הגנה על חשבונות דואר Account Takeover
אם המונח Account Takeover (או בקצרה ATO) לא היה עד כה חלק מתהליך של הגנה על זהויות וחשבונות בארגון שלך בקרוב ATO יהיה חלק מהותי ואף קריטי בהגנה על רובד זהויות.
זהויות כשלעצמן הן הרובד החשוב ביותר בהגנה על הארגון ובפרט כאשר מדובר על תצורות ענן והיברידיות, כאשר זהויות אינן מוגנות עם רובד הגנה נדרש אנו למעשה חושפים ומסכנים את החלק הכי קריטי בארגון.
ישנם פלטפורמות שונות שבאמצעותן ניתן להגן על זהויות כגון OneLogin או Azure AD, אך המאמר הנוכחי מתמקד באפשרויות הגנה ומנע (ATO) על חשבונות דואר באמצעות Microsoft CLoud App Security.
תשתיות הדואר היו ונשארו תשתית קריטית בארגון, אפילו אם לוקחים בחשבון את כל החדשנות והפלטפורמות החדשות שהגיעו אלינו לאחרונה, במקביל לכך תשתית הדואר היא השטח תקיפה הכי נפוץ בגלל האפשרויות שהוא מציע לתוקפים החל מגניבת זהויות (ATO), דרך פישינג (בעיה קריטית שלעצמה) ועד Exchange privilege escalations (שעליו נתמקד במאמר נפרד).
ATO מבוססים חשבונות דואר
הבעיה היותר מוכרת והידועה של תשתיות הדואר השונות היא פישינג והיא זאת שמקבלת את המיקוד (משאבים, תקציבים וכו) בהגנה על תשתיות הדואר.
אך בניגוד לדעה הרווחת ישנה בעיה נוספת אשר מתהווה לאחרונה והיא ATO מבוססים חשבונות דואר, ולאחרונה פורסמו מספר מחקרים ודחות לשנת 2018 וניתן לראות בבירור את העליה המטורפת של ATO מבוססי חשבונות דואר:
- עליה של 126% במספר המתקפות וזהויות אשר נפרצו כתוצאה מגניבת זהויות
- 44% מהארגונים חוו מתקפות מבוססות ATO על גבי חשבונות דואר
- מעל 70% חשבונות נפרצו מאותם ארגונים על גבי אותם פרטי הזדהות
המטרה והחלק הכי מעניין של ATO הוא גניבת חשבון עם אותם מזהים (valid creds) במטרה לבצע השתלטות על החשבון מבלי לתת למשתמש אפשרות לחשוד בפעולות אשר מתבצעות בתיבת הדואר.
ביצוע ATO אשר מבוסס חשבונות דואר הינו חלק מתוך תהליך תקיפה של Business Email Compromise.
הדרכים לביצוע ATO
דרכי הפעולה להשגת זהויות וחשבונות דואר הם דיי מעניינים ולמעשה מחולקים למספר שלבים, ממש מעין Kill Chain של ATO לחשבונות דואר. בשלב ראשון התוקף משיג גישה לחשבון דואר, ובשלב שני התוקף מתחיל לבצע פעולות בתיבת הדואר שאינן נראות חשודות בכדי להרחיב את שטח התקיפה.
החלק המעניין הוא השלב השני כי לאחר השגת שליטה על תיבת הדואר כל הפעולות שיגיעו לאחר מכן יהיו פעולות לגיטימיות ואינן מחשידות, וכאלה אשר דומות לפעולות המשתמש שהוא בעל תיבת הדואר.
תהליך ATO על חשבונות דואר מחולק למספר שלבים או כמו שאני קורא לו Kill Chain של ATO לחשבונות דואר:
שליטה על חשבון הדואר
בשלב ראשון Gain Inbox Access, התוקף מנסה להשיג שליטה בחשבון הדואר בצורה כלשהיא בין אם על גבי מתקפות מבוססות פישינג או על גבי גניבת זהות רגילה וכן הלאה. במצב כזה התוקף אינו משנה את פרטי ההזדהות של המשתמש בכדי להישאר מתחת לרדאר. (מטרת התוקף היא “לחיות בשטח” עם אותם פרטי הזדהות)
ביצוע פעולות בתיבת הדואר
בשלב שני Inbox Account Control, התוקף משיג שליטה בחשבון הדואר של המשתמש ומתחיל לבצע פעולות סטנדרטיות כדוגמת יצירת חוקים על גבי Outlook Web או אפילו במצב של הגדרת חשבון בתחנה מרוחקת, בנוסף לכך התוקף יבצע פעולות נופסות של הגדרת forwarding (ללא חוק) מתוך חשבון הדואר וישנם תוקפים אשר ירחיקו לכת ויבצעו מעקב אחר התיבה ושינויים אשר מתבצעים על תיבת הדואר.
