In fiecare zi au loc campanii masive de spamming care trimit miliarde de email-uri nesolicitate catre inbox-urile noastre. In functie de cat de eficienta este protectia folosita de fiecare utilizator in parte si cat de sofisticat este construit email-ul spam, cateva mesaje tot vor ajunge in inbox si pot fi citite. In general, mesajele spam sunt inofensive, reprezentand reclame sau oferte promotionale, dar pot fi si exceptii in care atacatorii reusesc sa ascunda malware in fisierele anexate. Aceste fisiere pot fi mascate in ceva interesant, util sau important care sa atraga utilizatorul sa le deschida: un document Word, un cupon promotional si asa mai departe.
Hackerii folosesc serviciul de email ca o metoda foarte eficienta de a distribui malware catre sistemele noastre. Fiind un serviciu extrem de popular atat in plan personal, cat si la nivel de business, nu este de mirare cat de eficient este emailul ca “arma” de raspandire in masa al malware-ului. Printre cele mai folosite fisiere care ascund malware se numara:
- archivele de tipul ZIP si RAR. De regula, la extragerea continutului din arhive se executa un fisier JavaScript care se conecteaza la un server de C2 de al atacatorului si download-eaza, de exemplu, ransomware pe sistemul victimei. Un alt pericol este ca atacatorul poate sa configureze arhiva incat aceasta sa se extraga in folderul Startup al aplicatiilor din sistemele Windows, ceea ce permite utilizatorului sa execute malware la fiecare repornire a sistemului.
- documente Office. In special documentele Word cu extensiile .doc sau docx si foile de calcul Excel .xls, .xlsx. xlsm sunt preferate de catre atacatori. Aceste tipuri de fisiere pot contine in interiorul lor macro-uri – secvente de comenzi care sunt executate atunci cand fisierul este deschis. Macro-ul poate fi folosit pentru descarcarea de malware din Internet. De obicei, fiserele Office sunt mascate ca mesaje urgente primite de la top management, contracte, state de plata, facturi sau notificari de plata de la banci. Suita Office de pe statia utilizatorului trebuie sa fie configurata astfel incat macro-urile sa nu se execute in mod automat.
- fisiere PDF. Formatul de fisier PDF a fost creat cu scopul de a avea o metoda de a deschide fisiere indiferent de tipul sistemului folosit de utilizator (Windows, Linux, macOS, Android, Chrome, iOS), promovand portabilitatea documentelor. Este un tip de format extrem de popular in mediul office. De aceea, este si foarte folosit de atacatori care pot folosi formatul pentru a crea si executa fisiere JavaScript si pentru a include URL-uri malitioase.
La nivel de dispozitiv, securitatea utilizatorului poate fi asigurata cu o solutie de Endpoint Protection precum Cisco Secure Endpoint. Cisco Secure Endpoint poate face o analiza dinamica a fisierelor de pe sistemul utilizatorului intr-un sandbox live (Cisco Threat Grid) care va determina indicii IoC (Indicators of Compromise) pe baza modului in care se comporta fisierul, va executa fisierul si in cazul in care acesta continue malware va inregistra comportamentul acestuia. Mai mult, prin corelari avansate, se pot identifica si alte sisteme care au primit fisiere malitioase si toate aceste sisteme se pot izola pentru a limita gradul de raspandire a malware-ului si pentru a restrictiona comunicarea cu serverele C&C care pot trimite instructiuni noi.
La nivel de serviciu, emailul poate fi protejat de solutia Cisco Secure Email. Cisco Secure Email protejeaza organizatia de fisierele malitioase prin functionalitatea de Malware Defense. Beneficiind de fluxurile de informatie de securitate cibernetica oferite de Cisco Talos, Malware Defense analizeaza email-urile pentru a detecta vulnerabilitatile de tip “zero-day” din fisierele anexate, urmareste activitatea fisierelor analizate chiar daca aceastea au primit o dispozitie ca fiind “curate” si efectueaza o analiza riguroasa intr-un mediu de sandboxing a fisierelor suspicioase. Capabilitatile retrospective fac posibila carantinarea fisierelor care initial nu au fost detectate ca malware.
Inginerii Dendrio va pot ajuta sa implementati aceste masuri de protectie pentru a va securiza utilizatorii oriunde s-ar afla acestia si serviciul de email oriunde ar fi gazduit acesta (in cloud-ul public, intr-unul privat sau on premises).
Mihai Dumitrascu, Sr Systems Engineer
