תחקור חוקים בתיבת הדואר

פורנזיקה בשרתי דואר ובפרט בתיבות הדואר הינה תהליך מעניין אך עדיין מתבסס על אותם שלבים עיקרים של ביצוע פעולות פורנזיקה: שימור, זיהוי, חילוץ, פרשנות ותיעוד.

יישום נכון של שלבים אלה באופן מסודר ומעמיק יכול לסייע באיתור מדויק של האירוע עד לפרטים הקטנים.

מאמר נוסף בסדרה – ביצוע פרונזיקה ותחקור כללים (Rule) בתיבת דואר.

כללים מאפשרים לך להעביר, לסמן בדגל, ולהשיב להודעות דואר אלקטרוני באופן אוטומטי. באפשרותך גם להשתמש בכללים בכדי להשמיע צלילים, להעביר הודעות לתיקיות, או להציג התראות לגבי פריט חדש.

הכלל הנפוץ ביותר הוא כלל שמאפשר להעביר פריט מנמען מסוים, מילים מסוימות או כל מידע אחר ברמת ההודעה לתיקייה אחרת.

ATO וכללי Outlook

דרכי הפעולה להשגת זהויות וחשבונות דואר הם דיי מעניינים ולמעשה מחולקים למספר שלבים, ממש מעין Kill Chain של ATO לחשבונות דואר. בשלב ראשון התוקף משיג גישה לחשבון דואר, ובשלב שני התוקף מתחיל לבצע פעולות בתיבת הדואר שאינן נראות חשודות בכדי להרחיב את שטח התקיפה.

החלק המעניין הוא השלב השני כי לאחר השגת שליטה על תיבת הדואר כל הפעולות שיגיעו לאחר מכן יהיו פעולות לגיטימיות ואינן מחשידות, וכאלה אשר דומות לפעולות המשתמש שהוא בעל תיבת הדואר.

תהליך ATO על חשבונות דואר מחולק למספר שלבים או כמו שאני קורא לו Kill Chain של ATO לחשבונות דואר, והוא מכיל את השלבים של סיור בתיבת הדואר, ביצוע פעולות בתיבת הדואר, ביצוע תקיפה ממוקדת מתוך תיבת הדואר והשלמת התקיפה.

בתוך כל אותם פעולות ישנה פעולה של ביצוע פעולות בתיבת הדואר שהיא למעשה מאפשרת שליטה על תיבת הדואר. מידע נוסף הגנה על חשבונות דואר Account Takeover

בשלב שני Inbox Account Control, התוקף משיג שליטה בחשבון הדואר של המשתמש ומתחיל לבצע פעולות סטנדרטיות כדוגמת יצירת חוקים על גבי Outlook Web או אפילו במצב של הגדרת חשבון בתחנה מרוחקת, בנוסף לכך התוקף יבצע פעולות נופסות של הגדרת forwarding (ללא חוק) מתוך חשבון הדואר וישנם תוקפים אשר ירחיקו לכת ויבצעו מעקב אחר התיבה ושינויים אשר מתבצעים על תיבת הדואר.

במהלך ביצוע ATO והשתלטות על חשבון דואר הפעולה של גניבת זהויות יכולה לרדת לטמיון ולכן התוקף מבצע פעולות נוספות בתיבת הדואר ואחת מהן היא יצירת כללים ובמקרים מסוימים גם הסתר כללים.

בשני המקרים אין לנו אפשרות לדעת שנוצרו כללים בתיבת הדואר אלא אם כן אנו עובדים עם מערכות מסוימות או

תקיפה וכללים מוסתרים

מסלול תקיפה בתיבת הדואר של המשתמש עלולים לכלול מספר מצבי תקיפה שונים המבוססים על השתלטות חשבון הדואר, מידע נוסף במאמר הגנה על חשבונות דואר Account Takeover.

