Comment les hackers contournent les anti-spam
Mantra Team
Les techniques de contournement des anti-spam
Les techniques de contournement des anti-spam
Les techniques de contournement des anti-spam
Ca n’est un secret pour personne, la plupart des cyberattaques commencent par un phishing, c’est à dire l’envoi d’un email frauduleux qui va chercher à obtenir les identifiants d’un utilisateur ou déployer un malware.
Comment refermer cette porte d’entrée ? La solution la plus évidente serait d’empêcher les utilisateurs de recevoir les mails de phishing. Pas de mail de phishing, pas de tête de pont pour les hackers. Logique non ?
C’est ce qui a conduit au déploiement de solutions anti-spam. Cette approche est évidemment utile dans la mesure où elle élève le niveau technique nécessaire pour rentrer au sein des boites mails. Mais elle ne garantie malheureusement jamais une protection absolue , face à des hackers disposant d’une panoplie d’outils et de moyens pour contourner ces filtres anti-spam.
Cet article va donc explorer quelques unes des tactiques courantes que des hackers peuvent mettre en place pour s’assurer que leur message parviendra bien à son destinataire final.
Ces méthodes évoluent sans cesse, et ces exemples ont avant tout une portée éducative : expliquer simplement à vos utilisateurs pourquoi une solution d’anti-spam ne constituera jamais pas une barrière absolue, et pourquoi la vigilance doit toujours rester de mise.
Que fait un anti-spam et comment peut il être contourné ?
Que fait un anti-spam ? La réponse courte : deux choses.
- Evaluer la réputation de l’expéditeur
- Evaluer le contenu du mail pour s’assurer qu’il ne représente pas une menace pour le destinataire.
Ce n’est pas pour dire que les anti-spams ne sont pas utiles et nécessaires pour une enterprise (bien au contraire). Simplement que comprendre ce que fait un anti-spam permet d’envisager comment le contourner.
Il y donc deux grandes approches pour des hackers souhaitant contourner un anti-spam :
- Améliorer la réputation de l’expéditeur
- Eviter l’évaluation du contenu pour contourner les défenses
1. Réputation de l'expéditeur
Domaine de confiance
Afin de contourner l’évaluation de l’expéditeur, ou plutôt de masquer une réputation “négative” qui activerait le bloquage spam du mail, les hackers vont chercher à donner l’impression qu’il est fiable car provenant d’un domaine de confiance :
- S’appuyer sur des boîtes mails fiables : utiliser des services publics comme Gmail ou mail.com qui ont une bonne réputation initiale.
- Utiliser d’autres services connus : les emails provenant de services de partage comme Dropbox ou Google Drive vont moins attirer l’attention des filtres anti-spams
- Utiliser un serveur mails avec une bonne réputation (ex. AWS) tout en spoofant un domaine ou near-domain qui ne serait pas protégé (par une politique DMARC active par exemple).
Email faussement “réputé”
Les hackers peuvent facilement donner un vernis de fiabilité à leur emails, en effectuant quelques actions en amont de l’envoi
- Paramétrer le SPF, le DMARC et le DKIM sur le domaine d’envoi
- Utiliser des solutions de “warm-up” des boîtes mails, qui permettent d’établir qu’un domaine envoie des mails régulièrement, et limiter le nombre de mails envoyés
- Utiliser un vieux domaine, ou du moins inclure un temps entre la création du domaine et l’envoi des emails
- Multiplier les IP d’envoi et limiter le volume à chaque fois, ce qui permet d’éviter d’être placé sur liste noire
ATO (Account Takeover) ou Supply Chain Attack
Ce type d’attaque rend complètement caduques la composante “réputation” des anti-spams.
Les hackers passent par la compromission d’un premier compte (d’un fournisseur, d’un client) et se servent de cette tête de pont pour envoyer leurs emails de phishing.
Ils bénéficient ainsi de la réputation du compte compromis (considéré comme un compte “normal” tant que l’envoi n’excède pas un certain nombre de mails) et des réflexes des destinataires qui ont l’habitude de recevoir des mails de cet expéditeur, et vont être susceptibles de se faire piéger par la confiance qu’ils lui accordent.
