A exfiltração de dados via SMTP (Simple Mail Transfer Protocol) é um método robusto que os invasores usam para transferir informações sensíveis ou confidenciais de um sistema comprometido para um local externo. O SMTP, o protocolo padrão de comunicação por e-mail, é escolhido pelos atacantes para a exfiltração porque opera em portas comumente permitidas (por exemplo, portas 25, 465 ou 587). Entretanto, apesar desses perigos, ele raramente é bloqueado em ambientes corporativos.
Os profissionais de segurança de TI e os administradores de rede devem monitorar o tráfego SMTP, pois os invasores podem abusar do protocolo codificando dados confidenciais em anexos de e-mail ou no conteúdo do corpo do e-mail e enviando-os para contas de e-mail externas sob seu controle. Como o tráfego SMTP é normalmente criptografado usando protocolos como STARTTLS ou SMTPS, ele pode ignorar muitas ferramentas tradicionais de monitoramento de rede que não estão configuradas para inspecionar o tráfego criptografado. Além disso, o uso legítimo do e-mail em fluxos de trabalho corporativos torna a exfiltração via SMTP menos suspeita para os sistemas de detecção de intrusão, especialmente se os invasores misturarem os dados exfiltrados com a atividade legítima de e-mail.
A análise do código do carregador e do keylogger do Snake foi realizada anteriormente, destacando suas técnicas e táticas. Hoje, o Aryaka Threat Research Lab está analisando o mecanismo de exfiltração de dados baseado em SMTP que o snake keylogger usa antes da exfiltração.
Os atacantes geralmente exploram contas de e-mail comprometidas (por meio de phishing ou roubo de credenciais) para enviar e-mails, fazendo com que a atividade pareça legítima para aumentar a probabilidade de sucesso. Outra tática envolve o uso de malware especialmente criado para automatizar a coleta, a codificação e a exfiltração de dados, geralmente configurado para interagir diretamente com um servidor SMTP. Esse malware pode incluir mecanismos para verificar periodicamente a conectividade ou atualizar dinamicamente os endereços de destinatários de e-mail para evitar listas de bloqueio.
Figura 1: Comunicação SMTP acionada a partir do sistema comprometido que executa o snake infostealer
Vamos dissecá-lo analisando o fluxo de sessão TCP para entender o fluxo de trabalho completo.
- O sistema comprometido que executa o snake infostealer envia o comando EHLO (Extended HELO) para identificar o cliente para o servidor e indicar o suporte aos recursos do SMTP estendido (ESMTP).
- O comando AUTH inicia o processo de autenticação entre um cliente SMTP em execução no sistema comprometido e o servidor SMTP. Ele oferece suporte a vários mecanismos de autenticação para fornecer credenciais de autenticação ao servidor SMTP. Ele garante que somente os sistemas autorizados que executam o snake infostealer possam retransmitir e-mails por meio do servidor. O “c2VuZGVyQGluaG91c2VwaWNrLmNvbQ==” decodifica para“[email protected]”. A string de senha “IyhQJWVPXiNKMA==” é decodificada para “#(P%eO^#J0”. Depois que a autenticação é concluída, o servidor remoto valida com êxito a conexão iniciada a partir do sistema comprometido que executa o snake infostealer. Ele aguarda as próximas etapas. A Figura 2 valida esse mecanismo.
Figura 2: Troca de comandos de autenticação SMTP
Após a autenticação, os sistemas comprometidos enviam o comando “MAIL FROM”, destacando o remetente do e-mail,“[email protected]”.Da mesma forma, o comando “RCPT TO” destaca o destinatário do e-mail, que, nesse caso, é“[email protected]”. A resposta “250 OK” mostra que o servidor aceitou os comandos. A Figura 3 mostra como o sistema comprometido usa o comando “DATA” para exfiltrar informações roubadas do sistema comprometido, conforme mostrado na Figura 3.
Figura 3: SMTP: exfiltração de dados usando o comando DATA
O comando DATA sinaliza para o servidor SMTP que o cliente pode transmitir o conteúdo do e-mail. Depois que o comando é emitido e o servidor responde positivamente, o cliente envia os cabeçalhos e o corpo do e-mail, encerrando a transmissão com um delimitador específico. O cliente SMTP em execução no sistema comprometido instalado com o snake infostealer envia um comando “DATA”, e o servidor remoto responde com um código 354, indicando que está pronto para receber o conteúdo da mensagem. Depois que os dados são exfiltrados, o cliente emite o comando “QUIT” (veja a Figura 4) para truncar a sessão SMTP. É possível notar que os dados confidenciais roubados pelo snake infostealer são exfiltrados por meio do canal SMTP.
Figura 4: A conexão SMTP é fechada após a exfiltração bem-sucedida
Como o senhor deve ter notado, o sistema comprometido do snake infostealer não usou o STARTTLS para enviar todos os comandos e o conteúdo da mensagem em formato não criptografado pela rede, incluindo cabeçalhos de e-mail potencialmente confidenciais, conteúdo do corpo e credenciais de autenticação. O sistema usa SMTP AUTH para fazer login no servidor de e-mail sem STARTTLS, de modo que o nome de usuário e a senha são transmitidos em texto simples.
Como o SMTP é amplamente permitido em ambientes corporativos, essa atividade pode passar despercebida, a menos que seja monitorada de perto. Ao enviar dados em pequenos pedaços ou disfarçá-los como e-mails legítimos, os invasores podem evitar a detecção por sistemas de detecção de intrusão (IDS) ou ferramentas de prevenção contra perda de dados (DLP).
Como o Unified SASE as a Service ajuda a reduzir as violações de SMTP?
Uma estrutura Unified Secure Access Service Edge (SASE) integra a segurança de rede e os controles de acesso de confiança zero para proteger as organizações contra a exfiltração de dados, incluindo ameaças que visam o tráfego SMTP. O SASE oferece visibilidade e monitoramento centralizados, permitindo que as equipes de segurança detectem anomalias, como picos repentinos na atividade de e-mail ou conexões com servidores de e-mail externos não confiáveis.
Ao aplicar políticas de segurança consistentes em todo o tráfego, inclusive nas comunicações por e-mail, o Unified SASE garante que o tráfego SMTP não autorizado, os anexos mal-intencionados e os vazamentos de dados de saída sejam detectados e bloqueados em tempo real, proporcionando segurança imediata. Os recursos de inspeção de conteúdo do SASE impedem que dados confidenciais sejam exfiltrados via SMTP. Ele pode inspecionar e-mails de saída, detectar padrões de informações confidenciais (por exemplo, números de cartão de crédito, propriedade intelectual ou identificadores pessoais) e bloquear automaticamente transmissões não autorizadas.