"Enter"a basıp içeriğe geçin

Kimlik Avı E-posta Analizi

Kimlik Avına Giriş
Phishing saldırısı, kullanıcılara e-posta yoluyla gelen kötü amaçlı bağlantılara tıklayarak veya bilgisayarında kötü amaçlı dosyalar çalıştırarak genel olarak kullanıcının kişisel verilerinin çalınmasını amaçlayan bir saldırı türüdür.

Phishing saldırıları, siber saldırıları analiz etmek için oluşturulan Siber Öldürme Zinciri modelinde “Teslim” aşamasına karşılık gelmektedir. Teslim aşaması, saldırganın önceden hazırladığı zararlı içerikleri mağdur sistemlere/kişilere ilettiği adımdır.

Saldırganlar genel olarak “hediye kazandınız”, “büyük indirimi kaçırmayın”, “postadaki linke tıklamazsanız hesabınız askıya alınacaktır” gibi maillerdeki zararlı linke tıklamayı hedefliyor. ”kullanıcıları postadaki bağlantılara tıklamaya yönlendirmek için.

Bilgi toplama
Sahtecilik
Saldırganlar, e-postaların mutlaka bir kimlik doğrulama mekanizmasına sahip olmaması nedeniyle başkası adına e-posta gönderebilir. Saldırganlar, sahtecilik adı verilen tekniği kullanarak, kullanıcıyı gelen e-postanın güvenilir olduğuna inandırmak için başkası adına posta gönderebilir. E-posta Sahtekarlığı tekniğini önlemek için çeşitli protokoller oluşturulmuştur. SPF, DKIM ve DMARC protokolleri yardımıyla gönderici adresinin sahte mi yoksa gerçek mi olduğu anlaşılabilmektedir. Bazı posta uygulamaları bu kontrolleri otomatik olarak yapar. Ancak bu protokollerin kullanımı zorunlu değildir ve bazı durumlarda sorunlara neden olabilir.

  • Sender Policy Framework (SPF)
  • DomainKeys Identified Mail (DKIM)


Mailin sahte olup olmadığını manuel olarak öğrenmek için öncelikle mailin SMTP adresinin öğrenilmesi gerekmektedir. Domainin SPF, DKIM, DMARC ve MX kayıtları Mxtoolbox gibi araçlar kullanılarak öğrenilebilmektedir. Buradaki bilgiler karşılaştırılarak mailin sahte olup olmadığı öğrenilebilir.

Kendi mail sunucularını kullanan büyük kurumların IP adresleri kendilerine ait olacağından SMTP IP adresinin whois kayıtlarına bakılarak SMTP adresinin o kuruma ait olup olmadığı incelenebilir.

Burada önemli bir nokta, eğer gönderen adresi sahte değilse postanın güvenli olduğunu söyleyemeyiz. Kurumsal/kişisel e-posta adresleri hacklenerek güvenilen kişiler adına zararlı postalar gönderilebilir. Bu tür siber saldırılar zaten yaşandı, dolayısıyla bu olasılık her zaman göz önünde bulundurulmalıdır.

E-posta Trafik Analizi

Bir phishing saldırısını analiz ederken birçok parametreye ihtiyaç vardır. Aşağıdaki parametrelere göre mail ağ geçidi üzerinde yapılacak arama sonuçlarından saldırının boyutunu ve hedef kitlesini öğrenebiliriz.

  • Sender Address(info@letsdefend.io)
  • SMTP IP Address(127.0.0.1)
  • @letsdefend.io (domain base)
  • letsdefend (Besides the gmail account, attacker may have sent from the hotmail account)
  • Subject (sender address and SMTP address may be constantly changing)

Arama sonuçlarında mail numaralarının yanı sıra alıcı adresleri ve zaman bilgilerinin de öğrenilmesi gerekmektedir. Zararlı e-postalar sürekli olarak aynı kullanıcılara iletiliyorsa, e-posta adresleri bir şekilde sızdırılmış ve PasteBin gibi sitelerde paylaşılmış olabilir.

Saldırganlar Kali Linux üzerinde Harvester aracını kullanarak e-posta adreslerini bulabilirler. Kişisel e-posta adreslerinin web sitelerinde tutulması saldırganlar için potansiyel bir saldırı vektörü olacağından bu tür bilgilerin açıkça paylaşılmaması önerilir.

