rogue servidores smtp

1

Tivemos um problema recentemente em uma rede na qual o e-mail de spam estava sendo enviado. O próprio servidor mostrou muito pouco tráfego de saída, apenas uma grande quantidade de mensagens de falha de entrega do postmaster recebidas. Os registros mostravam pouco ou nada e mesmo fazer uma captura de pacotes no servidor acabava mostrando pouca ou nenhuma informação útil para eu filtrar.

A empresa entrou na lista negra, nós checamos aleatoriamente todos os computadores e tivemos a sorte de acertar o computador com a infecção muito rapidamente. Um dos computadores da rede tinha um root-kit e, presumivelmente, enviava e-mails como um servidor de e-mail falso. Isso é o que eu tirei da situação de qualquer maneira.

Eu me considero muito bom com redes, e não vejo razão para que um vírus não possa simplesmente enviar um e-mail para outro servidor de uma estação de trabalho em uma rede, fingindo ser o domínio local e ter sucesso ao penetrar em spam. filtros. Assumindo que o servidor do exchange está sendo executado sob o mesmo endereço IP (e neste local estava)

Então, essa é uma questão de duas partes, 1. Existe alguma parte do sistema de e-mail em falta que torna isso impossível, e eu estou latindo na árvore errada? 2. Se eu estiver certo, e foi um 'falso servidor de e-mail' enviando esses e-mails, haveria algum problema em mim que bloqueia todo o tráfego através do firewall que tem uma porta DESTINATION para o tráfego de e-mail que não é originado o servidor?

Eu sou muito novo em ser um administrador de rede, então eu poderia ter alguns parques de bolinhas, mas isso é algo que está me incomodando há uma semana. Inferno, pelo que sei, é assim que todos os vírus de spam funcionam (eu supus que eles geralmente passavam pelo servidor de troca principal)

Qualquer conselho sobre este tópico seria apreciado, uma busca rápida on-line realmente não aumentou muito para informações sobre "servidores Rogue smtp", exceto em um site que requer que você tenha uma participação para ver as respostas (todos nós sabemos esse site)

    
por RyanTimmons91 15.04.2013 / 18:16

1 resposta

2

Apenas para FYI, programas maliciosos podem modificar a porta / ip de origem / destino dos pacotes. Eles não serão necessariamente capazes de enganar o SPI inteligente em roteadores (a menos que os roteadores estejam infectados), mas às vezes podem evitar regras de firewall simples alterando cabeçalhos de IP ou cabeçalhos TCP no caso de portas.

Quanto à sua pergunta - os autores de malware considerariam um servidor de qualquer tipo (especialmente um servidor de email) como um prêmio mais valioso do que uma estação de trabalho simples. Isso ocorre porque os servidores recebem, inerentemente, maior confiança na rede do que um terminal do cliente. Infectar apenas um software de servidor de e-mail não é útil, mas você também pode ajustar as configurações de firewall e enviar cópias de todo o tráfego de e-mail da organização (entrada e saída) infectando um servidor.

Se o objetivo deles é apenas enviar emails , a maneira mais fácil é usar as rotinas de envio de e-mail existentes do usuário, e o servidor de e-mail não será mais sábio, a menos que detecte spam -ish palavras no e-mail de saída e arrasta-lo.

Se eles quiserem não apenas enviar e-mails, mas também participar de comunicações privadas dentro da organização, eles infectarão um servidor de e-mail.

O motivo pelo qual eles podem ter feito seu próprio servidor SMTP incorporado (em uma estação de trabalho, suponho) é que você não está comprometido com os filtros de spam de correio de saída do servidor SMTP downstream. Como um autor de malware, você não quer depender de verificações de legitimidade ignoradas, você deseja rotear completamente elas. Naturalmente, muitos roteadores são configurados para bloquear protocolos de e-mail, como o Exchange e o SMTP, em todas as rotas, exceto para o servidor de e-mail certificado, para evitar exatamente esse tipo de exploração.

(Atualizado abaixo) ...

  1. Is there some part of the email system im missing that makes this impossible, and I'm barking up the wrong tree?

O envio de email "como" o usuário autorizado usando as credenciais da própria conta do usuário não é impossível , mas para alguns clientes pode ser muito difícil realizá-lo sem ser detectado se o cliente for resistente à automação como Outlook. Você também precisa escrever um software para cada cliente de e-mail em particular e tentar antecipar e evitar possíveis problemas que podem acionar diálogos pop-up, permitindo que o usuário saiba de um possível problema, etc.

Eu não acho que você está latindo na árvore errada, mas a implementação de um servidor micro-smtp em seu malware terá maior probabilidade de sucesso, a menos que haja regras de roteamento configuradas para bloqueá-lo (o que não é em muitas redes, incluindo a sua, aparentemente).

  1. If I am right, and it was a 'Fake Email Server' sending out those emails, would there be any problems that arise from me blocking all traffic through the firewall that has a DESTINATION port for email traffic that doesn't originate from the server?

Isso não será um problema, mas também não o tornará seguro.

Para ser totalmente seguro, você precisa anular o tráfego all em todos os endpoints por padrão e forçar todos os clientes a usar um proxy HTTP que inspecione todo o tráfego e "compreende" HTTP (bem como uma lista negra bem mantida ou lista branca de sites permitidos).

A razão pela qual simplesmente escrever uma regra de roteamento para a porta SMTP não funcionará é que eles podem usar apenas outras portas para atividades maliciosas.

O problema que estamos vendo agora (nós = comunidade de segurança) é que a nova onda de ataques não usa portas ou protocolos exóticos, tudo é baseado em HTTP e feito através do navegador agora. Algo tão inofensivo quanto visitar o msn.com pode levar ao XSS armazenado, resultando em javascript malicioso sendo executado no navegador que envia e-mail via webmail, rouba informações ou usa recursos de computação locais para o ganho do invasor (botnets, DDoS, mineração de bitcoin etc.) . Nós criamos um monstro. A Web é praticamente uma falha de segurança não mitigada, realmente escassa, por si só, mesmo quando você bloqueia a execução de executáveis estrangeiros e bloqueia sua rede atrás de um proxy inteligente.

    
por 15.04.2013 / 18:29

Tags