NapiMalware #2

Régi Word 97-2003 formátumnál már azt gondolná az ember, hogy a makrókat és az abba ágyazott vírusgyanús kódokat, valamint mindenféle más .doc gyengeségeket és parser hibákat a mai antivirus termékek már magabiztosan felismerik. Ennek ellenére a ma emailben érkezett spambe csatolt dokumentum szintén elég elkeserítő képet ad arról, hogy mennyire lesznek védettek az ilyen típusú támadások ellen azok, akik víruskeresőkre bízzák a biztonságukat:

Érdemes megfigyelni, hogy a legutóbbi teszthez hasonlóan a szintén népszerű Windows desktopon futtatott víruskergető termékek azok, amelyek abszolút nem ismerik fel a Word .doc fájlba ágyazott trójai letöltőt. Se az Avast, se az ESET NOD32, se a Sophos, se a Panda, se a Kaspersky, se a Symantec nem ismeri fel, hogy tovább ne soroljam...

https://virustotal.com/en/file/e814b4e1eca0083560cffa75b9e70ad28a56dd28…

( uid_395 v | 2016. 04. 07., cs – 07:49 )

Hm, érdekes hogy miért lehetnek ezek "lemaradásban". Vajon van benne valami szándékosság, vagy csak simán b.lf.szokodás ?

btw nyilván nem _csak_ és kizárólag abból áll a biztonság, hogy simán felrak az ember egy virusirtot és örül :)

( sj | 2016. 04. 07., cs – 21:41 )

akik víruskeresőkre bízzák a biztonságukat

spamszuro nelkul buko a dolog...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

formailag teljesen legitimnek tűnő

jol gondolom, hogy te spamassassin-on szocializalodtal? De mutass nehany real world ilyen levelet teljes fejleccel, es megmutatom neked...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

spamszűrő akkor működik (jó esetben), ha mass-ownage történik és sokezer helyre küldik ki - bénán, ugyanazt - a levelet, ugyanazzal a csatolmánnyal... ha csak egyetlen target megfertőzése a cél, akkor a spamszűrő nem sok mindent fog tudni kezdeni az egyedi levéllel és csatolmánnyal.

amint fentebb is mondtam, mielott messziremeno kovetlezteteseket vonnank le, en megneznek par ilyen levelet...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

De mit néznél meg? Ha valakit célirányosan akarnak megtámadni, akkor egy egyedileg regisztrált email címet (akár egyedi domainnel) használnak és egy elismert és megbízható levélküldő rendszerből küldik ki az emailt (akár gmail által).

Ráadásul semmi sem gátolja meg a levél küldőjét, hogy többször, több különböző módszerrel próbálkozzon. A spamszűrőnek elég csak egyszer átengedni valamelyik levelet...

Szóval nem, spamszűrőre bízni a biztonságot ugyanakkora hiba, mint víruskeresőkre...

Ha valakit célirányosan akarnak megtámadni, akkor egy egyedileg regisztrált email címet (akár egyedi domainnel) használnak és egy elismert és megbízható levélküldő rendszerből küldik ki az emailt (akár gmail által).

A gmail (vagy mas) mar miert lenne megbizhato levelkuldo? Eleg sok szemetet lattam mar onnan. Szoval csak mutasd meg azt a levelet.

Szóval nem, spamszűrőre bízni a biztonságot ugyanakkora hiba, mint víruskeresőkre...

vitatkoznek. A spamszuro + av cucc feladata megakadalyozni, hogy a malware beessen a user mailboxaba. De kivancsi vagyok, hogy ha te lennel egy erzekeny celszemely (ceo, ilyesmi), akkor mire biznad a biztonsagodat?

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Gmail helyett lehet teljesen saját bérlésű VPS + saját domain + saját email cím, ahonnan csak a célszemély számára megy ki levél. Azzal azért ne próbálj már meg vitatkozni, hogy ha valaki levelet akar küldeni valakinek és bármennyi próbálkozása lehet, akkor nem fog neki előbb-utóbb sikerülni. Értem én, hogy elfogult vagy spamszűrő témában, de azért érdemes lenne a realitás talaján maradni...

