02.09.2014
13:08

3XMM J185246.6+003317 оказался магнетаром

02.09.2014
13:02

По следам <спама на снегоступах>

Блог Алекса Чиу (Alex Chiu), специалиста Cisco в области информационной безопасности

Время от времени в поле зрения специалистов Cisco попадают любопытные спам-атаки. Так, 15 августа мы зафиксировали атаку с применением тактики <спам на снегоступах> (snowshoe spam attack) в сочетании с PDF-эксплойтом. (<Спам на снегоступах> - это вид децентрализованной спам-атаки, когда сообщения рассылаются с большого количества IP-адресов отправителей подобно тому, как вес человека равномерно распределяется по всей площади снегоступа).

Сами по себе эти приемы не новы, но в последнее время злоумышленники все чаще прибегают к атакам такого типа. Как можно увидеть из вот этой таблицы, по сравнению с ноябрем 2013 года объем <спама на снегоступах> удвоился.

Не всякий метод обнаружения спама может справиться с атаками подобного типа: злоумышленники обычно используют множество IP-адресов, причем с каждого адреса приходит лишь небольшой объем спама. В некоторых системах защиты этот фактор может сильно затруднить выявление атаки. Как правило, в борьбе со <спамом на снегоступах> выигрывают технологии многоуровневой защиты, такие как Cisco ESA. (Этим технологиям посвящена предыдущая запись в блоге).

Спам-сообщения

Хотя в описываемой атаке использовалось большое количество IP-адресов, рассылаемые сообщения вызывают подозрения сами по себе из-за некоторых характерных для спама особенностей заголовков и тела письма. В поле <Тема> указано что-нибудь вроде , причем номер сгенерирован случайным образом, а слово inovice - не что иное, как искаженное invoice (счет). Поле <Отправитель> меняется от письма к письму, но обычно содержит необычные строки символов, такие как EOF, endobj и endstream. Сообщения имели вложения в виде PDF-файла, а тело письма было пустым или совсем коротким, содержащим призыв скачать и открыть прикрепленный файл. В качестве примера воспроизвожу одно из таких сообщений:

В процессе изучения вложений было замечено, что все эти PDF-файлы одинаковы. Единственное небольшое различие состоит в том, что в названии вложенного файла присутствует случайное число, совпадающее с числом из темы каждого письма. Быстрый анализ с использованием системы усиленной защиты от вредоносного кода Cisco Advanced Malware Protection (AMP) тут же распознал PDF-файл (SHA-256: 2562f92cc72a0217ab58f402d529098246a57267940dc53783ae9a71c8717425) как троянскую программу, использующую уязвимость CVE-2013-2729 (возможность переполнения буфера при обработке целых чисел, свойственная программе Adobe Reader версий 9.x, 10.x и 11.x). Другой интересной особенностью этой спам-атаки был ее молниеносный характер. Наблюдаемая атака длилась в общей сложности всего часа три, но и за это время она однажды почти достигла 10% от общего объема входящего спама.

Блокирование <спама на снегоступах>

Для борьбы со <спамом на снегоступах> существует несколько обобщенных методов. Один из самых надежных - полагаться не только на репутацию отправителя. По сравнению со склонной к изменениям инфраструктурой DNS (особенно при использовании таких технологий, как динамический DNS), IP-инфраструктура довольно стабильна. В рассматриваемой атаке большинство сообщений было отправлено с различных IP-адресов (классический <спам на снегоступах>). На веб-странице http://blogs.cisco.com/wp-content/uploads/rq769-ip-addrs.txt приведен список из примерно 250 IP-адресов, использовавшихся при проведении данной атаки.

<Спам-атаки на снегоступах> придуманы специально для того, чтобы обойти алгоритмы, основанные на метриках репутации IP-адреса отправителя. Обратите внимание на изобилие IP-адресов, вовлеченных в эту конкретную атаку: коэффициент повторного использования IP-инфраструктуры ничтожно мал. Однако судить о том, заслуживает ли доверия источник сообщения, можно по некоторым другим факторам - например, по уровню безопасности конфигурации почтового сервера. У многих IP-адресов, задействованных в рассматриваемой спам-атаке, отсутствовало соответствие между прямыми и обратными зонами DNS (настоящая черная метка для любого отправителя, не являющегося легитимным почтовым сервером). Ко всему прочему, многие из этих IP-адресов в рассылке спама ранее замечены не были. Это указывало на то, что организаторы атаки, скорее всего, нарушали безопасность компьютеров с четкой целью интегрировать их в создаваемую инфраструктуру <спам-атак на снегоступах> и впоследствии использовать для распространения спама.

