L’exfiltration de données via le protocole SMTP (Simple Mail Transfer Protocol) est une méthode robuste utilisée par les attaquants pour transférer des informations sensibles ou confidentielles d’un système compromis vers un site externe. SMTP, le protocole standard de communication par courrier électronique, est choisi par les attaquants pour l’exfiltration parce qu’il fonctionne sur des ports couramment autorisés (par exemple, les ports 25, 465 ou 587). Cependant, malgré ces dangers, il est rarement bloqué dans les environnements d’entreprise.
Les professionnels de la sécurité informatique et les administrateurs de réseau doivent surveiller le trafic SMTP, car les attaquants peuvent abuser de ce protocole en encodant des données sensibles dans les pièces jointes ou le corps du message et en les envoyant à des comptes de messagerie externes sous leur contrôle. Le trafic SMTP étant généralement crypté à l’aide de protocoles tels que STARTTLS ou SMTPS, il peut contourner de nombreux outils traditionnels de surveillance du réseau qui ne sont pas configurés pour inspecter le trafic crypté. En outre, l’utilisation légitime du courrier électronique dans les flux de travail de l’entreprise rend l’exfiltration via SMTP moins suspecte pour les systèmes de détection d’intrusion, en particulier si les attaquants mélangent les données exfiltrées avec l’activité légitime du courrier électronique.
L ‘analyse du code du chargeur et du keylogger de Snake a été réalisée précédemment, mettant en évidence ses techniques et tactiques. Aujourd’hui, le laboratoire de recherche sur les menaces d’Aryaka analyse le mécanisme d’exfiltration de données basé sur le protocole SMTP que le keylogger Snake utilise avant l’exfiltration.
Les attaquants exploitent souvent des comptes de messagerie électronique compromis (par hameçonnage ou vol d’informations d’identification) pour envoyer des courriels, en donnant à l’activité une apparence légitime afin d’augmenter les chances de succès. Une autre tactique consiste à utiliser des logiciels malveillants spécialement conçus pour automatiser la collecte, le codage et l’exfiltration des données, souvent configurés pour interagir directement avec un serveur SMTP. Ces logiciels malveillants peuvent inclure des mécanismes permettant de vérifier périodiquement la connectivité ou de mettre à jour dynamiquement les adresses des destinataires des courriels afin d’échapper aux listes de blocage.
Figure 1 : Communication SMTP déclenchée à partir du système compromis exécutant snake infostealer
Décortiquons-le en analysant le flux de la session TCP pour comprendre le déroulement complet des opérations.
- Le système compromis qui exécute snake infostealer envoie la commande EHLO (Extended HELO) pour identifier le client auprès du serveur et indiquer qu’il prend en charge les fonctions SMTP étendues (ESMTP).
- La commande AUTH lance le processus d’authentification entre un client SMTP fonctionnant sur le système compromis et le serveur SMTP. Elle prend en charge divers mécanismes d’authentification pour fournir des informations d’identification au serveur SMTP. Il garantit que seuls les systèmes autorisés utilisant snake infostealer peuvent relayer les courriers électroniques via le serveur. Le « c2VuZGVyQGluaG91c2VwaWNrLmNvbQ== » se décode en« [email protected] ». La chaîne de mots de passe « IyhQJWVPXiNKMA== » est décodée en « #(P%eO^#J0 ». Une fois l’authentification terminée, le serveur distant valide avec succès la connexion initiée à partir du système compromis exécutant snake infostealer. Il attend les étapes suivantes. La figure 2 illustre ce mécanisme.
Figure 2 : Échange de commandes d’authentification SMTP
Après authentification, les systèmes compromis envoient la commande « MAIL FROM », qui met en évidence l’expéditeur du courrier électronique,« [email protected] ».De même, la commande « RCPT TO » met en évidence le destinataire du courrier électronique, en l’occurrence« [email protected] ». La réponse « 250 OK » indique que le serveur a accepté les commandes. La figure 3 montre comment le système compromis utilise la commande « DATA » pour exfiltrer des informations volées du système compromis, comme le montre la figure 3.
Figure 3 : SMTP : exfiltration de données à l’aide de la commande DATA
La commande DATA signale au serveur SMTP que le client peut transmettre le contenu du courrier électronique. Une fois que la commande est émise et que le serveur répond positivement, le client envoie les en-têtes et le corps du message, en terminant la transmission par un délimiteur spécifique. Le client SMTP fonctionnant sur le système compromis installé avec snake infostealer envoie une commande « DATA », et le serveur distant répond avec un code 354, indiquant qu’il est prêt à recevoir le contenu du message. Une fois les données exfiltrées, le client envoie la commande « QUIT » (voir figure 4) pour interrompre la session SMTP. On peut remarquer que les données sensibles volées par le snake infostealer sont exfiltrées via le canal SMTP.
Figure 4 : Fermeture de la connexion SMTP après une exfiltration réussie
Comme vous l’avez peut-être remarqué, le système snake infostealer compromis n’utilisait pas STARTTLS pour envoyer toutes les commandes et le contenu des messages en clair sur le réseau, y compris les en-têtes de courrier électronique potentiellement sensibles, le contenu du corps du message et les informations d’authentification. Le système utilise SMTP AUTH pour se connecter au serveur de messagerie sans STARTTLS, de sorte que le nom d’utilisateur et le mot de passe sont transmis en texte clair.
Le protocole SMTP étant largement autorisé dans les environnements d’entreprise, cette activité peut passer inaperçue si elle n’est pas surveillée de près. En envoyant des données en petits morceaux ou en les déguisant en courriels légitimes, les attaquants peuvent échapper à la détection par les systèmes de détection d’intrusion (IDS) ou les outils de prévention des pertes de données (DLP).
Comment Unified SASE as a Service contribue-t-il à réduire les brèches SMTP ?
Un cadre Unified Secure Access Service Edge (SASE) intègre la sécurité du réseau et les contrôles d’accès de confiance zéro pour protéger les entreprises contre l’exfiltration de données, y compris les menaces qui ciblent le trafic SMTP. SASE offre une visibilité et une surveillance centralisées, permettant aux équipes de sécurité de détecter les anomalies, telles que les pics soudains d’activité de messagerie ou les connexions à des serveurs de messagerie externes non fiables.
En appliquant des politiques de sécurité cohérentes à l’ensemble du trafic, y compris aux communications par courrier électronique, SASE unifié garantit que le trafic SMTP non autorisé, les pièces jointes malveillantes et les fuites de données sortantes sont détectés et bloqués en temps réel, ce qui garantit une sécurité immédiate. Les capacités d’inspection du contenu de SASE empêchent l’exfiltration de données sensibles via SMTP. Il peut inspecter les courriels sortants, détecter les modèles d’informations sensibles (par exemple, les numéros de carte de crédit, la propriété intellectuelle ou les identifiants personnels) et bloquer automatiquement les transmissions non autorisées.