Добавить новость
Добавить компанию
Добавить мероприятие
По следам «спама на снегоступах»
03.09.2014 08:04
версия для печати
Время от времени в поле зрения специалистов Cisco попадают любопытные спам-атаки. Так, 15 августа мы зафиксировали атаку с применением тактики «спам на снегоступах» (snowshoe spam attack) в сочетании с PDF-эксплойтом. («Спам на снегоступах» - это вид децентрализованной спам-атаки, когда сообщения рассылаются с большого количества IP-адресов отправителей подобно тому, как вес человека равномерно распределяется по всей площади снегоступа). Не всякий метод обнаружения спама может справиться с атаками подобного типа: злоумышленники обычно используют множество IP-адресов, причем с каждого адреса приходит лишь небольшой объем спама. В некоторых системах защиты этот фактор может сильно затруднить выявление атаки. Как правило, в борьбе со «спамом на снегоступах» выигрывают технологии многоуровневой защиты, такие как Cisco ESA. (Этим технологиям посвящена предыдущая запись в блоге). В процессе изучения вложений было замечено, что все эти PDF-файлы одинаковы. Единственное небольшое различие состоит в том, что в названии вложенного файла присутствует случайное число, совпадающее с числом из темы каждого письма. Быстрый анализ с использованием системы усиленной защиты от вредоносного кода Cisco Advanced Malware Protection (AMP) тут же распознал PDF-файл (SHA-256: 2562f92cc72a0217ab58f402d529098246a57267940dc53783ae9a71c8717425) как троянскую программу, использующую уязвимость CVE-2013-2729 (возможность переполнения буфера при обработке целых чисел, свойственная программе Adobe Reader версий 9.x, 10.x и 11.x). Другой интересной особенностью этой спам-атаки был ее молниеносный характер. Наблюдаемая атака длилась в общей сложности всего часа три, но и за это время она однажды почти достигла 10% от общего объема входящего спама. Для борьбы со «спамом на снегоступах» существует несколько обобщенных методов. Один из самых надежных — полагаться не только на репутацию отправителя. По сравнению со склонной к изменениям инфраструктурой DNS (особенно при использовании таких технологий, как динамический DNS), IP-инфраструктура довольно стабильна. В рассматриваемой атаке большинство сообщений было отправлено с различных IP-адресов (классический «спам на снегоступах»). На веб-странице http://blogs.cisco.com/wp-content/uploads/rq769-ip-addrs.txt приведен список из примерно 250 IP-адресов, использовавшихся при проведении данной атаки. «Спам-атаки на снегоступах» придуманы специально для того, чтобы обойти алгоритмы, основанные на метриках репутации IP-адреса отправителя. Обратите внимание на изобилие IP-адресов, вовлеченных в эту конкретную атаку: коэффициент повторного использования IP-инфраструктуры ничтожно мал. Однако судить о том, заслуживает ли доверия источник сообщения, можно по некоторым другим факторам — например, по уровню безопасности конфигурации почтового сервера. У многих IP-адресов, задействованных в рассматриваемой спам-атаке, отсутствовало соответствие между прямыми и обратными зонами DNS (настоящая черная метка для любого отправителя, не являющегося легитимным почтовым сервером). Ко всему прочему, многие из этих IP-адресов в рассылке спама ранее замечены не были. Это указывало на то, что организаторы атаки, скорее всего, нарушали безопасность компьютеров с четкой целью интегрировать их в создаваемую инфраструктуру «спам-атак на снегоступах» и впоследствии использовать для распространения спама. Cisco предлагает многоуровневую почтовую защиту, способную эффективно противостоять данной угрозе. В результате, благодаря сочетанию различных технологий, вероятность успеха атаки типа «спам на снегоступах» заметно снижается. Cisco использует такие решения, как фильтры первой линии защиты Outbreak Filters, ловушки для спама и модуль сканирования почты Intelligent Multi Scan. Кроме того, анализируя информацию о DNS-инфраструктуре спамеров, решения Cisco в упреждающем режиме определяют потенциальные источники проблем. Система AMP помогает обнаруживать вредоносные почтовые вложения еще до того, как они смогут затаиться в сети. При совместном использовании эти технологии выявления атак образуют непревзойденный уровень защиты. Атаки с использованием PDF-файлов, выдаваемых за инвойсы, — довольно распространенная угроза. Cisco постоянно приходится защищать от нее своих заказчиков. Стремительный характер рассматриваемой спам-атаки, возможно, объясняется попыткой избежать обнаружения. И хотя эта угроза похожа на уже известные типы атак, наблюдаемые нами случаи показали, что она доставит пользователям еще немало проблем. К сожалению, те, кто не следят за обновлением своих систем, не используют технологии информационной безопасности или открывают почтовые вложения от неизвестных отправителей, останутся уязвимыми для такого типа угроз. В то время как другие средства защиты электронной почты, в значительной мере полагающиеся на репутацию отправителя, могут оказаться бессильными перед «спамом на снегоступах», Cisco ESA применяет целый ряд методик для обнаружения и моментальной нейтрализации атак. Веб-сканирование с помощью решений Cisco CWS или WSA предотвратит загрузку вредоносных файлов данного типа. Защита сети, обеспечиваемая системами предотвращения вторжений (IPS) и межсетевыми экранами следующего поколения (NGFW), идеально подходит для выявления и блокирования попыток вредоносных программ поддерживать связь со своими центрами управления и контроля. Система AMP как нельзя лучше подходит для выявления и блокирования комплексных угроз такого типа. Cisco ESA выявляет и блокирует подобные атаки, распространяемые по электронной почте. Автор: Екатерина Калягина Ключевые слова: Cisco, сетевое оборудование, оборудование Cisco, маршрутизаторы Cisco, оборудование, телекоммуникационное оборудование, маршрутизаторы
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
||||||
А знаете ли Вы что?
ITSZ.RU: последние новости Петербурга и Северо-Запада13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||