События

Операторы трояна Emotet научились обходить фильтры DMARC

В июле нынешнего года Компьютерная команда экстренной готовности США (US-CERT) выпустила уведомление о банковском трояне Emotet, который также использовался для распространения вторичного вредоносного ПО Trickbot. Помимо прочего, US-CERT опубликовала рекомендации по защите от этих угроз. Киберпреступники, похоже, также ознакомились с рекомендованными мерами безопасности и разработали способы их обхода.

Emotet впервые появился в 2014 году как банковский троян. К настоящему времени он эволюционировал и сейчас выполняет множество функций, в том числе похищает данные, рассылает спам и загружает дополнительное вредоносное ПО.

Одной из наиболее примечательных отличительных черт Emotet является способность распространяться через электронные письма. Инфицировав компьютер, троян подключается к C&C-серверу и получает от него инструкцию со списком адресатов, содержанием писем и электронными адресами, от имени которых эти письма нужно рассылать. Затем с помощью встроенного почтового модуля Emotet приступает к рассылке спама. Для маскировки писем под легитимные троян использует спуфинг электронных адресов.

С целью обезопасить свои системы от спуфинга US-CERT рекомендовала пользователям включить механизм DMARC, предназначенный для оценки подлинности электронных писем. DMARC основывается на двух технологиях – Sender Policy Framework (SPF) и Domainkeys Identified Mail (DKIM).

При использовании DKIM в заголовке письма содержатся инструкции и сертификат открытого ключа DKIM. Когда почтовый сервер получает помеченное DKIM письмо, он подключается к домену отправителя и следует содержащимся в заголовке письма инструкциям. С их помощью внутри адреса _domainkeys.DOMAIN открывается уникальный ключ, подтверждающий, что отправитель авторизован для отправки писем с этого домена.

К сожалению, киберпреступники нашли способ обхода DMARC с помощью перехвата домена (domain hijacking), сообщает ИБ-эксперт Мэттью Хайнес (Matthew Haynes). Главной задачей при перехвате домена является захват контроля над существующим доменным именем и перенаправление трафика, предназначенного для легитимного сервера, в новый пункт назначения. Таким образом, злоумышленники могут обхитрить и технологии, и людей, ранее добавивших перехваченный домен в белые списки.

Существует целый ряд методов, позволяющих осуществить перехват домена. В кампании по распространению Emotet и Trickbot перехваченные домены имели новые поддомены _domainkey, являющиеся главной частью протокола DKIM. Очевидно, что киберпреступники пытались обойти DMARC. Отсюда следуют две вещи – DMARC использовался для защиты от спуфинга, и злоумышленники об этом знали.

Источник

Автор: Сергей Куприянов
26.10.2018 (12:28)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.