sams - system analysis of email messages
TRANSCRIPT
Мониторинг и анализ почтовых сообщений
или инструмент обнаружения кибер-атак
на коленке
Алексей Карябкин
Павел Грачев
Кто они?
2
МЫ …
• Спам
• Фишинг
• Scam/Spear-фишинг
Вредоносные рассылки
Угрозы ИБ
3
• Единая точка входа
• Широкие возможности эффективного достижения цели
Очень динамичны:
• Быстрая смена адресов отправителей
• Высокая территориальная распределенность источников рассылки (разные IP)
Популярно и эффективно
4
высококвалифицированные
невнимательные
пользователи
Зона риска
5
Классические меры защиты малоэффективны:
• Сигнатурный сканер АВЗ
• Средства Анти-спам
• Контекстные фильтры
• Black-листы
• Вредоносные рассылки
Классика жанра
6
Меры реагирования:
• Мультисканнер
• Поведенческий анализ
• Репутационная база и корреляция
• Применение оперативных IOCs и фидов TI
• Оперативные меры защиты
• Повышение осведомленности пользователей (постоянно)
Адекватный ответ
7
Современные и динамичные средства
противодействия кибер-атакам
• etc…
Рынок решений
8
Существенные недостатки
• Маркетинг -> скрывает сырость решений
• Высокая готовность -> требует существенных затрат
• Лицензионные ограничения полета фантазии и области применения -> влекут снова затраты
Ахиллесова пята
9
…все равно дорого!
Бизнес-общение
10
System Analysis of eMail messageS (SAMS)
Цели и задачи:
• Автоматизация процесса обработки и анализа внешних входящих писем, содержащих во вложении потенциально небезопасные файлы
• Выявление и оперативное реагирование на неизвестные угрозы, поддержка СЗИ;
• Сбор и агрегации индикаторов для их применения в СЗИ и средствах мониторинга.
Концепт-идея
11
Слабо!?
Грандиозная цель поставлена!!!
Что будем кодить?
Концепт-идея
12
Архитектура решения
13
Реализация в жизни
14
Реализация в жизни
15
Возможности SAMS:
• Обработка и фильтрация писем по определенным признакам;
• извлечение и идентификация типов вложений;
• просмотр и распаковка архивных файлов;
• статический и динамический анализ:
- ClamAV (Касперский Антивирус и Др.Веб*)
- Yara
- Cuckoo Sandbox
• проверка индикаторов в публичных агрегаторах IOCs:
- TotalHash
- VirusTotal
- ThreatExpert
Функционал
16
Фильтрация по исполняемым файлам:
• exe, scr, js, vbs, bat, cmd, com, class, jar, lnk, pif, hta, wsf
Поддержка типов архивных файлов:
• rar, zip, tar, gzip (tgz, gz, bz2), 7z, cab*, arj*, ace*
Сбор и агрегация индикаторов:
• IOCs DB
• Incidents DB
Применение решения позволило:
• повысить осведомленность SOC о вредоносных объектах попадающих в периметр
• консолидировать информацию об угрозах
• своевременно предпринимать меры реагирования или предупреждения инцидентов
Профит
17
Массовые рассылки
• случайные
в основном за счет утекших данных об адресах(в результате вирусного заражения, спам-рассылок, регистрация в публичных сервисах и т.п.)
• нацеленные
используется целевой контент для убеждения пользователей, что получено значимое письмо требующее подробного ознакомления с вложением
Природа атак
18
• Извлекался в %AppData%\Microsoft\VC\
• Использует антиотладочные и антипесочные механизмы.
• Владеет списком имен определенных ПК, на которых не запускается
• Имеет около 20 команд.
• Активное общение с определенным C2
Пример целевой атаки
19
Убойные цепочки
20
Продолжение
21
Смена тактики
22
Обхода средств защиты и фильтрации почтового трафика:
• Применение различной кодировки
поле From
поле Subject
Наименование файлов
• Отсутствие полей
Обход СЗИ и TTP
23
• использование составных имен файлов, содержащих генерируемые ID:
• подмена расширений вложений (в основном архивных вложений)
Обход СЗИ и TTP
24
• Используют несколько типов ВПО или разные архивы одновременно
Обход СЗИ и TTP
25
• использование LNK-файлов
Обход СЗИ и TTP
26
Так же используют:
• облачные сервисы
• прямые ссылки в теле письма на архивные файлы с взломанных ресурсов
• кодирование полезной нагрузки в теле скриптов (Base64)
Использование JS
• использование офисных документов в качестве контейнеров:
Эксплойт с последующей загрузкой ВПО
Макросы
Активные объекты
Обход СЗИ и TTP
27
Отчет и уведомление
28
WEB UI
29
WEB UI
30
Дзен
31
«Сделать технологии обеспечения защиты более открытыми и доступными»