Cisco предлагает многоуровневую почтовую защиту, способную эффективно противостоять данной угрозе. В результате, благодаря сочетанию различных технологий, вероятность успеха атаки типа <спам на снегоступах> заметно снижается. Cisco использует такие решения, как фильтры первой линии защиты Outbreak Filters, ловушки для спама и модуль сканирования почты Intelligent Multi Scan. Кроме того, анализируя информацию о DNS-инфраструктуре спамеров, решения Cisco в упреждающем режиме определяют потенциальные источники проблем. Система AMP помогает обнаруживать вредоносные почтовые вложения еще до того, как они смогут затаиться в сети. При совместном использовании эти технологии выявления атак образуют непревзойденный уровень защиты.

Заключение

Атаки с использованием PDF-файлов, выдаваемых за инвойсы, - довольно распространенная угроза. Cisco постоянно приходится защищать от нее своих заказчиков. Стремительный характер рассматриваемой спам-атаки, возможно, объясняется попыткой избежать обнаружения. И хотя эта угроза похожа на уже известные типы атак, наблюдаемые нами случаи показали, что она доставит пользователям еще немало проблем. К сожалению, те, кто не следят за обновлением своих систем, не используют технологии информационной безопасности или открывают почтовые вложения от неизвестных отправителей, останутся уязвимыми для такого типа угроз. В то время как другие средства защиты электронной почты, в значительной мере полагающиеся на репутацию отправителя, могут оказаться бессильными перед <спамом на снегоступах>, Cisco ESA применяет целый ряд методик для обнаружения и моментальной нейтрализации атак.

Как защитить пользователей

Веб-сканирование с помощью решений Cisco CWS или WSA предотвратит загрузку вредоносных файлов данного типа. Защита сети, обеспечиваемая системами предотвращения вторжений (IPS) и межсетевыми экранами следующего поколения (NGFW), идеально подходит для выявления и блокирования попыток вредоносных программ поддерживать связь со своими центрами управления и контроля. Система AMP как нельзя лучше подходит для выявления и блокирования комплексных угроз такого типа. Cisco ESA выявляет и блокирует подобные атаки, распространяемые по электронной почте.

01.09.2014
20:54

Проект BabyX: модель искусственного интеллекта на основе поведения ребёнка

01.09.2014
20:48

Открытый университет Сколково готов к набору студентов

01.09.2014
20:17

Разработаны перчатки, способствующие обучению шрифту Брайля

01.09.2014
20:14

12 сентября на Землю вернется <космический> виски

01.09.2014
17:51

Ученые нашли способ обнаружения родственных звезд

01.09.2014
17:49

Путин заинтересовался возможностью клонирования мамонтов

01.09.2014
17:47

Гнев оказался самой универсальной и функциональной эмоцией человека

01.09.2014
17:43

Болезненные воспоминания сотрут с помощью ксенона

31.08.2014
10:23

Лауреат Нобелевской премии назвал исследование аморфных веществ вызовом современной химии

30.08.2014
10:45

Тайну движущихся камней раскрыли с помощью GPS

29.08.2014
22:00

Генетики нашли у людей и червей общие черты

29.08.2014
20:12

Британский беспилотник на батареях пробыл в воздухе 11 суток

29.08.2014
16:14

В роли главного источника бактерий домашние вещи уступили людям

29.08.2014
14:14

IBM Watson открывает новую эру обработки больших данных

29.08.2014
14:00

Ученые начали изучать голографическую Вселенную

29.08.2014
13:57

Ученые испытали мощь оружия каменного века

29.08.2014
13:55

Древние эскимосы исчезли 700 лет назад

29.08.2014
13:41

Киберпреступления обеспечивают двадцатикратную доходность злоумышленникам