Určitě jste zaznamenali podvodnou emailovou kampaň, která cílí na české uživatele?
Útočník se snaží svoji oběť v emailové zprávě přesvědčit, že získal přístup k počítači oběti a pokud mu nezaplatí oběť určitý obnos v Bitcoinech, získané citlivé informace o oběti rozešle jejím kontaktům, které také získal při útoku.
Před touto kampaní varoval například český CSIRT zde: https://csirt.cz/page/3997/.
Nás ale na této kampani, kromě pěkně psané češtiny, zaujala jiná věc.
Protože v rámci našich technických a supportních služeb provádíme také správu technologií pro zabezpečení emailové komunikace, logicky jsme přijali požadavky takovéto emaily blokovat.
Problémem se totiž ukázala skutečnost, že i přes to, že na emailových branách byla vytvořena pravidla blokující určité řetězce, emaily obsahující stejné řetězce stále procházely. Emailová zpráva tak evidentně obsahovala techniku snažící se obejít kontrolu obsahu.
Detailnější pohled na obsah emailové zprávy
Na obrázku níže můžete vidět část zdrojového kódu emailové zprávy s příkladem řetězce, který by se dal vyhledávat. Přesto ale zpráva zablokována nebyla.
Ve zdrojovém kódu jsme ale nenalezli nic podezřelého, jako například používání tzv. Dubbed ZeroFont nebo podobné techniky využívající možností HTML.
Všimli jsme si ale podivného chování při zkoumání zdrojové kódu v textovém editor PSPad, kdy při označení textu se v textu objevovaly mezery, které v neoznačeném textu vidět nebyly.
K dalšímu zkoumání tedy bylo nutné se na zdrojový kód podívat více do hloubky, a to na jednotlivé HEXadecimální kódy jednotlivých znaků. Na obrázku můžete vidět zvýrazněný text, který uživatel v emailu vidí jako “Tento e-mail Vám zasílám z napadeného účtu”.
Na dalším obrázku je obsahově stejný text, ale napsaný do nového souboru.
Zobrazený výsledný text je v tomto editoru zobrazený se špatným kódováním. To nás ale v tuto chvíli netrápí. Zajímavé jsou další vložené znaky, které v textovém editor Notepad, PSPad nebo v těle emailu vidět nebyly.
Je to například sekvence znaků v HEX reprezentovaných jako e2 80 8b.
Pro demonstraci si můžeme vytvořit nový soubor, který obsahuje pouze slovo “mail” ale mezi písmeny “ma” a “il” jsou vloženy tyto tři znaky. Výsledný soubor mail.txt (ke stažení zde) po otevření v běžném textovém editor obsahuje pouze slovo “mail”.
Když v tomto textovém souboru zkusíme vyhledat slovo “mail”, tak výsledkem vyhledání je, že tento řetězec v textu nebyl nalezen. Řetězec v souboru totiž obsahuje kromě znaků “m,a,i,l” také znak, který ale v kódování UTF8 reprezentuje znak ZERO WIDTH SPACE (U+200B). Tedy mezeru, která ale nezabírá žádný prostor a není tedy viditelná.
Útočníkovi tedy stačí do rozesílaných emailových zpráv náhodně vkládat tyto mezery, což má za následek to, že kontrola obsahu zpráv na definované řetězce nemá žádnou účinnost.
Když se podíváme na seznam Unicode znaků, na počítači s OS Windows existuje aplikace Character Map (charmap.exe), tak zjistíme, že podobných znaků, tedy takových, které nemají žádnou šířku a jsou tedy v textu na pohled nerozpoznatelné, existuje více. Projitím tabulky jsme našli tyto:
Pro stažení znaků v tabulce klikněte zde
Některé tyto znaky (například U+202E) pak mimo neviditelné mezery dělají také to, že prohazují pořadí dvou následujících znaků. Ve skutečnosti tedy v tabulce výše u tohoto znaku není napsané slovo „mail“ ale „mali“. Kdyby se tedy prováděla kontrola zprávy po odstranění všech netisknutelných znaků, tak v kontrolovaný text bude obsahovat slova změněná oproti tomu, co vidí uživatelé v emailové zprávě.
Jak se před těmito zprávami bránit?
Pokládáme si otázku, zda se mohou tyto znaky vyskytovat také v legitimních emailových zprávách. Došli jsme k názoru, že nikoliv. Nabízí se tak tedy možnost považovat zprávy obsahující tyto neviditelné mezery jako SPAM.
Jakub Mazal, COMGUARD, a.s.
