Распространители вредоносного ПО используют DKIM для обхода механизма защиты от спуфинга.
В июле нынешнего года Компьютерная команда экстренной готовности США (US-CERT) выпустила уведомление о банковском трояне Emotet, который также использовался для распространения вторичного вредоносного ПО Trickbot. Помимо прочего, US-CERT опубликовала рекомендации по защите от этих угроз. Киберпреступники, похоже, также ознакомились с рекомендованными мерами безопасности и разработали способы их обхода.
Emotet впервые появился в 2014 году как банковский троян. К настоящему времени он эволюционировал и сейчас выполняет множество функций, в том числе похищает данные, рассылает спам и загружает дополнительное вредоносное ПО.
Одной из наиболее примечательных отличительных черт Emotet является способность распространяться через электронные письма. Инфицировав компьютер, троян подключается к C&C-серверу и получает от него инструкцию со списком адресатов, содержанием писем и электронными адресами, от имени которых эти письма нужно рассылать. Затем с помощью встроенного почтового модуля Emotet приступает к рассылке спама. Для маскировки писем под легитимные троян использует спуфинг электронных адресов.
С целью обезопасить свои системы от спуфинга US-CERT рекомендовала пользователям включить механизм DMARC, предназначенный для оценки подлинности электронных писем. DMARC основывается на двух технологиях – Sender Policy Framework (SPF) и Domainkeys Identified Mail (DKIM).
При использовании DKIM в заголовке письма содержатся инструкции и сертификат открытого ключа DKIM. Когда почтовый сервер получает помеченное DKIM письмо, он подключается к домену отправителя и следует содержащимся в заголовке письма инструкциям. С их помощью внутри адреса _domainkeys.DOMAIN открывается уникальный ключ, подтверждающий, что отправитель авторизован для отправки писем с этого домена.
К сожалению, киберпреступники нашли способ обхода DMARC с помощью перехвата домена (domain hijacking), сообщает ИБ-эксперт Мэттью Хайнес (Matthew Haynes). Главной задачей при перехвате домена является захват контроля над существующим доменным именем и перенаправление трафика, предназначенного для легитимного сервера, в новый пункт назначения. Таким образом, злоумышленники могут обхитрить и технологии, и людей, ранее добавивших перехваченный домен в белые списки.
Существует целый ряд методов, позволяющих осуществить перехват домена. В кампании по распространению Emotet и Trickbot перехваченные домены имели новые поддомены _domainkey, являющиеся главной частью протокола DKIM. Очевидно, что киберпреступники пытались обойти DMARC. Отсюда следуют две вещи – DMARC использовался для защиты от спуфинга, и злоумышленники об этом знали.
Спойлер: она начинается с подписки на наш канал