Numai până la sfârșitul anului 2017 cercetătorii din zona securității cibernetice au descoperit campanii de spam care livrează încărcări criptografice utilizând atașamentele de e-mail. În unele cazuri, un document Word descarcă încărcarea criptografică printr-o macrocomandă rău intenționată. Atacatorii continuă, de asemenea, să ascundă programele malware în atașamentele de e-mail. Este sigur să presupunem că tendința de a folosi atașamentele în atacuri nu va dispărea prea curând. De fapt, Raportul anual privind securitatea informatică din 2018 (ACR) arată că atacatorii devin și mai buni în a ascunde malware-ul în atașamente pentru a evita detectarea prin tehnologii sofisticate de tip sandbox. Odată ce aceste atașări prin e-mail reușesc, este ușor să atragă utilizatorii să declanșeze procesul care descarcă programul malware.
Două modalități noi prin care atacatorii ascund amenințări în fișiere pentru a se sustrage tehnologiilor sandboxing
Cum se întâmplă acest lucru? Există două moduri noi. Primul nu este atunci când utilizatorii deschid atașamentul rău intenționat, ci atunci când îl închid. Acest lucru se întâmplă deoarece sandbox-ul nu închide atașamentul în timpul analizei și, astfel, fișierul este considerat sigur deoarece evenimentul nu este declanșat și sandbox îl acceptă. În acest moment, utilizatorul este liber să deschidă și eventual să îl închidă în cele din urmă. Când este închis, metoda de atac utilizează evenimentul „document_close” pentru a furniza încărcătura rău intenționată. Diagrama de mai jos arată că acest tip de atac a avut loc un atac în septembrie 2017.
În cea de a doua metodă, atacatorii încorporează documente rău intenționate în fișiere PDF. Sandboxurile de astăzi nu reușesc să verifice fișierele încorporate în alte fișiere. PDF-ul în sine nu este rău intenționat (amenințarea se află în fișierul încorporat), astfel că sandbox permite accesul fișierului. Odată ce ajunge în căsuța de e-mail a unui utilizator, este probabil ca acesta să facă clic pe fișierul încorporat – care declanșează descărcarea programului malware. Acest tip de atac a fost predominant în mai 2017 – documentele Word au fost încorporate în PDF-uri (a se vedea diagrama de mai jos).
Modul în care Cisco Email Security și Threat Grid vă aduc cu un pas înainte față de atacurile criptominative sau de malware
Acum, ajungem la cel mai important subiect – cum să ne protejăm împotriva atașamentelor de e-mail care sunt folosite în criptominare sau programe malware făcute în așa fel încât să evite detectarea. Aveți posibilitatea să utilizați serviciul Cisco Email Security, care include Advanced Malware Protection (AMP) și Threat Grid. Atunci când vine un e-mail cu atașament, AMP analizează reputația fișierului și determină dispunerea acestuia – curată, rău intenționată sau necunoscută. Atât fișierele malițioase cât și cele curate nu necesită investigații suplimentare; cu toate acestea, fișierele necunoscute sunt încărcate în serviciul de analiză a fișierelor – Threat Grid. Acesta este o tehnologie puternică care aplică tehnici de analiză statică și dinamică. Ajută la analizarea, detectarea și înțelegerea activității miniere sau a malware-ului, ce face acesta, cât de mare este amenințarea și cât de bine se poate apăra împotriva acesteia. Analiza durează între 7-15 minute. Odată finalizat, Threat Grid furnizează un raport de analiză împreună cu un scor de amenințare pe care îl folosește Advanced Anti-Malware Protection (AMP) la clasificarea fișierului. Odată ce un fișier este clasificat ca fiind malițios, este blocat și e-mailul cu acest fișier în atașament nu este livrat utilizatorului. Acest sistem de analiză bazat pe cloud și pe sistemul de informații despre amenințări identifică tipul de comportament menționat în cele două tehnici noi pe care atacatorii le folosesc pentru a evita detectarea sandbox-urilor. Folosind funcțiile „content-aware”, Threat Grid se asigură că aceste tipuri de atacuri nu evită analiza sandbox-urilor pentru a opri descărcarea fișierelor rău intenționate în inbox-ul utilizatorilor. Threat Grid are, de asemenea, indicatori pentru a detecta dacă activitatea minieră este prezentă. Pentru o înțelegere mai profundă a modului în care AMP și Threat Grid funcționează în cadrul Cisco Email Security, citiți blogul detaliat pe această temă. Puteți, de asemenea, să citiți pe blog despre noua interfață de rețea Threat Grid UI pentru a afla cum toate modificările intermediare vă vor ajuta să obțineți mai rapid informații relevante.
O soluție puternică de securitate prin e-mail este o parte esențială a strategiei dvs. de securitate deoarece majoritatea breșelor în securitate încep prin e-mail.Cisco Email Security utilizează puterea Cisco Talos, una dintre cele mai mari echipe de cercetare a amenințărilor din lume, pe lângă Threat Grid. Cu o astfel de inteligență robustă a amenințărilor, clienții Cisco Email Security blochează tot mai multe amenințări. Și AMP care este parte a Cisco Email Security îi ajută pe clienți să vadă mai multe amenințări în mai multe locuri prin intermediul arhitecturii acesteia. AMP iși împărtășește analizele și verdictele la nivel global pentru îmbunătățirea eficacității amenințării pentru toți clienții. Cu ajutorul acestui trio puternic – Talos, AMP și Threat Grid – Cisco Email Security protejează mii de organizații la nivel mondial, de peste un deceniu, împotriva amenințărilor vechi și noi deopotrivă.
Comentarii