E-posta Başlığı Nedir ve Nasıl Okunur?

Bu bölümde bir e-postadaki başlık bilgisinin ne olduğunu, bu bilgilerle neler yapılabileceğini ve bu bilgilere nasıl ulaşılacağını anlatacağız. Bir sonraki bölümde başlık analizinin nasıl yapılacağını anlatacağımız için bu bölümü dikkatle takip etmeniz önemlidir.

E-posta Başlığı nedir?

“Başlık” temel olarak postanın gönderen, alıcı ve tarih gibi bilgileri içeren bölümüdür. Ayrıca “Dönüş Yolu”, “Yanıtla” ve “Alınan” gibi alanlar da bulunmaktadır. Aşağıda örnek bir e-postanın başlık ayrıntılarını görebilirsiniz.

E-posta Başlığı ne işe yarar?

Gönderici ve Alıcının Tanımlanmasını Etkinleştirir

Başlıktaki “Kimden” ve “Kime” alanları sayesinde e-postanın kimden kime gideceği belirlenir. Yukarıda “eml” formatında indirdiğiniz e-postaya baktığımızda “ogunal@letsdefend.io” adresinden “info@letsdefend.io” adresine gönderildiğini görüyoruz.

Spam Engelleyici

Başlık analizi ve diğer çeşitli yöntemleri kullanarak spam e-postaları tespit etmek mümkündür. Bu, kişileri SPAM e-postaları almaktan korur.

Bir E-postanın Rotasını İzlemeye İzin Verir

Bir e-postanın doğru adresten gelip gelmediğini görmek için izlediği rotayı kontrol etmek önemlidir. Yukarıdaki örnek e-postaya baktığımızda “ogunal@letsdefend.io” adresinden geldiğini görüyoruz ancak aslında “letsdefend.io” alan adından mı yoksa aynı adı taklit eden farklı bir sahte sunucudan mı geldi? Bu soruyu cevaplamak için başlık bilgisini kullanabiliriz.

Important Fields

From

İnternet başlığındaki “Kimden” alanı gönderenin adını ve e-posta adresini belirtir.

To

Posta başlığındaki bu alan, e-postanın alıcısının ayrıntılarını içerir.

Adlarını ve e-posta adreslerini içerir. CC (karbon kopya) ve BCC (kör karbon kopya) gibi alanlar da alıcılarınızın ayrıntılarını içerdiğinden bu kategoriye girer.

Karbon kopya ve kör karbon kopya hakkında daha fazla bilgi edinmek istiyorsanız CC ve BCC’nin nasıl kullanılacağına göz atın.

Date

Bu, e-postanın ne zaman gönderildiğini gösteren zaman damgasıdır.

Gmail’de genellikle “gün gg ay yyyy ss:ddss” biçimini izler

Dolayısıyla, 16 Kasım 2021 16:57:23’te bir e-posta gönderilmiş olsaydı, 16 Kasım 2021 Çarşamba 16:57:23 olarak görünürdü.

Subject

Konu, e-postanın konusundan bahseder. Tüm mesaj gövdesinin içeriğini özetler.

Return-Path

Bu posta başlığı alanı Yanıtla olarak da bilinir. Bir e-postayı yanıtlarsanız, bu e-posta, Dönüş Yolu alanında belirtilen adrese gider.

Domain Key and DKIM Signatures

Etki Alanı Anahtarı ve Etki Alanı Anahtarı Tanımlı Posta (DKIM), SPF imzalarına benzer şekilde, e-posta servis sağlayıcılarının e-postalarınızı tanımlamasına ve doğrulamasına yardımcı olan e-posta imzalarıdır.

Message-ID

Mesaj Kimliği başlık alanı, her postayı tanımlayan benzersiz bir harf ve rakam birleşimidir. İki e-posta aynı Mesaj Kimliğine sahip olmayacaktır.

MIME-Version

Çok Amaçlı İnternet Posta Uzantıları (MIME), bir internet kodlama standardıdır. Resimler, videolar ve diğer ekler gibi metin olmayan içerikleri metne dönüştürür, böylece bunlar bir e-postaya eklenebilir ve SMTP (Basit Posta Aktarım Protokolü) aracılığıyla gönderilebilir.

Received

Alınan alanı, bir e-postanın alıcının gelen kutusuna ulaşmadan önce geçtiği her posta sunucusunu listeler. Ters kronolojik sırayla listelenir; üstteki posta sunucusu, e-posta mesajının geçtiği son sunucudur ve alttaki, e-postanın geldiği yerdir.

X-Spam Status

X-Spam Durumu size bir e-posta mesajının spam puanını gösterir.
İlk olarak, bir mesajın spam olarak sınıflandırılıp sınıflandırılmadığı vurgulanacaktır.
Ardından, e-postanın spam puanının yanı sıra e-postanın spam eşiği de gösterilir.
Bir e-posta, gelen kutusunun spam eşiğini karşılayabilir veya aşabilir. Çok spam içerikliyse ve eşiği aşarsa, otomatik olarak spam olarak sınıflandırılacak ve spam klasörüne gönderilecektir.

E-posta Başlığınıza Nasıl Erişilir?

Gmail

1- İlgili e-postayı açın
2- Sağ üstteki 3 noktaya tıklayın “…”
3- “Mesajı indir” butonuna tıklayın.

4- İndirilen “.”eml” uzantılı dosyayı herhangi bir not defteri uygulamasıyla açın

Görünüm

1- İlgili e-postayı açın
2- Dosya -> Bilgi -> Özellikler -> İnternet başlıkları

E-posta Başlığı Analizi
Önceki bölümlerde phishing e-postasının ne olduğundan, başlık bilgisinin ne olduğundan ve ne işe yaradığından bahsetmiştik. Artık bir e-postanın phishing olduğundan şüphelendiğimizde ne yapmamız gerektiğini, analiz sürecinin nasıl olması gerektiğini bileceğiz.

Phishing analizi sırasında başlıkları kontrol ederken cevaplamamız gereken temel sorular şunlardır:

  • E-posta doğru SMTP sunucusundan mı gönderildi?
  • “Gönderen” ve “Dönüş Yolu/Yanıtla” verileri aynı mı?

E-posta doğru SMTP sunucusundan mı gönderildi?

Postanın izlediği yolu görmek için “Alındı” alanını işaretleyebiliriz. Aşağıdaki resimde görüldüğü gibi, IP adresi sunucusundan gelen posta “101[.]99.94.116″dır.

Postayı kimin gönderdiğine (“gönderen”) bakarsak, bunun Letsdefend.io alanından geldiğini görürüz.

Yani normal şartlarda “letsdefend.io” posta göndermek için “101[.]99.94.116″yı kullanmalıdır. Bu durumu doğrulamak için “letsdefend.io”nun aktif olarak kullandığı MX sunucularını sorgulayabiliriz.

“mxtoolbox.com”, aradığınız alanın kullandığı MX sunucularını göstererek yardımcı olur.

Yukarıdaki görsele bakarsak “letsdefend.io” alan adının e-posta sunucusu olarak Google adreslerini kullandığını görüyoruz. Yani emkei[.]cz veya “101[.]99.94.116” adresleriyle hiçbir ilişki yoktur.

Yapılan kontrolde e-postanın asıl adresten gelmediği, sahte olduğu belirlendi.

Are the data “From” and “Return-Path / Reply-To” the same?

İstisnai durumlar dışında, e-postayı gönderen ile yanıtları alan kişinin aynı olmasını bekliyoruz. Phishing saldırılarında bu alanların neden farklı kullanıldığına bir örnek: Birisi LetsDefend’e Google’da çalışan biriyle aynı soyadını taşıyan bir e-posta (gmail, hotmail vb.) gönderir, LetsDefend çalışana faturayı kendisinin düzenlediğini ve ödemeyi XXX hesabına yapması gerektiğini söyler. Olası bir e-postaya yanıt verilmesi durumunda sahte e-posta adresinin göze çarpmaması için “Yanıtla” alanına gerçek Google çalışanının e-posta adresini koyar. Yukarıda indirdiğimiz e-postaya dönersek tek yapmamız gereken “Kimden” ve “Yanıtla” alanlarındaki e-posta adreslerini karşılaştırmak.

Gördüğünüz gibi veriler farklı. Yani bu e-postaya cevap vermek istediğimizde aşağıdaki gmail adresine cevap göndereceğiz. Bu verilerin farklı olması her zaman bunun kesinlikle bir kimlik avı e-postası olduğu anlamına gelmez; olayı bir bütün olarak ele almamız gerekiyor. Yani bu şüpheli duruma ek olarak e-posta içeriğinde zararlı bir eklenti, URL ya da yanıltıcı içerik bulunuyorsa e-postanın phishing olduğunu anlayabiliriz. Eğitimin devamında e-postanın gövde kısmındaki verileri analiz edeceğiz.

Statik Analiz

Düz metinden oluşan maillerin sıkıcı olduğu bir gerçek. Bu nedenle mail uygulamaları HTML desteği sağlayarak kullanıcıların daha fazla ilgisini çekebilecek maillerin oluşturulmasına olanak sağlar. Elbette bu özelliğin bir dezavantajı var. Saldırganlar, zararsız görünen düğmelerin/metinlerin arkasına zararlı URL adreslerini gizleyerek HTML içeren e-postalar oluşturabilir.

Yukarıdaki görselde görüldüğü gibi linke tıklandığında kullanıcının gördüğü adres farklı olabiliyor (link üzerine gelindiğinde gerçek adres görülüyor).

VirusTotal üzerinden gelen maillerdeki web adreslerini arayarak antivirüs motorlarının web adresini zararlı olarak algılayıp algılamadığını öğrenmeniz mümkündür. VirusTotal’da aynı adresi/dosyayı başkası zaten analiz etmişse, VirusTotal sıfırdan analiz yapmaz, size eski analiz sonucunu gösterir. Bu özelliğimizi hem avantaj hem de dezavantaj olarak kullanabiliriz.

Saldırgan VirusTotal’da zararlı içerik barındırmayan alan adresini ararsa o adres VirusTotal’da zararsız görünecektir ve fark edilmemesi durumunda bu adresin zararsız olduğu yanılgısına düşebilirsiniz. Yukarıdaki görselde umuttosun.com adresinin zararsız göründüğünü görebilirsiniz ancak kırmızı okla işaretlenmiş bölüme bakarsanız bu adresin 9 ay önce arandığını ve bu sonucun 9 ay önceye ait olduğunu göreceksiniz. Tekrar analiz ettirebilmek için mavi okla işaretlenmiş butona basılması gerekmektedir.

Sayfanın daha önce VirusTotal’da aranmış olması, saldırganın hazırlık aşamasında sitenin tespit edilme oranını görmek istediği anlamına gelebilir. Tekrar analiz edersek antivirüs motoru bunu phishing olarak algılıyor, bu da saldırganın analistleri kandırmaya yönelik bir hamlesi olduğu anlamına geliyor.

Maildeki dosyaların statik analizinin yapılması o dosyanın kapasitesinin/yeteneklerinin öğrenilmesini sağlayabilir. Ancak statik analiz uzun zaman aldığından dinamik analiz ile ihtiyacınız olan bilgiye daha hızlı ulaşabilirsiniz.

Cisco Talos Intelligence, IP adreslerinin itibarını öğrenebileceğimiz arama bölümlerine sahiptir. Talos üzerinde tespit ettiğimiz mailin SMTP adresini arayarak IP adresinin itibarını görebilir ve kara listede yer alıp almadığını öğrenebiliriz. SMTP adresi kara listedeyse, ele geçirilen bir sunucuya saldırı yapıldığı anlaşılabilir.

Benzer şekilde, IP adresinin daha önce kötü amaçlı faaliyetlere karışıp karışmadığını belirlemek için SMTP adresi VirusTotal ve AbuseIPDB’de aranabilir.

Dinamik Analiz

URL’ler ve dosyalar postada bulunabilir. Bu dosyaların ve URL adreslerinin incelenmesi gerekiyor. Bu dosyaları kişisel bilgisayarınızda çalıştırarak verilerinizin bilgisayar korsanları tarafından çalınmasını istemezsiniz. Bu nedenle mail içerisindeki web siteleri ve dosyalar sandbox ortamlarda çalıştırılarak sistem üzerinde yapılan değişiklikler incelenmeli, zararlı olup olmadığı kontrol edilmelidir.