Spamszűrő továbbra is csak a tömeges kéretlen levelek ellen lehet működőképes és azok ellen lehet is használni, de mint biztonsági funkció, már a felvetés is vicces... Az AV pedig még a tömegesen terjesztett malwarek megakadályozására sem alkalmas, ahogy azt a mostani és a korábbi blog post is mutatja.

Az érzékeny célszemély biztonságát ilyen opt-in mintaillesztéses megoldásokra bízni kifejezetten bukás, ahogy arról a naponta megjelenő hírek is tanúskodnak. Még a tömegesen küldött crypto ransomwarekre sincs ilyen megoldás, nemhogy a targeted támadások ellen.

Hogy én mire bízom a biztonságot azt már korábban leírtam. Ilyen megoldásokra biztos nem, amelyek nagyságrendekkel növelik a támadási felületet, ahelyett, hogy csökkentenék azokat.

Azzal azért ne próbálj már meg vitatkozni, hogy ha valaki levelet akar küldeni valakinek és bármennyi próbálkozása lehet, akkor nem fog neki előbb-utóbb sikerülni.

de, megprobalok :-) Nem, nyilvan egy spamszuro sem 100%-os. Viszont - csak a gondolatkiserlet, meg a kivancsisag kedveert - mit teszel te (=a kuldo, aki most eppen berelt egy vps-t, sajat domain, sajat cim) azutan, hogy kikuldted a #1 masterpiece uberkiller trojai cuccot doc-ban, a cimzett mail szervere meg atvette? Hatradolsz, hogy beindult a gepezet, vagy elkuldod a #2, #3, ... #123456 valtozatat is a doc-nak?

Értem én, hogy elfogult vagy spamszűrő témában

az biztos, de ha valami spamben jon, akkor az elso gondolatom realisan is egy spamszuro.

Spamszűrő továbbra is csak a tömeges kéretlen levelek ellen lehet működőképes

ezt mondod te. En meg tovabbra is ketelkedem. De gondolom, meg mindig nem akarod megmutatni azt a levelet, amiben a fenti cucc jott :-)

Hogy én mire bízom a biztonságot azt már korábban leírtam.

hol is?

Ilyen megoldásokra biztos nem, amelyek nagyságrendekkel növelik a támadási felületet, ahelyett, hogy csökkentenék azokat.

olyanra en sem, de egy jo spamszuro biztos nem esik ebbe a kategoriaba...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Hatradolsz, hogy beindult a gepezet

Úgy szokták az ilyen célirányos támadásokat végrehajtani, hogy valamennyire létező, de távoli ismerős/partnercég nevében megy a levél és adott esetben fel van építve benne egy történet (-> Social Engineering), így ha elsőre nem is működne a támádás, akkor lehet újra próbálkozni és tovább görgetni a dolgokat.

nem akarod megmutatni azt a levelet

De milyen levelet mutassak meg? Nyilvánvaló, hogy engem nem célirányosan támadtak meg. Abban meg nincs vita köztünk, hogy az ilyen tömegével kiküldött spameket kilehet jó eséllyel szűrni. Ez a spam nekem is egy olyan címemre landolt, amelyikre kifejezetten csak spamek jönnek (saját identd által visszaadott fake usernév + domain), szóval nyilvánvaló volt, hogy mivel állok szemben.

De egy céltudatos támadó nem így fog bepróbálkozni, előtte profilozik és megpróbál minél többet kideríteni a targetről.

En meg tovabbra is ketelkedem.

Kételkedni kételkedhetsz, csak a tények mást mutatnak. Ilyen Social Engineering támadással sikeresen törtek be már a Googlehoz, az RSA Securityhez, a Lockheed Martinhoz és számos másik, kifejezetten a biztonságra sokat adó szervezethez. Pedig mindegyiknél volt tűzfal, IPS, spamszűrő, csuda víruskergető, DLP és mindenféle komolynak nevezett védelmi megoldás.

hol is?

Pl. itt.