д.), такие вредоносы медленнее попадают к мировым лидерам, даже если в отдельно взятой стране настоящая эпидемия, а после попадания — см. п.1.
teecat
10.03.2016 14:14- Честно скажу — вероятность вышеописанного крайне мала — именно в современных условиях. Раньше так было. Сейчас трояны завязаны на вывод денег. Соответственно на банки. Местные. Переход на новый рынок — переделка трояна под новые банки — ибо вывод за рубеж контролируется — кому надо палиться?
- Да, китайские и корейские вирусы у нас встречаются реже, чем на родине — но встречаются и мы их тоже заносим в базы
- Это раньше все вирусы разбирались руками аналитиков — сейчас правит бал автомат. Загляните скажем на http://updates.drweb.com/ — какой тут приоритет регионов?
nvv
10.03.2016 14:42Встречаются реже => встречаются позже, что, согласитесь, эквивалентно приоритету.
Вывод денег уже несколько лет завязывают на биткоины, банки участвуют всё меньше и меньше.
Автомат указанного вендора — отдельный разговор не для публичного обсуждения.
- Честно скажу — вероятность вышеописанного крайне мала — именно в современных условиях. Раньше так было. Сейчас трояны завязаны на вывод денег. Соответственно на банки. Местные. Переход на новый рынок — переделка трояна под новые банки — ибо вывод за рубеж контролируется — кому надо палиться?
nvv
10.03.2016 13:32антивирусные сервисы запрашивают контент
Антивирусные компании имеют автоматизированные сервисы по предварительному анализу подозрительных объектов и различные honeypot. Эти сервисы переходят по ссылкам в подозрительных письмах (из ловушек или полученных от клиентов), чтобы исследовать объекты. Некоторые злоумышленники стараются выявлять подобные обращения (по разным признакам) и отдавать им чистый контент.
Как пример, virustotal.com, были случаи, когда проверяешь через сайт ссылку, скачивается файл — чистый, переходишь по ссылке через своего провайдера — скачивается другой файл, на который virustotal хорошо ругается.teecat
10.03.2016 14:18Вирустотал — это не пример. Далеко не. Это общеизвестная проверялка файлов на наличие сведений о вредоносной программе исключительно в антивирусных базах. С сильно преувеличенной значимостью в области реакции на новые угрозы. Вполне верю, что на него реагируют. А вот примеры реакции именно на ловушки антивирусных компаний — хотелось бы увидеть
nvv
10.03.2016 14:32-1Ловушки/сервисы антивирусных компаний, как и некоторые роботы поисковых систем, стараются не афишировать свою деятельность и применяют различные методы маскировки: используют различные диапазоны адресов (не всегда зарегистрированных на саму компанию), меняют user-agent и др. Не могу утверждать, что virustotal применяет те же методы.
Ловушки умеют ставить не только "белые хакеры", поэтому деанонимизировать значительную часть honeypot и сервисов проверки можно. Публичных примеров не приведу, не встречал.
whiplash
11.03.2016 12:09«использовать антивирус на почтовом сервере (или перед ним), как бы банально это ни звучало. Это не панацея, но обязательная составляющая терапии. Из опыта, к сожалению, ClamAV лишь немногим лучше, чем ничего;
принудительно отправлять в карантин все исполняемые файлы и скрипты, в т.ч. в архивах;»
для начала лучше просто сразу делать отлуп ещё на шлюзе для:
— любых исполняемых файлов (списочек можно взять например из дефолтного списка расширений SRP в GPO)
— любых исполняемых файлов в архивах
уже станет легче)
Останется:
— обработка документов MS Office с макросами и свежими уязвимостями
— обработка запароленных архивов (тут надо еще персоналу строго настрого запретить открывать что-то)
— обработка каким-то образом писем с URL-ами на зловреды в rar, js и прочими (не знаю, как это сделать)
В целом, leo-sosnine грамотно описал общую часть стратегии, применительно к шифровальщикам:
«It's easy to deal with. 1-4 is free, 5-6 are pricey depending on solution chosen.
1. First off, a usage policy that prescribes to store personal data in home directories on a file server and common data in public directories on a file server. The file server is of course backed up regularly plus shadow copies if it's windows-based.
2. Second, configure SRP (Software Restriction Policies, built-in since Windows XP) to prohibit executables/scripts from running from anywhere in %userprofile%. Easy to configure via Group Policies. There's a good article on this on bleepingcomputer. For people who buy you a beer on a regular basis you can add an exception and allow them to run executables from „downloads“ folder. Also, your major PITA would be three things: 1) Google Chrome 2) Gotomeeting 3) Webex. Vendors of these programs think that they are cocky and violate Microsoft recommendations and best practices (which prescribe to install software into %programfiles%) and put their sh!t right into a %userprofile%. But you can add exceptions, if needed. This will prevent almost any malware from executing even if some dumb person launches an attachment from unsolicited e-mail.
3. UAC! UAC! UAC! User Account Control (since Windows Vista) is your best friend. Easy to configure from Group Policies. Set its bar on at least level 2 (from the bottom). It won't prevent cryptolocker from running and encrypting stuff, but it will prevent it from deleting shadow copies on a local computer, so all the documents could be easily restored. Always restore them on external drive to avoid „shadow copies disappeared during restoration“ situation as Windows destroys them on the fly if it thinks that it runs out of space.
4. If someone complained and/or you suspect bad things maybe happening — launch compmgmt.msc on a file server go to open files and watch for users who have suspiciously too many read+write files opened and files are being renamed to name.ext.crypto or name.ext.vvv or whatever renaming scheme current version of cryptolocker uses. Kick such a user out of network immediately.
5. Filter your e-mail for spam and malware. Pretty hard to tune it by yourself, but there are a lot of cloud services and dedicated solutions such as proofpoint, etc. Also, I can configure it and support it for you if your business pays my rate.
6. Use IDS/breach detection products. Modern products allow you to watch for „bulk rewrite“ indicators that get triggered when some dumba$$ uses SMB to read/write too many files at once. Set up an alert so every interested party gets a text message/e-mail/whatever when this indicator gets triggered and kick offender out of the network immediately.
7. Alternative, cryptolocker seems to encrypt only local files and files on mapped drives. Do not map drives, use UNC paths instead and create shortcuts on user's desktops with UNC paths. That way Cryptolocker encrypts only user's stuff, but you don't care (because of policy, see paragraph 1), you just reimage the PC and you are done.
8. Last but not least — do security patching of 3rd party software on a regular basis. Adobe crap and Java on workstations should be patched in like 3 days after patch is released, same goes for MS Office. Of course I assume that basic things like OS are patched regularly...»nvv
11.03.2016 12:57Не всегда "просто сразу делать отлуп ещё на шлюзе" действительно лучше, т.к. можно потерять что-нибудь важное/нужное — контрагенты не обязаны знать все ограничения в вашей компании. А из карантина можно достать, при необходимости. Дополнительный плюс — новый материал для вирлабов.
nvv
11.03.2016 13:18Останется ещё много "опасных" форматов: doc(x) и еже с ним, pdf, jpeg и много других, с помощью которых возможно провести атаку на приложение пользователя.
nvv
Минусующие статью, поделитесь конструктивной критикой.
Или вы нашли ответ в разделе "предвосхищая некоторые комментарии"?
sl4mmer
Предполагаю что минусуют за банальность
nvv
Какого контента, по вашему мнению, не хватает?
Надеюсь не примеров "правильной" настройки всех ОС и антивирусов?
navion
Да хотя бы карантина для популярных MTA.
Можно ещё примеры каких-то решений (того же IronPort) с разбором их плюсов и минусов.
nvv
Карантин, как правило, присутствует в применяемых антивирусных решениях. Отдельных реализаций карантина для MTA — не вижу большой практической пользы от подобного решения.
maximw
Это не tutorial. Это какой-то "капитанский" обзорчик для незнакомых с понятием spam. Может представлять информационную ценность для обывателя конца девяностых — начала нулевых.