Phishing, Malware e Ransomware: difendersi con SPF
Da alcuni giorni una nuova versione del ransomware FTCODE ha come obiettivo gli utenti di lingua italiana. Come altri ransomware, l'azione principale svolta da FTCODE è quella di criptare i files della vittima, lasciandole come possibilità per il recupero l'acquisto della chiave di decifratura previo pagamento di un "riscatto" in bitcoin al malintenzionato (v. anche dal blog Netlogica "Ransomware, il lato oscuro della crittografia").
L'azione svolta da FTCODE non si ferma però alla sola cifratura dei files, ma si estende alla lettura delle password salvate nel browser ed, in alcuni casi, a quelle inserite nel programma di posta elettronica...
Immaginiamo l'impatto che può avere per una persona perdere l'accesso ai propri documenti, l'uso del proprio computer e di tutte le password dei propri account (email, banca, social network) nella disponibilità esclusiva di malintenzionati... L'identità digitale di questa persona viene violata con conseguenze in campo personale e sul lavoro. Ampliamo questo scenario fino all'ordine di grandezza di un'azienda e rendiamoci conto che i danni possono essere davvero devastanti.
Fortunatamente le modalità per difendersi e scongiurare scenari di questo tipo sono molteplici ed abbracciano diversi aspetti.
È importante sottolineare che infiltrazioni da malware/ransomware iniziano sempre più spesso con un errore umano e qui occorre specificare cosa si intenda per phishing: con questa parola si indica, nella metafora del pescare, un amo, lanciato dal malintenzionato - che fa la parte del pescatore - ed in cui la parte del pesciolino la fa l'ignara vittima.
Il caso tipico è quello delle e-mail inviate da malintenzionati, magari con grafica in linea a quella di una qualche nota banca o di un circuito di carte di credito, in cui viene indicato che occorre effettuare login al sistema tramite un link ben indicato nella e-mail, per controllare gli ultimi movimenti oppure per mantenere attivo l'account. Supponiamo che questa e-mail sia stata inviata a milioni di destinatari. Tra questi milioni, per il gioco dei grandi numeri, molto verosimilmente - ed in effetti è così - vi sarà anche un cliente della banca che potrebbe "abboccare all'amo", andare sul sito dei malintenzionati ed inserire lì i propri dati di accesso... A questo punto il danno sarà stato fatto ed il prosieguo della storia non è difficile da immaginare...
Nel caso del malware FTCODE, la mail che arriva contiene un allegato che riporta la dicitura "Dettaglio dei costi": la vittima, per controllarli, aprirà il documento ma così facendo uno script malevolo (in linguaggio VBScript, un linguaggio di programmazione integrato nel pacchetto Office) verrà eseguito dando inizio all'infezione (ed ai problemi).
Lo script apre una powershell (una sorta di ambiente in cui effettuare le operazioni per cui è programmato) e scarica un file immagine con il dettaglio di alcuni costi, in modo da non far sospettare nulla alla vittima, se non di aver ricevuto un estratto conto magari di qualcun'altro per errore.
L'azione dello script però continua ed il malware vero e proprio (il criptolocker che renderà inaccessibili i files sull'hard disk) verrà scaricato sul computer della vittima e salvato in %Public%\Libraries\WindowsIndexingService.vbs dove verrà eseguito.
Questo script inizia una scansione di tutti i drive ed inizia a criptare i files (documenti, fogli di calcolo, foto, database, ecc...). Inoltre FTCODE preleva la cronologia dal browser e decripta le password:
- per Internet Explorer (eh si, viene ancora utilizzato...), FTCODE preleva le informazioni da HKCU:\Software\Microsoft\Internet Explorer\IntelliForms\Storage2;
- per Microsoft Outlook FTCODE accede alla chiave di registro dove vengono salvate le credenziali delle caselle di posta elettronica: HKCU:\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\*\9375CFF0413111d3B88A00104B2A6676\* e HKCU:\Software\Microsoft\Office\1[56].0\Outlook\Profiles\*\9375CFF0413111d3B88A00104B2A6676\*
- per Mozilla Firefox e per il client di posta elettronica Thunderbird cerca in quattro percorsi differenti: SystemDrive\Program Files\Mozilla Firefox, SystemDrive\Program Files\Mozilla Thunderbird, SystemDrive\Program Files (x86)\Mozilla Firefox, SystemDrive\Program Files (x86)\Mozilla Thunderbird;
- per Google Chrome i dati di accesso salvati nel browser vengono prelevati da: \%UserProfile%\AppData\Local\Google\Chrome\User Data\*\Login Data.
Premesso che la cybersecurity può essere immaginata come una catena, dove l'anello debole determina la resistenza dell'insieme, possiamo ragionevolmente dire che sarebbe senz'altro opportuno evitare a monte la ricezione della mail di phishing, indipendentemente dalle altre tecniche di sicurezza e disaster recovery (v. news Netlogica Disaster Recovery - Nuove procedure di backup automatico) che un'azienda dovrebbe implementare tra le sue policy anche in relazione a possibili data breach così come previsto dal GDPR (v. dal blog Netlogica Netlogica rilascia netShield e dalle news Netlogica GDPR - Adegua il tuo sito web). Evitarne la ricezione quindi, ma come?
