Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Операторы трояна Emotet научились обходить фильтры DMARC

Операторы трояна Emotet научились обходить фильтры DMARC


26.10.2018

Операторы трояна Emotet научились обходить фильтры DMARC

В июле нынешнего года Компьютерная команда экстренной готовности США (US-CERT) выпустила уведомление о банковском трояне Emotet, который также использовался для распространения вторичного вредоносного ПО Trickbot. Помимо прочего, US-CERT опубликовала рекомендации по защите от этих угроз. Киберпреступники, похоже, также ознакомились с рекомендованными мерами безопасности и разработали способы их обхода.

Emotet впервые появился в 2014 году как банковский троян. К настоящему времени он эволюционировал и сейчас выполняет множество функций, в том числе похищает данные, рассылает спам и загружает дополнительное вредоносное ПО.

Одной из наиболее примечательных отличительных черт Emotet является способность распространяться через электронные письма. Инфицировав компьютер, троян подключается к C&C-серверу и получает от него инструкцию со списком адресатов, содержанием писем и электронными адресами, от имени которых эти письма нужно рассылать. Затем с помощью встроенного почтового модуля Emotet приступает к рассылке спама. Для маскировки писем под легитимные троян использует спуфинг электронных адресов.

С целью обезопасить свои системы от спуфинга US-CERT рекомендовала пользователям включить механизм DMARC, предназначенный для оценки подлинности электронных писем. DMARC основывается на двух технологиях – Sender Policy Framework (SPF) и Domainkeys Identified Mail (DKIM).

При использовании DKIM в заголовке письма содержатся инструкции и сертификат открытого ключа DKIM. Когда почтовый сервер получает помеченное DKIM письмо, он подключается к домену отправителя и следует содержащимся в заголовке письма инструкциям. С их помощью внутри адреса _domainkeys.DOMAIN открывается уникальный ключ, подтверждающий, что отправитель авторизован для отправки писем с этого домена.

К сожалению, киберпреступники нашли способ обхода DMARC с помощью перехвата домена (domain hijacking), сообщает ИБ-эксперт Мэттью Хайнес (Matthew Haynes). Главной задачей при перехвате домена является захват контроля над существующим доменным именем и перенаправление трафика, предназначенного для легитимного сервера, в новый пункт назначения. Таким образом, злоумышленники могут обхитрить и технологии, и людей, ранее добавивших перехваченный домен в белые списки.

Существует целый ряд методов, позволяющих осуществить перехват домена. В кампании по распространению Emotet и Trickbot перехваченные домены имели новые поддомены _domainkey, являющиеся главной частью протокола DKIM. Очевидно, что киберпреступники пытались обойти DMARC. Отсюда следуют две вещи – DMARC использовался для защиты от спуфинга, и злоумышленники об этом знали.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.