4. • Единая точка входа
• Широкие возможности эффективного
достижения цели
Очень динамичны:
• Быстрая смена адресов отправителей
• Высокая территориальная
распределенность источников рассылки
(разные IP)
Популярно и эффективно
4
6. Классические меры защиты малоэффективны:
• Сигнатурный сканер АВЗ
• Средства Анти-спам
• Контекстные фильтры
• Black-листы
• Вредоносные рассылки
Классика жанра
6
7. Меры реагирования:
• Мультисканнер
• Поведенческий анализ
• Репутационная база и корреляция
• Применение оперативных IOCs и фидов TI
• Оперативные меры защиты
• Повышение осведомленности пользователей (постоянно)
Адекватный ответ
7
11. System Analysis of eMail messageS (SAMS)
Цели и задачи:
• Автоматизация процесса обработки и анализа внешних входящих
писем, содержащих во вложении потенциально небезопасные
файлы
• Выявление и оперативное реагирование на неизвестные угрозы,
поддержка СЗИ;
• Сбор и агрегации индикаторов для их применения в СЗИ и
средствах мониторинга.
Концепт-идея
11
16. Возможности SAMS:
• Обработка и фильтрация писем по
определенным признакам;
• извлечение и идентификация типов вложений;
• просмотр и распаковка архивных файлов;
• статический и динамический анализ:
- ClamAV (Касперский Антивирус и Др.Веб*)
- Yara
- Cuckoo Sandbox
• проверка индикаторов в публичных агрегаторах
IOCs:
- TotalHash
- VirusTotal
- ThreatExpert
Функционал
16
Фильтрация по исполняемым
файлам:
• exe, scr, js, vbs, bat, cmd, com,
class, jar, lnk, pif, hta, wsf
Поддержка типов архивных файлов:
• rar, zip, tar, gzip (tgz, gz, bz2), 7z,
cab*, arj*, ace*
Сбор и агрегация индикаторов:
• IOCs DB
• Incidents DB
17. Применение решения позволило:
• повысить осведомленность SOC о вредоносных объектах
попадающих в периметр
• консолидировать информацию об угрозах
• своевременно предпринимать меры реагирования или
предупреждения инцидентов
Профит
17
18. Массовые рассылки
• случайные
в основном за счет утекших данных об адресах(в результате
вирусного заражения, спам-рассылок, регистрация в публичных
сервисах и т.п.)
• нацеленные
используется целевой контент для убеждения пользователей, что
получено значимое письмо требующее подробного ознакомления
с вложением
Природа атак
18
19. • Извлекался в %AppData%MicrosoftVC
• Использует антиотладочные и антипесочные механизмы.
• Владеет списком имен определенных ПК, на которых не запускается
• Имеет около 20 команд.
• Активное общение с определенным C2
Пример целевой атаки
19
23. Обхода средств защиты и фильтрации почтового трафика:
• Применение различной кодировки
поле From
поле Subject
Наименование файлов
• Отсутствие полей
Обход СЗИ и TTP
23
24. • использование составных имен файлов, содержащих
генерируемые ID:
• подмена расширений вложений (в основном архивных
вложений)
Обход СЗИ и TTP
24
27. Так же используют:
• облачные сервисы
• прямые ссылки в теле письма на архивные файлы с взломанных
ресурсов
• кодирование полезной нагрузки в теле скриптов (Base64)
Использование JS
• использование офисных документов в качестве контейнеров:
Эксплойт с последующей загрузкой ВПО
Макросы
Активные объекты
Обход СЗИ и TTP
27