Опечатка как угроза информационной безопасности

Опечатка как угроза информационной безопасности

Домены-двойники - в общем-то, довольно известная угроза. Многим пользователям приходил спам со ссылками на сайты наподобие odnokiassniki.ru или vkonjakte.ru, а случайная опечатка при наборе адреса во ряде случаев способна вывести ничего не подозревающую жертву на ресурс с вредоносной нагрузкой. Однако, помимо распространения вирусов, такие домены могут служить и для шпионажа.


Аналитики из организации Godai Group решили провести исследование и узнать, насколько реальна угроза утечки конфиденциальных корпоративных сведений посредством электронной почты - в результате описок и упущений при написании доменов. Например, у какой-либо компании может быть почтовый домен @mail.company.com; совсем не трудно пропустить точку и набрать @mailcompany.com, тем самым направив письмо не туда. Атаки такого рода могут быть двух видов: активные (попытка обмануть жертву и заставить ее послать письмо по адресу, очень похожему на настоящий) и пассивные (зарегистрировать домен-двойник, спокойно сидеть и собирать всю корреспонденцию, случайно отправляемую на него в результате вышеупомянутых описок). Исследователи Godai Group предпочли проверить второй способ.

Для этого они взяли список крупнейших компаний США Fortune 500 и проанализировали используемые ими почтовые домены. Выяснилось, что примерно 30% из них (151, если быть точным) потенциально подвержены таким нападениям: при ручном наборе адреса относительно легко допустить ошибку наподобие описанной выше. Собрав сведения, исследователи зарегистрировали для этих компаний домены-двойники, подняли почтовые службы и стали ждать. Эксперимент продолжался шесть месяцев; за это время в их ловушках собралось более 120 тыс. писем общим объемом в 20 ГБ. Специалисты Godai Group утверждают, что в этих сообщениях была информация на любой вкус: сведения, составляющие коммерческую тайну, деловые счета, персональные данные сотрудников, структурные схемы компьютерных сетей, аутентификационные данные (логины и пароли) и т.д.

Также аналитики отмечают, что с их фальшивыми серверами не раз пытались соединиться по служебным протоколам. Поскольку целью исследования была исключительно почта, реакция на такие действия не предусматривалась; однако специалисты подчеркивают, что можно было бы без труда поднять, например, еще и ложный SSH-сервер, после чего собирать с его помощью логин-парольные комбинации для администрирования веб-узлов.

Собранные данные исследователи, разумеется, удалили, однако изучение WHOIS-записей, проведенное ими дополнительно, показало, что у многих крупных компаний из того же списка Fortune 500 уже есть домены-двойники, подконтрольные сетевым злоумышленникам - а это означает, что их информация подвергается аналогичному риску утечки, с той лишь разницей, что киберпреступники не станут удалять извлеченные данные - напротив, они будут их внимательно изучать и делать выводы. Для предотвращения таких инцидентов Godai Group дает вполне естественные и очевидные рекомендации - заранее выкупать потенциальные домены-двойники, а в случае их занятости оформлять жалобу на имя регистратора. Если же такой вариант не помогает, можно внести подобные домены в стоп-лист почтового сервера.

The Register

Письмо автору

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар запустила Solar DNS Radar для защиты от атак через DNS

Группа компаний «Солар» объявила о запуске сервиса Solar DNS Radar, который анализирует исходящий трафик и блокирует подключения к фишинговым доменам и серверам управления хакеров. По сути, это позволяет останавливать кибератаки ещё на раннем этапе — до того, как они успеют нанести ущерб.

По данным центра Solar 4RAYS, около 89% атак проходит именно через DNS-протокол — ту самую систему, которая сопоставляет адрес сайта с IP-адресом сервера.

Злоумышленники используют эту особенность, чтобы перенаправлять пользователей на поддельные сайты или поддерживать связь с вредоносами внутри инфраструктуры.

Solar DNS Radar в реальном времени фильтрует DNS-запросы, выявляет подозрительную активность и блокирует соединения с фишинговыми ресурсами, серверами управления (C2), доменами сгенерированными алгоритмами (DGA) и другими источниками, связанными с APT-группами. Кроме того, сервис можно использовать для ограничения доступа сотрудников к нежелательным сайтам.

В работе решения используются несколько подходов:

  • блокировка доступа к недавно зарегистрированным доменам (Zero Trust),
  • данные о киберугрозах из сервиса Solar TI Feeds,
  • аналитика сенсоров «Ростелекома» и телеметрия сервисов Solar JSOC,
  • результаты расследований Solar 4RAYS,
  • алгоритмы ИИ для точного распознавания атак и снижения ложных срабатываний.

Сервис доступен в трёх вариантах: как облачное решение (SaaS), как управляемый сервис с настройкой от специалистов «Солара» (MSS) или как локальная установка (on-prem) на стороне заказчика.

По словам разработчиков, Solar DNS Radar может быть полезен и небольшим компаниям, которые только начинают выстраивать процессы безопасности, и крупным организациям, которым важно разгрузить SOC и быстро закрыть «серые зоны» в инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru