Как стать автором
Обновить

Комментарии 19

Спасибо, весьма интересно и познавательно!

А как насчет поделиться техническими данными, хотя бы где этот вирус держит автозапуск? Лучше, конечно, всеми, которые определяют сам вирус, но не определяют атакованного клиента.

Автозапуск — в службах)
А как именно происходит контроль исходящей почты и вложений?
Если бы вредонос перед отправкой данных зашифровал или закодировал их, и результат ни в какой части не совпадал с конфиденциальными документами(добавив в какой-то сгенерированный документ, к примеру), то никто-бы и не среагировал?
0-day вирус через services — и при этом отправляет без палева в открытую на левый адрес??
Вы серьёзно????))))
Сам термин непонятен, что значит 0-day вирус?! В остальном терпимо и интересно)
Подразумевается вирус, который пока не известен антивирусным решениям.
Спасибо)
но тело письма всегда было пустым. Подозрительный адрес встречался исключительно в одиночку
Не было ни одного письма, которое приходило бы с этого адреса в ответ.
такая «лобовая атака» вызвала некоторую оторопь.
Мы составили список всех нарушителей, он насчитывал около 20 человек.

То есть, пара десятков человек якобы внаглую отправляют со своих компьютеров на левую почту пустые письма с важными документами, а у вас "напрашивалось предположение, что это сотрудники скидывают"? Странно, что вы сразу на вирус не подумали.

Так бывает чаще, чем может показаться. Причем иногда это даже не злонамеренная утечка — просто человек хочет поработать из дома и скидывает себе необходимые документы. И как раз в таких случаях тело письма отсутствует.
Сложно сказать, почему сначала подумали на внутренний сговор, а не на вирус. Возможно, профдеформация — на DLP-проектах люди «заточены» на выявление утечек и различного толка мошенничеств. К тому же, в рамках большой организации 20 человек — это не так много, как может показаться.
Меня тут удивил адрес XXXX@icloud.com. Чтобы пользоваться таким адресом надо иметь устройство Эппл. По функционалу аккаунт ничем не отличается от любой другой почтовой системы. Так, спрашивается, почему именно Icloud? Странно, что авторы трояна используют такой неудобный адрес. Еще непонятно: «ряд конфиденциальных документов регулярно уходил на внешний адрес вида XXXX@icloud.com» — это каким образом было? Почтовый сервер организации их туда отправлял? по SMTP? Может быть документы предавались по SMTP через посторонний сервер? В этих случаях организации следовало бы вначале настроить правильно свое хозяйство, а уж потом внедрять DLP.
сервер организации их туда отправлял? по SMTP

А что тут странного? Вирус от имени пользователя создавал письмо, авторизовывался на SMTP-сервере и отсылал документы (возможно, автоматизацией аутлука), как любой другой пользователь "вот документы. которые Вы просили", "Акты и счета фактуры для ООО "Вектор"" и пр. Если известно что организация так шлёт постоянно, то логичнее так же отсылать, а не слать .gz.pgp какой, который может почтовик забанить. Про DLP они могли и не знать, а без него затеряться в потоке .doc/.xls проще.
Адрес да, странный, в домене .mail.zw кажется более логичным (по крайней мере там точно не узнают id связанного устройства и не сдадут IP отделу K, как mail.ru какой).

пользователи имеют возможность напрямую подключаться к любым внешним адресам в интернете для доставки почты? Прекрасно…

Тогда надо и весь интернет пропускать через белый список. Иначе легко например через веб отправлять письма.
http/http можно в прокси завернуть и логи анализировать или отключать доступ по расписанию
Если развернута целая DLP-система — следует предположить, что какой-то firewall тоже существует. Закрыть на уровне firewall все, не относящееся напрямую к бизнес-процессам в конторе (а уж SMTP в первую очередь). Как минимум тупых зловредов, которые сразу начинают рассылать спам, это нейтрализует.
Думаю, скоро появятся зловреды, которые сначала будут анализировать исходящий траффик, а уж потом решать, каким образом передавать информацию. Человек лазит по социальным сетям? Фотографии котиков, стеганография, https — попробуйте обнаружить канал утечки.
НЛО прилетело и опубликовало эту надпись здесь
Теперь, когда дело по dlp системе прогремело по компании, самые хитрые начнут сливать информацию по более изощрённым схемам изучив пару статей в интернете «обход dlp для чайников».
Меня интересует вопрос, зачем вообще вирусы используют протокол email? Может быть нее палевно использовать http?
Ну, авторам вируса это показалось удобным. Странное решение, как по мне. Внедрить 0-day зловреда и рассчитывать, что SMTP в компании не закрыт и не мониторится — это fuckup.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий