אלי שלמה

הגנה על תיבות הדואר Cloud App Security

by · 22/12/2018

שינוי Outlook Rules הוא אחד השלבים הפופולריים באירוע תקיפת סייבר (לדוגמה, מתרחש בגניבת זהויות), ולרוב התוקף מבצע שינוי של Outlook Rules ברמה וובית.
במהלך אירוע כזה התוקף יבצע שינויים והוספת Outlook Rules שינתבו דואר אל חשבון אחר חיצוני, או לחלופין יבצע פעולות לשליחת פישינג מתוך תיבת הדואר, יגדיר חוק במצב מוסתר, יבצע את שלב exfiltrate בתהליך ועוד פעולות נוספות.

הפעולה של Outlook Rules היא פעולה דינמית ומשתמשים מבצעים שינויים בהגדרות אלה לעיתים קרובות, כאדמינים אין לנו אפשרות לעקוב אחר כל חוק דואר אשר נוצר אצל המשתמשים, ויתרה מכך אין לנו אפשרות לדעת מהו Outlook Rules אמיתי או Outlook Rules מזויף וכמובן שאין אפשרות לדעת האם יש אנומליה.

החלק היותר מטריד בנושא הוא שאין לנו אפשרות לדעת באופן מלא על אנומליה בתיבות דואר, ולכן פעולות ושינויים ברמת תיבת דואר לא ניתנות לזיהוי וכתוצאה מכך אין אפשרות לבצע Respond אוטומטי.

חשוב לציין כי ניתן למנוע בעיות רבות של זליגת מידע, התנהגות חשודה וכן הלאה ע”י ביצוע פעולות מנע פרואקטיביות מול תיבות הדואר, למשל חסימת הגדרה של יצירת Outlook Rules מתוך ממשק Outlook Web App.
לצד זה ישנם אינספור הגדרות אשר ניתנות לביצוע ברמת תיבת הדואר ויכולות למנוע מצבים של זליגת מידע.

2018-12-22_17h29_51

שליטה ואכיפה באמצעות Microsoft Cloud App Security

בכדי לבצע מעקב אחר התנהגות ופעולות חשודות בתיבות הדואר מגדירים חוקים (חוקים עם התניות בכדי למנוע false positive בממשק) מסוימים בתשתית Microsoft Cloud App Security, הפוליסי מבוסס על קטגורית Threat Detection וכן Configuration Control וברוב המקרים מעקב אחר תיבות דואר ספציפיות.

לאחרונה יצאו מספר אפשרויות לזיהוי התנהגות ופעולות חשודות בתשתית Microsoft Cloud App Security עם שתי אפשרויות ספציפיות:

פעולות מבוססות Malicious forwarding rules

חוקי Outlook המוגדרים במצב forward ע”י תוקף מוגדרים בצורה מטעה בכדי לבצע deception, הגדרות אלה עלולות להיות בין היתר חוקי Outlook מוסתרים, ללא כותרת, ולעיתים כותרת כללית ומוכרת.

תשתית Microsoft Cloud App Security מאפשרת לבצע זיהוי של שינויים, הגדרות והתנהגות חשודה מול תיבות דואר ומתמקדים בחשבונות שעוברים מתקפה (compromised inbox), עם חוקי Outlook אשר הוגדרו מול חשבון חיצוני, חשבון דואר שעובר מספר שינויים במקביל כולל חוקי Outlook וכן הלאה.

Malicious folder manipulation

בתהליך תקיפה מול חשבון דואר ישנו שלב שבו התוקף מבצע שינויים נוספים ולא רק ברמת חוקי Outlook, פעולות התקיפה עלולות להיות בין היתר מחיקה או פעולה נפוצה יותר של העברת דואר לתיקייה ספציפית בתיבת הדואר.

כאשר ישנו תרחיש מסוג זה של העברת פריטי דוטר לתיקייה ספציפית, הפעולה נעשית בצורהנואטומטית ע”י חוקי Outlook או ע”י פעולה ידנית של סריפט מתוך התחנה, בשני המקרים נעשית בדיקה מול נושא הודעה או תוכן הודעה וישנם כיום מאות מילים אשר מזהות שינויים

Gaining mailbox access

תרחיש נוסף ונפוץ אשר קיים (ולא רק ברמת Outlook) הוא מתקפות מבוססות OAuth אך הפעם בדגש מול אפליקציה שצריכה גישה אל תיבת הדואר, ובמקרים מסוימים עם אפליקציה שנקראת Outlook.

במצבים בהם ישנה מתקפת מבוססת OAuth (עד לכדי אפשרות של ביצוע Impersonation מלא), למעשה התוקף מקבל גישה אל משאבים ומידע בארגון וכל זאת על גבי אותו פרטי הזדהות (כולל MFA), מכאן התוקף “רוכב” על גבי הזדהות המשתמש.

תחקור התנהגות חשודה

תשתית Microsoft Cloud App Security מכילה אינספור אפשרויות למעקב אחר התנהגות חשודה, חריגים וביצוע פעולות שאינן סטנדרטיות ברמת אדמין וברמת משתמש, בנוסף לאפשרויות מספק המון מידע ואפשרויות תחקור אחר Incident.

בכדי להתחיל תחקור אירוע אפשר לבצע את הפעולות הבאות (פעולות בסיסיות):

  • מתוך ממשק MCAS נבחר באפשרויות filterלפי הפרמטרים הבאים:
    • APP – אפליקציה מסוג Exchange Online
    • Activity type – בשורת החיפוש נבחר בפרמטרים כגון inboxrule
    • Matched Policy – אפשרות אופציונלית של חיפוש לפי חוקים קיימים

2018-12-22_17h55_07.png
ניתן להוסיף תנאי חיפוש נוספים בכדי למצוא את המידע המדויק ככל האפשר.

בהתאם למידע אשר נמצא בפורטל MCAS אנו מתחילים לתחקר את הפעולות שנעשו, מיקום פיסי,

2018-12-22_17h59_46.png
נקודות לתחקור בתצוגה הספציפית:

  • Show Similar – בדיקה לגבי פעולות זהות, זמן ביצוע פעולות זהות וכן הלאה.
  • IP Location – מיקום פיסי של ביצוע הפעולה ופעולות זהות
  • Source – מידע נוסף כגון סוג הגישה ExternalAccess

2018-12-22_18h02_10.pngבמידע הנוסף ניתן לראות פעולות נקודתיות שנעשו בתיבת הדואר:

  • סוג הפעולה – הוספה, הסרה של Inbox Rule
  • Matched policies – מעקב מול פוליסי קיים ומידע נוסף וכן לוודא האם הפוליסי תקף
  • Activity Object – סוג הפעולה וניתן לפתוח למידע נוסף

2018-12-22_18h09_20.png
מתוך Activity Type ניתן לפלטר את המידע מול המשתמש הספציפי

לסיכום

מעקב אחר תיבות הדואר ופעולות משתמשים הינו דבר לא פשוט בגלל כמויות המידע ובגלל מניפולציה שניתן לבצע ברמת תיבת הדואר, למשל, ישנם מספר דרכים המאפשרות לבצע העברת דואר מתוך Inbox.

ברגע שתוקף נוחת בתיבת הדואר עם זהות המשתמש קשה מאוד לעקוב אחר הפעולות, אך ניתן לשנות זאת באמצעות ביצוע פעולות פרואקטיביות ועם מעקב באמצעות Microsoft Cloud App Security ויחד הפעולות הנ”ל מאפשרות להקטין את שטח המתקפה באופן משמעותי.

 

Tags:

You may also like...

השאר תגובה