The automatic analysis of emails containing malware

1. Мониторинг и анализ
почтовых сообщений
или инструмент обнаружения кибер-атак
на коленке
Алексей Карябкин
Павел Грачев

2. Кто они?
2
МЫ
…

3. • Спам
• Фишинг
• Scam/Spear-фишинг
Вредоносные рассылки
Угрозы ИБ
3

4. • Единая точка входа
• Широкие возможности эффективного
достижения цели
Очень динамичны:
• Быстрая смена адресов отправителей
• Высокая территориальная
распределенность источников рассылки
(разные IP)
Популярно и эффективно
4

5. высококвалифицированные
невнимательные
пользователи
Зона риска
5

6. Классические меры защиты малоэффективны:
• Сигнатурный сканер АВЗ
• Средства Анти-спам
• Контекстные фильтры
• Black-листы
• Вредоносные рассылки
Классика жанра
6

7. Меры реагирования:
• Мультисканнер
• Поведенческий анализ
• Репутационная база и корреляция
• Применение оперативных IOCs и фидов TI
• Оперативные меры защиты
• Повышение осведомленности пользователей (постоянно)
Адекватный ответ
7

8. Современные и динамичные средства
противодействия кибер-атакам
• etc…
Рынок решений
8

9. Существенные недостатки
• Маркетинг -> скрывает сырость решений
• Высокая готовность -> требует существенных затрат
• Лицензионные ограничения полета фантазии и области
применения -> влекут снова затраты
Ахиллесова пята
9

10. …все равно дорого!
Бизнес-общение
10

11. System Analysis of eMail messageS (SAMS)
Цели и задачи:
• Автоматизация процесса обработки и анализа внешних входящих
писем, содержащих во вложении потенциально небезопасные
файлы
• Выявление и оперативное реагирование на неизвестные угрозы,
поддержка СЗИ;
• Сбор и агрегации индикаторов для их применения в СЗИ и
средствах мониторинга.
Концепт-идея
11

12. Слабо!?
Грандиозная цель поставлена!!!
Что будем кодить?
Концепт-идея
12

13. Архитектура решения
13

14. Реализация в жизни
14

15. Реализация в жизни
15

16. Возможности SAMS:
• Обработка и фильтрация писем по
определенным признакам;
• извлечение и идентификация типов вложений;
• просмотр и распаковка архивных файлов;
• статический и динамический анализ:
- ClamAV (Касперский Антивирус и Др.Веб*)
- Yara
- Cuckoo Sandbox
• проверка индикаторов в публичных агрегаторах
IOCs:
- TotalHash
- VirusTotal
- ThreatExpert
Функционал
16
Фильтрация по исполняемым
файлам:
• exe, scr, js, vbs, bat, cmd, com,
class, jar, lnk, pif, hta, wsf
Поддержка типов архивных файлов:
• rar, zip, tar, gzip (tgz, gz, bz2), 7z,
cab*, arj*, ace*
Сбор и агрегация индикаторов:
• IOCs DB
• Incidents DB

17. Применение решения позволило:
• повысить осведомленность SOC о вредоносных объектах
попадающих в периметр
• консолидировать информацию об угрозах
• своевременно предпринимать меры реагирования или
предупреждения инцидентов
Профит
17

18. Массовые рассылки
• случайные
в основном за счет утекших данных об адресах(в результате
вирусного заражения, спам-рассылок, регистрация в публичных
сервисах и т.п.)
• нацеленные
используется целевой контент для убеждения пользователей, что
получено значимое письмо требующее подробного ознакомления
с вложением
Природа атак
18

19. • Извлекался в %AppData%MicrosoftVC
• Использует антиотладочные и антипесочные механизмы.
• Владеет списком имен определенных ПК, на которых не запускается
• Имеет около 20 команд.
• Активное общение с определенным C2
Пример целевой атаки
19

20. Убойные цепочки
20

21. Продолжение
21

22. Смена тактики
22

23. Обхода средств защиты и фильтрации почтового трафика:
• Применение различной кодировки
поле From
поле Subject
Наименование файлов
• Отсутствие полей
Обход СЗИ и TTP
23

24. • использование составных имен файлов, содержащих
генерируемые ID:
• подмена расширений вложений (в основном архивных
вложений)
Обход СЗИ и TTP
24

25. • Используют несколько типов ВПО или разные архивы
одновременно
Обход СЗИ и TTP
25

26. • использование LNK-файлов
Обход СЗИ и TTP
26

27. Так же используют:
• облачные сервисы
• прямые ссылки в теле письма на архивные файлы с взломанных
ресурсов
• кодирование полезной нагрузки в теле скриптов (Base64)
Использование JS
• использование офисных документов в качестве контейнеров:
Эксплойт с последующей загрузкой ВПО
Макросы
Активные объекты
Обход СЗИ и TTP
27

28. Отчет и уведомление
28

29. WEB UI
29

30. WEB UI
30

31. Дзен
31
«Сделать технологии обеспечения защиты
более открытыми и доступными»

32. mboxk3@gmail.com
https://github.com/mboxk3team/SAMSproject
Спасибо
32