Passer au contenu principal
Le phishing laisse une trace DMARC

Le phishing laisse une trace DMARC

Nouvelles de l'écosystèmePerspectives en matière de sécurité

Plus tôt cette année, The Anti-Phishing Working Group (AWPG) et dmarcian ont eu l'occasion de rechercher des schémas à travers des ensembles de données pour voir si quelque chose d'intéressant émergeait. Nous avons décidé de croiser les adresses IP des ensembles de données d'IP de phishing et malveillantes de l'APWG, contenus dans leur plateforme de partage de données de menaces eCrime Exchange (eCX), avec les adresses de nos rapports DMARC pour voir s'il y avait un chevauchement, et si oui, pour rechercher des schémas. Voici les résultats que nous avons présentés à eCrime 2018.

Aperçu

Chez dmarcian, nous aidons nos clients à configurer leurs systèmes de messagerie avec DMARC et à traiter les nombreux rapports agrégés et forensiques générés. Lorsqu'une entreprise passe par le processus de déploiement, la première préoccupation lors de l'examen de ces rapports est de s'assurer que toutes les sources légitimes d'e-mails prétendant provenir de votre domaine sont correctement configurées.

Mais qu'en est-il de toutes ces autres adresses IP qui prétendent envoyer au nom de votre domaine ? Nous avons ce sentiment de sécurité lorsque nous passons notre politique à p=reject, sachant qu'aucun de ces messages ne passe plus, mais s'il y avait plus à découvrir ? Nous savons que toutes ces adresses IP envoient des e-mails non autorisés au nom du domaine… mais si nous recoupions les acteurs malveillants connus avec ces données pour rechercher des schémas ? Pourrions-nous identifier les abus à l'échelle d'Internet ? Pouvons-nous voir l'ampleur d'une attaque, au-delà de ce qui est visible dans un système ou un rapport indépendant ?

Sources de données

Nous avons discuté avec l'APWG et obtenu l'accès aux ensembles de données d'IP malveillantes et de phishing pour voir ce que nous pouvions trouver. L'ensemble de données d'IP malveillantes provient presque entièrement de PayPal, qui contribue à 99,986 % des données actuellement disponibles. L'ensemble de données de phishing est plus petit mais provient d'une variété beaucoup plus large d'entreprises de tous les secteurs.

Voici à quoi ressemblaient les données au moment de notre analyse.

  • IP malveillantes eCX : 24 millions de rapports, 8 millions d'adresses IP uniques
  • Phishing eCX : 3,25 millions de rapports, 130 000 adresses IP uniques
  • dmarcian DMARC : 2 milliards de rapports, 18 millions d'adresses IP uniques

L'intersection de ces ensembles nous a donné un peu plus d'un million d'entrées provenant des IP malveillantes et de DMARC, ainsi que 20 000 provenant du phishing et de DMARC. Environ 2 000 sont apparues dans les trois ensembles.

Examen des données d'IP malveillantes

À partir de ce chevauchement, nous pouvons examiner à la fois les adresses IP et les domaines affectés. Une seule adresse IP peut tenter d'envoyer des e-mails au nom de plusieurs domaines, et chaque domaine peut avoir plusieurs résultats d'authentification différents.

En examinant les résultats DMARC par adresse IP, nous constatons :

  • 95,2 % échouent à la fois DKIM et SPF
  • 4,0 % échouent à DKIM mais réussissent SPF
  • 0,8 % échouent à SPF mais réussissent DKIM

Lorsque nous pivotons et examinons les mêmes résultats par domaines affectés, nous constatons :

  • 95,8 % échouent à la fois DKIM et SPF
  • 4,0 % échouent à SPF mais réussissent DKIM

En combinant les résultats des adresses IP et des domaines, que nous appellerons désormais « Résultats Combinés », nous constatons :

  • 95,5 % échouent à la fois DKIM et SPF
  • 2,7 % réussissent DKIM mais échouent SPF
  • 1,7 % réussissent SPF mais échouent DKIM

Des conclusions cohérentes des deux ? Moins de 0,1 % des adresses IP malveillantes signalées dans les rapports DMARC réussissent à la fois SPF et DKIM, tandis que plus de 95,5 % échouent aux deux.

Ceci est l'aperçu général. Que se passe-t-il lorsque nous examinons plus en détail les raisons de ces résultats ? La grande majorité des résultats DKIM ne tentent même pas d'inclure un enregistrement DKIM, ce qui est attendu car sans enregistrement DMARC en place, un serveur de messagerie récepteur n'a aucun moyen de savoir si DKIM est configuré pour le domaine, à moins qu'il n'apparaisse dans l'en-tête du courrier.

SPF est un paramètre à l'échelle du domaine au niveau DNS, donc même sans enregistrement DMARC, un serveur de messagerie récepteur peut le vérifier. Malgré cela, les résultats par domaine montrent une nette tendance vers les domaines sans aucun enregistrement SPF. C'est aussi quelque peu compréhensible, car un potentiel hameçonneur peut rechercher des domaines dépourvus de SPF avant d'envoyer un e-mail en leur nom. La distribution des adresses IP est cependant plus équilibrée.