Par exemple, si vous avez l’habitude de recevoir des factures pdf et pièces jointes Excel d’un fournisseur, l’anti-spam ne va pas s’alerter si vous recevez un pdf et un Excel de ce même fournisseur, ce qui laissera l’utilisateur exposé.
2. Contournement des défenses
Un email de phishing cherche à délivrer un payload qui, en général, est soit une URL envoyant vers un site (pour générer un téléchargement, récupérer des identifiants) soit une pièce jointe (pour exécuter du code malveillant, via, par exemple, des macros).
Les anti-spams protègent les utilisateurs en analysant le contenu du mail : URL et pièce jointe, et parfois de manière poussée. Mais cela ne suffit pas devant l’inventivité des hackers.
URL
Il existe des solutions pour éviter que la page de destination d’un mail de phishing ne déclenche un filtre anti-spam.
Masquer la destination finale de l’URL
- Il est possible de cacher son contenu derrière un site fiable (Google API, Amazon S3). Cela permet d’afficher une URL d’un site fiable (semblable à un lien de partage Google Drive par exemple) que l’anti-spam ne peut bloquer car il existe de nombreux cas d’usage légitime. Une autre technique des hackers est d’utiliser un lien de recherche Google avec redirection, tout en s’assurant que leur site malveillant est le premier résultat (celui qui sera ouvert).
- Les hackers peuvent utiliser des redirections (l’URL cliquée redirige vers une autre), des services de raccourcissement d’URL (bitly par exemple) : l’idée est d’induire le filtre anti-spam qui lit le message en erreur en lui présentant une URL qui paraît bénigne
- Utiliser une pop-up sur un site de confiance : URL contient alors les éléments pour la pop-up mais se cache derrière un site légitime
- Le message même dans l’email, qui va pousser l’utilisateur à cliquer, peut être caché des robots d’analyse anti-spam en utilisant des techniques comme des polices spéciales, des images, de l’obfuscation...
Passer les analyses des anti-spams
Afin de contrecarrer les techniques des hackers, les solutions anti-spam s’appuient sur des techniques comme la réécriture d’URL pour gagner un temps d’analyse et protéger l’utilisateur.
L’approche consiste à rediriger l’utilisateur qui a cliqué pendant un moment, le temps que l’anti-spam analyse la page de destination. L’objectif est de répondre à la multiplication des URL malveillantes pour éviter les filtres basés sur des listes statiques, mais les hackers ont trouvé des parades :
Bloquer l’inspection de la page de destination par l’anti-spam
- Cacher le contenu de phishing (une fausse page de login ou alors une page de téléchargement de malware) derrière des captcha empêche les crawler des solutions anti-spam de détecter un contenu malveillant.
- En plus, cela renforce l’illusion de sécurité pour l’utilisateur : celui-ci est tellement habitué à voir des captcha lorsqu’il remplit des formulaire ou s’inscrit sur des sites en ligne qu’il associe cela à une activité légitime (exploiter nos habitudes contre nous est sans doute la tactique la plus efficace des hackers).
Leurrer l’anti-spam lors de l’inspection de la page de destination
- La plupart des anti-spam ont des comportements qui les rendent faciles à identifier (adresses IP, headers HTTP, éléments navigateur).
- Après avoir fait un peu de reconnaissance et d’analyse, les hackers peuvent “cacher” la page de destination malveillantes en redirigeant les anti-spams vers une page totalement bénigne et légitime.
- Une étude s’appuyant sur certaines de ces faiblesses à permis de maintenir indéfiniment, malgré l’analyse par des anti-spams, 18 des 20 pages de phishing crées par les chercheurs (et les deux bloquées l’ont été suite à des actions de reporting manuelles).
Pièce jointe
Une pièce jointe malveillante qui va déclencher le téléchargement de malware via des macros (par exemple) est une arme très efficace employée par les hackers.