כתוצאה מכך בכל אירוע תקיפה ישנם פעולות שונות המבוצעות על חשבון הדואר ואחת מהן היא יצירת כללי Outlook המאפשרים לתוקף לחיות בשטח התקיפה זמן רב לפני שמישהו יכול לעלות עליו.

בתרשים התקיפה המצורף, התוקף משיג פרטי הזדהות ולאחר מכן מבצע יצירת כלל Outlook להעברת פריטי דואר לחשבון אחר, באירועים קשים התוקף יכול להסתיר את הכלל ואז האירוע הופך להיות חמור עוד יותר.

חשוב להדגיש כי ישנם מצבים נוספים בהם ניתן לבצע העברת פריטי דואר מתוך תיבת הדואר אל חשבון אחר, חלקם ללא כללי Outlook.

screenshot_16

במסלול התקיפה שמצורף ניתן לראות כי שני החלקים הבעייתים הם השלישי והרביעי בהם נוצרים כללים, כאשר הרביעי הוא מסוכן מאוד. אומנם הפעולה אינה פשוטה אך אפשרית לביצוע בגלל הכלים הקיימים כיום והעובדה שאת חלקם פישינג אינו עוצר כלל.

אם נפרק את מסלול התקיפה נוכל לראות כי השלבים מבסלול התקיפה הם:

שלב הכניסה – שלב מתוך Kill Chain קלאסי וכמובן של Mailbox Kill Chain שבו התוקף מבצע פעולות מוצלחות בכדי להשיג פרטי הזדהות ומצליח להיכנס לתיבת הדואר של המשתמש, לרוב ברמת Webmail.

שלב תנועה וביצוע פעולות – מצב שבו התוקף נע בחופשיות בתיבת הדואר של המשתמש ואינו מעורר כל חשד, בשלב זה התוקף יוצר כללים בודדים בשביל לא לעורר חשד, כללים אלה יהיו העברת דואר אל חשבון דואר אחר וגרום לזליגת מידע.

בשלב זה התוקף מבצע פעולות חופשיות בתיבת הדואר ואם יגלה שאינו מעורר חשד, ימשיך התוקף ואף יתחבר לתיבת הדואר באמצעות Outlook, כאן האירוע מסלים כי התוקף יגדיר כלל מוסתר (Hidding Inbxox Rule).

כמו שהוזכר קודם לכן השלב השלישי והרביעי הינם שלבים מסוכנים בהם התוקף משיג שליטה בתיבת הדואר, ולכן גם במקרים בהם המשתמש יחליף את פרטי ההזדהות הכללים שהוגדרו קודם לכן ימשיכו לפעול.

יצירת כלל מוסתר

יצירת כלל או חוק מוסתר ברמת Outlook אינו משהו מסובך כלל והייתי אומר אפילו פשוט מאוד, ובכדי ליצור כלל מוסתר נוכל להשתמש בכלים שונים כדוגמת MFCMAPI, MrMAPI, EWSEditor.

החלק המעניין הוא שאמצעות הכלי MrMAPI ניתן ליצור פקודה לביצוע כללים וחוקים ויתרה מכך ניתן לשלוח את הפקודה במייל ובתוך קישור או קובץ וע"י כך להגדיר את הכלל ללא השתלטות ישירה על תיבת הדואר.

בדוגמה שלפנינו נסתיר כלל באמצעות הכלי MFCMAPI לפי הפעולות הבאות:

יצירת כלל Outlook – יש ליצור כלל Outlook באמצעות OWA או באמצעות Outlook Desktop אשר מבצע הפניה לחשבון דואר אחר. בעקרון אפשר לקחת כל חוק וכלל Outlook מוגדר.

screenshot_17

ישנם מספר כללים אך לצורך הענין נקח את החוק שמוגדר עם הכותרת AI MVP.

