תחקור תיבת דואר Exchange

פורנזיקה בשרתי דואר ובפרט בתיבות הדואר הינה תהליך מעניין אך עדיין מתבסס על אותם שלבים עיקרים של ביצוע פעולות פורנזיקה: שימור, זיהוי, חילוץ, פרשנות ותיעוד.

יישום נכון של שלבים אלה באופן מסודר ומעמיק יכול לסייע באיתור מדויק של האירוע עד לפרטים הקטנים.

(מאמר ראשון בסדרה – תחקור תיבת דואר Exchange – מבנה תיבת הדואר ותרחיש)

מבנה תיבת הדואר

כמו בכל מקרה של פורנזיקה גם כאשר מבצעים תחקור אירוע בתיבת הדואר אנו מחויבים לדעת את מבנה תיבת הדואר ומה הוא מכיל. מבנה תיבת הדואר קיים ולא השתנה זה 20 שנה ומכיל את אותם תיקיות גלויות, תיקיות מוסתרות, תיקיות מערכת, תיקיית הגדרות ועוד מרכיבים רבים במבנה תיבת הדואר.

במהלך השנים התווספו יכולות רבות לגרסאות Exchange אך המבנה הבסיסי של הנתונים וכן תיבות הדואר אינו השתנה באופן מהותי, אך כן ניתן לראות שישנם תיקיות חדשות למשל תיקיות של Teams או תיקיות Yammer ונוספים.

הכלים שעמם ניתן לבצע פורנזיקה בחלקם ישנים (הטובים שבהם), אך בכל הכלים הרשמים ניתן לבצע תחקור על פעולות שבוצעו עד לרמה של הקשות במקרים מסוימים וחשוב מכך ניתן לבצע תחקור גם ברמת שרתי דואר מקומיים וכן בשירות Exchange Online.

מבנה תיבת הדואר מורכב מתיקיות רבות ושונות, החשובות שבהן מתוארות מטה וכמו שניתן לראות יש את המבנה המוכר שעימו עובדים ביומיום וישנו את המבנה שניתן לראות מאחורי הקלעים.

מתוך MCFMapi – אחד הכלים אשר מציג נתונים רבים לגבי מבנה שאינו גלוי בתיבת הדואר, אפשר לשים לב במבט ראשוני בלבד שישנם פרטים רבים ומעניינים במבנה תיבת הדואר שעמם ניתן לבצע פורנזיקה.

כמו שניתן לראות תצוגה ומבנה תיבת הדואר אשר גלוי לנו בעבודה היומיומית הינה פשוטה (ומעט מטעה) מאשר התצוגה אשר קיימת מאחורי הקלעים.

בואו נצלול קצת אל מעמקי תיבת הדואר ונסמן את אפשרות Use MDB_Online Flag (נתמקד בערך הזה מאוחר יותר) ונוכל לקבל תוכן מעמיק יותר של תיקיות ותוכן.

למשל נוכל לשחזר פריט דואר מעל לחודש מתוך אותן תיקיות אשר קיימות בתיקיית Recoverable Items, לרוב תיקיית Purges.

כאשר פותחים את MFCMapi ניתן לראות כי מבנה תיבת הדואר בנוי מכל אותן מבנה תיקיות שהוזכרו קודם לכן ולזה נוסיף פרמטרים נוספים:

  • חיבור לתיבת הדואר מחייב Provider שהוא Microsoft Exchange Message Store
  • אובייקט מארח שאליו ניגשים הוא מסוג Mapi_Store (לא הגישה אל שרת הדואר)
  • תפקיד Mapi Store Provider הוא לקבל אל מבנה התיקיות את הדואר הנדרש

לאחר כניסה אל Default Store נקבל תצוגת תיקיות שונה לחלוטין הבנויה על התיקיות הבאות:

תיקיות מוסתרות – תיקיות מוסתרות מכילות מידע נוסף אודות מבנה תיבת הדואר ומאפשרות לבצע פעולות מסוימות כגון שחזור פריטים ישנים מאוד, שינוי אופן העבודה של Free\Busy וחשוב מכך חיפוש אחר פעולות מסוימות ואיתור מידע ספציפי לטובת פורנזיקה אשר יכול להכיל מידע מסוג Last Access Time , פעולות Hidden Rules, פתיחת קובת חיצוני מסוג MSG ואפילו להגיע למצב של גילוי Keystoke באמצעות שילוב של Mrmapi וייצוא פעולות לקובץ XML.

בנוסף ניתן לעבוד עם ערך PR_ATTR_HIDDEN, PidTagAttributeHidden בכדי להסתיר או לגלות תיקיות מסוימות שאינן תיקיות מערכת.

תיקיית Recoverable Items – או בשמו הקודם תיקיית Dumpster מכיל תתי תיקיות המאפשרות לבצע פעולות שחזור שונות על פריטי דואר אשר נמחקו או פריטים אשר נשמרים (מבוססים In-Place).

תיקיית Recoverable Items מוגדר ויושב בתיקיית non-IPM subtree של כל תיבת דואר, אותו non-IPM subtree אינו נגיש בממשק המשתמש.

  • Deletions – מכיל את כל הפריטים שנמחקו מתוך תיקית Deleted Items, התיקה זמינה מתוך Outlook או Owa ונקראת Recover Deleted Items.
  • Version –במידה מופעלת אחת מההגדרות הבאות של Single Item, In-Place או Litigation התיקיה תכיל העתק מקורי והעתק שבוצע בו שינוי, התיקיה אינה זמינה למשתמש.
  • Purges – תיקיה זאת מכילה את כל הפריטים שהם Hard Deleted, התיקיה אינה גלויה וזמינה למשתמש.
  • Audits – במידה ומפעילים מעקב לתיבת דואר אותה תיקיה תכיל את כל הלוג שהופעל.
  • Discovery Holds – מכיל את כל המידע שהופעל במצאעות In-Place.

תיקיות System Folder – תיקיות שנעשה בהן שימוש יומיומי של משתמש הקצה אך חלקן אינן גלויות כלל משתמש, התיקיות נחלקות למספר תיקיות:

  • IPM_SUBTREE
  • Top of Outlook data file
  • Top of Personal Folders
  • Top of Information Store

התיקייה העיקרית היא Top of Information Store אשר מכילה תיקיות דיפולטיות של משתמש הקצה המשוכיות אחד אל השני וחלקן לא ניתן למחיקה. תיקיות סיסטם פרט לתיקיית Top of Information Store זמינות רק במצב Online ולכן בקובצי PST או OST לא נוכל לבצע פעולות תחקור על תיקיות סיסטם נוספות.

שיוך אובייקטים וערכים – נעשה לפי folder associated items או בקצרה FAIs המאפשר שיוך של תכנים וערכים בין תיקיות והגדרות של תיבת הדואר, אותו FAIs נשמר בטבלה ייעודית ומוסתרת כאשר מבצעים הגדרה על המשתמש.

למשל אם הוגדר Messaging Records Management לטובת שמירה של מידע וביצוע Retention, אותו FAIs מעדכן את תיבת הדואר ויוצר ערכים המשויכים להגדרה זאת ואשר כוללים את הערכים הבאים: Retention flag, Retention Policy, תיקיות שעליהן נאכף הפוליסי.

מבנה תיבת הדואר מכיל נתונים ופרטים נוספים וזהו רק חלקו הבסיסי של מבנה תיבת הדואר.

כלים לביצוע תחקור

אין כלים רשמיים לביצוע פונזיקה בתיבת הדואר, וגן הכלים הקיימים בשירות Exchange Online, או בשרתי הדואר וכן הכלים החיצוניים אינם מאפשרים באופן רשמי לבצע תחקור.

ישנם כלים נקודתיים מאוד אשר מאפשרים לבצע תחקור כדוגמת MessageBind אשר יצא בשירות Exchange Onlinbe ומאפשר לבצע Audit בתיבות הדואר אבל לדעתי עדיין בצורה לא מעמיקה.

כלים אחרים בענן כדוגמת MCAS או הכלים הקיימים ברמת Security and Compliance ואפילו מתוך PowerShell אינם מאפשרים להגיע למקומות המוסתרים. למשל אין אפשרות לדעת האם משתמש פתח או ביצע ייבוא לקובץ MSG אל Outlook.

הכלי היחיד שמבצע פורנזיקה ואינו זמין יותר (היה זמין לתקופה קצרה) הוא Magic Unicorn Tool, שמספק יכולת פורנזית מעמיקה ברמת Outlook על לרמת גילוי הקשות ללא צורך בפעולות מיוחדות.

מעבר לכך אנו יכולים להשתמש בכלים אחרים ורשמיים של Microsoft שיודעים להגיע למקומות הכי אפלים בתיבת הדואר של המשתמש.