En examinant les origines de ces résultats, nous étions curieux de voir la répartition par pays d'origine des pires contrevenants. Nous avons trouvé une distribution intéressante ici, car presque tous les pays avaient plus de domaines délinquants que d'adresses IP, à l'exception de l'Iran qui avait plus d'adresses IP délinquantes que le reste des pires contrevenants combinés. Nous l'avons également décomposé par ASN et avons constaté qu'un seul ASN en Allemagne était le pire contrevenant pour les domaines, suivi de quatre de Chine et de six d'Iran.

Qu'en est-il du phishing ?

Bien que ces chiffres soient intéressants, nous savions également que ces données provenaient principalement de PayPal. Nous avons donc voulu examiner les données de phishing pour voir si un ensemble de données plus diversifié en termes d'industrie montrait des résultats similaires. Nous avons commencé par examiner la répartition par pays, qui offre une image très différente.

Les États-Unis sont le pire contrevenant ici, suivis par l'Allemagne. L'Iran et la Chine sont remarquablement absents de l'ensemble de données. Nous avons décidé d'examiner la petite intersection des données de phishing et d'IP malveillantes, et même cette petite intersection reflète fidèlement les résultats de phishing que nous voyons ci-dessus.

Sachant qu'il existe des différences significatives entre les sources, nous étions curieux de savoir comment cela affecterait les résultats d'authentification des e-mails ? Il s'est avéré que la différence était assez significative. Sur l'ensemble des domaines et des adresses IP du jeu de données des IP malveillantes, nous avons constaté un taux d'échec de 95,5 % pour SPF et DKIM.

Les résultats de phishing, cependant :

  • 66,2 % échouent à la fois à SPF et DKIM
  • 32,7 % réussissent DKIM et échouent à SPF
  • 0,7 % réussissent SPF et échouent à DKIM

Notre première réaction a été de nous demander si notre jeu de données n'était pas trop large. Après tout, les rapports DMARC évoluent avec le temps à mesure que les configurations sont mises en place, alors, que se passerait-il si nous examinions une section beaucoup plus petite et nous concentrions uniquement sur les résultats de mars 2018 ? Ces résultats étaient plus choquants.

Premièrement, les données des IP malveillantes semblent globalement similaires mais montrent un taux plus élevé de réussite DKIM.

Le phishing, cependant, est bien, bien pire.

Près de 58 % des tentatives de phishing réussissent en fait DKIM ! De tels chiffres peuvent générer beaucoup de spéculations sur les causes, alors examinons cela plus en détail avant de nous aventurer sur cette voie.

Services de redirection

Un sous-ensemble de ces données que nous n'avons pas encore vraiment abordé concerne les redirecteurs d'e-mails, qui sont des serveurs tentant de relayer des messages. Il peut s'agir d'une société d'hébergement où un client accepte les e-mails mais les redirige ensuite vers un fournisseur de messagerie, d'une adresse de redirection d'anciens élèves d'université ou même d'une boîte aux lettres configurée pour rediriger immédiatement vers une autre adresse.

Lorsque nous analysons les résultats de phishing en incluant les redirecteurs d'e-mails connus :

  • 57,8 % réussissent DKIM mais échouent à SPF, 99,89 % provenaient de redirecteurs.
  • 42,0 % échouent à DKIM et SPF, 31,17 % provenaient de redirecteurs.

< 0.1%

Une chose est constante dans les deux jeux de données, même avec les résultats plus choquants que nous examinons : moins de 0,1 % des tentatives de phishing signalées ou des adresses IP malveillantes réussissent à la fois SPF et DKIM, ce qui représente une grande victoire pour les domaines ayant mis en œuvre des politiques DMARC strictes.

Qu'en est-il des politiques DMARC elles-mêmes ? Lorsque vous configurez DMARC, l'un des paramètres est la « disposition », qui indique aux récepteurs de courrier ce qu'il faut faire avec les messages qui ne respectent pas vos règles. Ce paramètre peut être « reject » pour empêcher entièrement la livraison, « quarantine » pour envoyer les messages au spam ou « none » pour ne rien faire du tout. Alors, à quoi ressemblent ces résultats de phishing, basés sur les paramètres de disposition DMARC ?

Plus de 80 % sont définis sur « none ». Cela mérite d'être examiné plus en détail car, tout comme l'enregistrement SPF, un attaquant potentiel peut vérifier l'enregistrement DMARC d'un domaine pour voir si une politique faible est en place avant de lancer une attaque. Combinons ces résultats de disposition avec les résultats SPF et DKIM pour obtenir une image complète.

Tous les résultats que nous avons observés et qui réussissaient DKIM provenaient de domaines avec une politique DMARC de « none ». C'est le moment où nous pouvons commencer à spéculer un peu, car si cela était simplement une distribution normale, on s'attendrait à voir des résultats de réussite DKIM dans les autres sections.

