Когда интенсивный поток писем анализируется системами комплексной защиты, первичная фильтрация, как правило, осуществляется на основе репутационного анализа отправителя, а основная доля методов доставки вредоносного программного обеспечения (ВПО) через электронную почту отсекается за счет жестких политик фильтрации. Например, если в письме содержится запароленный архив, то не важно, насколько хитро указан пароль — письмо в любом случае не будет доставлено.

Аналогичным образом предотвращается распространение ВПО в виде исполняемых файлов, скриптов, вложенных писем или HTML-документов. Такие письма не будут доставлены независимо от статуса самого файла.

В итоге задача встроенной песочницы сводится к фильтрации писем, содержащих офисные документы. В то же время почтовые домены крупных корпораций, поставщиков решений и государственных учреждений считаются «не представляющими угрозы», если они прошли проверку подлинности отправителя, поэтому большинство писем с таких доменов доставляются без дополнительного анализа. Именно этим и воспользовались атакующие в данном примере.

Адреса отправителя и получателя в данной атаке принадлежали одной и той же организации. Исследование самого письма не выявило подделки заголовка, что в такой ситуации означало бы компрометацию отправителя.

В ходе анализа было установлено, что письмо отправили через форму обратной связи на официальном сайте организации.

В качестве полезной нагрузки письмо содержало модульный банковский троян TrickBot, который используется злоумышленниками в качестве опорной точки на этапе постэксплуатации уязвимостей. Например, группировка Wizard Spider активно использовала TrickBot в качестве замены Cobalt Strike на ранних этапах атаки.

Подобные атаки требуют от злоумышленника ручного труда и предварительного исследования потенциальной жертвы — траты ресурсов и времени. Следовательно, это не массовые кампании — они скорее относятся к сложным целевым атакам. Но при этом данный пример — не исключительный случай. Он наглядно демонстрирует недостаток систем защиты почты, где нагрузка снижается за счет репутационного анализа отправителя. Если ваша организация использует решение, включающее антиспам-систему, — рекомендуем протестировать ее на защиту от описанного вектора вторжения.

После проверки репутации, следующий шаг в классической системе защиты почты — проверка формата вложенных файлов. Подход к безопасности здесь вновь отталкивается от бизнес-процессов, в которых получение запароленного архива или исполняемого файла, прикрепленного к письму, скорее можно квалифицировать как аномалию.

А вот получение через корпоративную почту файлов в форматах, незнакомых системе защиты, вероятнее всего, расценивается как событие, не представляющее угрозы. Подобные файлы предназначены для чтения специфическим софтом, используемым внутри организации для решения различных задач.

Однако, как мы увидим в этом примере, это открывает новые возможности для злоумышленника, который в данном случае решил воспользоваться эксплойтом в обычном файле справки Windows.

Задача исходного файла заключалась в том, чтобы с помощью связки из нескольких стейджеров доставить на конечную точку троян TrueBot, также известный как Silence.Downloader — характерный инструмент группировки Silence.

Система Group-IB Atmosphere успешно классифицировала полезную нагрузку и атрибутировала угрозу до конкретной группировки Silence. С 2016 года она атакует организации кредитно-финансовой сферы, преимущественно в России. В 2018 году группа расширила географию и стала атаковать финансовые организации по всему миру. На данный момент Silence предположительно стали участниками RaaS.

Как мы говорили в начале статьи, даже при жестких политиках фильтрации бизнес не может прекратить циркуляцию офисных документов и полагается на облачные антивирусы и песочницы для их анализа.

После проверки облачным антивирусом, который малоэффективен против новых типов угроз, документ отправится на анализ в песочницу. Но большинство вендоров систем защиты не уделяет должного внимания устранению известных способов обхода этого класса решений.

В данном кейсе злоумышленники воспользовались техниками из последней категории. Исходным файлом в нашем случае стала презентация в формате PPT, которая скрывала три макроса.

Вот как выглядит структура этого файла глазами Group-IB Atmosphere:

Большинство песочниц, которые анализируют подобные вложения из корпоративной электронной почты, запускают файл и ждут какую-то подозрительную активность.

Представим, что рядовой пользователь открыл офисный документ и обнаружил следующее:

Вероятнее всего, он закроет окно, предположив, что это поврежденный файл. Подобная реакция не свойственна системам защиты. А теперь взглянем на один из трех макросов этого документа:

Злоумышленник заточил свою вредоносную активность под действия, свойственные человеку, но не машине. Подавляющее большинство стандартных песочниц в такой ситуации дождутся истечения времени анализа и пометят файл как безопасный, не обнаружив ничего подозрительного.

Перечисленные кейсы из арсенала Group-IB Atmosphere, конечно, не исчерпывающие, однако и они демонстрируют фундаментальные недостатки большинства современных систем защиты корпоративной почты. И этим способы доставить вредоносное ПО конечному пользователю не ограничиваются.

У компаний обычно недостаточно ресурсов, чтобы грамотно составить подборку сценариев для внутреннего аудита. Понимая это, мы подготовили автоматическую бесплатную систему тестирования защищенности электронной почты — Group-IB Trebuchet.