הסתרת כלל באמצעות MFCMAPI – לאחר מכן נעבוד עם הכלי MFCMAPI בכדי להסתיר את הכלל לפי הפעולות הבאות:

תחילה נפעיל את הפרמטרים הבאים בכדי שיהיה ניתן לראות מידע מפורט של תיבת הדואר כולל פריטים שהם מוסתרים. לצורך כך נפעיל את הפרמטרים הבאים: (ניתן לגשת מתוך Tools  ולאחר מכם Options ולאחר מכן יפתח חלון עם כל האפשרויות.

Use the MDB_ONLINE flag
Use the MAPI_NO_CACHE flag

screenshot_24.png

לאחר אישור הפרמטרים נבצע לוגין אל תיבת הדואר מתוך Session ואז Login ונוכל לראות את תיבת הדואר הנוכחית.

מומלץ לפתוח עם הכלי MFCMAPI תיבות דואר שהוגדרו עם פרופיל מקומי כולל פרופיל תיבת דואר עם דלגציה

screenshot_18

לאחר מכן יפתח חלון נוסף עם מידע רב כולל מלא תפריטים (שחלקם אינם מוכרים כלל)

screenshot_20

מתוך היררכית הספריות נבחר את התיקיות הבאות:

Top of Information Store
Inbox

ולאחר מכן נבחר באפשרות Open Associated contents table

screenshot_19

לאחר בחירת באפשרות Open Associated contents table נחפש בחלק העליון של החלון את שדה Message Class ולאחר מכן נחפש את הערכים של IPM.Rule.Version2.Message. ערכים אלה מבטאים את הכללים המוגדרים בתיבת הדואר.

screenshot_22

לאחר בחירה של אחד הערכים (IPM.Rule.Version2.Message) בחלק התחתון של החלון ניגש אל הערכים הבאים:

PR_RULE_MSGLEVEL
PR_RULE_MSG_PROVIDER

screenshot_23

במידה וישנם כללים רבים נצטרל לעבור כל כלל בכדי לזהות מהו הכלל שאנו רוצים להסתיר, ולאחר מכן נמשיל לפעולה הבאה והעיקרית שהיא הסתרת הכלל.

נקח את הכלל שנרצה להסתיר ונכנס למאפיינים שלו ונמחק את הערכים של Ansi או שנגדיר ערך 0 ונאשר את השינוי

screenshot_26

כך זה ייראה לאחר השינוי

screenshot_27

ולאחר מכן נוכל לראות את השינוי ברמת Outlook שאינו מכיל את הכלל

screenshot_28.png

והשאלה שעולה לאחר הפעולות הנ"ל היא איך ניתן לזהות ואין ניתן למנוע מצבים מהסוג הזה? ישנם מספר דרכים בכדי לזהות ולמנוע את המצבים הנ"ל.

במידה ומדובר על כלל שמבצע forwarding וכלל אשר מוגדר בצורה חשודה הזיהוי הוא פשוט יותר וניתן לזהות לפי פקודות PowerShell או לפי מערכת Microsoft Cloud APp Security.

במידה ומדובר על כלל מוסתר הפעולה מורכבת יותר וניתן לזהות לפי פקודות PowerShell הכוללות IncludeHiddenRule או באמצעות Microsoft Cloud App Security.

חייב לציין כי מערכות CASB אחרות אינן יודעות כלל לזהות התנהגות חשודה של כללים פשוטים – נבדק על גבי מספר מערכות CASB.

לסיכום

אירוע מסוג ATO של השתלטות על תיבת דואר הוא אירוע קשה וגם לאחר זיהוי הוא עלול להשאיר את התוקף בשטח ולתת לו מרחב פעולה שהוגדר קודם לכן, אומנם הפעולות לביצוע ATO אינן פשוטות אך הם אפשרויות ומתרחשות בשטח לעיתים קרובות.

איך עושים זאת? מהם הפקודות? ודרכי תחקור ומנע במאמר הבא.



:קטגוריותForensic

תגים: , ,

מה דעתך?

This site uses Akismet to reduce spam. Learn how your comment data is processed.