Un utile strumento è l'ausilio delle SPF da parte del nostro mailserver, ma cos'è SPF? Diciamo intanto che SPF è l'acronimo di "Sender Policy Framework", ovvero un sistema di validazione delle email, utilizzato per verificare che il mittente sia effettivamente quello vero e non altri.
In sintesi, il mailserver per verificare che il mittente sia quello "vero", effettua una query DNS (Domain Name System è il servizio per cui un nome di dominio, ad esempio netlogica.it viene associato all'indirizzo IP della macchina su cui risiede) e controlla quali mailserver sono dichiarati come attendibili dal mittente stesso per il suo domino.
Il mailserver ricevente leggerà quindi la specifica SPF nel record TXT del DNS del dominio mittente: altri server, non indicati dalla policy, che inviino e-mail con quella classe di indirizzi, dovranno essere considerati come inattendibili ed i relativi messaggi scartati a monte, evitando di recapitarli nella mailbox (posta in arrivo) del destinatario.
Un esempio può chiarire meglio il concetto.
Supponiamo che vi arrivi una mail da Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.. Nella mail viene indicato di procedere ad un pagamento per il rinnovo dei servizi cloud pena la sospensione del servizio.
Nella mail vi sarà un link che porterà ad una pagina, con il logo della Netlogica, in cui inserire i dati della vostra carta di credito (o nel caso del malware FTCODE, con un documento infetto come allegato).
A questo punto, per evitare che la mail vi giunga, il vostro mailserver dovrà controllare che sulla configurazione DNS del domino netlogica.it sia indicato un record TXT con la specifica SPF riportante i mailserver che la Netlogica dichiara di utilizzare come gli unici deputati ad inviare e-mail per suo conto.
Una verifica del genere è possibile anche farla direttamente con il nostro computer, tramite il prompt di Windows oppure da terminale GNU/Linux con il comando nslookup:
Lanciando da terminale il comando
~$ nslookup -type=TXT netlogica.it 8.8.8.8
si ottiene come risultato:
netlogica.it text = "v=spf1 mx a ip4:95.174.9.154/32 a:mail.netlogica.it a:pop.netlogica.it a:netmail.netlogica.it a:seth41.netlogica.it ~all"
Andando ad esaminare la sintassi del comando, viene richiesto il record TXT del dominio netlogica.it ad un server DNS (in questo caso quello di Google 8.8.8.8).
La stringa risultato indica che dal dominio netlogica.it vengono inviate email dall'ip 95.174.9.154, dai mailserver mail.netlogica.it, pop.netlogica.it e da seth41.netlogica.it.
La specifica SPF Indica inoltre che in caso di mancata corrispondenza, la mail deve essere marcata come spam (~all).
Il matching verrà fatto leggendo, negli header delle intestazioni SMTP del messaggio in arrivo (SMTP è l'acronimo del protocollo utilizzato per spedire le email: Simple Mail Transfer Protocol), l'indirizzo del server da cui è partita la e-mail.
Il mailserver ricevente, incrociando i dati provenienti dalla query DNS con quelli letti degli header SMTP, disporrà delle informazioni necessarie alla valutazione del mittente ed accetterà le e-mail provenienti dai mailserver che netlogica.it dichiara di utilizzare, scartando le altre eventuali e-mail (con mittente netlogica.it) provenienti da mailserver diversi da quelli dichiarati.
In caso di accettazione, il mailserver indicherà negli header del messaggio "spf=pass", in caso contrario "spf=fail". Ad es.:
spf=pass (netlogica.it: domain of Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. designates 95.174.9.154 as permitted sender) smtp.mailfrom=Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Received: by seth41.netlogica.it (Postfix, from userid 110) id C1CC7426AC0; Mon, 20 Jan 2020 15:45:25 +0100 (CET)
E la e-mail sarà, in questo caso, recapitata. Altre e-mail con spf=fail saranno eliminate.
In altre parole, se un malintenzionato avesse fatto partire dal suo mailserver una mail indicando come mittente un qualsiasi indirizzo @netlogica.it, il controllo DNS sulla base del record TXT contenente la dichiarazione SPF avrebbe fatto riconoscere al server destinatario che la mail era fasulla, così da eliminarla ed evitando, come nel caso del ransomware FTCODE, qualsiasi conseguenza.
Dichiarare SPF nella zona DNS del proprio dominio ha inoltre l'importante conseguenza che le proprie mail (pensiamo a comunicazioni commerciali inviate da un'azienda ai suoi clienti) molto presumibilmente non saranno, marcate come indesiderate dai sistemi di controllo automatici del mailserver destinatario.
Naturalmente SPF non è la sola tecnica applicabile ma è senz'altro un buon punto di inizio ed implementabile rapidamente senza impattare sulla topologia del destinatario.
Per le aziende che intendessero applicare le giuste policy di cybersecurity contro il rischio ransomware, è possibile contattare la Netlogica attraverso il modulo di contatto in modo da valutare lo scenario specifico.
Per approfondire l'argomento è possibile consultare anche gli altri articoli correlati dal nostro blog e dalle news:
- Ransomware: il lato oscuro della Crittografia - "wannacry" il virus che tiene in scacco mezzo mondoRansomware: il lato oscuro della Crittografia - "wannacry" il virus che tiene in scacco mezzo mondo
- Netlogica rilascia netShield
- Disaster Recovery - Nuove procedure di backup automatico
- Riavvio dei servizi? Automatico è meglio!
- GDPR - Adegua il tuo sito web