AI Hacking - Hogyan használják a hackerek a mesterséges intelligenciát a kibertámadásokban?

Olvassa el most
A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.
Home/ Blog / Hogyan kezelje az e-mail mellékleteket?
Email Biztonság

Hogyan kezeli az e-mail mellékleteket?

a Rotzik János, műszaki marketing menedzser
Ossza meg ezt a bejegyzést

Új e-mail kampány PDF használatával fedezték fel

Az IBM szerint az e-mail biztonságnak kell a legfontosabb prioritást élveznie, mivel még mindig ez az első számú kiindulási támadási vektor az adatvédelmi incidenseknél. Ennek ellenére a kifinomult e-mailes támadások továbbra is hatékonyan szedik áldozataikat, kihasználva az emberi tényezőt, amely az idei évben az összes betörés 82%-ában szerepet játszott. Sajnos az elmúlt hónapban egy újabb, PDF mellékleteket használó rosszindulatú szoftver terjesztési kampányt azonosítottak, amelynek során a hackerek új módot találtak arra, hogy rosszindulatú szoftvereket csempésszenek az áldozatok eszközeire.

Ismételjük meg, hogyan hajtották végre a támadást

Az új kiberbűnözési kampány - amelyet a HP Wolf Security fedezett fel - a bizonytalan felhasználói viselkedést használta ki, hogy a Snake Keylogger-t PDF-fájlok segítségével terjessze a sebezhető végpontokra.

A fenyegető szereplők először egy "Remittance Invoice" (Átutalási számla) tárgyú e-mailt küldtek, hogy az áldozatokkal elhitessék, hogy valamiért fizetést kapnak. A PDF megnyitásakor az Adobe Reader egy beágyazott dokumentum - egy DOCX fájl - megnyitására szólította fel a felhasználót, ami gyanús lehet, de az áldozat számára meglehetősen zavaró, mivel a beágyazott dokumentum neve "ellenőrizve lett". Ez arra engedi következtetni az áldozatot, hogy a PDF-olvasó beolvasta a fájlt, és az készen áll a használatra.

Egy példa egy rosszindulatú Excel-fájlra

A Word fájl valószínűleg tartalmaz egy makrót, amely, ha engedélyezi, letölti a gazdag szöveges fájlt (RTF) a távoli helyről, és lefuttatja azt. A fájl ezután megpróbálja letölteni a Snake Keylogger malware-t.

Ahhoz, hogy a támadás sikeres legyen, a célzott végpontoknak továbbra is sebezhetőnek kell lenniük egy adott hibával szemben. Ezúttal azonban a támadók nem küldték el a rosszindulatú kódot, hanem rávették az áldozatot annak letöltésére, megkerülve az észlelésen alapuló átjáróvédelmet.

A kiberbiztonsági közösség úgy véli, hogy a biztonsági rések nagy része elkerülhető lett volna. A jelenlegi hibát például 2017-ben azonosították, és a mostani támadássorozat megelőzhető lett volna, ha minden eszközkezelő naprakészen tartja operációs rendszerét.

A Verizon DBIR szerint a vállalati információkhoz négy fő útvonal vezet: a hitelesítő adatok, az adathalászat, a sebezhetőségek kihasználása és a botnetek. Ha csak az egyik elemet sem sikerül blokkolni, az hálózati behatoláshoz vezethet. Ebben az esetben a támadók két elemet használtak a támadáshoz: egy jól koreografált e-mailes adathalász átverést a gyanútlan felhasználók megtévesztésére és egy sebezhetőség kihasználását rosszindulatú fájlok telepítésére.

Gyakran alkalmazott védelmi intézkedések

Mivel az új kiberbűnözési kampány e-mailben, PDF-fájlokon keresztül terjesztette a Snake Keylogger-t a sebezhető végpontokra, a legjobb biztonsági gyakorlatok a következő okok miatt nem működtek volna megfelelően:

  • A sebezhetőségek kihasználása napokon belül kiderül, de a szervezetek számára hetekbe - vagy hónapokba - telik a javítás.
  • A hagyományos e-mail biztonsági megoldások nehezen tudják megakadályozni a nulladik napi támadásokat, mivel nem léteznek vírusirtók, amelyek felismernék azokat.
  • Sandbox megoldások jelentek meg a fejlett fenyegetések észlelésének egyik megközelítéseként, de ezek nem alkalmasak az e-mailekhez, mivel a kézbesítés előtt további feldolgozási időt vesznek igénybe.
  • A termelékenységre gyakorolt negatív hatáson túlmenően bizonyos e-mail biztonsági fenyegetések elkerülhetik a homokdobozok észlelését. Ebben az esetben ezt a két módszert alkalmazták:


