Original:https://www.impsec.org/email-tools/sanitizer-threats.html

Підвищення безпеки електронної пошти за допомогою Procmail

Загрози, уразливості та напади

Назад на домашню сторінку

Атаки на основі електронної пошти

Існує чотири типи нападів на систему безпеки, які можна здійснити електронною поштою: Іншою атакою конфіденційності користувача, але не системної безпеки, є використання так званих веб-помилок, які можуть повідомляти сайт відстеження коли і де це повідомлення електронної пошти читається.


Активні атаки контенту, зокрема, атаки браузера, активні атаки HTML або атаки сценаріїв

Ці атаки спрямовані на людей, які використовують веб-браузер або поштовий клієнт із підтримкою HTML, щоб прочитати їх електронну пошту, яка на сьогоднішній день є дуже великою частиною комп'ютерної спільноти. Як правило, ці нападки намагаються використовувати сценарійські функції HTML або поштового клієнта (як правило, Javascript або VBScript) для отримання особистої інформації з комп'ютера жертви або для виконання коду на комп'ютері жертви без згоди потерпілого (і, можливо, без знання жертви) .

Менш небезпечні форми цих атак можуть автоматично призвести до того, що комп'ютер одержувача відображає який-небудь вміст, який намагається зловмисник, наприклад, автоматично відкриваючи веб-сторінку реклами або порнографії при відкритті повідомлення або виконуючи атаку відмови від обслуговування на комп'ютері одержувача через Код, який зависає або збігає браузер або весь комп'ютер.

Найпростіший спосіб повністю уникнути таких атак - не використовувати веб-браузер або поштовий клієнт із підтримкою HTML для читання вашої електронної пошти. Оскільки багато хто з цих атак не залежать від помилок у програмному забезпеченні електронної пошти, їх не можна запобігти за допомогою патчів до поштового клієнта. Якщо ви користуєтесь веб-браузером або поштовим клієнтом, що підтримує HTML, ви будете вразливими до таких видів нападів.

Крім того, оскільки деякі з цих атак залежать від того, як поштовий клієнт може виконати скриптований HTML, а не залежно від слабких сторін будь-якої конкретної операційної системи, ці атаки можуть бути крос-платформенними. Електронний клієнт із підтримкою HTML на комп'ютері Macintosh настільки ж уразливий для атак активних HTML-повідомлень електронної пошти, як клієнт електронної пошти з підтримкою HTML на Windows або Unix. Вразливість в різних системах залежить від поштового клієнта, а не від операційної системи.

Перехід на поштовий клієнт, який не використовує HTML, не є реалістичним варіантом для багатьох людей. Альтернативою є відфільтровування або зміна образу HTML-коду або скрипт-коду, перш ніж поштовий клієнт отримає можливість обробити його. Можливо також налаштувати ваш поштовий клієнт, щоб вимкнути інтерпретацію коду сценарію. Докладніше див. У документації до програми. Необхідно вимкнути сценарії у вашому поштовому клієнті - немає підстав для підтримки сценаріїв електронної пошти.

Користувачам Microsoft Outlook слід зайти на цю сторінку, яка описує посилення налаштувань безпеки Outlook .

Прикладом цього нападу є нещодавно оголошені вірусні черв'яки Outlook. Докладніше див. У базі даних "Вразливість" Bugtraq.

Інший спосіб захистити від атак активного вмісту полягає в тому, щоб керувати сценарієм, перш ніж поштова програма матиме шанс побачити її. Це робиться на поштовому сервері під час отримання повідомлення та зберігання в поштовій скриньці користувача, а в його простій формі полягає лише зміна всіх тегів <SCRIPT> на теги (наприклад) <DEFANGED-SCRIPT> , що викликає Поштової програми, щоб ігнорувати їх. Оскільки існує багато місць, якими команди команд скриптів можуть використовуватися в інших тегах, процес вилучення є більш складним, ніж це на практиці.


