כיצד אתם מטפלים בקבצים מצורפים למייל?

התגלה קמפיין דוא"ל חדש המשתמש ב-PDF

אבטחת דוא"ל צריכה להיות בראש סדר העדיפויות, שכן היא עדיין וקטור ההתקפה הראשוני מספר אחת לפריצות נתונים, על פי IBM. למרות זאת, התקפות דוא"ל מתוחכמות ממשיכות ביעילות לגבות קורבנותיהן, תוך ניצול הגורם האנושי, שהיה מעורב ב -82% מכלל הפריצות השנה . לרוע המזל, זוהה בחודש האחרון קמפיין הפצת תוכנות זדוניות נוסף באמצעות קבצי PDF מצורפים, כאשר האקרים מצאו דרך חדשה להבריח תוכנות זדוניות למכשירי הקורבנות.

בואו נסכם כיצד בוצעה ההתקפה

קמפיין פשעי הסייבר החדש - שהתגלה על ידי HP Wolf Security - מינף התנהגות משתמשים לא ודאית, כדי להפיץ את תוכנת Snake Keylogger לנקודות קצה פגיעות באמצעות קבצי PDF.

גורמי האיום שלחו תחילה אימייל תחת הנושא "חשבונית תשלום", כדי להערים על הקורבנות לחשוב שהם יקבלו תשלום עבור משהו. כאשר נפתח קובץ ה-PDF, Adobe Reader ביקש מהמשתמש לפתוח מסמך מוטמע - קובץ DOCX - דבר שעלול להיות חשוד אך מבלבל למדי עבור הקורבן, מכיוון שהמסמך המוטמע נקרא "אומת". זה גורם לקורבן לחשוב שקורא ה-PDF סרק את הקובץ והוא מוכן לשימוש.

סביר להניח שקובץ ה-Word מכיל מאקרו שאם יופעל, יוריד את קובץ הטקסט העשיר (RTF) מהמיקום המרוחק ויפעיל אותו. לאחר מכן, הקובץ ינסה להוריד את תוכנת ה-Snake Keylogger.

כדי שההתקפה תצליח, נקודות הקצה הממוקדות עדיין חייבות להיות פגיעות לפגם נתון. עם זאת, הפעם התוקפים לא שלחו את הקוד הזדוני, אלא רימו את הקורבן להוריד אותו, תוך עקיפת הגנות שער מבוססות זיהוי.

קהילת אבטחת הסייבר מאמינה כי רבות מפרצות האבטחה היו ניתנות למניעה. לדוגמה, הפגם הנוכחי זוהה בשנת 2017 ואת סדרת המתקפות האחרונות ניתן היה למנוע אם כל מנהלי המכשירים היו מעודכנים את מערכות ההפעלה שלהם .

לפי DBIR של ורייזון , ישנן ארבע נתיבי חדירה עיקריים למידע ארגוני: אישורים, פישינג, ניצול פגיעויות ובוטנטים. אי חסימה של אלמנט אחד בלבד עלולה להוביל לפריצות לרשת. במקרה זה, התוקפים השתמשו בשני אלמנטים לתקיפה: הונאת פישינג מתוכננת היטב בדוא"ל כדי להטעות משתמשים תמימים, ופגיעות מנוצלת כדי להתקין קבצים זדוניים.

אמצעי הגנה נפוצים

מאחר וקמפיין פשעי הסייבר החדש השתמש בדוא"ל כדי להפיץ את תוכנת Snake Keylogger לנקודות קצה פגיעות באמצעות קבצי PDF, שיטות העבודה המומלצות לא היו פועלות כראוי מהסיבות הבאות:

• ניצול נקודות תורפה צץ תוך ימים, אך לוקח לארגונים שבועות - או חודשים - לתקן אותן.
• פתרונות אבטחת דוא"ל מסורתיים מתקשים למנוע התקפות יום אפס מכיוון שאין חתימות אנטי-וירוס לזיהוין.
• Sandbox פתרונות צצו כגישה אחת לגילוי איומים מתקדם, אך הם אינם מתאימים במיוחד לדוא"ל מכיוון שהם מוסיפים זמן עיבוד נוסף לפני המסירה.
• מעבר להשפעה השלילית על הפרודוקטיביות, איומי אבטחה מסוימים בדוא"ל עלולים להתחמק מזיהוי בארגז חול. במקרה זה יושמו שתי השיטות הבאות:

