По следам «спама на снегоступах»

Время от времени в поле зрения специалистов Cisco попадают любопытные спам-атаки. Так, 15 августа мы зафиксировали атаку с применением тактики «спам на снегоступах» (snowshoe spam attack) в сочетании с PDF-эксплойтом. («Спам на снегоступах» - это вид децентрализованной спам-атаки, когда сообщения рассылаются с большого количества IP-адресов отправителей подобно тому, как вес человека равномерно распределяется по всей площади снегоступа).
 
Сами по себе эти приемы не новы, но в последнее время злоумышленники все чаще прибегают к атакам такого типа.

Не всякий метод обнаружения спама может справиться с атаками подобного типа: злоумышленники обычно используют множество IP-адресов, причем с каждого адреса приходит лишь небольшой объем спама. В некоторых системах защиты этот фактор может сильно затруднить выявление атаки. Как правило, в борьбе со «спамом на снегоступах» выигрывают технологии многоуровневой защиты, такие как Cisco ESA. (Этим технологиям посвящена предыдущая запись в блоге).
 
Спам-сообщения
Хотя в описываемой атаке использовалось большое количество IP-адресов, рассылаемые сообщения вызывают подозрения сами по себе из-за некоторых характерных для спама особенностей заголовков и тела письма. В поле «Тема» указано что-нибудь вроде «inovice 2921411.pdf», причем номер сгенерирован случайным образом, а слово inovice — не что иное, как искаженное invoice (счет). Поле «Отправитель» меняется от письма к письму, но обычно содержит необычные строки символов, такие как EOF, endobj и endstream. Сообщения имели вложения в виде PDF-файла, а тело письма было пустым или совсем коротким, содержащим призыв скачать и открыть прикрепленный файл.

В процессе изучения вложений было замечено, что все эти PDF-файлы одинаковы. Единственное небольшое различие состоит в том, что в названии вложенного файла присутствует случайное число, совпадающее с числом из темы каждого письма. Быстрый анализ с использованием системы усиленной защиты от вредоносного кода Cisco Advanced Malware Protection (AMP)  тут же распознал PDF-файл (SHA-256: 2562f92cc72a0217ab58f402d529098246a57267940dc53783ae9a71c8717425) как троянскую программу, использующую уязвимость CVE-2013-2729 (возможность переполнения буфера при обработке целых чисел, свойственная программе Adobe Reader версий 9.x, 10.x и 11.x).

Другой интересной особенностью этой спам-атаки был ее молниеносный характер. Наблюдаемая атака длилась в общей сложности всего часа три, но и за это время она однажды почти достигла 10% от общего объема входящего спама.
 
Блокирование «спама на снегоступах»

Для борьбы со «спамом на снегоступах» существует несколько обобщенных методов. Один из самых надежных — полагаться не только на репутацию отправителя. По сравнению со склонной к изменениям инфраструктурой DNS (особенно при использовании таких технологий, как динамический DNS), IP-инфраструктура довольно стабильна. В рассматриваемой атаке большинство сообщений было отправлено с различных IP-адресов (классический «спам на снегоступах»). На веб-странице http://blogs.cisco.com/wp-content/uploads/rq769-ip-addrs.txt приведен список из примерно 250 IP-адресов, использовавшихся при проведении данной атаки.

«Спам-атаки на снегоступах» придуманы специально для того, чтобы обойти алгоритмы, основанные на метриках репутации IP-адреса отправителя. Обратите внимание на изобилие IP-адресов, вовлеченных в эту конкретную атаку: коэффициент повторного использования IP-инфраструктуры ничтожно мал. Однако судить о том, заслуживает ли доверия источник сообщения, можно по некоторым другим факторам — например, по уровню безопасности конфигурации почтового сервера. У многих IP-адресов, задействованных в рассматриваемой спам-атаке, отсутствовало соответствие между прямыми и обратными зонами DNS (настоящая черная метка для любого отправителя, не являющегося легитимным почтовым сервером). Ко всему прочему, многие из этих IP-адресов в рассылке спама ранее замечены не были. Это указывало на то, что организаторы атаки, скорее всего, нарушали безопасность компьютеров с четкой целью интегрировать их в создаваемую инфраструктуру «спам-атак на снегоступах» и впоследствии использовать для распространения спама.

Cisco предлагает многоуровневую почтовую защиту, способную эффективно противостоять данной угрозе. В результате, благодаря сочетанию различных технологий, вероятность успеха атаки типа «спам на снегоступах» заметно снижается. Cisco использует такие решения, как фильтры первой линии защиты Outbreak Filters, ловушки для спама и модуль сканирования почты Intelligent Multi Scan. Кроме того, анализируя информацию о DNS-инфраструктуре спамеров, решения Cisco в упреждающем режиме определяют потенциальные источники проблем. Система AMP помогает обнаруживать вредоносные почтовые вложения еще до того, как они смогут затаиться в сети. При совместном использовании эти технологии выявления атак образуют непревзойденный уровень защиты.
 
Индикаторы компрометации
Хэш PDF-файла (SHA-256): 2562f92cc72a0217ab58f402d529098246a57267940dc53783ae9a71c8717425.
 
Заключение

Атаки с использованием PDF-файлов, выдаваемых за инвойсы, — довольно распространенная угроза. Cisco постоянно приходится защищать от нее своих заказчиков. Стремительный характер рассматриваемой спам-атаки, возможно, объясняется попыткой избежать обнаружения. И хотя эта угроза похожа на уже известные типы атак, наблюдаемые нами случаи показали, что она доставит пользователям еще немало проблем. К сожалению, те, кто не следят за обновлением своих систем, не используют технологии информационной безопасности или открывают почтовые вложения от неизвестных отправителей, останутся уязвимыми для такого типа угроз. В то время как другие средства защиты электронной почты, в значительной мере полагающиеся на репутацию отправителя, могут оказаться бессильными перед «спамом на снегоступах», Cisco ESA применяет целый ряд методик для обнаружения и моментальной нейтрализации атак.
 
Как защитить пользователей

Веб-сканирование с помощью решений Cisco CWS или WSA предотвратит загрузку вредоносных файлов данного типа.

Защита сети, обеспечиваемая системами предотвращения вторжений (IPS) и межсетевыми экранами следующего поколения (NGFW), идеально подходит для выявления и блокирования попыток вредоносных программ поддерживать связь со своими центрами управления и контроля.

Система AMP как нельзя лучше подходит для выявления и блокирования комплексных угроз такого типа. Cisco ESA выявляет и блокирует подобные атаки, распространяемые по электронной почте.