Буферизація переповнення

Буфер - це область пам'яті, де програма тимчасово зберігає дані, які він обробляє. Якщо цей регіон має заздалегідь визначений розмір, а якщо в програмі не вживаються кроки, щоб переконатись, що дані підходять до цього розміру, є помилка: якщо більше даних буде прочитано, ніж буде вписано в буфер, перевищення буде все ще записано , Але він пройде повз закінчення буфера, ймовірно, замінивши інші дані або інструкції програми.

Атака буферного переповнення - це спроба використати цю слабкість шляхом надсилання неочікувано довгої рядка даних для обробки програми. Наприклад, у випадку програми електронної пошти зловмисник може надіслати підроблений заголовок Дата: кілька тисяч символів, припускаючи, що програма електронної пошти очікує лише заголовка Дата: щонайменше, сто символів, і це не означає, T перевірити довжину збережених даних.

Ці атаки можуть використовуватися як атаки "відмови в обслуговуванні", тому що, коли пам'ять програми перезаписується випадково, програма зазвичай збігається. Однак, ретельно продукуючи точне зміст того, що переповнює буфер, в деяких випадках можна наказати програмі інструкції для комп'ютера жертви виконувати без згоди потерпілого. Нападник посилає програму жертві, і її буде керувати комп'ютер жертви, не запитуючи дозволу потерпілого.

Зауважте, що це результат помилки під час атаки програми. Правильно написаний клієнт електронної пошти не дозволить випадковим незнайомцям запускати програми на вашому комп'ютері без вашої згоди. Програми, що підлягають переповненню буфера, неправильно написані та повинні бути виправлені, щоб остаточно виправити проблему.

Переповнення буфера в поштових програмах відбувається при роботі з заголовками повідомлень та заголовками вкладень, тобто інформація, яку потрібно обробляти поштовим клієнтом, щоб дізнатися подробиці про повідомлення та що робити з ним. Текст в тілі повідомлення, який просто відображається на екрані і який, як очікується, буде великою кількістю тексту, не використовується як транспортний засіб для атак на переповнення буферів.

Приклади нещодавно оголошених помилок переповнення в Outlook, Outlook Express та Netscape Mail. Патчі для Outlook доступні через сайт безпеки Microsoft .

Заголовки повідомлень та заголовки вкладень можуть бути попередньо оброблені поштовим сервером, щоб обмежити їх довжину до безпечних значень. Це дозволить запобігти їх використанню для атаки поштового клієнта.

Варіація на атаку переповнення буфера полягає в тому, щоб видалити інформацію, яку програма очікує, щоб знайти її. Наприклад, Microsoft Exchange реагує погано, коли його просять обробляти заголовки MIME, явно порожні - наприклад, filename = "" . Ця атака може бути використана лише для відмови в обслуговуванні.


Троянські коні - атаки

троянський кінь - це шкідлива програма, яка маскує як щось доброясні, намагаючись змусити необережного користувача запустити його.

Ці атаки, як правило, використовуються для порушення безпеки шляхом отримання надійним користувачем для запуску програми, яка надає доступ недовірливому користувачеві (наприклад, шляхом встановлення програмного забезпечення для віддаленого доступу заднього боку) або для заподіяння шкоди, такої як спроба стерти всі Файли на жорсткому диску потерпілого. Троянські коні можуть діяти, щоб викрасти інформацію чи ресурси або реалізовувати розподілену атаку, наприклад, поширюючи програму, яка намагається викрасти паролі чи іншу інформацію про безпеку, або може бути програмою "саморозповсюдження", яка поширюється навколо себе ("черв'як" ), А також поштові сітці цільової або видаляє файли (хробак з відношенням :).

Хробак "Я люблю тебе" - чудовий приклад атаки троянських коней: начебто нешкідливе любовне листування було насправді саморозповсюджувальною програмою.

Щоб ця атака була успішною, жертва повинна вжити заходів для запуску програми, яку вони отримали. Зловмисник може використовувати різні методи " соціальної інженерії ", щоб переконати жертви керувати програмою; Наприклад, програма може бути замаскована як лист любові або жартівливої ​​назви, з іменем файлу, спеціально сконструйованим для того, щоб скористатися Windows схильністю приховувати важливу інформацію від користувача.

