AI Hacking - Cum folosesc hackerii inteligența artificială în atacurile cibernetice

Citește acum
Utilizăm inteligența artificială pentru traducerile site-urilor și, deși ne străduim să fim exacți, este posibil ca acestea să nu fie întotdeauna 100% precise. Apreciem înțelegerea dumneavoastră.
Acasă/ Blog / Cum tratați fișierele atașate la e-mail?
Email Security

Cum tratați atașamentele la e-mail?

de Janos Rotzik, director de marketing tehnic
Împărtășește această postare

A fost descoperită o nouă campanie de e-mail care folosește PDF-ul

Conform IBM, securitatea e-mailurilor ar trebui să fie o prioritate absolută, deoarece, în continuare, este vectorul inițial de atac numărul unu pentru încălcarea securității datelor. În ciuda acestui fapt, atacurile sofisticate prin e-mail continuă să își facă victimele în mod eficient, exploatând factorul uman, care a fost implicat în 82% din toate încălcările de securitate din acest an. Din nefericire, în ultima lună a fost identificată o altă campanie de distribuire de malware care utilizează atașamente PDF, hackerii găsind o nouă modalitate de a introduce ilegal malware pe dispozitivele victimelor.

Să recapitulăm cum s-a desfășurat atacul

Noua campanie de criminalitate cibernetică - descoperită de HP Wolf Security - a profitat de comportamentul nesigur al utilizatorilor pentru a distribui Snake Keylogger pe terminale vulnerabile prin intermediul fișierelor PDF.

Actorii amenințării au trimis mai întâi un e-mail cu subiectul "Remittance Invoice", pentru a păcăli victimele și a le face să creadă că vor fi plătite pentru ceva. Când PDF-ul era deschis, Adobe Reader îi cerea utilizatorului să deschidă un document încorporat - un fișier DOCX - care ar putea fi suspect, dar care ar putea fi destul de confuz pentru victimă, deoarece documentul încorporat se numește "a fost verificat". Acest lucru face victima să creadă că cititorul PDF a scanat fișierul și că acesta este gata de utilizare.

Un exemplu de fișier Excel malițios

Este posibil ca fișierul Word să conțină o macro care, dacă este activată, va descărca fișierul text bogat (RTF) din locația de la distanță și îl va executa. Fișierul va încerca apoi să descarce programul malware Snake Keylogger.

Pentru ca atacul să reușească, punctele finale vizate trebuie să fie încă vulnerabile la un anumit defect. Cu toate acestea, de data aceasta atacatorii nu au trimis codul malițios, ci au păcălit victima să îl descarce, ocolind apărarea gateway-ului bazată pe detecție.

Comunitatea de securitate cibernetică este de părere că multe dintre breșele de securitate puteau fi evitate. De exemplu, defectul actual a fost identificat în 2017, iar seria recentă de atacuri ar fi putut fi prevenită dacă toți administratorii de dispozitive și-ar fi actualizat sistemele de operare.

Conform DBIR al Verizon, există patru căi principale de acces la informațiile corporative: acreditări, phishing, exploatarea vulnerabilităților și botnet. Eșecul de a bloca doar unul dintre aceste elemente poate duce la intruziuni în rețea. În acest caz, atacatorii au folosit două elemente pentru a ataca: o înșelătorie de phishing prin e-mail bine coregrafiată pentru a induce în eroare utilizatorii neștiutori și o vulnerabilitate exploatată pentru a instala fișiere malițioase.

Măsuri de protecție utilizate în mod obișnuit

Deoarece noua campanie de criminalitate cibernetică a folosit e-mailul pentru a distribui Snake Keylogger către punctele terminale vulnerabile prin intermediul fișierelor PDF, cele mai bune practici de securitate nu ar fi funcționat corespunzător din următoarele motive:

  • Exploatarea vulnerabilităților apare în câteva zile, dar organizațiilor le ia săptămâni - sau luni - pentru a le corecta.
  • Soluțiile tradiționale de securitate a e-mailurilor se luptă să prevină atacurile de tip zero-day, deoarece nu există semnături antivirus care să le detecteze.
  • Sandbox au apărut ca o abordare pentru detectarea avansată a amenințărilor, dar nu sunt potrivite pentru e-mail, deoarece adaugă timp suplimentar de procesare înainte de livrare.
  • Dincolo de impactul negativ asupra productivității, anumite amenințări la adresa securității e-mailurilor pot scăpa de detecția sandbox. În acest caz, au fost aplicate aceste două metode:


    • Executare întârziată a acțiunii

      • Dacă hackerii doresc să se asigure că programele lor malware nu se execută într-un mediu sandbox, o altă abordare obișnuită este să aștepte interacțiunea cu utilizatorul final. Aceasta ar putea fi un clic al mouse-ului, tastarea pe tastatură sau deschiderea unei aplicații specifice - opțiunile sunt aproape nelimitate. Ceea ce este important pentru atacator este că soluțiile sandbox nu pot ține cont de aceste acțiuni. Fără astfel de acțiuni ale utilizatorului, soluțiile sandbox nu pot detecta aceste atacuri.

    • Troieni și macro-uri

      • Fișierele troiene sunt aproape la fel de vechi ca și Grecia antică, așa că, spre cinstea soluțiilor antivirus și sandboxing, acestea pot detecta destul de multe tipuri de fișiere troiene. Soluțiile bazate pe detecție tind să eșueze odată ce malware-ul este ascuns în documente Microsoft Office cu macro. Singurul dezavantaj al atacurilor bazate pe macro-uri pentru atacatori este că acestea necesită ca utilizatorul final să le activeze, astfel încât sunt frecvent însoțite de un atac de inginerie socială.

Filozofia Zero-Trust

Organizațiile ar trebui să presupună că toate e-mailurile și atașamentele sunt rău intenționate. Fișierele obișnuite de productivitate, cum ar fi documentele Word sau PDF-urile, pot fi infectate cu programe malware și atacuri de tip zero-day, dar este nerealist să se blocheze accesul la e-mailuri sau la documente Word. Soluțiile antivirus și sandbox sunt limitate de capacitatea lor de a detecta atacurile avansate. După cum am văzut în cazul atacului de mai sus, utilizarea exclusivă a protecției bazate pe detectare este o abordare fundamental greșită. În schimb, organizațiile ar trebui să adopte o abordare de securitate cu încredere zero, cu o soluție proactivă care tratează toate fișierele ca fiind malițioase și le curăță în timp real. Astfel de atașamente curățate pot fi livrate imediat utilizatorului, fără a împiedica astfel productivitatea afacerii, în timp ce în fundal se lasă timp pentru o analiză ulterioară bazată pe detectare (sau dinamică), care, dacă are succes, poate trimite chiar fișierul original utilizatorului.

MetaDefender's PDF settings

MetaDefender Email Security este o astfel de soluție. Aceasta oferă o abordare cuprinzătoare pentru dezarmarea atașamentelor, a corpului e-mailurilor și a antetelor, prin eliminarea întregului conținut potențial malițios și reconstruirea acestuia ca fișier curat. Astfel, aceste fișiere sunt pe deplin utilizabile și sigure, oferind o protecție adecvată pentru utilizatorii nesiguri împotriva atacurilor descrise mai sus.

OPSWAT protejează organizațiile împotriva exploatărilor și a conținutului armat fără a fi nevoie de detectare. Și este și de 30 de ori mai rapid decât detecția sandbox!

Dacă doriți să aflați mai multe despre modul în care puteți acoperi lacunele de securitate a e-mailurilor pentru a vă proteja organizația de amenințările avansate, descărcați cartea noastră albă gratuită, "Cele mai bune practici pentru Email Security și protecția infrastructurilor critice", sau citiți mai multe bloguri pe această temă aici.

Contactați OPSWAT astăzi și întrebați-ne cum vă putem ajuta să vă îmbunătățiți securitatea e-mailurilor.

Ultimele postări

Înscrieți-vă la OPSWAT Newsletter

Obțineți cele mai recente actualizări ale companiei OPSWAT împreună cu informații despre evenimente și știrile care determină progresul industriei.
Înscrie-mă

Urmați-ne pe Social Media

Urmăriți OPSWAT pe LinkedIn, Facebook, Twitter și YouTube pentru mai multe informații!

Rămâneți la curent cu OPSWAT!

Sign up today to receive the latest company updates, stories, event info, and more.
Abonează-te la