תחקור דואר עם Threat management

מאמר ראשון בסדרה של של תחקור תעבורת הדואר וניהול אירוע באמצעות Threat management, והמשך למאמרים של הגנה והקשחת על עבורת הדואר.

במאמרים האחרונים של הגנה והקשחת על עבורת הדואר ישנו המון מידע וטיפים איך לעצור דואר זדוני שמכיל מלווירים, פישינג וספאם במטרה למנוע התקפות שונות כדוגמת גניבת זהויות או השתלטות על חשבונות וכן הלאה.

לצד הגנה וחסימה של תעבורה דואר זדונית אנו צריכים לתחקר ולנתח את תעבורת הדואר שנכנסת וחשוב מכך את האירועים עצמם וכאלה שאנו מקבלים עליהם התראות, ואחד הדגשים החשובים בבדיקה של אירועים נכונים או שגויים היא לדעת על סמך מה אנו מרשיעים את האירוע.

במקרים אחרים תחקור תעבורת דואר יכול להיות חלק מתוך תחקור אירוע גדול ומשולב אשר מכיל תשתיות סיסטם נוספות ולכן במצבים כאלה כל מידע וראיה הוא בעל ערך.

החלק המעניין והחשוב מכולם הוא שע"י הגדרה נכונה של כלי הגנה כדוגמת Office ATP, Anti-Phishing, Mailbox Intelligence ונוספים אנו יכולים להוריד מצבי false positive בעשרות אחוזים ולהתמקד בדברים החשובים – בתחקור אירועי דואר מאומתים.

כאשר ישנו אחוז קטן של דואר זדוני זה משאיר לנו את האפשרות להתמקד בתחקור וניתוח אירועי דואר למינהם, קטנים או גדולים ככל שיהיו ולתת מענה מתוך הממצאים שאנו מתחקרים.

תחקור וניתוח דואר

תחקור וניתוח אירוע בתעבורת הדואר צריך להיעשות ע"י קודם לכן עם הבנה של מהו המידע שאנו מחפשים כי מידע לא חסר, איך לקחת את המידע ולעבד אותו, איך לעשות קורלציה של המידע עם כלים אחרים שאינם בהכרח שייכים לתעבורת דואר וכן האלה.

תחקור וניתוח דואר נעשה החל מהשלב של קבלת הדואר, ניטור והתמודדות של הדואר ברכיבי ATP + EOP, התנהלות מול Automated investigation and response, שלב הפעולות האוטומטיות וחסימות אשר נעשו בדואר, מציאת מקור הבעיה, מניעה למקרים הבאים.

כלים לתחקור

בכדי לתחקר ולנתח תעבורת דואר ברמת הבורג אנו צריכים כלים, והכלים הבסיסיים של Office 365 הם טובים אך לא מספיק טובים ולכן הכלים הנדרשים הם הכלים הבאים:

  • Threat Explorer מתוך Threat management – חובה
  • Investigation מתוך Threat management – חובה
  • Incident מתוך Threat management – חובה
  • Message Trace מתוך Mail Flow למצבים מסוימים – במידה וצריך לבצע קורלציה
  • Sign-In Logs מתוך Azure AD (והתבססות על Identity Protection) – במידה וצריך לבצע קורלציה
  • Advanced eDiscovery מתוך ממשק eDiscovery – במידה וצריך לבצע קורלציה
  • Data Investigations (כלי חדש) -במידה וצריך לבצע קורלציה

הערה: הכלים הנ"ל קיימים רק ברישוי ATP P2 והמקבילים שלהם ברישוי הנמוך יותר אינם מאפשרים תחקור באופן זהה ולכן המאמר מתייחס לתחקור על גבי ATP P2 בלבד.

מה הסיבה שאנו צריכים את כל הכלים? בתהליך תחוקר אירוע אנו צריכים להרשיע את התוקף והדרך שבה הוא ביצע את התקיפה או ניסיון התקיפה, לצורך כך אנו צריכים לנתח המון מידע ועם כלים מתקדמים.

תחקור וניתוח אירוע

המצבים בהם אנו מקבלים התראה על אירוע דואר יכול להתחיל מדיווח של משתמש, או מהתראת מערכת וכמובן מעקב שגרתי אחר ממשקי הדואר, בכל המצבים הנ"ל התגובה לאירוע נחלקת לשניים: תחקור ופעולת מנע.

תחקור ופעולת מנע – מה קודם למה? תלוי מאוד באירוע ובחומרת האירוע אבל ברוב המקרים נתחיל בתחקור האירוע טרם קבלת החלטות בכדי לקבל תמונת מצב מלאה.

הערה חשובה: ישנם מקרים חמורים בהם אנו מבינים שישנה בעיה קריטית ולכן נגיב בפעולות מנע שונות טרם ביצוע תחקור וזאת בכדי לנוע מצב הרסני בארגון.