Більшість людей знають, що розширення .txt використовується для позначення того, що вміст файлу - це просто текст, на відміну від програми, але за замовчуванням Windows - це приховувати розширення файлу від користувача, тому в каталозі, що містить файл з ім'ям textfile .txt з'явиться як просто " текстовий файл " (щоб уникнути заплутування користувача?).

Зловмисник може скористатися цією комбінацією речей, відправивши вкладення з назвою " attack.txt.exe " - Windows допоможе сховати розширення .exe , змусивши вкладений файл виглядати як доброякісний текст з назвою " attack.txt " замість Програма Проте, якщо користувач забуває, що Windows приховує фактичне розширення назви файлу та двічі клацає в додатку, Windows використовуватиме повне ім'я файлу, щоб вирішити, що робити, і оскільки .exe вказує на виконувану програму, Windows запускає вкладення. Блюм! Ви належите.

Типові комбінації очевидно-доброякісних та небезпечно-виконуваних розширень:

Цю атаку можна уникнути, просто не запустивши програми, отримані в електронній пошті, доки їх не буде перевірено, навіть якщо програма виглядає нешкідливою, особливо якщо вона походить від когось, якого ви не знаєте добре та довіряєте.

Подвійне клацання по вкладенням електронної пошти є небезпечною звичкою.

До недавнього часу, просто кажучи "не подвійним клацанням миші на вкладення" було достатньо, щоб бути в безпеці. На жаль, це вже не так.

Помилки в поштовому клієнті або поганому програмному оформленні дозволяють повідомленням про атаку автоматично виконувати вкладення троянського коня без будь-якого втручання користувача через використання активних сценаріїв HTML-сценаріїв або буферних переповнень, включених до того ж повідомлення, що й додаток до програми Trojan Horse або Поєднання цих. Це надзвичайно небезпечний сценарій і в даний час "дикої" як самостійно поширюється електронний хробак, який не вимагає втручання користувача для зараження. Ви можете бути впевнені, що це не буде єдиним.

В спробі запобігти цьому імена виконуваних файлових вкладень можуть бути змінені таким чином, що операційна система більше не вважає їх виконуваними (наприклад, змінюючи " EXPLOIT.EXE " на " EXPLOIT.DEFANGED-EXE "). . Це змусить користувача зберігати та перейменовувати файл, перш ніж він може бути виконаний (надаючи їм шанс подумати про те, чи слід його виконувати, і дати своєму антивірусному програмному забезпеченню можливість перевірити вкладення до його запуску), і це зменшує Можливість того, що інші експлойти в одному повідомленні зможуть автоматично знаходити та виконувати програму Trojan Horse (оскільки ім'я було змінено).

Крім того, для відомих програм Trojan Horse сам формат вкладень може бути вилучений таким чином, що поштовий клієнт більше не бачить вкладення як вкладення. Це змусить користувача звернутися до служби технічної підтримки, щоб отримати додаток, і дає системному адміністратору можливість ознайомитись з нею.

Розгалуження зловмисної вкладки є досить простим для адміністратора. При керуванні вкладенням оригінальний заголовок MIME- вкладень зміщується вниз і вставляється заголовок вкладення попередження про напад. Інформація не видаляється.

Ось список останніх виконуваних файлів і документів Trojan Horse, що містяться в попередженнях груп новин bugtraq та Usenet, а також поради щодо антивірусних програм:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Звичайно, автори хробаків тепер розбираються і називають вкладення випадковим чином, що призводить до висновку, що всі файли .EXE повинні бути заблоковані.

Інший канал для атак троянських коней - це файл даних для програми, яка надає мову макросів (програмування), наприклад, сучасні потужні текстові процесори, електронні таблиці та інструменти баз даних користувачів.

Якщо ви не можете просто відхилити вкладені файли, які можуть вас загрожувати, рекомендується встановити антивірусне програмне забезпечення (яке виявляє та вимикає макросімні троянські коні) і що ви завжди відкриваєте вкладені файли даних у програмі «не виконуйте автоматично» Режим макросів "(наприклад, утримуючи клавішу [SHIFT], двічі клацнувши вкладені файли).

