www.

Δευτέρα, 9 Νοεμβρίου 2020

Προστασία από διασπορά κακόβουλου λογισμικού στα emails

Προστασία από λογισμικό botnet

Ανησυχητική είναι η έξαρση που παρατηρείται στην εξάπλωση επικίνδυνου λογισμικού μέσω δικτύων τύπου botnet από τα μέσα Οκτωβρίου έως τις αρχές Νοεμβρίου 2020. Ειδική αναφορά έχει γίνει από τη Δίωξη Ηλεκτρονικού Εγκλήματος στη χώρα μας αλλά και τα μέσα μαζικής ενημέρωσης προκειμένου οι χρήστες του διαδικτύου να είναι σε εγρήγορση και να αποφύγουν πιθανές μολύνσεις στα συστήματά τους. Αξίζει να σημειωθεί ότι η Ελλάδα, η Ιαπωνία και η Λιθουανία δέχονται το μεγαλύτερο μέρος των επιθέσεων, οπότε οι Έλληνες χρήστες θα πρέπει να είναι ιδιαιτέρως προσεκτικοί μιας και η χώρας μας είναι η πρώτη στη σχετική λίστα των χωρών στόχων.

Τι είναι ένα κακόβουλο δίκτυο botnet;

Ένα δίκτυο botnet είναι ένα τυπικό δίκτυο που αποτελείται από bots κατά την γενική του έννοια,  στην περίπτωση όμως που μελετάμε είναι ένα δίκτυο από μολυσμένους υπολογιστές που ελέγχεται από ένα κεντρικό σημείο και δρα κακόβουλα στο διαδίκτυο.

Η αποστολή κακόβουλου λογισμικού μέσω τέτοιων δικτύων botnet είναι γνωστή εδώ και αρκετά χρόνια στο διαδίκτυο, αρχικά σε απλές μορφές αλλά από το 2014 και μετά με πιο σύνθετες, οργανωμένες και απειλητικές δομές. Αρχικά, στόχος ήταν τα τραπεζικά συστήματα με σκοπό την απόσπαση κεφαλαίων με παράνομο τρόπο. Κατά τα έτη 2016 και 2017 το κακόβουλο λογισμικό χρησιμοποιήθηκε με την τεχνική του Δούρειου Ίππου, προκειμένου να μεταφερθούν ιοί σε υπολογιστικά συστήματα οι οποίοι θα ανοίγουν πρόσθετες προσβάσεις προς τα μολυσμένα αυτά συστήματα. Μέσω αυτών των προσβάσεων εγκαθίστανται και άλλα κακόβουλα λογισμικά εν αγνοία του μολυσμένου χρήστη, με αποτέλεσμα τη σημαντική απώλεια ελέγχου στους μολυσμένους υπολογιστές και τη συμμετοχή τους σε κακόβουλες ενέργειες.

Η μεγάλη έξαρση <<επιτυχία>> του συγκεκριμένου τύπου επιθέσεων, οφείλεται στην λογική προσέγγιση που υιοθετείται και που έχει σαν σκοπό να παραπλανεί εύκολα τον άνθρωπο. 

Συγκεκριμένα ο υπολογιστής στόχος, λαμβάνει ένα μήνυμα το οποίο αποτελεί απάντηση σε προηγούμενο μήνυμα που είχε στείλει ο ίδιος ο χρήστης και το οποίο περιέχει συνημμένο αρχείο με ιό. Επειδή ακριβώς φαίνεται οικείο το μήνυμα που καταφθάνει, ο ανυποψίαστος χρήστης καταλήγει να ανοίγει το συνημμένο αρχείο (τις περισσότερες φορές κάποιο .doc αρχείο), το οποίο μέσω μακροεντολών μολύνει τον υπολογιστή του. Εν συνεχεία διαβάζει τις επαφές και την πρόσφατη αλληλογραφία του μολυσμένου υπολογιστή και κάνει reply στις επαφές με τον ίδιο τρόπο, δηλαδή με συνοδεία μολυσμένου αρχείου ως συνημμένο. Αυτό έχει ως αποτέλεσμα όλες οι επαφές του μολυσμένου υπολογιστή να κινδυνεύουν να μολυνθούν και οι ίδιες, εφόσον ανοίξουν το συνημμένο αρχείο.