Maildeki web adreslerini hızlı bir şekilde kontrol etmek isterseniz, tarayıcı gibi çevrimiçi web tarayıcılarını kullanarak web sitesinin içeriğini görebilirsiniz. Bu tür hizmetlerin iyi yanı, web sayfasına kendi bilgisayarınız üzerinden gitmediğiniz için tarayıcıları etkileyen olası bir sıfır gün güvenlik açığından etkilenmeyeceğinizdir. Tarayıcı gibi web tarayıcılarını kullanmanın dezavantajı ise siteye kötü amaçlı dosya indirildiği takdirde bu dosyayı çalıştıramamanızdır. Bu nedenle analiziniz kesintiye uğrayacaktır.

Maildeki adreslere gitmeden önce adreste önemli bilgilerin olup olmadığı kontrol edilmelidir. Yukarıdaki görseldeki örneği incelediğimizde kullanıcı popüleralışverişsite[.]com’a tıkladığında aslında kullanıcının adresinin ziyaret edildiği, email parametresinde ise kullanıcının e-posta adresinin olduğu görülmektedir. Kullanıcı phishing sayfasında şifresini girmese bile bu adrese ulaşıldığında maildeki linke erişildiği ve saldırganın bu kullanıcının geçerli olduğunu anladığı anlamına gelir. Daha sonra gerçekleştireceği saldırılarda geçerli olan kullanıcılar üzerinde sosyal mühendislik saldırıları yaparak gerçekleştireceği saldırının başarı oranını arttırabilmektedir. Bu nedenle adreslere erişmeden önce e-posta adresi gibi bilgilerin değiştirilmesi gerekmektedir.

Şüpheli dosyaları ve web sitelerini korumalı alan ortamlarında inceleyebilirsiniz. Bu ortamlardaki dosyaları incelediğinizde bilgisayarınıza kötü amaçlı yazılım bulaşma riskini ortadan kaldırırsınız. Birçok korumalı alan hizmeti/ürün mevcuttur. Bu ürün/hizmetlerin ücretli ve ücretsiz kullanımı mevcuttur. İhtiyaçlarınıza göre bu hizmetlerden birini/birkaçını seçebilirsiniz.

Yaygın olarak kullanılan birkaç sanal alan:

  • VMRay
  • Guguk Kuşu Koruma Alanı
  • JoeSandbox
  • AnyRun
  • Hybrid Analysis(Falcon Sandbox)

Mailde herhangi bir url ve dosya bulunmaması bunun zararlı olmadığı anlamına gelmez. Saldırgan analiz ürünlerine kapılmamak için resim olarak da gönderebilir.

Ek Teknikler

Saldırganların kullandığı bir diğer teknik ise normalde yasal olan siteleri kullanarak kimlik avı saldırıları gerçekleştirmektir. Bunlardan bazıları aşağıdaki gibidir.

  • Google ve Microsoft gibi Bulut Depolama hizmetleri sunan hizmetleri kullanmak
  • Saldırganlar, sürücüye zararlı dosyalar yükleyerek kullanıcıya zararsız görünen Google/Microsoft sürücü adreslerine tıklamaya çalışır.
  • Microsoft, WordPress, Blogspot, Wix gibi ücretsiz alt alan adı oluşturmaya olanak sağlayan hizmetleri kullanmak
  • Saldırganlar bu hizmetlerden ücretsiz bir alt alan adı oluşturarak güvenlik ürünlerini ve analistleri kandırmaya çalışırlar. Whois bilgileri alt alan adı olarak aranamadığı için bu adreslerin geçmişte alındığı ve Microsoft, WordPress gibi kurumlara ait olduğu görülmektedir.
  • Başvuru formu
  • Serbest form oluşturmaya izin veren hizmetler mevcuttur. Saldırganlar kendileri bir balıkçılık alanı oluşturmak yerine bu hizmetleri kullanıyor. Domain normal şartlarda zararsız olduğundan antivirüs yazılımlarına takılmadan kullanıcıya geçebilmektedir. Google Form bu hizmetlere bir örnektir. Whois bilgisine bakıldığında alan adının Google olduğu görülebiliyor, dolayısıyla saldırgan analistleri yanıltabiliyor.

letsdefend.io portalından eğitimleri gerçekleştirirken kendime ve sizlere not olması için paylaşmak istedim. kaynak : letsdefend.io

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir