Древнее зло пробудилось
Если немного отмотать назад и представить: за окном конец 90-х, корпоративные сети растут, интернет уже не диковинка, а почта становится основным каналом общения. Пользователь открывает письмо с «очень заманчивым» содержимым и дальше всё по классике: макрос, рассылка по адресной книге, перегруженные сервера. История с макровирусами вроде Melissa давно стала учебником.
Но вот в чём ключевой момент: с тех пор изменилась инфраструктура, инструменты защиты, масштаб атак, но вот сама логика осталась почти нетронутой. Однако есть хорошие новости! Возможности и девайсы на кухне нашей ИБ заметно подросли с тех времен и теперь есть способы противостоять этой пакости. Но давайте сперва посмотрим немного с высоты на классические почтовые финты с макросами, что летят почти каждый день на наши почтовые сервера.
Как выглядят атаки сейчас
Сегодня, как и тогда, пользователь всё так же «жмёт на интересное», только теперь за этим стоит уже не любитель, а вполне организованные группы, а последствия — от утечки данных до полноценной остановки бизнеса. Если отбросить маркетинг и сложные термины, картина знакомая:

прилетает письмо с вложением (.doc, .xls, .zip) под видом «акта», «счёта» или «служебного документа»
внутри — макрос (часто обфусцированный)
при запуске — PowerShell / cmd
подтягивается основной payload

И вот здесь уже начинается самое неприятное от загрузчиков до шифровальщиков. По данным НКЦКИ и ФСТЭК России, такие цепочки по-прежнему входят в число базовых в реальных инцидентах.
Так, давайте вместе попытаемся заколотить эту дверь и сильно усложнить жизнь хакерам пользователям сети для их же блага, дабы они в очередной раз не провели за руку очередную интернет-бактерию в наш дом.
Первый эшелон
Ну что ж, поехали — встречаем. На входе должен стоять Secure Email Gateway и выполнять базовую, но критически важную работу:

проверка репутации IP и домена
анализ свежести домена (зарегистрирован вчера — добро пожаловать в карантин)
антиспам и антифишинговые фильтры
сигнатурный анализ вложений

Это тот самый «джентльменский набор», который отсекает значительную часть массовых атак. Но что если вас берут в прицел более квалифицированные ребята?
Второй эшелон
Допустим, письмо пришло с запароленным архивом. Или вовсе вредоносный файл собирается прямо в браузере пользователя из маленьких кусочков кода, спрятанных внутри HTML-письма. Святые пески Арракиса, пришло ваше время! Да придёт Шаи-Хулуд к этому весёлому архивчику. Да, мы отправляемся в песочницу. Sandbox сегодня — это уже must have. Она должна:

запускать файл в изоляции
отслеживать поведение
фиксировать попытки запуска процессов и выхода в сеть

Но есть нюанс (и довольно неприятный): современная малварь прекрасно понимает, где она находится, она может:

ждать действий пользователя
проверять характеристики системы
анализировать окружение

И если «запахло песком», просто не активироваться. Поэтому sandbox «из коробки» — это слабое место. Среда должна быть максимально приближена к реальной: по параметрам системы, поведению и даже «шуму» пользователя. Если здесь всё сделано правильно, то большая часть вредоносов «светится» именно на этом этапе.
Третий эшелон
Представим, что нам попался аккуратный и терпеливый «гость», который отлежался в песочнице, не проявился и доехал до пользователя. И вот он теперь в ящик пользователя, который жадно тянет свой курсор к нему — уже звучит как начало хорошего офисного триллера, а может даже напоминает фильм «Чужой» в реалиях опенспейсов, где никто не услышит крик ДИБа в пятницу.
На этом этапе включаются:

антивирусная проверка «в момент клика»
анализ ссылок и вложений в реальном времени
контроль запуска процессов

И здесь важно, чтобы базы и механизмы анализа были актуальны. Но что если не поможет?
Четвёртый эшелон
Если вредонос всё-таки стартовал, в игру вступают EDR/XDR. И вот здесь начинается настоящая аналитика:
типичная цепочка:excel → cmd.exe → bitsadmin.exe → загрузка
Это уже не «подозрение», а почти готовый инцидент. Что должно происходить:

фиксация аномальной цепочки процессов
корреляция событий
изоляция рабочей станции
обрыв связи с управляющим сервером

И чем быстрее это происходит, тем меньше последствия.
Пятый эшелон
А теперь честно: сколько инфраструктур до сих пор живут с включёнными макросами «по умолчанию»? Хотя именно здесь можно закрыть половину сценариев.Что действительно стоит сделать:

отключить макросы из недоверенных источников
разрешить только подписанные
централизовать управление через Microsoft Group Policy
ограничить запуск файлов из интернета

Это не «сложная защита». Это базовая гигиена, которую почему-то часто откладывают.
Роль пользователя
Как бы ни хотелось сделать ставку только на технологии — всё крутится вокруг пользователя. С человеком нужно работать так же плотно как с политиками, разграничением доступов и т. д. И информировать постоянно о новинках и новых «фишках», что используют кибернегодяи для своих атак.
Как показывает практика, самый лучший способ — это показывать на примерах, проводить киберучения, а не направлять сухие бюллетени информирования по почте. И если рук не хватает, то стоит привлечь тех, кто на этом уже собаку съел и знает как поднять этот процесс в компании.
Потому что если сделать ставку только на техническую составляющую обороны, то обязательно найдутся те, кто всё это обнулит и приедет верхом на троянском коне в ваш кабинет.
Заключение
Если собрать всё вместе, картина на самом деле простая. Мы не так далеко ушли от тех самых сценариев из 90-х. Всё те же письма, всё те же вложения, всё тот же человеческий фактор.
Но разница в том, что сегодня у нас есть:

эшелонированная защита
зрелые инструменты
рекомендации регуляторов
накопленный практический опыт

И задача не изобрести что-то новое, а грамотно применить уже существующее. Потому что если сделать ставку только на один слой защиты, всегда найдётся тот, кто его обойдёт. А вот когда работает вся цепочка — от почтового шлюза до обучения сотрудников, тогда «древнее зло» остаётся просто письмом во входящих. И как показывает практика, именно внимание к деталям на каждом этапе чаще всего и решает, станет ли очередное письмо инцидентом или останется просто письмом. А если у вас еще остались вопросы, «Астрал. Безопасность» всегда готовы вам с этим помочь!
Автор статьи: Мицюк Максим, Специалист по информационной безопасности.