  
  

  • ביצוע מושהה

  אם האקרים רוצים לוודא שהתוכנה הזדונית שלהם לא תפעל בסביבת ארגז חול, גישה נפוצה נוספת היא להמתין לאינטראקציה של משתמש הקצה. זה יכול להיות לחיצת עכבר, הקלדה במקלדת או פתיחת יישום ספציפי - האפשרויות הן כמעט בלתי מוגבלות. הדבר החשוב לתוקף הוא שפתרונות ארגז חול אינם יכולים להתחשב בפעולות אלו. ללא פעולה כזו של המשתמש, פתרונות ארגז חול אינם יכולים לזהות את ההתקפות הללו.

  • סוסים טרויאניים ומקרואים

  קבצי טרויאנים עתיקים כמעט כמו יוון העתיקה, כך שלפתרונות אנטי-וירוס ו-sandbox ייאמר שהם יכולים לזהות לא מעט סוגים של קבצי טרויאנים. פתרונות מבוססי זיהוי נוטים להיכשל ברגע שהתוכנה הזדונית מוסתרת במסמכי Microsoft Office התומכים במאקרו. החיסרון היחיד של התקפות מבוססות מאקרו עבור תוקפים הוא שהן דורשות מהמשתמש הקצה להפעיל אותן, ולכן הן מלוות לעתים קרובות בהתקפת הנדסה חברתית.

פילוסופיית אפס האמון

ארגונים צריכים להניח שכל האימיילים והקבצים המצורפים הם זדוניים. קבצי פרודוקטיביות נפוצים, כגון מסמכי Word או קבצי PDF, עשויים להיות נגועים בתוכנות זדוניות ובתקיפות יום אפס, אך לא מציאותי לחסום גישה לדוא"ל או למסמכי Word. פתרונות אנטי-וירוס ו"ארגז חול" מוגבלים ביכולתם לזהות התקפות מתקדמות. כפי שראינו עם ההתקפה לעיל, שימוש בהגנה מבוססת זיהוי בלבד הוא גישה שגויה מיסודה. במקום זאת, ארגונים צריכים לאמץ גישת אבטחה של אפס אמון עם פתרון פרואקטיבי שמתייחס לכל הקבצים כזדוניים ומנקה אותם בזמן אמת . קבצים מצורפים שעברו חיטוי כאלה יכולים להימסר באופן מיידי למשתמש, ובכך לא לפגוע בפריון העסקי, בעוד שהם ברקע מאפשרים זמן לניתוח נוסף מבוסס זיהוי (או דינמי), שאם יצליח, יכול אפילו לשלוח את הקובץ המקורי למשתמש.

Email Security MetaDefender היא פתרון כזה. היא מספקת גישה מקיפה לנטרול קבצים מצורפים, גופי הודעות דוא"ל וכותרות, על ידי הסרת כל התוכן שעלול להיות זדוני ושחזורו כקובץ נקי. לפיכך, קבצים אלה שמישים ומאובטחים במלואם, ומספקים הגנה נאותה למשתמשים לא מאובטחים מפני ההתקפות שתוארו לעיל.

OPSWAT מגן על ארגונים מפני פרצות ותכנים נשקיים ללא צורך בזיהוי. והוא גם מהיר פי 30 מזיהוי ארגז חול !

אם ברצונכם ללמוד עוד על האופן שבו תוכלו למלא פערים באבטחת דוא"ל כדי להגן על הארגון שלכם מפני איומים מתקדמים, הורידו את המסמך הטכני החינמי שלנו, " שיטות עבודה מומלצות Email Security והגנה על תשתית קריטית ", או קראו בלוגים נוספים בנושא כאן .

צרו קשר עם OPSWAT עוד היום ושאלו אותנו כיצד נוכל לעזור לכם לשפר את אבטחת הדוא"ל שלכם.