Только к вашему сведению, вредоносные программы могут и действительно изменять исходный / целевой порт / IP-пакеты. Они не обязательно смогут обмануть интеллектуальный SPI на маршрутизаторах (если они не заражены), но иногда они могут обходить простые правила брандмауэра, изменяя заголовки IP или заголовки TCP в случае портов.
Что касается вашего вопроса - авторы вредоносного ПО считают сервер любого типа (особенно почтовый сервер) более ценным призом, чем простая рабочая станция. Это связано с тем, что серверам присуще большее доверие к сети, чем к конечной точке клиента. Заражение только программным обеспечением почтового сервера само по себе не так уж и полезно, но вы также можете настроить параметры брандмауэра и отправить копии всего трафика электронной почты организации (входящего и исходящего) путем заражения сервера.
Если их целью является просто отправка электронных писем, то, конечно же, самый простой способ - это прокрутить существующие подпрограммы отправки почты пользователя, и почтовый сервер не будет мудрым, если он не обнаружит спам-слова в исходящем письме и зацепит его ,
Если они хотят не только отправлять электронные письма, но и быть приватными в частном общении внутри организации, они могут заразить почтовый сервер.
Причина, по которой они могли бы создать собственный встроенный SMTP-сервер (я полагаю, на рабочей станции), заключается в том, что вы не обязаны использовать фильтры спама исходящей почты нижестоящего SMTP-сервера. Как автор вредоносных программ, вы не хотите полагаться на обход проверок легитимности, вы хотите полностью обходить их. Конечно, многие маршрутизаторы настроены на блокировку почтовых протоколов, таких как Exchange и SMTP, на всех маршрутах, кроме сертифицированного почтового сервера, чтобы предотвратить именно этот тип эксплойта.
(Обновлено ниже)...
- Есть ли какая-то часть системы электронной почты, которая мне не хватает, которая делает это невозможным, и я лаю не на том дереве?
Отправка почты "как" авторизованному пользователю с использованием учетных данных собственной учетной записи не является невозможной, но для некоторых клиентов может быть довольно трудно сделать это незамеченным, если клиент устойчив к автоматизации, такой как Outlook. Затем вам также нужно написать программное обеспечение для каждого конкретного почтового клиента и попытаться предвидеть и избегать потенциальных проблем, которые могут вызвать всплывающие диалоговые окна, информирующие пользователя о потенциальной проблеме, и т.д.
Я не думаю, что вы лаете не на то дерево, но внедрение сервера micro-smtp в вашу вредоносную программу с большей вероятностью будет успешным, если нет правил маршрутизации, настроенных для его блокировки (которых нет в много сетей, в том числе и вашей, видимо).
- Если я прав, и это был «Фальшивый почтовый сервер», отсылающий эти электронные письма, возникнут ли у меня какие-либо проблемы с блокировкой всего трафика через брандмауэр, имеющий порт DESTINATION для трафика электронной почты, который не исходит от сервера ?
Это не будет проблемой, но и не обеспечит вам безопасность.
Для полной безопасности необходимо по умолчанию обнулить весь трафик на всех конечных точках и заставить всех клиентов использовать HTTP-прокси, который проверяет весь трафик и "понимает" HTTP (а также либо хорошо поддерживаемый черный список, либо белый список). разрешенных сайтов).
Причина, по которой простое написание правила маршрутизации для порта SMTP не сработает, заключается в том, что они могут просто использовать другие порты для вредоносной активности.
Проблема, которую мы видим сейчас (мы = сообщество безопасности), заключается в том, что новая волна атак вообще не использует никаких экзотических портов или протоколов, все это основано на HTTP и теперь выполняется через браузер. Что-то столь же безобидное, как посещение msn.com, может привести к сохранению XSS, в результате чего в браузере будет запущен вредоносный javascript, который отправляет электронную почту по электронной почте, крадет информацию или использует локальные вычислительные ресурсы для выгоды злоумышленника (бот-сети, DDoS, майнинг биткойнов и т.д.) , Мы создали монстра. Сеть в значительной степени сама по себе не является уязвимой, зияющей дырой в безопасности, даже если вы блокируете выполнение сторонних исполняемых файлов и блокируете свою сеть с помощью интеллектуального прокси-сервера.