Les filtres anti-spams ont tenté de répondre à cette approche en exécutant le code contenu dans des pièces jointes dans des environnements sécurisés, isolés du reste du système (sandbox) afin de vérifier qu’il n’est pas dangereux. Mais, là encore dans ce jeu du chat et des souris, les hackers ont trouvé des techniques pour contourner ces défenses.
Empêcher l’inspection
- En utilisant des services de partage de documents tels que Wetransfer, Google Drive, Dropbox, les pirates peuvent avoir l'analyse du contenu d'un document envoyé par des outils de détection de logiciels malveillants. Le fait que ces services soient utilisés régulièrement, tant au niveau professionnel que personnel, augmente la probabilité qu'un utilisateur télécharge le document.
- Plutôt que de mettre la pièce jointe dans le mail, les hackers peuvent l’héberger sur une page d’apparence anodine, où son téléchargement sera effectué par l’utilisateur, poussé par des techniques de social engineering. Et pour encore plus de sécurité, les hackers peuvent là encore mettre un captcha : comme évoqué précédemment cela bloque l’analyse et induit un faux sentiment de légitimité.
Passer l’inspection dans la Sandbox
Les malwares modernes ont des fonctionnalités pour détecter et éviter les mécanismes de protection, et pour cacher les éléments malveillants si ils sont exécutés dans une sandbox ou un analyseur de code :
- Analyse système : les malware peuvent vérifier combien de process tournent, lesquels, quelles librairies sont utilisées afin de détecter si ils sont dans un environnement sandbox
- Patience : attendre avant d’exécuter les éléments malveillants, en considérant que l’analyse doit se faire rapidement pour des raisons d’efficacité (personne ne voudrait attendre un quart d’heure avant d’ouvrir sa pièce jointe)
- Détection d’une interaction humaine : en cherchant des marqueurs de l’activité d’un utilisateur (mouvement de souris par exemple), les malware vérifient qu’ils ne sont pas dans une sandbox
- Obfuscation du code et analyse : cacher les éléments malveillants et suspendre leur exécution si un debugger est détecté
En somme, il est possible de trouver sur le darkweb des logiciels malveillants dotés de fonctionnalités d'évasion de sandbox pour un prix aussi bas que 30 $ :
Conclusion
Les anti-spams ont toute leur utilité : ils empêchent les attaques de masse, ils contraignent les hackers à investir du temps (et donc de l’argent et des ressources) pour les contourner, et ils fournissent une couche d’analyse à même de détecter certaines attaques.
Mais attention à certaines croyances parfois enracinées chez certains des collaborateurs moins avertis, et qui penseraient pouvoir s’abriter derrière l’anti-spam ou anti-phishing de la société.
Ces outils ne sont pas une parade absolue contre les attaques de phishing, dont une des composantes principales est justement d’arriver à passer cette première barrière.
Oups ! Un problème est survenu lors de la soumission du formulaire.
Plus de lecture
La psychologie derrière le clic sur un email de phishing
La psychologie derrière le clic sur un email de phishing
La psychologie derrière le clic sur un email de phishing
Pourquoi les gens cliquent-ils? La psychologie derrière le clic
Quels sont les facteurs en jeu qui poussent les gens à cliquer sur des emails de phishing ? Et que peuvent faire les entreprises pour renforcer leur cybersécurité ?
Mantra Team
Attaques de phishing : SMishing
Attaques de phishing : SMishing
Attaques de phishing : SMishing
Qu'est-ce que le SMishing (phishing par SMS) ?
Qu'est-ce que le SMishing (SMS phishing) et comment hackers mène-t-il ces attaques ?
Mantra Team
Ingénierie sociale et attaques par hameçonnage
Ingénierie sociale et attaques par hameçonnage
Ingénierie sociale et attaques par hameçonnage
Comment les hackers se servent du social engineering dans leurs attaques de phishing ?
Qu'est-ce que l'ingénierie sociale ? Comment hackers utilise-t-il cette tactique dans ses attaques de phishing et de spear-phishing ?
Mantra Team