MFCMapi – כלי המאפשר לנו גישה אל MAPI stores וע"י כך לבצע תחקור לטובת בעיות Outlook וכן גישה למפתחים לטובת פיתוח MAPI. כמו שראינו מוקדם יותר הכלי מאפשר גישה אל מבנה תיבת הדואר ואל כל אותן תיקיות גלויות, תיקיות מוסתרות, תיקיות מערכת וערכים נוספים. הורדת MFCMAPI

MrMAPI –  האח הקטן של MCFMapiץ הכלי נקרא בתחילחת דרכו MrTag ולמעשה מאפשר לסקור Tag ברמת מבנה תיבת הדואר, להציג מאפיינים במבנה וכן לייצא נתונים מתוך תיבת הדואר. הורדת MrMAPI

EWSEditor – כלי אשר במקור נועד למפתחים (כיום מבוסס קוד פתוח) ומאפשר גישה אל Exchange Web Service לטובת הצגת API מלא של שרת דואר, ובאמצעותו ניתן לבצע פעולות מול תיבת הדואר, לבצע פיתוח ונוסף לסייר במבנה תיבת הדואר. הורדת EWSEditor

תרחיש תקיפה

אם נקח למשל דוגמה פשוטה של תיבת דואר אשר נפרצה והתוקף מבצע מספר פעולות שונות, כגון: הגדתר חוקי Outlook, הסתרת מידע, גישה לתיבות דואר אחרות ושליטה על מנהל מערכת דואר. בתרחיש זה נוכל להבין את הפקודות הפשוטות שניתן לבצע בכדי לבצע זיהוי על כל אותן פעולות של התוקף.

*חשוב להדגיש כי במצב כזה כלים כדוגמת CASB, כלי Audit ודומיהם אינם יצליחו לעקוב אחר כלל הפעולות של התוקף ובעיקר פעולות ספציפיות של הסתרת מידע ולקיחת שליטה על חשבון בעל הרשאות בשירות/שרת הדואר.

מציאת ראיות 

בכדי למצוא ראיות מסוימות נוכל לעבוד עם MrMAPI על סמך הפקודות הבאות:

  • בפקודה הראשונה נייצא מידע מוסתר מתוך תיבת הדואר:

mrmapi -On -Pr OutlookProfile -HiddenContents -Folder @ -MessageClass IPM.Configuration.OWA.UserOptions

קטגוריה בשימוש: Configuration.OWA.UserOptions

  • בפקודה נוספת נבצע בדיקה האם היתה גישה לתיבות דואר אחרות

mrmapi -On -H -Folder #9\@ -Output .\Out1

  • בפקודה הנוספת נבדוק מה התוקף חיפש בתיבות דואר אחרות על סמך הפרמטרים הבאים:

מאפיין 0x7C070102 יספק את המידע מה התוקף חיפש בדיוק

mrmapi -On -H -F @ -Me IPM.Configuration.OWA.ViewStateConfiguration

  • בפקודה הנוספת נוכל לדעת איזה מידע היסטורי נפגע בתוצאה מפעולות התוקף:

mrmapi -On -H -F "Recoverable Items\Purges" -Me IPM.Activity

מאפיין 0x7C080102 מספק את המידע אשר נעשה בו שימוש

  • בפקודה הנוספת נוכל לדעת האם התוקף ניסה לגשת לתיבות דואר של מנהלי מערכת והאם השיג שליטה על Exchange Admin

mrmapi -On -H -F @ -Me IPM.Configuration.Suite.Storage

מאפיין 0x7C070102 מספק מידע לגבי LastAccessedDateAdminPortal

הפקודות הנ"ל מייצאות מידע אל קובצי XML ולכן לאחר הרצת הפקודות יישמרו כל אותם קובצי XML באותה תיקיה שממנה הרצנו את הפקודות עם הכלי MrMAPI.

בדוגמה שלפנינו ניתן לראות ניסיון גישה שנדחה אל תיקיה בתיבת דואר של המשתמש.

לסיכום

ביצוע פרונזיקה על תיבת דואר יכולה להיעשות על גבי כלים קיימים כדוגמת MrMAPI וכל זאת בכדי למצוא ראיות תקיפה וניסיון גישה אל Exchange Admin או ביצוע פעולות מוסתרות של התוקף.

הכלים המוצגים כאן ניתנים לביצוע גם מול שרתי דואר מקומיים וגם מול שירות Exchange Online.

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.