Exchange Online Forwarding Yapılan E-Mail Adreslerinin Tespit Edilmesi

İşletmeler her gün farklı senaryolarla siber olaylara dahil olabiliyorlar. Bunların başında oltalama saldırıları gelmektedir. Kullanıcılar bir şekilde kullanıcı isimlerini ve parolalarını kaptırabiliyorlar. Eğer kullanıcı kritik düzeyde bir kullanıcıysa saldırganlar için büyük bir fırsat oluşturabiliyor. Genellikle karşılaştığımız senaryolar ele geçirilen kullanıcının mail adresinin bir şekilde farklı bir mail adresine yönlendirerek. Kullanıcının tüm yazışmalarını takip edebiliyorlar. Gerektiği durumlarda saldırgan bir şekilde kendini araya sokarak para yatıracak kurumla konuşmaya başlayıp kendi hesap numaralarına paranın yatmasını sağlayabiliyor. Sizde böyle bir senaryo veya buna benzer bir senaryo ile karşılaştığınızda ilk yapmanız gereken şey içeriden bir kullanıcınıza ait mail adresi forwarding yani başka bir mail adresine yönlendirilmiş mi ? yönlendirildiyse neden yönlendirildi ? gibi sorulara cevap aramanız gerekecek.

İki farklı senaryo üzerinden ilerleyeceğiz eğer kullanıcınızın mail adresi direk yönlendirildiyse bunu tespit etmek kolay olacaktır. Lakin Outlook üzerinde bir kural oluşturularak yapıldıysa bunu tespit etmek biraz daha karmaşık bir hal alarak zor bir durum ortaya çıkacaktır. Böyle bir durumu tespit etmek için PowerShell ile Exchange Online bağlanarak gerçekleştireceğiz. Bu durumdan zarar gören kurban kullanıcımız muhtemelen bu durumun farkın bile varmayacaktır. Zaten kurban kullanıcının bu işlemlerin farkında olamaması faydalı olacaktır. Sebebine gelince kurban kullanıcı belki bilinçli bir şekilde bu saldırıya yardımcı oluyordur. Bu ihtimalini unutmamız gerekir.   Şimdi isterseniz iki farklı senaryoyu birlikte inceleyelim.

  1. Senaryo

İlk senaryomuzda saldırganımız kullanıcının tüm mail trafiğini iletme üzerinden direk bir mail adresine yönlendirilmiş yani forwarding işlemi yapılmış.

  • Senaryo

İkinci senaryomuzda ise Outlook üzerinde bir kural oluşturulmuş ve yine tüm mail trafiği saldırgan kullanıcıya ait mail adresine yönlendirilmiş. Bu senaryomuz zor bir senaryo olduğu için bir vaka incelemesi yapacağımız durumda şüpheli olan kullanıcıların tamamında bu senaryo üzerinden gidebiliriz.

Exchange Online’na PowerShell ile Bağlanma

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session -DisableNameChecking

Öncelikle PowerShell uygulamamızı yönetici olarak başlatalım. Hemen ardından yukarıda bulunan komutları kullanarak Exchange Online’a PowerShell ile bağlanalım.

  1. Senaryonun Analizi

Organizasyon İçerisinde Yapılan Tüm Forwarding İşlemlerinin Tespiti

Get-Mailbox | select UserPrincipalName,ForwardingSmtpAddress,DeliverToMailboxAdndForward

Yukarıda ki komut dizinini kullanarak Office 365 organizasyonumuz içerisinde forwarding yapılan bir mail adresi varmı yokmu tespit etmeye çalışalım. Victim isimli bir kullanıcımda direk bir yönlendirme olduğunu gördüm. Yönlendirilen adres bir gmail adresi ve dış bir kullanıcı muhtemelen bu kullanıcı bir şekilde ele geçirilmiş. Bunu derinlemesine araştırmanız gerekecektir. Burada Üçüncü bir göz yani bir güvenlikçiyle analiz etmeniz sizin için faydalı olacaktır. Sebebine gelince saldırgan kişinin neleri ele geçirip neleri ele geçirmediğini bilemeyeceğiniz için firma içerisinde bir PenTest yaptırmanız mantıklı olacaktır.

