Desde que me uní a TrustedSec, he trabajado en numerosos casos, y cada uno de ellos es como aclarar un ocultación para entrar a la verdad, especialmente las situaciones que han involucrado la infracción del correo electrónico empresarial (o BEC). Lamentablemente, estos casos no sólo han implicado intrusiones en cuentas de correo electrónico en la estrato. Asimismo ha habido situaciones en las que los atacantes logran entrar, vigilar (o persistir) durante un tiempo para comprender quién puede ser víctima en un sentido financiero y luego tomar medidas para redirigir el parné o realizar algún tipo de toma de control de cuentas bancarias que resulte perjudicial. la estructura.
Asimismo he sido declarante de diferencias de tiempo sustanciales entre el momento en que los atacantes realizaron las intrusiones iniciales y el momento en que fueron detectados. Para este artículo, me gustaría dialogar de lo que se puede memorizar en aquellos momentos en los que la duración es prolongada, así como cuando el tiempo de permanencia del atacante es relativamente corto, y cómo se puede dominar aún más ese delta en el tiempo. Siento que al examinar estos escenarios, nosotros, como comunidad de ciberseguridad, podemos comprender mejor a qué trampas debemos prestar atención y encontrar prácticas que puedan adoptarse para impedir que los atacantes entren o permanezcan por mucho tiempo si logran violar la seguridad.
La criticidad de los registros
En mi trabajo en IR, miro mucho los registros y las hojas de cálculo. A veces, en sentido figurado, parece una montaña de trabajo solo para separar las actividades benignas (generalmente realizadas por el agraciado o las funciones sistémicas de un servicio de correo electrónico en la estrato) de aquellas que son dañinas o muestran claramente que algún invitado no invitado ha ingresado a una cuenta. eso no les pertenece.
Sin bloqueo, una consideración triste pero cierta es que si sabe con certeza que ocurrió una intrusión, entonces tiene un punto de partida desde donde trabajar. Piense en ello como aparecer a trabajar en un rompecabezas de 500 piezas en la mesa de la cocina durante el fin de semana. Quizás, para comenzar, desees colocar todas las piezas de guisa que puedas verlas y luego trabajar para identificar las esquinas. Luego, tal vez haga coincidir los bordes de los márgenes rectos y clasifique de qué lados de la imagen provienen usando la imagen en el cuadro como relato, y luego comience a averiguar patrones en el interior de los márgenes que puedan hacer que la imagen completa se una.
Me atrevería a asegurar que iniciar una investigación BEC es poco así. Normalmente me gusta aprender si el cliente tiene una persona específica que denunció que su cuenta fue hackeada, si hay varias cuentas o si pertenecen a un comunidad. Finalmente, hemos conocido con frecuencia un comunidad de personas a las que les piratean sus cuentas, como parte del equipo financiero de una empresa. Si puedo hacerlo a mi guisa, me gusta evaluar quién está en condiciones de tener poco de valía para los atacantes antaño de averiguar eventos de autenticación que tengan un aspecto extraño o que estén fuera de las ubicaciones normales donde alguno inicia sesión en su cuenta en la estrato. . Mi razón es que los atacantes se sienten atraídos por alcanzar sus objetivos, y hay buenas probabilidades de que el objetivo final sea tomar un cuota de alguna guisa, por lo que se sienten atraídos por el parné. Si veo que las cuentas están en el mismo comunidad financiero Y fueron atacadas o violadas, entonces puedo estar seguro de los objetivos financieros del atacante, que se extenderán a otras posibles pistas de investigación a seguir.
Al analizar cuentas de agraciado para casos de BEC, los registros son una forma fundamental de información con la que trabajar. Suelen ser fuentes esenciales de información exclusivamente sobre su valía nominativo. Algunos servicios de correo electrónico en la estrato, como Microsoft, asimismo ofrecen detecciones adicionales para cosas como “viajes imposibles”, y esos son excelentes eventos para averiguar en los registros que pueden dominar el tiempo que los atacantes controlan una cuenta que violaron.