סיור בתיבת הדואר
בשלב שלישי Internal Recon, התוקף יתחיל בביצוע פעולות מתקדמות בתיבת הדואר ויתחיל בסיור בתוך הארגון מתוך תיבת הדואר במטרה לדלות מידע נוסף. בין כלל הפעולות שהתוקף יבצע ניתן לראות פעולות כגון:
- תפקיד בעל חשבון הדואר בארגון
- האם לחשבון הדואר ישנם הרשאות גבוהות
- האם חשבון הדואר עובד עם גורמים חיצוניים (ספקים, לקוחות וכו)
- מהו השיח אשר עובד בתיבת הדואר למשל העברת כספים או אישור חשבוניות
- האם ישנה גישה לגרומים בעלי תפקידים והשפעה ארגונית באמצעות הדואר
ביצוע תקיפה ממוקדת מתוך תיבת הדואר
בשלב רביעי Targedted Email Attack, התוקף יכין מתקפה ממוקדת על סמך המידע שאסף קודם לכן והמתקפה תכלול בין היתר את הפעולות הבאות:
- ביצוע פישינג מול תיבות דואר פנימיות במטרה למקד התחקור בבעיה המשנית
- ביצוע פעולות על סמך שיח קיים של העברת כספים או פעולה בעלת ערך אחרת
- ביצוע פעולות מול בעלי תפקידים בארגון במטרה להשיג פרטי חשבונות דואר בעלי ערל גבוה יותר (Whale ATO)
בשלב זה התוקף יודע שהוא עלול להיתפס ולכן מבחינת שלבי המתקפה מדובר על שלב קריטי של הצלחה או כשלון.
השלמת התקיפה
בשלב חמישי Exfiltrate Information, התוקף מוציא פעולה או מידע רלוונטי מתוך הארגון (ובאמצעות חשבון הדואר) ולרוב המידע יהיה בעל ערך או רגיש לארגון או הפעולה אשר תהיה בעל ערך כספי או תדמיתי בארגון. לעיתים בשלב זה התוקף למעשה יכול לתחיל מחדש תרחיש תקיפה מול חשבון דואר בעל הרשאות או חשבון דואר בעל ערך.
סוגי חשבונות דואר במתקפה
ישנם מספר סוגי חשבונות אשר עושים בהם שימוש במהלך המתקפה, בכל אותן חשבונות דואר המשתמש פועל בצורה מסוימת ובהתאם לחשבון שהצליח להשיג.
חשבונות הדואר שניתן לבצע בהם שימוש לטובת המתקפה הם:
- חשבון דואר ארגוני – חשבון דואר של משתמש בארגון
- חשבון דואר מוכר – לרוב חשבון דואר חיצוני של ספק או קבלן משנה
- חשבון דואר פרטי של משתמש ארגוני – חשבון הדואר הפרטי של המשתמש יכול להיות המנגנון לביצוע המתקפה
- חשבון לא מוכר – חשבון דואר צד שלישי כדוגמת Gmail שנועד למטרות פישינג
- חשבון ארגוני או פרטי (מבוסס חשבון דואר) ודרכו מבצעים התחברות לרשתות חברתיות
הגנה על חשבונות דואר
הגנה על חשבונות היא מתאגרת בגלל שתשתיות הדואר כוללות אפשרויות רבות לביצוע, בין היתר Forward Email, יצירת חוקים, חיבור חשבונות צד שלישי, הגדרת כללים ועוד אינספור פעולות ברמת תיבת הדואר.
כל אותן פעולות יכולות להתבצע ע”י ממשקים שונים: אפליקציית Outlook ברמת תחנה, אפליקציית Outlook ברמת מכשיר חכם, ממשק Outlook Web, באמצעות API מול EWS, באמצעות כלים צד שלישי.
ישנה אפשרות רבות ומגוונות לבצע חסימות ברמת שרת הדואר, שירות הדואר וברמת תיבת הדואר אך אין אפשרות לבצע חסימה מלאה של היכולות והאפשרויות כי המשתמש עדיין צריך לעבוד עם תיבת הדואר ולבצע את כל אותן פעולות פשוטות, ולכן כאן מגיע החלק של מערכת נוספת שתבצע בדיקה על כל המתרחש בתיבת הדואר החל מפעולות רגילות ועד פעולות חשדונות וביצוע מענה (respond) ידני או אוטומטי בתיבת הדואר של המשתמש.