DKIM est intéressant car il utilise une clé cryptographique pour signer les e-mails en provenance de ces derniers, la version publique de la clé étant listée dans le DNS pour qu'un récepteur puisse la comparer. Les clés cryptographiques varient en force et les clés plus faibles sont plus faciles à casser. En 2012, un mathématicien nommé Zachary Harris a réalisé que Google utilisait une clé faible de 512 bits et a fait la une des journaux lorsqu'il l'a cassée, puis a envoyé des e-mails aux fondateurs de Google, Larry Page et Sergey Brin, en se faisant passer pour l'un et l'autre afin de le démontrer. Deux jours plus tard, Google a augmenté la force de sa clé à 2048 bits. Un an plus tard, Gmail a commencé à échouer les résultats DKIM pour les clés signées avec 512 bits ou moins.

Les meilleures pratiques pour DKIM incluent la rotation périodique de ces clés DKIM. Plus une clé reste inchangée, plus la période potentielle de compromission ou d'abus de cette clé est longue. Bien qu'il s'agisse d'une bonne pratique, la rotation des clés DKIM n'est pas une tâche triviale, car elle implique des modifications sur les serveurs de messagerie sortants en conjonction avec les enregistrements DNS. De nombreux fournisseurs de services de messagerie automatiseront cette tâche pour vous puisqu'ils contrôlent déjà le serveur de messagerie sortant, en vous faisant configurer deux enregistrements DKIM comme entrées DNS CNAME qui pointent vers leur DNS. À partir de là, ces entreprises ont la capacité de définir une nouvelle clé, de retirer une ancienne et de déterminer quelle clé est utilisée avec les messages sortants.

SPF exige au moins qu'une tentative de phishing envoie un message depuis une adresse IP située dans votre plage autorisée, ce qui pourrait impliquer la compromission d'une machine réelle ou d'un fournisseur de messagerie partagé. La combinaison de clés DKIM faibles et non renouvelées avec une disposition DMARC de « none » qui leur permettrait de passer, malgré l'échec de SPF, crée une cible potentiellement attrayante. Les résultats de ce dernier graphique semblent étayer cette théorie, avec 0 % des tentatives de phishing réussissant DKIM provenant de domaines avec une disposition DMARC plus stricte que « none ». Malheureusement pour ce rapport, nous n'avons pas pu obtenir une ventilation de la force des clés DKIM.

Tendances des pires contrevenants

Parmi tous les résultats que nous avons observés, nous étions curieux de connaître l'étendue des échecs SPF/DKIM. Certains domaines échouaient-ils plus souvent ? Certains domaines étaient-ils ciblés par plus d'adresses IP que d'autres ? À quoi ressemblaient ces politiques DMARC et SPF ? Les noms de domaine ont été masqués en « industrie uniquement » aux fins de ce prochain graphique, en nous limitant à mars 2018 pour notre fenêtre temporelle.

En mars, un seul domaine immobilier avec des politiques SPF et DMARC faibles avait plus de 10 000 adresses IP envoyant des e-mails en son nom qui échouaient à la fois à SPF et DKIM. Seulement 3 des 10 premiers ont une politique de « reject » et l'un montre une « quarantine » qui ne devrait affecter que 1 % des e-mails envoyés en son nom, ce qui n'est qu'une légère amélioration par rapport à « none ».

Qu'en est-il des pires adresses IP ?

En mars, une seule adresse IP en Chine a tenté d'envoyer des e-mails au nom de plus de 225 000 domaines qui ont échoué à la fois à SPF et DKIM. Cela semble être une anomalie, car elle a largement dépassé la suivante. Certaines de ces adresses IP sont apparues dans l'ensemble des IP malveillantes, tandis que nous en avons trouvé d'autres sur des listes noires existantes, mais cela soulève la question de savoir si les rapports DMARC peuvent potentiellement être utilisés pour identifier les adresses IP qui pourraient figurer sur les listes noires elles-mêmes. Sur la durée des résultats, les 10 pires adresses IP ont ciblé plus de 30 000 domaines chacune. Cela n'est pas montré dans le graphique, nous étions juste curieux.

Nous avons également vérifié ces adresses IP par rapport à certaines listes DROP accessibles au public, sans constater beaucoup d'intersection. Il est cependant difficile d'en tirer de grandes conclusions, car cela pourrait simplement indiquer que le trafic provenant de ces plages est filtré avant même d'atteindre les vérifications d'authenticité.

Conclusions

Les résultats obtenus ici ont été très intéressants pour nous. La comparaison des résultats agrégés des rapports DMARC avec des systèmes de signalement malveillants connus a révélé des schémas intéressants.

Pour nous, cela se traduit par trois réflexions distinctes :

  1. Des pratiques de messagerie robustes protègent efficacement votre domaine via DMARC, DKIM et SPF, avec moins de 0,1 % d'expéditeurs malveillants ciblant les domaines dotés de politiques strictes.
  2. Le volume de trafic de phishing validé par DKIM mais échouant SPF est inquiétant. Cela justifie fortement une meilleure politique DKIM, comme la rotation des clés.
  3. À l'avenir, il semble qu'il y ait une valeur potentielle qui pourrait aider à améliorer les listes noires et les systèmes d'alerte en utilisant les résultats négatifs agrégés de ces rapports.

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.