Sin bloqueo, antaño de sumergirnos de realizado en una pila de datos de registro extraídos de un proveedor de servicios en la estrato (tomemos Microsoft M365, a modo de argumento), tener una prueba en mis manos puede ayudar con la investigación. Por lo común, esto significa que existe algún tipo de correo electrónico de phishing que la estructura señalará como crucial para su detección auténtico. Puede ser un correo electrónico que proviene de alguno de la estructura o puede ser un mensaje de correo electrónico recibido por alguno a través de un tercero, como un proveedor. Suelen ser aperos cuando se revisan, ya que pueden proporcionar pistas sobre los momentos en que se enviaron mensajes sospechosos y se utilizaron ID de cuentas.
Cuando obtengo este tipo de exhibición y la comparo con las de los registros de llegada unificado o los registros de seguimiento de mensajes, normalmente conferencia una avalancha de correos electrónicos que se han enviado, y esto me ayuda a comprender la origen del ataque. Los detalles del encabezado del mensaje de correo electrónico, especialmente, pueden asegurar mucho a los profesionales de relaciones públicas, así que asegúrese de extraer los encabezados del mensaje. Las URL o enlaces en el mensaje asimismo pueden proporcionar buenos indicadores de compromiso (IOC) para averiguar. Por lo tanto, desde mi punto de perspectiva, obtener mensajes de correo electrónico de phishing relevantes puede resultar útil para el prospección de un incidente BEC.
Pistas en el interior de las reglas de la bandeja de entrada
En los casos de BEC, creo, en términos generales, que a los atacantes les gusta cubrirse. Una (1) de esas formas de profundizar en una estructura es descubrir qué correos electrónicos pueden ser recogidos por el atacante, redirigidos a una carpeta de caja sencilla o descuidada para su posterior revisión y luego estudiados por el atacante de una guisa que les ayudará con su objetivo final. Ejemplos de esto seríanlas Suscripciones RSS, Basura y, a veces, las carpetas Archivo.
Una (1) forma que se observa regularmente de hacer esto es cuando el atacante crea reglas en la bandeja de entrada que analizan el asunto o el contenido de los mensajes para términos específicos relacionados con sus objetivos (vamos con la apropiación de cuentas bancarias). Luego, se envía una copia del mensaje a una carpeta que, como la caja de entrega de una novelística de espías, ya está configurada para que el atacante regrese y vea si ha aparecido algún saco. Otro propósito de la creación de las reglas es ayudar ciertas comunicaciones ocultas al agraciado auténtico de la cuenta.
Sigamos asumiendo que estamos hablando de Microsoft (correo electrónico en la estrato M365), donde algunas de esas carpetas que las reglas de la bandeja de entrada han enviado correos electrónicos relacionados con BEC han sido suscripciones RSS, utensilios eliminados o correo electrónico no deseado. Por lo tanto, en oportunidad de averiguar manualmente en todas las cuentas empresariales las cuentas de la bandeja de entrada, una tras otra, sugiero que las secuencias de comandos a través de PowerShell pueden ayudarle a resumir reglas en masa para la estructura y enumerarlas para que pueda ver todas las reglas de la bandeja de entrada y determinar si Cualquier cosa parece particularmente sospechosa.
Recientemente, utilicé poco como el sucesivo fragmento de código para ese propósito exacto. Consta de dos (2) partes:
- Una aposento auténtico para instalar. ExchangeOnlineGestión para PowerShell y establecer una conexión con el inquilino de M365 al que pertenece el agraciado
- Una segunda parte para tratar el segundo lista que enumerará todas las reglas que se encuentran en el inquilino M365 en un archivo, TenantRulesOutput.csv
Aquí hay un tutorial para ambas partes:
Install-Module-Name ExchangeOnlineManagement -Force -AllowClobber
Connect-ExchangeOnline -UserPrincipalName (email protected) -ShowProgress $true
Luego de instalar el módulo ExchangeOnlineGestiónel script establece una conexión a través del ID de cuenta de agraciado que se proporciona a posteriori de la -UsuarioPrincipal parámetro.
El sucesivo script requerirá un módulo adicional, ExchangePowerShellpara ser cargado. Está comentado en la primera fila del script, al igual que la fila que contiene el módulo. ExchangeOnlineGestión lo es, pero se incluye como convivencia, para que el maestro entienda que estos dos (2) utensilios son dependencias críticas.
