SAMS - System Analysis of eMail messageS

32
Мониторинг и анализ почтовых сообщений или инструмент обнаружения кибер-атак на коленке Алексей Карябкин Павел Грачев

Transcript of SAMS - System Analysis of eMail messageS

Page 1: SAMS - System Analysis of eMail messageS

Мониторинг и анализ почтовых сообщений

или инструмент обнаружения кибер-атак

на коленке

Алексей Карябкин

Павел Грачев

Page 2: SAMS - System Analysis of eMail messageS

Кто они?

2

МЫ …

Page 3: SAMS - System Analysis of eMail messageS

• Спам

• Фишинг

• Scam/Spear-фишинг

Вредоносные рассылки

Угрозы ИБ

3

Page 4: SAMS - System Analysis of eMail messageS

• Единая точка входа

• Широкие возможности эффективного достижения цели

Очень динамичны:

• Быстрая смена адресов отправителей

• Высокая территориальная распределенность источников рассылки (разные IP)

Популярно и эффективно

4

Page 5: SAMS - System Analysis of eMail messageS

высококвалифицированные

невнимательные

пользователи

Зона риска

5

Page 6: SAMS - System Analysis of eMail messageS

Классические меры защиты малоэффективны:

• Сигнатурный сканер АВЗ

• Средства Анти-спам

• Контекстные фильтры

• Black-листы

• Вредоносные рассылки

Классика жанра

6

Page 7: SAMS - System Analysis of eMail messageS

Меры реагирования:

• Мультисканнер

• Поведенческий анализ

• Репутационная база и корреляция

• Применение оперативных IOCs и фидов TI

• Оперативные меры защиты

• Повышение осведомленности пользователей (постоянно)

Адекватный ответ

7

Page 8: SAMS - System Analysis of eMail messageS

Современные и динамичные средства

противодействия кибер-атакам

• etc…

Рынок решений

8

Page 9: SAMS - System Analysis of eMail messageS

Существенные недостатки

• Маркетинг -> скрывает сырость решений

• Высокая готовность -> требует существенных затрат

• Лицензионные ограничения полета фантазии и области применения -> влекут снова затраты

Ахиллесова пята

9

Page 10: SAMS - System Analysis of eMail messageS

…все равно дорого!

Бизнес-общение

10

Page 11: SAMS - System Analysis of eMail messageS

System Analysis of eMail messageS (SAMS)

Цели и задачи:

• Автоматизация процесса обработки и анализа внешних входящих писем, содержащих во вложении потенциально небезопасные файлы

• Выявление и оперативное реагирование на неизвестные угрозы, поддержка СЗИ;

• Сбор и агрегации индикаторов для их применения в СЗИ и средствах мониторинга.

Концепт-идея

11

Page 12: SAMS - System Analysis of eMail messageS

Слабо!?

Грандиозная цель поставлена!!!

Что будем кодить?

Концепт-идея

12

Page 13: SAMS - System Analysis of eMail messageS

Архитектура решения

13

Page 14: SAMS - System Analysis of eMail messageS

Реализация в жизни

14

Page 15: SAMS - System Analysis of eMail messageS

Реализация в жизни

15

Page 16: SAMS - System Analysis of eMail messageS

Возможности SAMS:

• Обработка и фильтрация писем по определенным признакам;

• извлечение и идентификация типов вложений;

• просмотр и распаковка архивных файлов;

• статический и динамический анализ:

- ClamAV (Касперский Антивирус и Др.Веб*)

- Yara

- Cuckoo Sandbox

• проверка индикаторов в публичных агрегаторах IOCs:

- TotalHash

- VirusTotal

- ThreatExpert

Функционал

16

Фильтрация по исполняемым файлам:

• exe, scr, js, vbs, bat, cmd, com, class, jar, lnk, pif, hta, wsf

Поддержка типов архивных файлов:

• rar, zip, tar, gzip (tgz, gz, bz2), 7z, cab*, arj*, ace*

Сбор и агрегация индикаторов:

• IOCs DB

• Incidents DB

Page 17: SAMS - System Analysis of eMail messageS

Применение решения позволило:

• повысить осведомленность SOC о вредоносных объектах попадающих в периметр

• консолидировать информацию об угрозах

• своевременно предпринимать меры реагирования или предупреждения инцидентов

Профит

17

Page 18: SAMS - System Analysis of eMail messageS

Массовые рассылки

• случайные

в основном за счет утекших данных об адресах(в результате вирусного заражения, спам-рассылок, регистрация в публичных сервисах и т.п.)

• нацеленные

используется целевой контент для убеждения пользователей, что получено значимое письмо требующее подробного ознакомления с вложением

Природа атак

18

Page 19: SAMS - System Analysis of eMail messageS

• Извлекался в %AppData%\Microsoft\VC\

• Использует антиотладочные и антипесочные механизмы.

• Владеет списком имен определенных ПК, на которых не запускается

• Имеет около 20 команд.

