Malspam : comment faire la chasse aux comptes de messagerie détournés

Identifier des comptes compromis par des maliciels tels qu’Emotet, Trickbot ou Qakbot n’est pas trivial. Surtout a posteriori et sans beaucoup d’indices, ou lorsque le détournement est exploité discrètement.

Début octobre, nous avions identifié des entreprises, les collectivités territoriales, ou encore onze établissements d’enseignement supérieur présentant des comptes de messagerie détournés à des fins malveillantes, en nous appuyant sur les données de HaveIbeenEmotet. Mais voilà, nous glissait-on à l’époque : restreinte au seul nom de domaine d’une organisation concernée, cette information s’avère très difficilement exploitable pour corriger la situation – et éviter au passage qu’elle n’empire, pour conduire potentiellement au déploiement d’un rançongiciel et à sa détonation.

Suite de l'article ci-dessous

Bien conscient de ces limites, l’éditeur italien TG Soft, qui opère HaveIbeenEmotet, a pris l’habitude de coopérer avec les organisations dont le nom de domaine apparaît parmi les émetteurs réels d’échantillons de malspam (ou malware spam) : au moins un compte de messagerie est détourné et utilisé pour ces envois.

Parmi les établissements d’enseignement supérieur identifiés se trouvait l’université de Lille. Nous l’avions signalé, à l’époque, à Cédric Foll, son directeur des infrastructures et du support informatique, et rédacteur en chef du magazine MISC. Et il explique en quoi une telle notification s’avère difficile à traiter : « nous avons plus de 130 000 boîtes de messagerie électronique, dont 90 % pour les étudiants. Nous sommes dans une position assez comparable à celle d’un fournisseur d’accès à Internet. Et les compromissions de boîtes de messagerie se produisent finalement assez souvent ».

Dans ce contexte, de telles compromissions peuvent s’avérer difficiles à détecter. Et pour une bonne raison : si un acteur malicieux utilise directement les identifiants du compte en question pour dialoguer avec le serveur SMTP, il ne reste que quelques traces dans les journaux d’activité, les logs. Et avec autant de comptes, garder une copie de tous les mails envoyés pour repasser dessus des moteurs antiviraux 24 h ou 48 h plus tard, c’est à peu près illusoire.

Quant aux filtres appliqués aux messages entrants, la question n’est guère différente si le code malveillant n’est pas détecté par les antivirus au moment de la réception – ce qui n’aurait rien d’étonnant compte tenu des délais liés à l’actualisation des bases de signature : « nous avons plusieurs dizaines de téraoctets de mails. Nous sommes incapables de tout rescanner quotidiennement ».

Ce contexte n’est pas sans rappeler celui du BYOD : au contraire des postes de travail des personnels, l’organisation n’a pas de contrôle direct sur les appareils des étudiants ; il faut faire confiance à l’outil de protection de l’hôte installé sur le poste. Mais celui-ci, pour ce dernier cas, n’est pas distribué ni supervisé, par l’organisation.

Mais le fait est que TG Soft a indiqué quelle boîte avait été compromise et utilisée par les opérateurs d’Emotet. Celle-ci avait déjà été repérée par les équipes de l’université de Lille, et la situation avait été corrigée. Comment ? Cela aurait pu être à la suite d’une notification d’un destinataire, mais pas dans ce cas.

« Nous avons déployé des heuristiques qui permettent de détecter les comptes de messagerie qui affichent des comportements suspects. »
Cédric FollDirecteur des infrastructures et du support informatique, Université de Lille

« Nous avons déployé des heuristiques qui permettent de détecter les comptes de messagerie qui affichent des comportements suspects », explique Cédric Foll. Celles-ci s’appuient notamment sur la fréquence à laquelle un compte expédie des e-mails. Le nombre de noms de domaines destinataires peut également être un indicateur. Ce n’est pas infaillible, mais « généralement, les boîtes compromises envoient massivement vers de nombreux domaines différents ».

Derrière, lorsque les heuristiques génèrent ce type d’alertes, s’ensuit une analyse manuelle des logs « pour lever le doute ». Et si la compromission est avérée, « on désactive le compte, ce qui fait que la personne n’a plus du tout accès à la moindre application dans l’établissement ». Le titulaire du compte correspondant est alors contacté personnellement afin de lui expliquer la situation, par téléphone ou via une adresse e-mail de secours. Car la question est alors de savoir si son compte a été simplement détourné ou si sa machine est compromise et doit être nettoyée.

Pour approfondir sur Protection du poste de travail

Close