Comments 19
А как насчет поделиться техническими данными, хотя бы где этот вирус держит автозапуск? Лучше, конечно, всеми, которые определяют сам вирус, но не определяют атакованного клиента.
Если бы вредонос перед отправкой данных зашифровал или закодировал их, и результат ни в какой части не совпадал с конфиденциальными документами(добавив в какой-то сгенерированный документ, к примеру), то никто-бы и не среагировал?
Вы серьёзно????))))
но тело письма всегда было пустым. Подозрительный адрес встречался исключительно в одиночку
Не было ни одного письма, которое приходило бы с этого адреса в ответ.
такая «лобовая атака» вызвала некоторую оторопь.
Мы составили список всех нарушителей, он насчитывал около 20 человек.
То есть, пара десятков человек якобы внаглую отправляют со своих компьютеров на левую почту пустые письма с важными документами, а у вас "напрашивалось предположение, что это сотрудники скидывают"? Странно, что вы сразу на вирус не подумали.
Сложно сказать, почему сначала подумали на внутренний сговор, а не на вирус. Возможно, профдеформация — на DLP-проектах люди «заточены» на выявление утечек и различного толка мошенничеств. К тому же, в рамках большой организации 20 человек — это не так много, как может показаться.
сервер организации их туда отправлял? по SMTP
А что тут странного? Вирус от имени пользователя создавал письмо, авторизовывался на SMTP-сервере и отсылал документы (возможно, автоматизацией аутлука), как любой другой пользователь "вот документы. которые Вы просили", "Акты и счета фактуры для ООО "Вектор"" и пр. Если известно что организация так шлёт постоянно, то логичнее так же отсылать, а не слать .gz.pgp какой, который может почтовик забанить. Про DLP они могли и не знать, а без него затеряться в потоке .doc/.xls проще.
Адрес да, странный, в домене .mail.zw кажется более логичным (по крайней мере там точно не узнают id связанного устройства и не сдадут IP отделу K, как mail.ru какой).
Думаю, скоро появятся зловреды, которые сначала будут анализировать исходящий траффик, а уж потом решать, каким образом передавать информацию. Человек лазит по социальным сетям? Фотографии котиков, стеганография, https — попробуйте обнаружить канал утечки.
История одного расследования или как DLP-система выявила целенаправленную атаку