Також: якщо ваш системний адміністратор (або хтось, хто стверджує, що він є вашим системним адміністратором) надсилає вам електронні листи за допомогою програми та просить його запустити, негайно станьте дуже підозрілим і перевірте походження електронного листа, звернувшись безпосередньо до адміністратора за допомогою інших засобів, ніж електронна пошта. Якщо ви отримуєте вкладення, яке вимагає оновлення операційної системи або антивірусного засобу, не запускайте його . Оператори-постачальники операційних систем ніколи не доставляють оновлення електронною поштою, а антивірусні інструменти легко доступні на веб-сайтах антивірусних виробників.


Напад на shell script

Багато програм, що працюють під Unix та подібними операційними системами, підтримують можливість вбудовування коротких сценаріїв оболонки (послідовності команд, схожих на пакетні файли під DOS) у їхніх файлах конфігурації. Це поширений спосіб дозволити гнучке розширення своїх можливостей.

Деякі програми поштової обробки неправильно розширюють цю підтримку вбудованих команд оболонки до повідомлень, які вони обробляють. Як правило, ця можливість включається помилково, викликаючи скрипт оболонки, взятий з файлу конфігурації, для обробки тексту деяких заголовків. Якщо заголовок спеціально відформатовано та містить команди оболонки, ці командні команди також можуть бути виконані. Це може запобігти програмі, яка сканує текст заголовка для спеціального форматування та змінює це форматування, перш ніж він буде переданий в оболонку для подальшої обробки.

Оскільки форматування, необхідне для вставки сценарію оболонки в заголовок електронної пошти, є досить особливим, його досить легко виявити та змінити.


Напад на конфіденційність та веб-помилки

Повідомлення електронної пошти HTML може посилатися на вміст, який фактично відсутній у повідомленні, так само як веб-сторінка може посилатися на вміст, який фактично відсутній на веб-сайті, на якому розміщується сторінка. Це часто можна побачити в банерних оголошеннях - веб-сайт http://www.geocities.com/ може містити банерну рекламу, яку витягують із сервера за адресою http://ads.example.com/ - коли сторінка рендериться Веб-браузер автоматично з'єднується з веб-сервером за адресою http://ads.example.com/ та витягує зображення баннера. Цей пошук файлу записується в журналах сервера за адресою http://ads.example.com/ , вказуючи час, коли він був завантажений, і мережеву адресу комп'ютера, отримавши зображення.

Застосування цього до електронної пошти HTML передбачає розміщення посилання на зображення в тілі повідомлення електронної пошти. Коли поштова програма витягує файл зображення як частину відображення поштового повідомлення користувачеві, веб-сервер запише час та мережеву адресу запиту. Якщо зображення має унікальне ім'я файлу, можна точно визначити, яке повідомлення електронної пошти викликало запит. Як правило, це зображення, яке не відображатиметься одержувачу повідомлення, наприклад зображення, яке складається з лише одного прозорого пікселя, отже, термін Web Bug - він, зрештою, має на меті "приховане спостереження".

Також можна використовувати фонову звукову позначку, щоб досягти такого ж результату.

Більшість поштових клієнтів не можуть бути налаштовані на те, щоб ігнорувати ці теги, тому єдиним способом запобігти цьому snooping є переміщення тегів зображення та звуку на поштовому сервері.


Мені можна зв'язатися з <jhardin@impsec.org> - ви також можете відвідати мою домашню сторінку .

Мені дуже цікаво почути людей, які хочуть перекласти цю сторінку.


Створено з VI Краще переглядати з будь-яким браузером

$ Id: sanitizer-threats.html, v 1.40 2017-06-11 11: 32: 21-07 jhardin Exp jhardin $
Зміст Copyright (C) 1998-2017 by John D. Hardin - Всі права захищені. Заохочений переклад, будь ласка, повідомте мене, щоб я міг включати посилання.