• Активное общение с определенным C2

Пример целевой атаки

19

Page 20: SAMS - System Analysis of eMail messageS

Убойные цепочки

20

Page 21: SAMS - System Analysis of eMail messageS

Продолжение

21

Page 22: SAMS - System Analysis of eMail messageS

Смена тактики

22

Page 23: SAMS - System Analysis of eMail messageS

Обхода средств защиты и фильтрации почтового трафика:

• Применение различной кодировки

поле From

поле Subject

Наименование файлов

• Отсутствие полей

Обход СЗИ и TTP

23

Page 24: SAMS - System Analysis of eMail messageS

• использование составных имен файлов, содержащих генерируемые ID:

• подмена расширений вложений (в основном архивных вложений)

Обход СЗИ и TTP

24

Page 25: SAMS - System Analysis of eMail messageS

• Используют несколько типов ВПО или разные архивы одновременно

Обход СЗИ и TTP

25

Page 26: SAMS - System Analysis of eMail messageS

• использование LNK-файлов

Обход СЗИ и TTP

26

Page 27: SAMS - System Analysis of eMail messageS

Так же используют:

• облачные сервисы

• прямые ссылки в теле письма на архивные файлы с взломанных ресурсов

• кодирование полезной нагрузки в теле скриптов (Base64)

Использование JS

• использование офисных документов в качестве контейнеров:

Эксплойт с последующей загрузкой ВПО

Макросы

Активные объекты

Обход СЗИ и TTP

27

Page 28: SAMS - System Analysis of eMail messageS

Отчет и уведомление

28

Page 29: SAMS - System Analysis of eMail messageS

WEB UI

29

Page 30: SAMS - System Analysis of eMail messageS

WEB UI

30

Page 31: SAMS - System Analysis of eMail messageS

Дзен

31

«Сделать технологии обеспечения защиты более открытыми и доступными»

Page 32: SAMS - System Analysis of eMail messageS

[email protected]

https://github.com/mboxk3team/SAMSproject

Спасибо

32


9 Tips for Getting Your Marketing Email Messages Opened … · 9 Tips for Getting Your Marketing Email Messages Opened & Read ... Questions to Ask Your Email Service Provider ...

9 Tips for Getting Your Marketing Email Messages Opened … · 9 Tips for Getting Your Marketing Email Messages Opened & Read ... Questions to Ask Your Email Service Provider ...

Effective Email Messages

Effective Email Messages

Stop Sending Email! Start Sending Multi-channel messages that matter

Stop Sending Email! Start Sending Multi-channel messages that matter

Email Messages Guide - Vanderbilt University

Email Messages Guide - Vanderbilt University

What is Email? Email, or electronic mail, is a method of exchanging digital messages from an author to one or more recipients These messages can include.

What is Email? Email, or electronic mail, is a method of exchanging digital messages from an author to one or more recipients These messages can include.

Stochastic Analysis, Modeling, and Simulation (SAMS ...projects-web.engr.colostate.edu/Sams-CSU-USBR/SAMS/... · i Stochastic Analysis, Modeling, and Simulation (SAMS) Version 2007

Stochastic Analysis, Modeling, and Simulation (SAMS ...projects-web.engr.colostate.edu/Sams-CSU-USBR/SAMS/... · i Stochastic Analysis, Modeling, and Simulation (SAMS) Version 2007

effective email,memorandum and messages

effective email,memorandum and messages

Email Marketing : The Best Possible Solution To Broadcast Your Brand Messages.

Email Marketing : The Best Possible Solution To Broadcast Your Brand Messages.

Outreach Projects for Lake Groups - UWSP...Email Flash Messages Email Flash Messages o Sign-up for an association email addres - Gmail, Yahoo, AOL … o Build a “group” email list

Outreach Projects for Lake Groups - UWSP...Email Flash Messages Email Flash Messages o Sign-up for an association email addres - Gmail, Yahoo, AOL … o Build a “group” email list

Business Writing How to Write Effective Email (and other messages)

Business Writing How to Write Effective Email (and other messages)

Sams Story

Sams Story

Video Messages That Break Through Email Clutter · 2019-12-11 · Video Messages That Break Through Email Clutter Create, Share, and Track— It’s That Simple! Stand Out Every Day

Video Messages That Break Through Email Clutter · 2019-12-11 · Video Messages That Break Through Email Clutter Create, Share, and Track— It’s That Simple! Stand Out Every Day

SAMS Brochure

SAMS Brochure

Physics SAMS

Physics SAMS

Email & Text Messages (SMS) Relay

Email & Text Messages (SMS) Relay

Apptix Email Administrator Guide · In the E-mail address input box, type the email address to which you would like to forward messages. If you wish to leave a copy of the email messages

Apptix Email Administrator Guide · In the E-mail address input box, type the email address to which you would like to forward messages. If you wish to leave a copy of the email messages

An Overview of Webmail - WidomakerAddressing email messages to contacts There are several ways to use the Address Book to address email messages. Click Mail and then click Compose

An Overview of Webmail - WidomakerAddressing email messages to contacts There are several ways to use the Address Book to address email messages. Click Mail and then click Compose

Windows Live Hotmail Permits You to Send and Receive Email Messages

Windows Live Hotmail Permits You to Send and Receive Email Messages

Hard Time Creating Email Messages? Try 10 Ideas!

Hard Time Creating Email Messages? Try 10 Ideas!

The Mimecast Email Security Risk Assessment Quarterly ......were spam email messages. In general, spam email messages are annoying and time wasting, but not lethal. However, as you

The Mimecast Email Security Risk Assessment Quarterly ......were spam email messages. In general, spam email messages are annoying and time wasting, but not lethal. However, as you