Επίσης έχουν καταγραφεί και περιπτώσεις όπου το κακόβουλο αρχείο εκτελεί PowerShell εντολές για να εγκαταστήσει επιπρόσθετα κακόβουλα προγράμματα στον υπολογιστή που βάλλεται.

Μια από τις πιο πρόσφατες παραλλαγές της επίθεσης είναι η επισύναψη μολυσμένου αρχείου προστατευμένου με κωδικό ασφαλείας (password protected file). Ενώ αρχικά είχε παρατηρηθεί ότι επισυνάπτονται κατά βάση αρχεία με κατάληξη .doc, τις τελευταίες ημέρες φαίνεται ότι έχει γίνει παραλλαγή της κακόβουλης επίθεσης και επισυνάπτονται πλέον αρχεία προστατευμένα με κωδικό ασφαλείας και μάλιστα στο ίδιο μήνυμα αποστέλλεται και ο κωδικός που ξεκλειδώνει το αρχείο, με σκοπό να ενθουσιάσει τον χρήστη για να το ανοίξει.

Πώς να προστατευτώ;

Αρχικά θα πρέπει όλοι οι χρήστες του διαδικτύου να ενημερωθούν και να είναι σε εγρήγορση αναφορικά με τη διακίνηση της ηλεκτρονικής τους αλληλογραφίας. Θα πρέπει να δίνεται μεγάλη προσοχή σε emails που περιέχουν συνημμένα αρχεία ή συνδέσμους, ανεξάρτητα αν τα αρχεία αυτά φαίνονται προσφιλή ή όχι. Πριν ανοιχθεί ή καταφορτωθεί (download) κάποιο αρχείο καλό θα είναι να δίvεται η κατάλληλη προσοχή και κρίση από τον παραλήπτη για το αν αυτό το αρχείο είναι προβλεπόμενο ή όχι. Τις περισσότερες φορές όσοι μολύνονται παραδέχονται ότι αν ήταν υποψιασμένοι ή πιο προσεκτικοί, δεν θα άνοιγαν το μολυσμένο αρχείο και θα απέφευγαν τη μόλυνση του υπολογιστή τους. Στις περισσότερες των περιπτώσεων, είναι εύκολο να γίνει αντιληπτό ότι η αποστολή είναι κακόβουλη καθότι προέρχεται από εντελώς άγνωστα προς τον χρήστη δίκτυα.

Κατά δεύτερο, θα πρέπει στους υπολογιστές των χρηστών να λειτουργούν αντιβιοτικά συστήματα (antivirus), τα οποία θα ενημερώνονται online και θα λειτουργούν κατά τον τρόπο που προβλέπει ο κατασκευαστής τους. Λογισμικό το οποίο αποκτήθηκε με παράνομο τρόπο (σπασμένο λογισμικό), όπως πολλές φορές συμβαίνει σε οικιακούς υπολογιστές, θα πρέπει να απομακρυνθεί και να προτιμάται λογισμικό από εγκεκριμένες πηγές και φυσικά γνήσιο.

Αν έχετε επαγγελματικό email σε κάποια εταιρεία φιλοξενίας, ενημερωθείτε από τον πάροχό σας σχετικά με τα μέτρα που λαμβάνει για την αντιμετώπιση της τρέχουσας έξαρσης μολύνσεων και επιλέγετε αξιόπιστους παρόχους που δίνουν έμφαση στην ασφάλεια.

Τι κάνει η IP.GR για να προστατέψει τους συνεργάτες της.

Από μέρους της εταιρείας μας έχουν γίνει επιπρόσθετες ενέργειες αναφορικά με την έξαρση αυτής της περιόδου, με πιο αυστηρές πολιτικές και περισσότερες μετρικές ασφαλείας στη διακίνηση της αλληλογραφίας.

Όλοι οι διακομιστές μας ενημερώνονται κάθε 60 λεπτά με όλες τις νέες υπογραφές κακόβουλων αρχείων, οι οποίες ανακοινώνονται συνεχώς από κοινότητες που ασχολούνται με την ασφάλεια στο διαδίκτυο. Με αυτόν τον τρόπο ενσωματώνονται κανόνες ασφαλείας με αμεσότητα και συνέπεια με πιο τακτικές και πολύπλευρες ενημερώσεις από 30 και πλέον διαφορετικές πηγές ενημέρωσης των antivirus συστημάτων μας. Αυτό αποτελεί σημαντική θωράκιση ασφαλείας καθότι συσσωρεύονται και λειτουργούν κανόνες ασφαλείας από πολλούς και διαφορετικούς εκδότες λογισμικών antivirus και δεν μένουμε προσκολλημένοι σε ένα μόνο λογισμικό ασφαλείας στους servers μας. Έτσι, αν κάποιος ιός ανιχνευτεί και γίνει γνωστός στο διαδίκτυο είναι σχεδόν βέβαιο ότι τα συστήματά μας θα ενημερωθούν πολύ σύντομα για την ύπαρξή του και θα είναι σε θέση να τον αναχαιτίσουν.

Ειδικά για τις περιπτώσεις εκτελέσιμων και password protected αρχείων, οι διακομιστές μας απομονώνουν όλα τα μηνύματα που περιέχουν αυτούς τους τύπους αρχείων και μέσω της εφαρμογής MailScanner, οι πελάτες μας μπορούν να ελέγχουν όλα τα μπλοκαρίσματα που έχουν πραγματοποιηθεί. Μπορείτε να δείτε αναλυτικά τις δυνατότητες του MailScanner στην αντίστοιχη σελίδα της Γνωσιακής μας Βάσης.

Όλοι οι μηχανισμοί ασφαλείας που λειτουργούν στα συστήματά μας, εφαρμόζονται τόσο στην εισερχόμενη όσο και στην εξερχόμενη αλληλογραφία καθότι είναι εξίσου σημαντικό και να μην μολυνθεί κάποιος από τους λογαριασμούς email που φιλοξενούνται σε εμάς αλλά και να μην μολύνει άλλους χρήστες που φιλοξενούνται σε άλλες εταιρείες.


Δυστυχώς, καθημερινά διαπιστώνουμε ότι καταφθάνουν στους διακομιστές μας μηνύματα με κακόβουλο περιεχόμενο από δίκτυα παρόχων τόσο της χώρας μας όσο και του εξωτερικού και το ιδιαιτέρως ανησυχητικό είναι ότι πολλά από αυτά τα δίκτυα ανήκουν σε πολύ μεγάλους παρόχους, γεγονός που μαρτυρά ότι οι έλεγχοι στην εξερχόμενη αλληλογραφία δεν είναι επαρκείς και ενδεχομένως ούτε και στην εισερχόμενη. Καλούμε λοιπόν όλους τους αναγνώστες αυτού του μηνύματος, ανεξαρτήτως αν είναι πελάτες μας ή όχι, να μην εφησυχαστούν με το σκεπτικό ότι έχουν φιλοξενία σε κάποιο πολύ μεγάλο πάροχο. Η πραγματικότητα είναι λίγο διαφορετική και μας αφορά όλους, οπότε καλό θα είναι να ενημερωθούμε όλοι για το πως να λειτουργούμε με μεγαλύτερη ασφάλεια στο διαδίκτυο για να αποφύγουμε ανεπιθύμητες καταστάσεις. Δώστε μεγάλη προσοχή στη διακίνηση της αλληλογραφίας σας και αν έχετε απορίες για τα μέτρα ασφαλείας επικοινωνήστε με τον πάροχό σας για πληρέστερη ενημέρωση.

Οι τεχνικοί μας παρακολουθούν αδιάλειπτα τις επιμέρους τεχνικές ιδιαιτερότητες των επιθέσεων και παρεμβαίνουν αν κάπου κριθεί απαραίτητο, ενημερώνοντας τα συστήματα ασφαλείας μας ακόμη και με ειδικούς κανόνες (custom antivirus rules) ή άλλες μεθόδους αντιμετώπισης των επιθέσεων.


2 σχόλια:

  1. Πολύ ενδιαφέρον το άρθρο! Με ενδιαφέρουν τέτοιου τύπου άρθρα

    ΑπάντησηΔιαγραφή
  2. ΕΥΧΑΡΙΣΤΟΥΜΕ ΓΙΑ ΤΗΝ ΕΝΗΜΕΡΩΣΗ, ΕΙΧΕ ΠΟΛΥ ΕΝΔΙΑΦΕΡΟΝ.
    ΔΜ

    ΑπάντησηΔιαγραφή

 

Copyright @ 2014 Web hosting and domain names blog by IP.GR