İşletmeler, iş e-postalarının tehlikeye atılması konusunda takıntılı olma eğilimindedir. Bu takıntı yanlış yönlendirilmiştir. KOBİ ölçeğinde iş e-postalarının gizliliğinin ihlal edilmesiyle mücadelenin ön saflarından gözlemler ve bunun yerine neye odaklanmamız gerektiği.
Huntress Baş Güvenlik Araştırmacısı Matt Kiely tarafından yazılmıştır.
Güvenlik topluluğu, iş e-postası uzlaşma (BEC) saldırılarına takıntılı olma eğilimindedir. Bu saplantı yanlış yönlendiriliyor ve BEC’in bu kadar dikkat çekmemesi gerekiyor. Bunun yerine güvenlik şirketlerinin daha yapıcı konulara odaklanması gerekiyor.
Baş siber güvenlik araştırmacısı olarak, küresel çapta küçük ve orta ölçekli şirketleri ve onları koruyan yönetilen hizmet sağlayıcılarını hedef alıp yok edecek siber suçlara karşı kalkanı taşıyorum ve bunlarla mücadele ediyorum. Bu işletmelerin çoğu fidye yazılımı veya BEC saldırısından sağ çıkamaz. FBI’a göre, küçük şirketler arasındaki ticari e-posta uzlaşması artık hayallerini yıkan 50 milyar dolarlık bir sorun. Bunlar, 500.000 dolar karşılığında fidye almaları ya da sahte banka havalesi sonucu büyük miktarda paranın banka hesaplarından kaybolması durumunda yıkılacak olan inşaat şirketleri, berberler, fırınlar ve tek seferlik perakende satış mağazalarıdır. Riskler yüksek.
Mesele şu ki, bu saldırılar işletmelerin dikkatini çekmeye değer ve KOBİ’lerin savunulması gerekiyor.
Ticari E-posta Güvenliğinin Tespit Edilmesi Çok Az ve Çok Geç
Ocak 2023’te Huntress, iş ortağı kimliğinin bir ölçüde tehlikeye girdiğine işaret eden 3.300’den fazla Microsoft 365 olayı tespit etti. Bu olaylardan herhangi biri, küçük bir işletmeyi tamamen yok edebilecek bir BEC saldırısıyla sonuçlanabilir. Ancak burada belirtilmesi gereken kritik nokta, bu tespitlerden çok azının BEC saldırısının kendisini tanımlamasıdır. Aslında, tanımlanan tek şey gerçek BEC saldırısının kendisiyse, bu bir tespit hatası olarak kabul edilir.
BEC daha çok bulut güvenliği dünyasının “fidye yazılımı”dır. Fidye yazılımları gibi bu saldırılar da bulut siber saldırı zincirinin somut ve görünür sonuçlarından biridir. Buradaki işletim ifadesi “saldırı zinciridir”.
Bu saldırılar sihirli bir şekilde birdenbire ortaya çıkmaz. Fidye yazılımı saldırısına benzer şekilde BEC gerçekleştiren bir tehdit aktörünün, kampanyasını saldırının son aşamasını gerçekleştirecek kadar geliştirmesi gerekiyordu. Bu, bir hesaba erişim sağlamaları, bir tür kalıcılık yöntemi kurmaları, hedef ortamı numaralandırmaları, savunuculardan kaçmaları ve son olarak BEC saldırısının adımlarını gerçekleştirmeleri gerektiği anlamına geliyor.
Bu, bir düşman casusunun maksimum güvenlikli bir üsse gizlice girmesi sürecine eşittir. Casusun, fark edilmediğinden emin olmak için lazerlerle dolu bir koridorda bale dansı yapması gerekiyor. Her adım, her düşüş ve her sıçrama onlar için işleri karıştırıp lazerlerden birini tetiklemek için başka bir fırsattır. Savunmacılar olarak, casusun hatalarının tespit edilip cezalandırılması için koridora çeşitli yükseklik ve açılarda mümkün olduğunca çok sayıda lazer yerleştirmek güvenlik şirketinin görevidir.
Bu nedenle şirketler BEC’i tamamen yanlış anlıyor; çünkü iş e-postası uzlaşma saldırılarının sanki gerçekleşmesini önlemenin hiçbir yolu yokmuş gibi gelişmesini izleme eğilimindeler. Trenin raylardan uçurumun kenarına doğru yalpalaya gidişini çenesi yerdeyken izlemek ve “Birisi bu konuda gerçekten bir şeyler yapmalı!” demek iyi bir uygulama değil. Savunmacılar harekete geçmenin ve trenin yönünü değiştirmek için kolu çekmenin kendilerine düşen görev olduğunun farkına varmalı.
BEC saldırısından önce gerçekleşen herhangi bir tehdit faaliyeti, bu saldırıları önlemek için iyi bir yoldur. Göstergeleri aramak için harika bir yer, tehdit aktörünün kapıya adım attığı andan itibaren yani ilk erişimdir. “Hesabı ele geçirme”, bir tehdit aktörünün kimlik doğrulama gerekliliklerini geçtiği veya çaldığı ve yalnızca verilen kimlikle oturum açtığı en yaygın ilk erişim yöntemidir. Bir kimliğe ilk erişim sağlamanın, hesabı ele geçirmekten daha fazla yolu vardır, ancak bu, geniş bir farkla en yaygın yöntemdir.
KOBİ Ölçeğinde Hesap Devralmalarını Avcılık
BEC’e odaklanmak, kaza yaptıktan sonra trene odaklanmak gibidir. Belki BEC saldırısını başlangıca daha yakın bir zamanda durdurabilmemiz için hesap ele geçirme avında bana katılmak istersiniz. Peki nereden başlayacağız? Önce onları anlamazsak bu saldırıları etkili bir şekilde nasıl caydırabiliriz?
Yayını ger ve ok uçlarını keskinleştir. İşte hesap ele geçirmeyle sonuçlanan başlıca düşman taktiklerinden üçü.
Ortadaki Rakip: Şeffaf Proxy Kimlik Avı
Rakip taktik kitabındaki en kötü taktiklerden biri, şeffaf proxy kimlik avı yoluyla oturum belirteci hırsızlığıdır. Bu saldırı sinsidir. İş ortaklarımız sık sık şunu soruyor: “Hesabımda çok faktörlü kimlik doğrulamayı uyguladığıma göre artık güvende olmalıyım, değil mi?” Şeffaf proxy kimlik avı, uzmanların bu soruyu sorduklarında “evet” yanıtını verememelerinin nedenidir.
Bu saldırının dayanağı basittir: Çok faktörlü kimlik doğrulama (MFA), düşmanın saldırı sırasında ek kimlik doğrulama faktörüne sahip olmaması koşuluyla, devam eden bir saldırıyı durduracaktır. Ancak Microsoft 365 oturum açma portalı da dahil olmak üzere çoğu modern web sitesi, kullanıcı parolasıyla oturum açtıktan sonra kullanıcıya bir oturum belirteci verir ve kimlik doğrulama için ek faktör sağlar. Bu oturum belirteci kullanıcının tarayıcısına girdiğinde, o kullanıcı için fiili bir kimlik kanıtı haline gelir. Peki neden bunun yerine o oturum jetonunu çalmıyorsunuz?
Düşman, kurbanı saldırganın kontrolündeki etki alanını ziyaret etmesi için kandırır. Kurban bu etki alanını ziyaret ettiğinde, genellikle kendisini oraya yönlendiren bir bağlantı içeren bir kimlik avı e-postası aldıktan sonra Microsoft 365 oturum açma portalını görür. Kurban, tuhaf bir hatanın meydana geldiğini ve Microsoft 365’te tekrar oturum açması gerektiğini düşünüyor. Ne yazık ki kimlik bilgilerini, kurbanın oturumunu gerçek Microsoft 365 sayfasıyla yönlendiren şeffaf bir proxy’ye giriyorlar.
Kurban, ortadaki kötü sunucu tarafından ele geçirilen şifresini girer. Kötü sunucu, şifreyi ilk kimlik doğrulama aşamasını geçen gerçek Microsoft 365 oturum açma sitesine aktarır. Microsoft 365 daha sonra ek faktörü talep ediyor ve bu faktör kötü sunucu aracılığıyla kurbana geri gönderiliyor. Kurban ek faktörü tamamladığında, oturum kimlik doğrulamayı geçer ve elde edilen oturum belirteci, kötü sunucu üzerinden geçerek kurbanın tarayıcısına iletilir! Düşman, oturum belirtecini kullanıcıya geri dönerken etkili bir şekilde yakalar ve bunu kurbanın hesabına giriş yapmak için kendi tarayıcısına enjekte edebilir. alçakça!
Klasik efsane vampir gibi, bu saldırılar da davet edilmedikleri sürece bireylere veya işletmelere zarar veremez. Sosyal mühendislik, bir kullanıcının bu şeffaf proxy oturum açma sayfalarından birine erişmesiyle sonuçlanan bağlantıları sunmanın birincil yöntemi olmaya devam ediyor. Söz konusu sitenin URL’si, web sitesinin meşru olup olmadığını belirlemek için hâlâ en güvenilir kaynaktır. Örneğin, Microsoft 365’te oturum açmak isteyen bir kullanıcının “login.onmicrosoft” adresine ulaşmayı beklemesi gerekir.[.]com” ve “some.evilsite” değil[.]com”.
Bu saldırıya ilişkin son kullanıcılar, insanların sizden tıklamanızı istediği bağlantılara karşı makul miktarda şüphe duymalıdır. Size bu bağlantıyı gönderdiği varsayılan kişiyle doğrulayın. Gerçekten gönderdiler mi? Durumun aciliyeti var mı? Sizi tıklamaya zorlamak için sizinle yakınlık kurmaya çalıştılar mı? Bu saldırı, hesaplarını MFA ile koruyan zorlu hedefleri bile tehlikeye atabilir; bu nedenle, gerekli incelemeye ve doğrulama için gereken zamana değer.
Kimlik Bilgisi Saldırıları: Parola Spreyi, Kimlik Bilgisi Doldurma, Kaba Zorlama
MFA kullanmayan kişiler için tehdit denklemi çok daha basittir. Ek bir faktöre sahip olmayan hesaplarda, saldırganın bu kimlikle oturum açmak için kurbanın şifresini tahmin etmesi veya alması gerekir. Bu kimlik bilgisi saldırılarının üç çeşidi vardır; saldırganın birden fazla hesapta aynı şifreyi tahmin etmeye çalıştığı şifre püskürtme; Saldırganın bir ihlal nedeniyle bilinen kimlik bilgilerini kullandığı ve bunları kullanıcının bir hesaba sahip olabileceği diğer hizmetlere karşı kullandığı kimlik bilgisi doldurma; ve saldırganın aynı hesap için birden fazla şifre tahmin ettiği kaba zorlama.
Daha önceki ortadaki saldırı örneğinden farklı olarak bu saldırı, kurbanın herhangi bir etkileşimini gerektirmez. GitHub’da hem ücretsiz hem de açık kaynak olarak sunulan MFASweep ve trevorspray gibi araçlar, saldırganların kimlik bilgisi saldırıları gerçekleştirmesine ve herhangi bir hesapta MFA’nın eksik olup olmadığını kontrol etmesine olanak tanıyor. Parolası zayıf olan ve MFA içermeyen bir hesap bulan bir saldırgan, iş e-postasının ele geçirilmesi saldırısı için birincil hedef bulmuş demektir.
İlk erişim için VPN kullanımı
Bu taktik, ilk erişimden ziyade savunmadan kaçınmayla daha yakından ilişkilidir, ancak hesap ele geçirmelerin ortak bir özelliği olduğu için buraya dahil edilmiştir. Huntress Güvenlik Operasyon Merkezi’nin raporlarına göre Microsoft 365 kimliklerine yönelik doğrulanan saldırıların yaklaşık %75’i VPN’lerden geliyor. Saldırıların daha küçük bir yüzdesi Tor gibi anonim proxy’lerden geliyor. VPN ve proxy’ler farklı teknolojiler olsa da iş ortaklarına etki açısından benzer oldukları düşünülmektedir. Tehdit aktörleri, hesap ele geçirme işlemlerini gerçekleştirirken IP adreslerini gizlemek için proxy’ler ve VPN’ler kullanır.
İyi bir jiu-jitsu karşı saldırısı gibi, güvenlik şirketleri de bu taktiği savunucu olarak kendi avantajlarına kullanabilirler. Kullanıcıları için VPN kullanımı normal mi? VPN normal ise hangi tür VPN’ler kullanılmalıdır? Oturum açma işleminden IP adresini analiz etmek, IP’nin hizmet sağlayıcısı veya IP’nin şüpheli bir proxy hizmeti için bilinen bir çıkış düğümü olup olmadığı gibi, tehdit hesabını hesaba katabilecek önemli gerçekleri ve istihbaratı ortaya çıkarabilir. Bu, ortak bir kurumsal SASE çözümü kullanırken oturum açan bir kullanıcı ile Tor’dan oturum açan bir kullanıcı arasında ayrım yapmalarına olanak tanır. Bu iki olay risk açısından aynı değildir ve iyi tespit programlarının bunu tanıyabilmesi ve buna göre hareket edebilmesi gerekir.
Çözüm
BEC’den bir ısırık almak, saldırı zincirinin herhangi bir noktasında rakiplerin önüne geçmekle ilgilidir. Kalıcılık, savunmadan kaçınma ve yürütme faaliyeti gibi saldırı zincirinin farklı aşamalarını gösteren taktikleri belirlemek ve bunlarla mücadele etmek, iş e-postalarının ele geçirilmesiyle mücadele etmenin etkili bir yoludur. Saldırı zincirinin her aşaması farklı göstergeler gönderebilir ve tespit fırsatları sunar. Aksi halde işin sonu olacak bir olayı durdurmak için yalnızca bir tespit yeterlidir. İşletmelerin kendi güvenlik programları için belki de ilk erişim, bakılması gereken harika bir başlangıç noktasıdır!
yazar hakkında
Matt Kiely ve ben Huntress’te Baş Güvenlik Araştırmacısıyım. Matt Kiely, Huntress’te bilgisayar korsanlarına zarar veren ürünleri geliştiren Baş Güvenlik Araştırmacısıdır. Şu anda Microsoft 365 ürün araştırması için MDR’yi yönetmektedir. Kendisi, Massachusetts Teknoloji Enstitüsü, finans kurumları, SimSpace ve Amerika Birleşik Devletleri Deniz Piyadeleri gibi kuruluşlar için BT ve güvenlik alanında 10 yıldan fazla deneyime sahip, yetenekli bir siber uzmandır. Matt, Northeastern Üniversitesi’nden Bilgi Teknolojileri alanında lisans derecesine ve Rochester Teknoloji Enstitüsü’nden Siber Güvenlik alanında Yüksek Lisans Sertifikasına sahiptir. Matt’in profesyonel kimlik bilgilerinden bazıları OSCP, eCPPT, eCPTX, CRTO ve CRTP’yi içerir. Matt’e şirketimizin https://www.huntress.com/ web sitesinden çevrimiçi olarak ulaşılabilir.