Oltalama Saldırıları Nasıl İncelenir?

Phishing (Oltalama) saldırısı, saldırganların email yolu ile kullanıcılara zararlı linklere tıklatarak veya zararlı dosyaları bilgisayarında çalıştırarak genel olarak kullanıcıya ait kişisel verileri çalmaya yönelik saldırı türüdür.

Oltalama saldırıları, siber saldırıları analiz etmek amacıyla oluşturulan Cyber Kill Chain modelinde “Delivery” aşamasına denk gelmektedir. Delivery aşaması, saldırganın daha önceden hazırlamış olduğu zararlı içeriği kurban sistemlere/kişilere ilettiği adımdır.

Saldırganlar genel olarak kullanıcıları mail içerisindeki linklere tıklatmaya yöneltmek için “hediye kazandınız”, “büyük indirimi kaçırmayın”, “mail içerisindeki linke tıklamazsanız erişiminiz durdurulacaktır” gibi kullanıcıyı mail içerisindeki zararlı linke tıklatmayı amaçlamaktadır.

Tabii ki yapılan saldırının tek amacı kullanıcının parola bilgisini çalmak değildir. Bu tip saldırılardaki amaç zincirin en zayıf halkası olan insan faktöründen yararlanmaktır. Saldırganlar, oltalama saldırılarını sistemlere sızmanın ilk adımı olarak kullanmaktadırlar.

Bilgi Toplama

Spoof Kontrolü

Zorunlu olarak emaillerin kimlik doğrulama mekanizması olmadığından saldırganlar başkası adına email gönderebilmektedirler.

Saldırganlar, kullanıcıyı gelen emailin güvenilir olduğuna inandırmak amacı ile spoofing adı verilen tekniği kullanarak başkası adına mail gönderebilmektedir.

Email Spoofing tekniğinin önüne geçebilmek adına birkaç protokol oluşturulmuştur.

SPF, DKIM ve DMARC protokolleri yardımı ile gönderici adresinin sahte mi gerçek mi olduğu anlaşılabilmektedir. Bazı mail uygulamaları bu kontrolleri otomatik olarak yapmaktadır. Ancak bu protokollerin kullanımı zorunlu değildir ve bazı durumlarda problemlere yol açabilmektedir. SPF ve DKIM protokolleri hakkında yazdığım yazılara aşağıdan ulaşabilirsiniz.

Manuel olarak mailin spoof olup olmadığını anlamak için ilk önce mailin SMTP adresinin öğrenilmesi gerekmektedir.

Mxtoolbox gibi araçlar kullanılarak domain’in SPF,DKIM,DMARC ve MX kayıtları öğrenilebilmektedir. Buradaki bilgiler karşılaştırılarak mailin spoof olup olmadığı öğrenilebilmektedir.

Kendi mail sunucularını kullanan büyük kurumların IP adresleri kendilerine ait olacağından SMTP IP adresinin whois kayıtlarına bakarak SMTP adresinin o kuruma ait olup olmadığı incelenebilir.

Buradaki önemli bir nokta ise gönderici adresi spoof değilse mail güvenli diyemiyor oluşumuzdur. Kurumlar/kişisel eposta adresleri hacklenerek güvenilir kişilerin adına zararlı mailler gönderilebilir. Bu tarz siber saldırılar daha önceden de gerçekleştiğinden, her zaman bu ihtimal göz önünde bulundurulmalıdır.

E-mail Trafiğinin İncelenmesi

E-mail üzerinden gerçekleşecek bir oltalama saldırının analizini yaparken birçok parametreye ihtiyaç duyulmaktadır. Aşağıdaki parametrelere göre mail gateway üzerinde yapılacak arama sonuçlarında saldırının boyutunu ve hedef kitlesini öğrenebiliriz.

  • Gönderici adresi (umut@umuttosun.com)
  • SMTP IP adresi (127.0.0.1)
  • @umuttosun.com (domain bazlı)
  • umut.tosun (gmail hesabının yanında hotmail hesabından da göndermiş olabilir)
  • Konu başlığına göre (gönderici adresi ve SMTP adresi sürekli değişiyor olabilir)

Arama sonuçlarında mail sayılarının yanında alıcı adreslerinin ve zaman bilgilerinin de öğrenilmesi gerekmektedir. Zararlı mailler sürekli aynı kullanıcılara iletiliyorsa daha önceden bu kullanıcıların e-mail adresleri bir şekilde sızmış, pastebin gibi siteler üzerinde paylaşılmış olabilir.

Saldırganlar Kali Linux üzerinde bulunan theHarvester tool’u ile email adreslerini bulabilirler. Kişisel mail adreslerini web siteleri üzerinde bulundurmak saldırganlar için potansiyel atak vektörü olacağından bu tarz bilgilerin açık bir şekilde paylaşılmaması önerilmektedir.

Mailler mesai saatleri dışında gönderiliyorsa saldırgan farklı bir time-zone çizgisinde yaşıyor olabilir. Bu gibi bilgileri bir araya getirerek saldırıyı anlamlandırmaya başlayabiliriz.

Statik Analiz

Düz metinden oluşan maillerin sıkıcı olduğu bir gerçektir. Bu sebeple mail uygulamaları HTML desteği vererek kullanıcıların daha çok dikkatini çekebilecek maillerin oluşturulmasına olanak sağlıyor. Tabii ki bu güzelliğin bir dezavantajı var. Saldırganlar da HTML ile mailler oluşturarak zararlı olan URL adreslerini zararsız gibi görünen butonların/yazıların arkasına saklayabilmektedirler.

Yukarıdaki görselde görüldüğü gibi kullanıcının gördüğü adres ile linke tıklandığında gidilecek adres farklı olabilmektedir (Link’in üzerine gelindiğinde gerçek adres görülmektedir).

Saldırganlar çoğu oltalama saldırısında yeni bir domain adresi alarak, birkaç gün içerisinde oltalama saldırısı yapıp işlerini bitirmektedirler. Bu sebeple mail içerisinde bulunan domain adı yeni alınmış ise bunun bir oltalama saldırısı olma ihtimali artmaktadır.

VirusTotal üzerinde mail içerisindeki web adresleri aratılarak antivirus engine’lerinin web adresini zararlı olarak tespit edip etmediği öğrenilebilir. VirusTotal üzerinde yapılan aramalarda daha önceden başka biri aynı adresi/dosyayı analiz ettirmiş ise VirusTotal sıfırdan analiz yaptırmaz, eski analiz sonucunu size gösterir. Bu özelliği hem avantaj hem dezavantaj olarak kullanabiliriz.

Eğer saldırgan aldığı domain adresini üzerinde zararlı içeriği barındırmadan VirusTotal üzerinde aratırsa o adres VirusTotal üzerinde zararsız olarak gözükecektir, dikkatten kaçarsa bu adresin zararsız olduğu yanılgısına düşebilirsiniz. Yukarıdaki görselde umuttosun.com adresinin zararsız olarak gözüktüğünü görüyorsunuz ama kırmızı ok ile işaretlenmiş kısma bakarsanız aslında bu adresin 9 ay önce aratılmış olduğunu, bu sonucun 9 ay öncesine ait olduğunu görürsünüz. Tekrardan analiz ettirmek için mavi ok ile işaretlenmiş butona basılması gerekmektedir.

Sayfanın daha önceden VirusTotal üzerinde aratılmış olması saldırganın hazırlık aşamasında sitenin tespit edilme oranını görmek istediği anlamına gelebilir. Tekrar analiz ettirdiğimizde antivirus engine’leri oltalama olarak tespit ediyor ise bu saldırganın analistleri kandırmaya yönelik bir hareketi olduğu anlamına gelebilmektedir.

Mail içerisinde bulunan dosyalara statik analiz yapılması o dosyanın kapasitesini/yeteneklerinin öğrenilmesini sağlayabilir. Ancak statik analiz uzun sürdüğünden çoğu zaman dinamik analiz ile ihtiyacınız olan bilgileri daha hızlı bir şekilde alabilirsiniz.

Cisco Talos Intelligence adresinde IP adreslerinin repütasyonlarını öğrenebileceğimiz arama bölümleri bulunmaktadır. Tespit ettiğimiz mailin SMTP adresini Talos üzerinde aratarak IP adresinin repütasyonunu görebilir, blacklist içerisinde yer alıp almadığını öğrenebiliriz. SMTP adresi blacklist içerisinde yer alıyorsa compromised olmuş bir sunucu üzerinden saldırı yapıldığı anlaşılabilmektedir.

Aynı şekilde SMTP adresi VirusTotal ve AbuseIPDB üzerinde aratılarak IP adresinin daha önceden zararlı aktivitelerde bulunup bulunmadığı tespit edilebilir.

Dinamik Analiz

Mail’lerin içerisinde URL ve dosyalar bulabilir. Bu dosyaların ve URL adreslerinin incelenmesi gerekmektedir. Kişisel bilgisayarınızda bu dosyaları çalıştırarak hackerlar tarafından verilerinizin çalınmasını istemezsiniz. Bu sebeple mail içerisinde yer alan web siteleri ve dosyalar sandbox ortamlarında çalıştırılarak sistem üzerinde yaptığı değişiklikler incelenmeli, zararlı olup olmadığı kontrol edilmelidir.

Mailin içerisindeki web adreslerini hızlıca kontrol etmek isterseniz Browserling gibi online web tarayıcılarını kullanarak web sitenin içeriğini görebilirsiniz. Bu gibi servislerin iyi yanı web sayfasına kendi bilgisayarınız üzerinden gitmediğinizden tarayıcıları etkileyen olası bir zero-day zafiyetinden etkilenmeyecek olmanızdır. Browserling gibi web tarayıcılarını kullanmanın dezavantajı ise gidilen sitede zararlı dosya indiriliyor ise bu dosyayı çalıştıramıyorsunuz. Bu sebeple analiziniz yarıda kalıyor.

Mail içerisindeki adreslere gidilmeden önce adres içerisinde önemli bilgilerin olup olmadığı kontrol edilmelidir. Yukarıdaki görseldeki örneği incelediğimizde kullanıcı populeralisverissitesi.com adresine tıkladığında aslında zararliadres.com adresine gidildiği ve email parametresinde kullanıcının mail adresinin gittiği görülmektedir. Kullanıcı phishing sayfasında parolasını girmese bile bu adrese gidildiğinde mail içerisindeki linke erişildiği anlamına gelmektedir ve saldırgan bu kullanıcının geçerli olduğunu anlamaktadır. Daha sonra yapacağı saldırılarda geçerli olan kullanıcılar üzerinden sosyal mühendislik saldırıları yaparak yapacağı saldırının başarı oranını arttırabilmektedir. Bu sebeple adreslere erişilmeden önce mail adresi gibi bilgileri değiştirmek gerekmektedir.

Şüpheli dosyaları, web sitelerini sandbox ortamlarında inceleyebilirsiniz. Dosyaları bu ortamlarda incelediğinizde bilgisayarınıza malware bulaştırma riskini kaldırmış oluyorsunuz. Birçok sandbox servisi/ürünü mevcuttur. Bu ürünlerin/servislerin ücretli ve ücretsiz kullanma seçenekleri mevcuttur. Kendi ihtiyacınıza göre bu servislerden birini/birkaçını seçebilirsiniz.

Yaygın olarak kullanılan birkaç sandbox:

  • VMRay
  • Cuckoo Sandbox 
  • JoeSandbox
  • AnyRun
  • Hybrid Analysis(Falcon Sandbox)

Zararlı yazılımlar tespiti zorlaştırmak amacı ile belirli bir süre hiçbir işlem yapmadan bekleyebilirler. İncelenen dosyanın zararlı olmadığına karar vermeden önce zararlı yazılımın çalışması için beklemelisiniz.

Mail’in içerisinde url ve dosya bulunmuyor olması bunun zararlı olmadığı anlamına gelmez. Saldırgan, analiz ürünlerine yakalanmamak için resim olarakta gönderebilir.

Saldırganların kullandığı bir başka teknik ise normalde legal olan siteleri kullanarak oltalama saldırıları yapmaktır. Bunlardan bazıları aşağıdaki gibidir.

  1. Google, Microsoft gibi Cloud Storage servisi veren servislerin kullanılması
    • Saldırganlar zararlı dosyaları drive üzerine yükleyerek kullanıcıdan zarasız gibi görünen Google/Microsoft drive adreslerine tıklatmaya çalışmaktadır.
  2. Microsoft, WordPress, Blogspot, Wix gibi ücretsiz subdomain oluşturulmasına olanak sağlayan servislerin kullanılması
    • Saldırganlar bu servislerden ücretsiz bir şekilde subdomain oluşturarak güvenlik ürünlerini ve analistleri kandırmaya çalışmaktadırlar. Whois bilgileri subdomain olarak aratılamadığından bu adreslerin whois bilgilerine bakıldığında çok eskiden alınmış olunduğu ve Microsoft, WordPress gibi kurumlara ait olduğu görülmektedir.
  3. Form uygulamaları
    • Ücretsiz form oluşturulmasına olanak sağlayan servisler mevcuttur. Saldırganlar kendileri oltalama sitesi oluşturmak yerine bu servislerden yararlanmaktadırlar. Domain normal şartlar altında zararsız olduğundan antivirüs yazılımlarına takılmadan kullanıcıya geçebilmektedir. Google Form, bu servislere örnektir. Whois bilgilerine bakıldığında domain’in Google’a ait olduğu görüldüğünden saldırgan, analistleri yanılgıya düşürebilmektedir.

Be First to Comment

Leave a Reply

Your email address will not be published. Required fields are marked *