תרחישים מתקדמים והגנה על הדואר

(מאמר שלישי בסדרה)

המאמר הראשון התמקד בסיכונים הרגילים בתשתית הדואר, החל מאפשרויות העברת דואר לגורם חיצוני (לפי מספר רמות) ועד ביצוע deception שונים מול תיבות דואר.

בין היתר המאמר התמקד במתקפות פישינג רגילות המתבססות על הנדסה חברתית וביצוע מניפולציה מול משתמשים בכדי להשיג מידע מסוים. לעיתים קרובות מתקפות פישינג נועדו לטובת ביצוע מתקפות מתקדמות וקבלת גישה לנתונים רגישים, כגון מספרים של חשבונות בנק, תשתיות פנים ארגוניות וכן הלאה.

למאמר המלא סיכונים, סימולציה והגנה על תעבורת הדואר

המאמר השני התמקד במנגנוני זיהוי המבוססים תקנים ופרוטוקולים של SPF, DKIM וכן DMARC. מנגנוני זיהוי אלה קיימים כבר למעלה מעשור ולכן אינם מותאמים למתקפות מתקדמות ואינן יודעות לעצור מקרים כגון 0-Day מול Office 365 כגון Zero Font וכן הלאה.

למרות שמנגנונים אלה ישנים עדיין מומלץ לעבוד עמם באופן מסוים כחלק מגנה על תעבורת הדואר.

למאמר המלא מנגנוני זיהוי והגנה על תעבורת הדואר

דואר, חולשות ומתקפות מתקדמות

מגוון סוגי המתקפות שיש כיום מול שירותי הדואר השונים הוא רחב מאוד וכולל, בין היתר: פישינג, ספאם, וירוסים וכן הלאה. מכל אותם מתקפות, פישינג הוא הבעיה מספר אחת של שירותי הדואר השונים והגורם הראשוני להחדרת קוד זדוני לארגון ולגניבת זהויות.
אחת הסיבות לפישינג היא הקלות של ביצוע מניפולציה על משתמשי קצה, וכתוצאה מכך הממוצע כיום עומד על מצב שאחד מכל שלושה משתמשים הוא “קליקר”.

הנתון הוא נתון פסיכי בגלל שהממוצע הוא בארגונים שבהם ישנה השקעה של מודעות סייבר (employee awareness), ולכן “האנשים הכחולים” שמגינים על הדואר נמצאים במרדף חסר תועלת כאשר מדובר על מודעות סייבר, והדבר היחיד שניתן לעשות הוא להוריד את ממוצע האחוזים בארגון למשהו יותר סביר ולא רק ע”י מודעות סייבר אלא ע”י מנגנונים מתקדמים יותר (שעליהם נרחיב בהמשך).

כיום ישנם מגוון רחב של מתקפות מתקדמות, חלקן מבוסס על שינויים ברמת מבנה HTML ומתבסס על פיצול המידע בתוך הקובץ למספר חלקים שונים, הפיצול נעשה לטובת עקיפת מנגנון הסריקה השונים כולל Sandbox הכוללים מנגנונים לסריקת קישורים וקבצים.

אם נקח למשל את המתקפות הידועות שהיו בשנה האחרונה, נוכל לראות רשימה לא קצרה, בין שלל המתקפות ניתן למצוא את המתקפות הבאות: Punycode, Unicode, Hexadecimal Escape Characters.

פישינג מבוסס Zero Font Phishing

ביצוע מניפולציה ברמת גודל פונט. מדובר על חשיבה חכמה (ולא חדשה כל כך) אשר מצליחה להערים על מסננים שונים בגלל הסיבה הפשוטה, מצד אחד מציגה למשתמש טקסט מסוים ומצד שני מציגה למנגנון הגנה טקסט אחר שאינו יכול לסרוק או אינו רואה בעיה כלשהיא.

בפועל הקוד שנמצא מאחורי הקלעים אינו נחסם ע”י מנגנון הגנה כלשהוא ומצד השני המשתמש רואה משהו נורמלי לחלוטין.
למשל אם נקח את הדוגמה הבאה:

Microsoft<spanstyle=’font-size:0′> store secret </span>soft<spanstyle=’font-size:0′>ware hello world</span> Secur<spanstyle=’font-size:0′>ely. Good for System integr</span>ity.

לאחר מספר ניסונות אשר כשלו ע”י מספר מסננים בשרת הדואר, הקובץ נשמר על הדיסק המקומי ובעת פתיחת הקובץ הוצגה הודעה מסוימת. (אפשר לסגנן את ההודעה שתראה מקורית).

מאוד פשוט להוסיף לאותו קוד פשוט גם קישור זדוני או Payload אשר יכול לעקוף כל רובד הגנה, ויתן למשתמש הרגשה שהוא לוחץ על משהו תקין ואמין.

למעשה הטקטיקה בנויה על פירוק הטקסט למספר חלקים והוספה של Zero font בין כל מלה או חלקי מלה, הטקסט אשר בנוי בצורה הנ”ל באמצעות span שונים מאפשר הצגה של השורה באופן נורמלי לקורא אך לא למנגנון אשר סורק אותו.

איפה הבעיה – מנגנוני הגנה סורקים רק את הטקסט שמוצג בצורת plain text ולא את התוספת FONT-SIZE: 0px ומה שיש בין הטקסט עצמו, ולכן אינם יכולים לזהות קבצים מהסוג הנ”ל.

דוגמה נוספת היא קוד שנעתיק ונשמור כקובץ HTML

<hr>
<p style=”text-align: center;”>You can see for yourself that what you see and what your anti-phishing filter reads might be completely different.</p>
<h3 class=”red” style=”text-align: center;”><span style=”font-size: 0px;”>A </span>C<span style=”font-size: 0px;”>onvincing BEC email </span> o<span style=”font-size: 0px;”>r </span> p<span style=”font-size: 0px;”>hish</span>y t<span style=”font-size: 0px;”>ext </span>hi<span style=”font-size: 0px;”>de</span>s <span style=”font-size: 0px;”>with</span>in<span style=”font-size: 0px;”> a </span>to<span style=”font-size: 0px;”>t</span> a <span style=”font-size: 0px;”>lly different con</span>text <span style=”font-size: 0px;”>. An advanc</span>ed<span style=”font-size: 0px;”> f</span>i<span style=”font-size: 0px;”>l</span>t<span style=”font-size: 0px;”>er </span>or <span style=”font-size: 0px;”>AI sc</span>an<span style=”font-size: 0px;”>ner shoul</span>d see wh<span style=”font-size: 0px;”>at </span>y<span style=”font-size: 0px;”>ou do. If not,</span> your phishing filter would mis<span style=”font-size: 0px;”>read the way you </span>s<span style=”font-size: 0px;”>ee</span> it.</h3>
<hr>

לאחר פתיחת הקובץ נקבל את הטקסט הבא

בבדיקה מול תעבורת הדואר בממשק Message Trace נוכל לראות את הדואר עובר ללא כל בעיה וללא כל חשד מסוים, חשוב להדגיש כי המצב בבדיקה מול גוגל (G-Suite) חמור אף יותר כולל קישורים זדוניים בתוך גוף המייל.

תרחיש Excel Phishing

פישינג נוסף וחכם שניתן לדמות מול משתמשי קצה הוא דואר המבוסס על קובצי Office השונים, למשל בדומה המצורפת פישינג Excel המאפשר שליחת קישור אשר מבצע מספר פעולות:

• ביצוע טעינה של HTML ברמת דפדפן
• דף טעינה מבוסס על אימייג עם Base64-encoded
• טופס דיי מדויק לביצוע מניפולציה

לסיכום

כיום ישנם בסביבות 15 סוגי תרחישים ידועים שבהם ניתן לעקוף ללא קושי מנגנוני ההגנה המבוססים על Email Gateway או Filter שונים כדוגמת Sandboxים למינהם.

במערכות הגנה אשר ממוקדים הגנה על פישינג וכן ממוקדים על גבי API המצב שונה ותרחישים אלה נתנים לעצירה.

במאמר הבא נשלב קוד זדוני בתוך שליחת הדואר ונבין איך מערכות הדואר מצליחות להתמודד עם מקרים כאלה.