По мнению аналитиков Group-IB, ситуация будет только ухудшаться. С одной стороны, в условиях увеличивающегося числа сотрудников на удаленном режиме, когда многие из них работают с личных устройств и часто со слабой примитивной защитой, инциденты неизбежны.
С другой стороны, компании массово внедряют облачные почтовые решения, спокойно полагаясь на встроенные в них системы защиты. Иногда стандартную защиту «прокачивают» традиционными песочницами, системами класса «антиспам» и облачными антивирусами. И все равно корпоративная почта остается одной из главных точек входа для мошенников.
Group-IB рассказали о некоторых метода хакерских атак на корпоративную почту, обнаруженных и остановленных системой Threat Hunting Framework.
Обход репутационного анализа отправителя
Первичная фильтрация системами защиты осуществляется на основе репутационного анализа отправителя. Если репутация отправителя не подтверждена, то при жесткой политике фильтрации, письмо с вложением не будет доставлено.
В то же время почтовые домены госучреждений, корпораций, известных поставщиков решений, если они прошли проверку подлинности отправителя, считаются защищенными и не представляющими угрозы, поэтому большинство таких писем доставляются без дополнительного анализа. Именно этим пользуются преступники, выбирая для своих атак адреса, прошедшие проверку подлинности отправителя.
Обход защиты с помощью нестандартного формата файла во вложении
Второй уровень защиты по классической схеме после проверки репутации, это проверка формата вложенных файлов. Тщательному исследованию подвергаются архивы и исполняемые файлы. А вот наличие в приложении файлов, не знакомых системе защиты, часто не рассматривается даже как угроза. Это еще один доступный вход для злоумышленников.
На практике была выявлена угроза, когда кибрепреступник решил воспользоваться эксплойтом в обычном файле справки Windows. Задачей исходного файла было
доставить троян TrueBot, также известный как Silence. Система Threat Hunting Framework классифицировала вредное программное обеспечение (ВПО) и атрибутировала угрозу до конкретной группировки – Silence. С 2016 года эта хакерская группа атакует организации кредитно-финансовой сферы, преимущественно в России.
Обход защиты офисным документом
Вводя жесткую политику фильтрации, компания тем не менее не может обойтись без циркуляции офисных документов, рассчитывая на облачные антивирусы и песочницы. Практика показывает, что против новых видов угроз облачные антивирусы зачастую бесполезны. Хакеры «затачивают» активность ВПО под действия, характерные для человека, а не машины, что является проблемой для стандартных систем защиты. Защиту своей электронной почты можно проверить автоматической системой, когда на почтовый ящик на корпоративный домен отправляется более 40 тестовых сценариев различных атак. Любое письмо от системы проверки, которое, минуя систему защиты, окажется в этом почтовом ящике, станет подтверждением того, что корпоративная почта под потенциальной угрозой.
