Die Datenexfiltration über das Simple Mail Transfer Protocol (SMTP) ist eine robuste Methode, mit der Angreifer sensible oder vertrauliche Informationen von einem kompromittierten System an einen externen Ort übertragen. SMTP, das Standard-E-Mail-Kommunikationsprotokoll, wird von Angreifern für die Exfiltration gewählt, da es über allgemein zugelassene Ports arbeitet (z.B. Port 25, 465 oder 587). Trotz dieser Gefahren wird es in Unternehmensumgebungen jedoch nur selten blockiert.
IT-Sicherheitsexperten und Netzwerkadministratoren müssen den SMTP-Verkehr überwachen, da Angreifer das Protokoll missbrauchen können, indem sie sensible Daten in E-Mail-Anhänge oder den Inhalt von E-Mails verschlüsseln und diese an externe E-Mail-Konten unter ihrer Kontrolle senden. Da der SMTP-Verkehr in der Regel mit Protokollen wie STARTTLS oder SMTPS verschlüsselt wird, kann er viele herkömmliche Netzwerküberwachungs-Tools umgehen, die nicht für die Überprüfung von verschlüsseltem Verkehr konfiguriert sind. Darüber hinaus macht die legitime Verwendung von E-Mails in den Arbeitsabläufen von Unternehmen die Exfiltration über SMTP für Systeme zur Erkennung von Eindringlingen weniger verdächtig, insbesondere wenn Angreifer die exfiltrierten Daten mit legitimen E-Mail-Aktivitäten vermischen.
Die Analyse des Codes von Snake Loader und Keylogger wurde bereits früher durchgeführt und hat dessen Techniken und Taktiken aufgezeigt. Heute analysiert das Aryaka Threat Research Lab den SMTP-basierten Datenexfiltrationsmechanismus, den Snake Keylogger vor der Exfiltration verwendet.
Die Angreifer nutzen oft kompromittierte E-Mail-Konten (durch Phishing oder Diebstahl von Zugangsdaten), um E-Mails zu versenden, wobei sie die Aktivität als legitim erscheinen lassen, um die Wahrscheinlichkeit eines Erfolgs zu erhöhen. Eine andere Taktik besteht darin, speziell entwickelte Malware zu verwenden, um die Datenerfassung, -verschlüsselung und -exfiltration zu automatisieren, die oft so konfiguriert ist, dass sie direkt mit einem SMTP-Server interagiert. Diese Malware kann Mechanismen enthalten, um regelmäßig die Konnektivität zu überprüfen oder die Adressen der E-Mail-Empfänger dynamisch zu aktualisieren, um Sperrlisten zu umgehen.
Abbildung 1: SMTP-Kommunikation, ausgelöst von dem kompromittierten System, auf dem Snake Infostealer läuft
Analysieren wir den TCP-Sitzungsstrom, um den gesamten Arbeitsablauf zu verstehen.
- Das kompromittierte System, auf dem snake infostealer läuft, sendet den Befehl EHLO (Extended HELO), um den Client beim Server zu identifizieren und die Unterstützung für die Extended SMTP (ESMTP)-Funktionen anzuzeigen.
- Der Befehl AUTH initiiert den Authentifizierungsprozess zwischen einem SMTP-Client, der auf dem kompromittierten System läuft, und dem SMTP-Server. Er unterstützt verschiedene Authentifizierungsmechanismen, um dem SMTP-Server Authentifizierungsdaten zur Verfügung zu stellen. Damit wird sichergestellt, dass nur autorisierte Systeme, auf denen snake infostealer läuft, E-Mails über den Server weiterleiten können. Die Zeichenfolge „c2VuZGVyQGluaG91c2VwaWNrLmNvbQ==“ wird zu„[email protected]“ entschlüsselt. Die Passwortzeichenfolge „IyhQJWVPXiNKMA==“ dekodiert zu „#(P%eO^#J0“. Sobald die Authentifizierung abgeschlossen ist, validiert der Remote-Server erfolgreich die Verbindung, die von dem kompromittierten System mit Snake Infostealer initiiert wurde. Er wartet auf die nächsten Schritte. Abbildung 2 verdeutlicht diesen Mechanismus.