כאשר מדובר על הגנה על Exchange Online המערכת המועדפת עליי היא Microsoft Cloud App Security, ולמה?
תשתית MCAS מאפשרת לבצע פעולות מתקדמות מול תשתית Exchange Online, החל מאיסוף מידע על פעולות רגילות של חשבונות דואר, דרך התראה על שינויים חשודים של Outlook Rules ברמת תיבת הדואר ועד ביצוע תגובה אוטומטית.
עדיין למה MCAS? לאחר בחינה מעמיקה וממושכת של וונדורים מובילים בתחום מול ארגונים שונים (מגזרים שונים) ומול אנשי אבטחת מידע, ניתן לראות כי תשתית CASB הכי יעילה מול Exchange Online היא Microsoft Cloud app Security.
איך מבצעים הגנה באמצעות MCAS
הגנה על Exchange Online באמצעות MCAS נחלקת למספר חלקים:
- חיבור שירות Office 365 מול תשתית MCAS
- הגנה לאחר למידה (ML) של המערכת מול תיבות הדואר בארגון
- הגנה באמצעות פוליסי מובנה (חלקם אינם מוגדרים באופן דיפולטי)
- הגנה באמצעות פוליסי מקוסטם
- אינטגרציה מול מערכות נוספות, כגון זהויות מול OneLogin או Azure AD
מכיוון שתשתית MCAS מוגדרת באופן דיפולטי לביצוע למידה של המערכת, הגדרת פוליסי Out of the box וניהול אנומליות באמצעות מנגנון UEBA. ניתן לנו לבצע הגדרה של פוליסי מותאם ארגון. לעיתים קרובות MCAS מקבל עדכונים ושיפורים כדוגמת Malicious forwarding rules או Malicious folder manipulation.
מאיפה מתחילים?
בכדי לבצע הגנה על Exchange Online ניתן להתחיל באמצעות השלבים שהוזכרו קודם לכן, אך לפני כן בואו נקח את האפשרויות הנוספות והמובנות אשר קיימות במערכת MCAS:
Malicious forwarding rules – תשתית MCAS מאפשרת זיהוי של Outlook Rules אשר נוצרו באופן מסוים ויכולים לכלול בין היתר חוקים, כגון: Forward All Email, Auto Forward, חוקים המוגדרים עם חשבון דואר חיצוניף חוק המוגדר ללא פרטים מלאים וכן הלאה אך הגרוע מכולים הם חוקי Outlook אשר מוגדרים באופן מוסתר ואפילו מוסתר ברמת משתמש הקצה.
במצב כזה הגדרת Outlook RUle עלול לגרום להוצאת מידע וללא אפשרות של זיהוי התנהגות חשודה בתשתית הדואר הארגונית, ולכן תשתית MCAS יכולה לסייע בהקטנת המקרים בהם נוצרים חוקי Outlook באופן מחשיד וכזה אשר נוצר ע”י גורם לא מהימן. חשוב להדגיש כי החוק הספציפי ממוקד בחוקי Outlook של העברת דואר.
Malicious folder manipulation – בעיה נוספת של תיבות דואר היא יצירת חוק Outlook אשר מעביר פריטים בין תיקיות שונות בתוך תיבת הדואר של המשתמש ע”י שימוש בפרמטרים שונים, בין היתר פרמטרים המוגדרים ע”י מזהים שונים כגון מילים או מספרים.
ברוב המקרים הפריטים אשר יועברו בין התיקיות ייעשו לתיקיה פחות מוכרת כדוגמת RSS וכן הלאה, אם נקח את המתקפה צעד אחד קדימה התוקף יכול לבדוק מתוך Outlook איזה תיקיה היא פחות רלוונטית ואליהם להעביר את הפריטים הנדרשים.
לסיכום, השגת חשבון דואר ושליטה על תיבת הדואר הארגונית מאפשר לתוקף להשיג מטרות רבות בין אם ביצוע פעולות על אותו חשבון דואר או כחלק מתוך מתקפה רחבה יותר. בניגוד לעבר כיום ישנם דרכים שונות ומגוונות שבהם ניתן להקטין את שטח המתקפה.
הקטנת שטח המתקפה יכולה לכלול שלבים רבים החל מביצוע חסימות חלקיות ברמת ממשקים, ביצוע חסימות של אפשרויות ברמת תיבת הדואר ובעיקר מענה על פעולות חשודות עם מערכות CASB למינהם.