    • Művelet-késleltetett végrehajtás

      • Ha a hackerek biztosak akarnak lenni abban, hogy a rosszindulatú programjuk nem homokozó környezetben fut, akkor egy másik gyakori megközelítés a végfelhasználói interakció megvárása. Ez lehet az egérkattintás, a billentyűzeten történő gépelés vagy egy adott alkalmazás megnyitása - a lehetőségek száma szinte korlátlan. A támadó számára az a fontos, hogy a sandbox megoldások nem tudják figyelembe venni ezeket a műveleteket. Ilyen felhasználói akciók nélkül a homokdoboz megoldások nem képesek felismerni ezeket a támadásokat.

    • Trójaiak és makrók

      • A trójai fájlok majdnem olyan régiek, mint az ókori Görögország, így a vírusirtók és a homokozóvédelmi megoldások dicséretére legyen mondva, hogy elég sokféle trójai fájltípus felismerésére képesek. A felismerésen alapuló megoldások általában kudarcot vallanak, amint a kártevő elrejtőzik a makroképes Microsoft Office-dokumentumokban. A makróalapú támadások egyetlen hátránya a támadók számára, hogy a végfelhasználónak kell engedélyeznie őket, így gyakran társas mérnöki támadással is járnak.

A zéró bizalom filozófiája

A szervezeteknek azt kell feltételezniük, hogy minden e-mail és melléklet rosszindulatú. Az általános termelékenységi fájlok, például a Word-dokumentumok vagy PDF-ek fertőzöttek lehetnek rosszindulatú szoftverekkel és nulladik napi támadásokkal, de nem reális az e-mailekhez vagy Word-dokumentumokhoz való hozzáférés blokkolása. A vírusirtó és a sandbox megoldások csak korlátozottan képesek felismerni a fejlett támadásokat. Amint azt a fenti támadásnál láttuk, a kizárólag észlelésen alapuló védelem alkalmazása alapvetően rossz megközelítés. Ehelyett a szervezeteknek a zéró bizalomra épülő biztonsági megközelítést kell alkalmazniuk egy olyan proaktív megoldással, amely minden fájlt rosszindulatúnak tekint, és valós időben tisztítja azokat. Az ilyen szanált mellékleteket azonnal el lehet juttatni a felhasználóhoz, így nem akadályozza az üzleti termelékenységet, miközben a háttérben időt hagy a további észlelésalapú (vagy dinamikus) elemzésre, amely, ha sikeres, akár az eredeti fájlt is elküldheti a felhasználónak.

MetaDefenderPDF beállításai

MetaDefender Email Security egy ilyen megoldás. Átfogó megközelítést kínál a csatolmányok, e-mail testek és fejlécek hatástalanítására, eltávolítva az összes potenciálisan rosszindulatú tartalmat, és tiszta fájlként rekonstruálva azt. Így ezek a fájlok teljes mértékben használhatóak és biztonságosak, megfelelő védelmet nyújtva a bizonytalan felhasználók számára a fent leírt támadásokkal szemben.

OPSWAT megvédi a szervezeteket az exploitoktól és a fegyverként használt tartalomtól, anélkül, hogy észlelésre lenne szükség. Ráadásul 30-szor gyorsabb, mint a homokdobozos észlelés!

Ha többet szeretne megtudni arról, hogyan töltheti ki az e-mail biztonsági réseket, hogy megvédje szervezetét a fejlett fenyegetésektől, töltse le ingyenes fehér könyvünket, a "Legjobb gyakorlatok a Email Security és a kritikus infrastruktúrák védelméhez" címűt, vagy olvasson el több blogot a témában itt.

Kapcsolat OPSWAT még ma, és kérdezze meg tőlünk, hogyan segíthetünk javítani az e-mail biztonságát.

Legutóbbi hozzászólások

Iratkozzon fel az OPSWAT hírlevélre

Kapja meg az OPSWAT legfrissebb vállalati frissítéseit, valamint eseményinformációkat és az iparágat előrevivő hírekről.
Sign Me Up

Kövessen minket a közösségi oldalakon Media

Kövesse az OPSWAT oldalt a LinkedIn-en, Facebookon, Twitteren és YouTube-on!

Maradjon naprakész az OPSWAT oldalon!

Iratkozzon fel még ma, hogy értesüljön a vállalat legfrissebb híreiről, történetekről, eseményinformációkról és sok másról.
Feliratkozás