שלבים בתחקור וניתוח אירוע יכולים להיות לפי הסדר הבא (מומלץ):

מעבר על המידע בממשק Explorer (מתוך Threat management) – ממשק חשוב מאוד בו אנו מקבלים תמונת מצב ראשונית לגבי תעבורת הדואר אשר מחולק לפי לקטגוריות שונות של:

  • כלל תעבורת הדואר
  • תעבורת דואר מסוג פישינג
  • תעבורת דואר מסוג Malware
  • תוכן מבוסס Malware (למשל קבצים)
  • דואר מסוג Submission – במידה והוגדר לפני כן

בתוך הממשק ישנם אינספור כפתורים המאפשרים התמקדות בסוגי המידע השונים, למשל, אם נבחר בהצגת מידע מסוג Phish נקבל את כל המידע בתאריכים הנבחרים אך נוכל לבצע התמקדות במידע לפי סוג המידע עצמו כלומר אפשרויות כמו שולח, דומיין, קליקים שהתבצעו ואחרים.

בנוסף לכך נוכל למקד את המידע לפי סוגי הפעולות כדוגמת Delivery action או URL Domain ונוספים.

 

אם נקח דוגמה מהשטח של תקיפה על גבי דומיינים אמיתיים שמצבעים מאחורי הקלעים redirect כדוגמת windows.net או googleapi.com נוכל לבצע בדיקה על הדומיין הספציפי, למשל, windows.net ולקבל תמונה של מי הנמענים אשר קיבלו את הטכנולוגיה, מהו פישינג מבין כלל פירטי הדואר, איזה טכנולוגיה ביצעה את הזיהוי וכן הלאה.

מתוך Explorer ניתן לקבל מידע מפורט של שולח, נמען, מאפיינים כול Headers מפורטים, הצגת ונראות הדואר, נמענים נוספים שקיבלו את הדואר ועוד מלא מידע.

לצד זה אנו יכולים מנהלים את תחקור המידע באמצעות Actions במאפשר לבצע מספר פעולות נדרשות כגון: תחקור מול ממשק ייעודי (Investigate) אשר מנתח את האירוע כולו באופן מפורט, שיוך האירוע אל Incident ובנוסף שליחת מייל לנמען.

דוגמה לניתוח אירוע

אם נקח דוגמה לניתוח אירוע קטן בכדי להבין את את השלבים ואיך מגיעים להרשעה שבסיומה אנו נדרשים להגיב ולבצע פעולות מנע כדוגמת מחיקת פריטי דואר או חסימות דומיינים.

האירוע: פישינג ממוקד מול נמען מסוים המכיל קישורים המבצעים ניתוב לדומיינים אחרים – והמטרה גניבת זהויות.

דרכי זיהוי: התראת מערכת מתוך Office 365 ATP

ניהול האירוע: באמצעות הממשקים: Threat Explorer, Investigate, Incident

לאחר קבלת התראה נתחיל להבין את חומרת הבעיה מתוך ממשק Explorer ונחפש לפי הפרמטרים הבאים:

  • נושא הודעה
  • דומיין שולח
  • קישורים מצורפים
  • Headers
  • נמענים ומיילים זהים
  • Email Timeline
  • Detection technology
  • Delivery action

באירוע הספציפי נושא ההודעה היה Upgrade (כללי מידי) ולכן בחיפוש הנושא מתקבלים המון תוצאות, בנוסף לכך בחרתי באפשרות של Detection technoloy בכדי להבין את רכיב הגנה ביצע זיהוי, ולאחר מכן נבחר את הטכנולוגיה (בחירה של הרכיב) שביצע את הזיהוי עם Advanced phish technology.

טיפ: בכדי לבצע תחקור מדויוק אנו צריכים לפחות חמישה פרמטרים בהם אנו בודקים את הדואר המתקבל וקורלציה בין כל פרמטר (אותם פרמטרים המתוארים מעלה או פרמטרים נוספים).

טיפ: הסיבה שלא רשמתי את שם הנמען ישירות היא לוודא האם יש לי דואר נוסף מהסוג הנ"ל שהתקבל ולא רק ע"י זיהוי של Similar email. 

לאחר שיש לנו מיקוד של אותה תעבורת דואר ואותו דואר ספציפי ניתן לבדוק את אותו דואר באופן נקודתי (ורגע לפני שמבצעים Investigate) ולכן נבחר את הדואר ונבין מהו המידע נוסף שיש לנו.

מכאן נבחר את הדואר הספציפי ונבין מהו המידע הלרוונטי הנוסף שיכול לסייע, בין היתר:

  • שולח מול Return Path
  • סוג הסיכון כולל פעולת זיהוי ספציפית – אפשר לשים לב שהדואר נחסם
  • קישורים מצורפים ואפשרות להציג Preview של הדואר
  • ציר הזמן של שליחת הדואר – מעולה במצבים של שליחה ליותר מאשר נמען ספציפי
  • מיילים דומים עך סמך אותם מזהים אשר נשלחו את נמענים נוספים
  • אפשרות להעתקת Headers

למרות שהדואר נחסם מומלץ לקחת את הקישורים למנגונני סריקה נוספים על מנת להבין מה סוג הבעיה, כדוגמת:

https://urlscan.io/
https://www.hybrid-analysis.com/
https://www.virustotal.com/gui/home/url
https://any.run/
https://www.reverse.it/

טיפ: במקרים של דואר פישינג שישנו תרגוט מאוד ספציפי עם מטרה ברורה של הכנת דפי נחיתה כולל הלוגו של הארגון אותם מנגנוני סריקה מאפשרים זיהוי של הקישורים כולל הצגת אפשרויות וסיכון.

