La exfiltración de datos a través del Protocolo Simple de Transferencia de Correo (SMTP) es un método sólido que los atacantes utilizan para transferir información sensible o confidencial desde un sistema comprometido a una ubicación externa. SMTP, el protocolo estándar de comunicación por correo electrónico, es el elegido por los atacantes para la exfiltración porque opera a través de puertos comúnmente permitidos (por ejemplo, los puertos 25, 465 o 587). Sin embargo, a pesar de estos peligros, rara vez se bloquea en los entornos corporativos.
Los profesionales de la seguridad informática y los administradores de red deben supervisar el tráfico SMTP, ya que los atacantes pueden abusar del protocolo codificando datos confidenciales en los archivos adjuntos o en el contenido del cuerpo del correo electrónico y enviándolos a cuentas de correo electrónico externas bajo su control. Dado que el tráfico SMTP suele cifrarse mediante protocolos como STARTTLS o SMTPS, puede eludir muchas herramientas tradicionales de supervisión de redes que no están configuradas para inspeccionar el tráfico cifrado. Además, el uso legítimo del correo electrónico en los flujos de trabajo corporativos hace que la exfiltración a través de SMTP sea menos sospechosa para los sistemas de detección de intrusos, especialmente si los atacantes mezclan los datos exfiltrados con la actividad legítima del correo electrónico.
Anteriormente se realizó el análisis del código del cargador y keylogger Snake , destacando sus técnicas y tácticas. Hoy, el Laboratorio de Investigación de Amenazas de Aryaka analiza el mecanismo de exfiltración de datos basado en SMTP que Snake keylogger utiliza ata antes de la exfiltración.
Los atacantes suelen explotar cuentas de correo electrónico comprometidas (mediante phishing o robo de credenciales) para enviar correos electrónicos, haciendo que la actividad parezca legítima para aumentar la probabilidad de éxito. Otra táctica consiste en utilizar malware especialmente diseñado para automatizar la recopilación, codificación y exfiltración de datos, a menudo configurado para interactuar directamente con un servidor SMTP. Este malware puede incluir mecanismos para comprobar periódicamente la conectividad o actualizar dinámicamente las direcciones de los destinatarios del correo electrónico para eludir las listas de bloqueo.
Figura 1: Comunicación SMTP desencadenada desde el sistema comprometido que ejecuta snake infostealer
Vamos a diseccionarlo analizando el flujo de sesiones TCP para comprender el flujo de trabajo completo.
- El sistema comprometido que ejecuta snake infostealer envía el comando EHLO (HELO extendido) para identificar al cliente ante el servidor e indicar que es compatible con las funciones SMTP extendidas (ESMTP).
- El comando AUTH inicia el proceso de autenticación entre un cliente SMTP que se ejecuta en el sistema comprometido y el servidor SMTP. Admite varios mecanismos de autenticación para proporcionar credenciales de autenticación al servidor SMTP. Garantiza que sólo los sistemas autorizados que ejecutan el infostealer de serpiente puedan retransmitir correos electrónicos a través del servidor. La cadena «c2VuZGVyQGluaG91c2VwaWNrLmNvbQ==» se descodifica como«[email protected]». La cadena de contraseña «IyhQJWVPXiNKMA==» se descodifica como «#(P%eO^#J0». Una vez completada la autenticación, el servidor remoto valida con éxito la conexión iniciada desde el sistema comprometido que ejecuta el infostealer serpiente. Queda a la espera de los siguientes pasos. La figura 2 valida este mecanismo.
Figura 2: Intercambio de comandos de autenticación SMTP
Tras la autentificación, los sistemas comprometidos envían el comando «MAIL FROM», resaltando al remitente del correo electrónico,«[email protected]».Del mismo modo, el comando «RCPT TO» resalta el destinatario del correo electrónico, que en este caso es«[email protected]». La respuesta «250 OK» muestra que el servidor ha aceptado los comandos. La figura 3 muestra cómo el sistema comprometido utiliza el comando «DATA» para exfiltrar información robada del sistema comprometido, tal y como se muestra en la figura 3.
Figura 3: SMTP: Exfiltración de datos mediante el comando DATA
El comando DATA indica al servidor SMTP que el cliente puede transmitir el contenido del correo electrónico. Una vez que se emite el comando y el servidor responde positivamente, el cliente envía las cabeceras y el cuerpo del correo electrónico, finalizando la transmisión con un delimitador específico. El cliente SMTP que se ejecuta en el sistema comprometido instalado con el infostealer serpiente envía un comando «DATA», y el servidor remoto responde con un código 354, indicando que está preparado para recibir el contenido del mensaje. Una vez exfiltrados los datos, el cliente emite el comando «QUIT» (véase la figura 4) para truncar la sesión SMTP. Se puede observar que los datos sensibles robados por el infosecuestrador serpiente se exfiltran a través del canal SMTP.
Figura 4: La conexión SMTP se cierra tras una exfiltración exitosa
Como habrá observado, el sistema snake infostealer comprometido no utilizaba STARTTLS para enviar todos los comandos y el contenido de los mensajes en formato no cifrado a través de la red, incluidos los encabezados de correo electrónico potencialmente sensibles, el contenido del cuerpo y las credenciales de autenticación. El sistema utiliza SMTP AUTH para iniciar sesión en el servidor de correo sin STARTTLS, por lo que el nombre de usuario y la contraseña se transmiten en texto plano.
Dado que SMTP está ampliamente permitido en los entornos corporativos, esta actividad podría pasar desapercibida a menos que se vigile de cerca. Enviando datos en pequeños trozos o disfrazándolos de correos electrónicos legítimos, los atacantes pueden eludir la detección de los sistemas de detección de intrusiones (IDS) o de las herramientas de prevención de pérdida de datos (DLP).
¿Cómo ayuda Unified SASE as a Service a mitigar las infracciones SMTP?
Un marco unificado de servicios de acceso seguro (SASE ) integra la seguridad de la red y los controles de acceso de confianza cero para proteger a las organizaciones contra la exfiltración de datos, incluidas las amenazas dirigidas al tráfico SMTP. SASE proporciona visibilidad y supervisión centralizadas, lo que permite a los equipos de seguridad detectar anomalías, como picos repentinos en la actividad del correo electrónico o conexiones a servidores de correo externos no fiables.
Al aplicar políticas de seguridad coherentes en todo el tráfico -incluidas las comunicaciones por correo electrónico-, Unified SASE garantiza que el tráfico SMTP no autorizado, los archivos adjuntos maliciosos y las fugas de datos salientes se detecten y bloqueen en tiempo real, proporcionando una seguridad inmediata. Las capacidades de inspección de contenidos de SASE impiden que se filtren datos confidenciales a través de SMTP. Puede inspeccionar los correos electrónicos salientes, detectar patrones de información sensible (por ejemplo, números de tarjetas de crédito, propiedad intelectual o identificadores personales) y bloquear automáticamente las transmisiones no autorizadas.