Злоумышленники все чаще используют для связи C2 такие протоколы электронной почты, как SMTP, IMAP и POP3. Эти протоколы, являющиеся неотъемлемой частью отправки и получения электронной почты, используются для передачи команд взломанным системам и незаметной утечки конфиденциальных данных. Для проведения своих операций злоумышленники часто используют почтовые вложения или захватывают легитимные учетные записи электронной почты, в том числе самостоятельно зарегистрированные или взломанные. Такая тактика позволяет им смешиваться с обычным почтовым трафиком, избегая обнаружения.
Протокол прикладного уровня: Почтовые протоколы
Например, вредоносная программа Snake, проанализированная в 2024 году, также известная как Snake Keylogger, использует эту технику, эксплуатируя протокол SMTP для утечки украденных данных и создания командно-контрольных (C2) коммуникаций. Вредоносная программа нацелена на почтовые клиенты, такие как Microsoft Outlook, и извлекает учетные данные для таких протоколов, как IMAP, POP3 и SMTP, из реестра Windows. Используя предварительно настроенные данные SMTP-сервера, включая жестко заданные имена хостов, порты и учетные данные, Snake отправляет украденную информацию, такую как нажатия клавиш, скриншоты и данные буфера обмена, в открытом или зашифрованном виде. Эта утечка может происходить двумя способами: встраивание данных непосредственно в тело письма или прикрепление их в виде файлов. Используя широко распространенные почтовые протоколы, Snake смешивает свою вредоносную активность с легитимным почтовым трафиком, что затрудняет ее обнаружение и анализ во взломанных системах.
Другой пример - троянец, обнаруженный исследователями безопасности в феврале 2024 года и получивший название Trojan.Win32.Injuke.mlrx. Эта вредоносная программа использует технику почтовых протоколов T1071.003 для командования и управления. Предназначенный для электронного шпионажа, троянец способен перехватывать ввод с клавиатуры, делать скриншоты и получать списки активных приложений. Похищенная информация передается злоумышленникам по нескольким каналам, включая электронную почту, что демонстрирует использование почтовых протоколов для обхода обнаружения.