לאחר תחקור ראשוני של הדואר נמשיך לביצוע Investigation בכדי להמשיך ולנתח את הבעיה, ולאחר ביצוע Investigate על הדואר ספציפי נמשיך את התחשור מתוך ממשק Investigations.

מננגנון Investigation מבוסס על אפשרויות התחקור והפעולות האוטומטיות של Automated investigation and response או בקצרה AIR, המספקות מנגנון תחקור אוטומטי לגמרי, כלומר מהרגע שבחרנו בביצוע Investigate תוך דקות בודדות נקבל תמונה מלאה ופרטנית על נתיב הדואר ומידע הקשור לאותו פיט דואר כולל אפשרויות לביצוע אוטוטמציה.

הערה: AIR הוא רכיב מצוין לתחקור ואטוטמציה ולכן נתמקד באפ]שרויות שלו באחד המאמרים הבאים

בממשק Investigations נקבל מידע יותר מעניין מאשר המידע שקיבלנו עד כה, המידע שנקבל מבוסס על Security playbook אשר רץ מאחורי הקלעים מחולק למספר נקודות עיקריות:

בשלב ראשון נקבל תמונה כללית מתוך Investigation Graph ובכל נתון אשר קיים ומשם נוכל

Alerts – מייצגים טריגרים של תהליכים לביצוע פעולות אבטחה ובתגובה לאירועים שונים של סמך פוליסי

 

Entities – מכיל את כלל האובייקטים הקשורים לאירוע כדוגמת: משתמש, סוג הדואר, קישורים, התקני קצה ונוספים במטרה לספק את הקורלציה של המידע בין כל אחד מאותם אובייקטים.

Security playbooks – לב המערכת של AIR ומבצע פעולות רבות, ואם נתמקד בדואר הספציפי של האירוע אז AIR מספק את זיהוי הסיכון, בדיקת תוכן, ביצוע פעולות אכיפה לפי הפוליסי (פוליסי שהגדרנו מראש), חלוקת הקטגוריות בין כלל האובייקטים וכן הלאה.

Actions – מספק את המידע לגבי פעולות אשר בוצעו או צריכות להתבצע ברמת AIR ואינו מציג מידע לגבי פעולות שנעשו ע"י מנגנון אחר כדוגמת דואר אשר נחסם וזאת בכדי לתת תמונה מדויקת של Investigation.

פעולות נוספות בתחקור דואר אשר מומלצות לביצוע:

ניתוח עם Headers – במצב שבו אנו לוקחים Headers אנו יכולים לקבל מידע נוסף לגבי שליחת הדואר כדוגמת מהי תשתית שליחת הדואר, מהי האפליקציה שאיתה שלחו את הדואר, האם ישנו הבדל בין כתובות שליחת הדואר מול האפליקציות ומידע נוסף

יצירת Incident – מטרת הפעולה היא לשייך אירועי דואר שונים ולשייך אותם לקמפיינים ספציפיים במטרה לנתח את סקופ הפעילות ולקבל מידע מדויק לגבי כל קמפיין פישינג.

טיפ: האירוע אשר מוצג הוא אירוע נקודתי רק בכדי להדגים את השפטות תחוקר אירוע, אך אם נקח אירוע במימדים גדולים יותר נוכל לקבל תמונה מעניינת מתוך ממשק Investigation Graph כדוגמת האירוע הבא שם ניתן לראות כי אפשרויות נוספות של Security Playbook נכנסות לפעולה

טיפ: אפשריות ניתוח המידע מתוך Explorer הן מגוונות ורבות, ודרך נוספת להבין איזה דואר פישינג ביצע Deliver לתיבת הדואר יכול להיעשות לפי בחירת אפשרויות Delivery Action.

במצבים בהם דואר פישינג ביצע Deliverd חשוב לוודא האם הדואר היה חלק מפעולת Zapped phish.

לסיכום

תחקור אירוע דואר יכול להיות אירוע נקודתי או חלק מאירוע משולב ולכן המידע שאנו אוספים מתוך הממשק של Threat Management הוא חשוב מאוד ומכיל ראיות רבות, ולצד ביצוע תחקור אירוע דואר אנו יכולים לבצע תגובה עם פעולות מנע מסוימות.

אירוע דואר הינו אירוע אשר עלול להוביל לאירוע רציני וגדול יותר ולכן אנו צריכים להכיל את האירוע ולעבוד עם הכלים הנכונים, לדעת איך לגשת למידע, לדעת איזה מידע להוציא וחשוב מכך למצוא ראיות.

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.