Abbildung 2: Austausch von SMTP-Authentifizierungsbefehlen
Nach der Authentifizierung senden die kompromittierten Systeme den Befehl „MAIL FROM“, der den Absender der E-Mail,„[email protected]“,hervorhebt. In ähnlicher Weise hebt der Befehl „RCPT TO“ den Empfänger der E-Mail hervor, der in diesem Fall„[email protected]“ ist. Die Antwort „250 OK“ zeigt, dass der Server die Befehle akzeptiert hat. Abbildung 3 zeigt, wie das kompromittierte System den Befehl „DATA“ verwendet, um gestohlene Informationen aus dem kompromittierten System zu exfiltrieren, wie in Abbildung 3 dargestellt.
Abbildung 3: SMTP: Datenexfiltration mit dem DATA-Befehl
Der DATA-Befehl signalisiert dem SMTP-Server, dass der Client den Inhalt der E-Mail übertragen kann. Sobald der Befehl erteilt wird und der Server positiv antwortet, sendet der Client die Kopfzeilen und den Text der E-Mail und beendet die Übertragung mit einem bestimmten Trennzeichen. Der SMTP-Client, der auf dem kompromittierten System läuft, auf dem Snake Infostealer installiert ist, sendet einen „DATA“-Befehl, woraufhin der Remote-Server mit einem 354-Code antwortet, der anzeigt, dass er bereit ist, den Inhalt der Nachricht zu empfangen. Sobald die Daten exfiltriert sind, gibt der Client den Befehl „QUIT“ (siehe Abbildung 4) aus, um die SMTP-Sitzung zu beenden. Man kann feststellen, dass die von dem Snake Infostealer gestohlenen sensiblen Daten über den SMTP-Kanal exfiltriert werden.
Abbildung 4: SMTP-Verbindung wird nach erfolgreicher Exfiltration geschlossen
Wie Sie vielleicht bemerkt haben, verwendet das kompromittierte snake infostealer System kein STARTTLS, um alle Befehle und Nachrichteninhalte in unverschlüsseltem Format über das Netzwerk zu senden, einschließlich potenziell sensibler E-Mail-Kopfzeilen, Textinhalte und Authentifizierungsdaten. Das System verwendet SMTP AUTH, um sich ohne STARTTLS beim Mailserver anzumelden, so dass der Benutzername und das Passwort im Klartext übertragen werden.
Da SMTP in Unternehmensumgebungen weithin zugelassen ist, kann diese Aktivität unbemerkt bleiben, wenn sie nicht genau überwacht wird. Indem sie Daten in kleinen Stücken versenden oder sie als legitime E-Mails tarnen, können Angreifer die Erkennung durch Intrusion Detection Systeme (IDS) oder Data Loss Prevention (DLP) Tools umgehen.
Wie hilft Unified SASE as a Service dabei, SMTP-Verletzungen abzuschwächen?
Ein einheitliches Secure Access Service Edge (SASE) Framework integriert Netzwerksicherheit und Zero-Trust-Zugangskontrollen, um Unternehmen vor Datenexfiltration zu schützen, einschließlich Bedrohungen, die auf SMTP-Datenverkehr abzielen. SASE bietet eine zentralisierte Sichtbarkeit und Überwachung, so dass Sicherheitsteams Anomalien wie plötzliche Spitzen bei der E-Mail-Aktivität oder Verbindungen zu nicht vertrauenswürdigen externen Mail-Servern erkennen können.
Durch die Anwendung konsistenter Sicherheitsrichtlinien auf den gesamten Datenverkehr – einschließlich der E-Mail-Kommunikation – stellt Unified SASE sicher, dass nicht autorisierter SMTP-Verkehr, bösartige Anhänge und ausgehende Datenlecks in Echtzeit erkannt und blockiert werden, was sofortige Sicherheit bietet. Die Funktionen von SASE zur Inhaltskontrolle verhindern, dass sensible Daten über SMTP ins Ausland gelangen. SASE kann ausgehende E-Mails untersuchen, Muster mit sensiblen Informationen (z.B. Kreditkartennummern, geistiges Eigentum oder persönliche Identifizierungsmerkmale) erkennen und unautorisierte Übertragungen automatisch blockieren.