# Install-Module ExchangePowerShell -Force -Verbose
# Install-Module ExchangeOnlineManagement -Force -Verbose
Connect-ExchangeOnline
$users = (Get-ExoMailbox -resultsize unlimited).UserPrincipalName
foreach ($user in $users)
Export-CSV TenantRulesOutput.csv -NoTypeInformation -Append
Tenga en cuenta que la cuenta que inicia esta solicitud de cmdlet PS deberá tener permisos específicos para ver todas las cuentas en el inquilino de la estrato (presuntamente M365). Por lo tanto, mi consejo es cerciorarse de confirmar los permisos específicos que necesita tener implementados, para que la secuencia de comandos no (A) falle o (B) active ninguna falsa inquietud de posible fuerza bruta causada en el interior durante un cavado auténtico. La sucesivo captura de pantalla es un ejemplo de datos que se pueden producir en el TenantRulesOutput.csv archivo con los detalles borrosos.
Tenga en cuenta que la cuenta que utilicé tenía los siguientes permisos (roles) de membresía:
- Destinatarios de solo visualización
- Configuración de solo visualización
Una cuenta de administrador completa puede ser una extralimitación para un control como este. Es posible que desee crear un comunidad de funciones específico para las comprobaciones de suministro de M365 que solo vea los datos necesarios para resumir esta información y tomar decisiones al respecto. Actualmente, el comunidad de roles Gobierno de higiene incluye la capacidad de ordenar reglas de flujo de correo y asimismo incluye los roles que enumeré anteriormente (pienso en el principio de “último cantidad de llegada/privilegio” todo el tiempo, por lo que esto es consistente con él). Consulte esto página para conocer algunos buenos pasos iniciales.
El creador AMF
Otra cosa con la que se encontrarán los profesionales de IR que trabajan en casos de BEC es la cuestión de si un dispositivo de autenticación de segundo creador (asimismo llamado autenticación multifactor o MFA) fue de alguna guisa omitido durante el ataque. Durante la consulta auténtico con clientes incumplidos, esta es una pregunta principal que hacemos. Entonces, cuando analizamos los datos de una cuenta vulnerada, podemos entender a qué se enfrentaba el atacante y si hay poco que podría acontecer hecho para evitarlo.
En el pasado, hemos escuchado muchas historias tristes sobre MFA simple que utiliza implementaciones de mensajes de texto SMS; la afición proviene del número de teléfono de origen, ya que un atacante puede falsificar un mensaje de texto SMS. Francamente, el Instituto Franquista de Estándares y Tecnología (NIST) de EE. UU. estableció en la Publicación distinto 800-63 que la MFA basada en SMS no es deseable para una autenticación sólida.
De guisa similar, asimismo se ha informado que se omiten las notificaciones automáticas MFA. Esto sucede porque el atacante obtuvo llegada a una cuenta con un nombre de agraciado y contraseña para la primera parte y luego envió una gran cantidad de mensajes desde una aplicación pidiendo al agraciado que toque “aprobar”/aceptar sin pensar críticamente en ello. qué solicitud de autenticación estaban aprobando. Es posible que el agraciado objetivo se haya cansado de ser molestado constantemente por desmentir o aprobar las solicitudes de MFA y haya optado por aceptarlas todas en el futuro, sin aprender que esto le hacía el ocio al atacante. Esta condición asimismo se conoce como “penuria MFA” y los atacantes la aprovechan.
Si la estructura afectada ha sido vulnerada y había registrado dispositivos MFA, consultar las listas de dispositivos M365 puede ayudar a determinar si un atacante tomó un (1) paso más para registrar su propio teléfono celular o dispositivo MFA similar para obtener el mensaje MFA en su oportunidad. yendo al agraciado. La consejo de esta situación es que cuando ocurre una infracción, debe cerciorarse de que el teléfono registrado o los mecanismos MFA que figuran en el servicio en la estrato verdaderamente coincidan con lo que el agraciado tiene actualmente en su poder. Revisar la configuración en examen de aplicaciones OAuth2 inexplicables asimismo es un paso prudente para ver si se ha anejo poco inesperadamente.
En este artículo, hablamos sobre los utensilios de la investigación de incidentes BEC. El tema tiene mucha profundidad y traté de atracar gran parte de lo que he conocido por observación directa. Ayer de cerrar, lo invito a consultar este enlace para ver algunos ejemplos adicionales, consejos de autenticación de correo electrónico y opciones de protección contra estas amenazas. Espero que esta discusión le haya resultado útil y le haya animado a considerar formas adicionales de practicar la investigación de intrusiones de este tipo.