Get-Mailbox victim@cybercloud.cf | fl

Yine yukarıda ki komut setini kullanarak kurban kullanıcı hakkında detaylı bilgilerde alabilirsiniz. Yine SMTP forwarding yapıldığını yukarıda ki görselde görmeniz mümkündür.

SMTP Adreslerinin İptal Edilmesi

Set-Mailbox victim@cybercloud.cf -ForwardingAddress $Null

Set-Mailbox  victim@cybercloud.cf -ForwardingSmtpAddress $Null

Yukarıda ki komut setlerini kullanarak kurban kullanıcının yönlendirmelerini iptal edebilirsiniz.  

  • Senaryonun Analizi

Outlook Üzerinde Oluşturulan Kuralları Görüntülenmesi

Get-InboxRule -Mailbox victim@cybercloud.cf

Bazen her şey yolunda gitmeyebilir. İlk senaryomuz ne kadar basitti değil mi ? Hemen tespit ettik. İkinci senaryomuz biraz daha karışık ve yorucu olacağını düşünüyorum. Evet ben makalede bir kullanıcı üzerinden ilerliyorum. Bu kullanıcıyı veya kullanıcıları nasıl tespit  ettim ? Aslında bunu tespit etmek ve vaka incelemesi için bekli tüm kullanıcıları tek tek analiz yapmanız gerekebilecek. Ya da olaya karışan şüpheli kullanıcıları incelemeniz gerekebilecek. Burada senaryonun size gelişi ve şüpheliler olayı biraz daha kolaylaştıracaktır. Şimdi ise kurban kullanıcımı analiz etmeye devam ediyorum. SMTP forwarding iptal etmiştik daha önceden. Şimdi ise yukarıda ki PowerShell komutunu kullanarak kurban kullanıcımın Outlook üzerinde oluşturduğu kuralları tespit ediyorum. True veya False seçenekleri kuralın aktif veya pasif olduğunu gösterecektir. Yukarıda görüldüğü gibi kural aktif bir şekilde çalışıyor.

Kural İçeriğinin Görüntülenerek Analiz Edilmesi

Get-InboxRule -Mailbox victim@cybercloud.cf -Identity ForwardingRule | Select -Property *

Yukarıda ki komut setini kullanarak kuralın içeriğini görüntülediğimizde Outlook üzerinde oluşturulan kuralın dış bir mail adresi yani saldırgana ait olan adrese yönlendirildiğini görebiliriz. Burada birden fazla kuralda olabilir bu kuralları tek tek incelemeniz yerinde bir davranış olacaktır.

Oluşturulan Kuralın Silinmesi

Remove-InboxRule -Mailbox victim@cybercloud.cf -Identity “ForwardingRule


Yukarıda bulunan komut setini kullanarak Outlook üzerinde oluşturulan kuralı silebilirsiniz.

Not: Kurban kullanıcına ait kuralların tamamını kaldırmak için aşağıda ki komutu kullanabilirsiniz.

Get-InboxRule -Mailbox “Joe@Contoso.com” | Remove-InboxRule

Bu tarz durumlardan zarar görmemek adına kullanıcılarınızı muhakkak bilinçlendirin. Her önüne gelen maili açmasın her linke tıklamasın. Gerekirse kullanıcılarınıza farkındalık eğitimleri aldırın. Firmanız için Penetrasyon testleri yaptırın. Özellikle ödeme yapılacak kurum ve kuruluşlardan sözlü olarak teyit alın.

Başka yazılarda görüşmek üzere…

Detaylı bilgi almak için bize bu link üzerinden form doldurarak ulaşabilirsiniz.

İlginizi çekebilecek diğer Microsoft de bu link üzerinden ulaşabilirsiniz.

Mehmet Parlakyiğit
Kıdemli Satış Mühendisi / Arena Bilgisayar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir