Phishing Email Analysis

الـ Attackers في عملية الـ Phishing Attack يستغلون بها الأحداث الموسمية أو السنوية عبر إرسال رابط ملغم عن طريق الإيميل للضحية مثل أن يظللوا الضحية بأن "لديك هدية بمناسبة يوم ميلادك" أو "لديك باقة ورد في يوم الحب" ، فالغرض منها ليس فقط سرقة معلومات الضحية مثل ( إسم المستخدم ،كلمة المرور ) الهدف من هذا كله إستغلال المستخدم الغير واعي بأساسيات الحماية ، فمثلاً الـ Attackers يستخدمون هذه الهجمات كخطوة أولى لإختراق الأنظمة.

هنا قد يستغل الـ Attackers بأن يتم إرسال إيميل نيابةً عن شخص آخر بإستخدام تقنية تسمى بالـ Spoofing بحيث يعتقد المستخدم بأن البريد الذي وصله موثوق به ، هناك تقنيات تمنع الـ Email Spoofing مثل إن يتم إستخدام برتوكولات معينة مثل :

1. Sender Policy Framework (SPF)

   هذا البروتوكول مصمم لتقييد من يمكنه استخدام الـ Domain الخاص بالشركة كمصدر لرسالة إيميل بمعنى يتمثل كأسلوب مصادقة بحيث يكون فيه حد مسموح بإرسال إيميل في حد نطاق الـ Domain الخاص بالشركة.

2. DomainKeys Identified Mail (DKIM)

هذا البرتوكول يتمثل بأن يكون فيه توقيع أو Signature من المالك الـ Domain نفسه كنوع من المصادقة حتى يتم إرسالها وترخيصها.

حالياً أغلب تطبيقات الخاصة بالـ Emails توفر هذه الخدمة تلقائياً بحيث تنقل الـ Emails العشوائية في خانة البريد الغير هام.

لمعرفة ما إذا كان الرسالة التي وصلتنا حقيقية أو عبارة عن عملية إنتحال/ Spoofing لجهة ما ، بالبداية لابد من معرفة الـ SMTP Address أو الـ (Simple Mail Transfer Protocol) للبريد أولاً. هذا البرتوكول الـ SMTP هو المستخدم في الخوادم الخاصة بالـ Emails عبر الإنترنت بالإضافة لمعرفة سجلات أو الـ Records الخاصة بالـ SPF, DKIM, DMARC, MX

1. SPF Record

   يحدد سجلّ نظام التعرّف على هوية المرسل خوادم البريد والـ Domain المسموح لها بإرسال الرسائل نيابةً عن الـ Domain الخاص بك ، بمعنى يكون فيه plain text تحتوي على قائمة أو List مكونة من tags و values تُسمى بالـ mechanisms. الـ valuesتحتوي عادةً على الـ IP addresses والـ domain names.

   حتى يتم إعتماد قائمة المُرسلين المعتمدين لإرسال بريد إلكتروني من الـ Domain الخاص بك.

2. MX Record

   يُسمى بالـ mail exchange record وهو عبارة عن DNS record يوجه رسائل الإيميل إلى خوادم أو Servers محددة. الـ MX Record تشير بشكل أساسي إلى الـ IP addresses الخاصة بالـ mail server's domain بمعنى إنه يتم تحديد المسار الذي يجب على رسالة الـبريد أن تسلكه للوصول إلى وجهتها المحددة

3. DMARC Record

   هو عبارة عن TXT record ( هو نوع من السجلات الـDomain Name System (DNS) بتنسيق نصي أو "text format" والذي يحتوي على المعلومات الـdomain الخاص بك للعالم الخارجي. الـ DMARC Record يحتوي على تعليمات حول كيفية تعامل الـ email server مع بريد إلكتروني فشل في المصادقة ، بإستخدام DMARC Record ، يمكنك التحكم في ما إذا كان يجب على مستلمي البريد الإلكتروني رفض بريد إلكتروني مشبوه أو عزله.

4. DKIM Record

   يعتبر برتوكول يسمح للشركة بتحمل المسؤولية عن إرسال رسالة عن طريق توقيعها أو الـ Signing الخاص بهم.

من الممكن أن نستخدم آداءة مثل الـ Mxtoolbox من خلال مقارنة المعلومات هنا ، يمكن معرفة ما إذا كان البريد منتحل أم لا.

كنقطة بداية لتحليل الـ Phishing Attack يمكننا معرفة حجم الهجوم وأي أشخاص مستهدفين من خلال نتائج البحث للمعايير التالية :

1. عنوان المُرسل أو الـ Sender Address مثل : info@example.com

2. عنوان الـ SMTP IP مثل : 127.0.0.1

3. الـ Domain الأساسي مثل : example.com

4. العنوان أو الـ Subject

الـ Attackers من الممكن أن يستخدمون آداءة الـ Harvester للبحث على عناوين البريد الآلكتروني.

في هذا القسم بالـ Email يحتوي على معلومات مثل :

1. المرسل أو الـ "Sender"

2. المستلم أو الـ "Recipient"

3. التاريخ أو الـ "Date"

   
   

   بالإضافة إلى بالإضافة إلى ذلك ، يحتوي على حقول مثل :

4. مسار الإرجاع أو الـ "Return-Path" يحدد هذا العنوان مكان إرسال رسائل البريد الإلكتروني ، الرد على أو الـ "Reply-"To و تم الإستلام أو الـ "Received" هذا عبارة عن نوع من سجل عناوين الـ IP لكل مكان تم استلام الرسالة فيه في طريقها إلى وجهتها النهائية. هذا العنوان مفيد بشكل خاص في حالة وجود أي أخطاء لأنه يمكنك التحقق من النقطة التي تم فيها تغيير بريدك الإلكتروني ومن أين أتى.

5. نتائج المصادقة أو الـ "Authentication-Results" هذا هو المكان الذي يتم فيه تسجيل نتائج مصادقة الـ SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), DMARC (Domain-based Message Authentication, Reporting & Conformance) إذا كان كل شيء تم التحقق منه ونجح، فسيستلم كل واحد رسالة نتيجة "Pass".

6. معرف الرسالة أو الـ "Message-ID" عادةً يُشير هذا إلى الـ unique ID الذي تم إنشاؤه عند إنشاء البريد الإلكتروني لأول مرة.

7. "MIME-Version" الإختصار يرمُز إلى الـ Multipurpose Internet Mail

   Extensions وهو يعتبر معيار إنترنت يوسع تعريف تنسيق رسائل البريد الإلكتروني، المحدد مسبقا بواسطة بروتوكول SMTP، ليتضمن ملفات الميديا المختلفة مثل : الفيدوهات والصور وإلخ..

8. نوع المحتوى أو الـ "Content-type" هنا يتم تنسيق محتوى البريد الإلكتروني عادةً يكون بالتنسيق التالي إما HTML أو بالـ Plain text .

9. الأولوية أو الـ "Precedence" يُعتبر optional header كأن يمنع إرسال الرسائل إلى البريد العشوائي أو الـ spam ، ويزيد من فرصة وضع البريد الوارد ويساعد في الحفاظ على إمكانية التسليم عالية.

نفتح الـ Email الخاص بالمستلم أو المُرسل ونستعرض الـ Header ، ثم ننقر على خيار الـ More

ثم خيار الـ Show Original ستظهر الـ Authentication Results لـ Full Message Header

الـ Attackers هنا ينشؤون رسائل بإستخدام الـ HTML وإخفاء الـ URL addresses الضارة خلف الأزرار التي تبدو غير ضارة

في الصورة آعلاه ، حين تم آشارة الـ muse على الرابط كان مختلفاً عن الموجود بمعنى العنوان الحقيقي ظهر عن تحريك الـ muse ، من الممكن معرفة إذا كان الرابط ضاراً أم لا من خلال الـ VirusTotal

في البريد تكون في الغالب مجموعة من الرسائل التي تحتوي على ملفات عديدة وروابط ، فـ لابد أن يكون جهازك في وضع الحماية وفحص التغييرات التي تم تكون على النظام ، ولابد من التحقق إذا كانت ضارة أم لا.

فيه بعض الآدوات التي تقدم خدمة فحص محتوى الرابط أو الملفات الموجودة في البريد من غير أن يُصاب الجهاز بأي منها مثل :

• VMRay

• Cuckoo Sandbox

• JoeSandbox

• AnyRun

• Hybrid Analysis(Falcon Sandbox)

لو إفترضنا تم إرسال رسالة على البريد الإلكتروني وتعتبر كـ Phishing Email ، فما سيجب علينا أن نفعله وكيف تكون عملية التحليل أو الـ Analysis Process

ستكون لدينا اسئلة نحتاج إلى الإجابة عليها عند التحقق من العناوين أثناء تحليل الـ Phishing Email مثل :

• هل تم إرسال البريد الإلكتروني عبر الـ SMTP server ؟

• هل البيانات "From" و "Return-Path / Reply-To" هي نفسها ؟

الآن لدينا ملف سيتم فحصه المرفق بالرابط الموجود في Course الخاص بالـ Phishing Email

https://app.letsdefend.io/training/lesson_detail/email-header-analysis

والآن بعد ماتم فتح الرسالة نٌجيب على السؤاليين السابقين

• هل تم إرسال البريد الإلكتروني عبر الـ SMTP server ؟

نتحقق من خانة الـ "Received" سنجد فيه الـ IP Address وهو "101.99.94.116"

سنتحقق الأن من خانة المرسل أو الـ "Sender" وهو إسمه "Jack" ففيه الـ Domain الخاص به

حتى يتم إستغلال هذا الـ Domain وهو "letsdefend.io" لابد من إستخدام نفس الـ IP Address المستخدم بالأعلى ، وحتى يتم الإستعلام عنه نستخدم الـ MX servers لتحقق من الـ Domain سنتخدم الموقع التالي للإستعلام عنه :

https://mxtoolbox.com/

بالصورة آعلاه فأن الـ Domain الخاص بالـ "letsdefend.io" والمذكور في الرسالة فأنه يستخدم Google addresses كخادم بريد إلكتروني أو الـ Email Server. بمعنى آخر بأنه لاتوجد علاقة بين "emkei.cz" أو "101.99.94.116".

فمن هنا نستنتج بأن من خلال هذا الفحص ، تم تحديد أن هذا البريد الإلكتروني لم يصل من العنوان الأصلي ، بل تم إنتحاله/Spoofing.

• هل البيانات "From" و "Return-Path / Reply-To" هي نفسها ؟

سنعمل مقارنة بين عناوين البريد الإلكتروني من خلال التركيز على من أرسل والرد على من ، فسنجد التالي :

كما ظاهر في الصورة العنوانيين مختلفيين أي أن الـ Domain مختلفة ، فهنا يٌشير إلى وجود الـ Phishing Email.

في هذا التحدي وصل لنا بريد إلكتروني ، ومطلوب تحليله لنتأكد من وجودPhishing Email من عدمه

هنا صورة للبريد الذي سنحلله ..

من ضمن الأسئلة التي طرحها التحدي كانت كالآتي:

• هل عنوان المُرسل الـ "Sender" يختلف عن الـ "Reply-To" (نعم/لا)؟

من الصورة آعلاه يتضح إن هناك إختلاف مابينهما.

المُرسل أو الـ "Sender" كان بريده : "mrs.dara@jcom.home.ne.jp" ، والـ "Reply-To" كان عنوانه "mrs.dara@daum.net"

• في حالة إذا أردت عمل "Reply-to" على نفس البريد الإلكتروني ، فما هو الـ Email الذي سيتم الإرسال إليه؟

  بالعودة إلى البريد الإلكتروني لخانة الـ "Reply-To" سنجد العنوان التالي "mrs.dara@daum.net"

• من أي IP Address تم إرسال البريد الإلكتروني السابق ؟

  بالعودة لمحتوى البريد نبحث عن خانة المستلم أو الـ "Received" نجد الـ IP Adress من ضمن الرسالة.

• بالرجوع لموقع " Letsdefend" فيه بعض الـ Practice فيما يخص الـ Phishing Email

https://app.letsdefend.io/monitoring?channel=investigation

• نبدأ بالترتيب بناءاً على رقم الـ EventID فسنبدأ بالـ EventID 45 نستعرض محتوى الـ Event بالبداية

• بالنظر إلى المعطيات ، نجد مُعطى مهم يخص الـ SMTP Address وهو برتوكول يُستخدم لإرسال البريد الإلكتروني من حساب لحساب آخر..

• في البحث بخانة الـ Log Management عن الـ SMTP Address نجد أن الإيميل وصل للمستلم كما هو ظاهر بالصورة :

• بحثنا في نفس الخانة عن الـ Source IP وجدنا التالي :

• بالبحث في الـ VirusTotal عن الـ URL الموجود في الصورة السابقة وجدنا التالي :

• وجدنا أن الموقع يحتوي على برمجيات ضارة ..

• بالرجوع للأيميل المُرسل كان من قسم المحاسبة ، ففي البحث عن محتوى الرسالة في خانة الـ Email Security وجدنا أن المحتوى كان عن فاتورة وبه ملف مُرفق وهي الفاتورة

• بما أن محتوى الرسالة يتضمن مُرفق عن فاتورة تخص المستلم ، قمنا بتحميلها ثم قمنا بعمل تحليل للملف عن طريق الـ VirusTotal ووجدنا التالي :

• بالبداية الملف ضار وهو عبارة عن مستند Excel ، ايضاً تم ذكر إنه تم إستغلال الثغرة الآمنية ’’CVE-2017-11882” التفاصيل المذكورة عن الثغرة في الرابط تم ذكرها بالتفصيل بالإضافة إلى الـ behavior للمخترق بكامل التفاصيل موجودة بالرابط الأسفل

  
  

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2017-11882

• بالعودة إلى الإيميل الخاص بالمستلم وهو ’’richard’’ ففي البحث في خانة الـ EndPoint Security نجد العمليات التي قام بعملها :

• هنا نستعرض الـ Processes التي تمت بجهازه، فـ بالنظر إلى الأحداث التي تمت وجدنا التالي :

• من هنا تمت الأحداث عن طريق المستخدم “richard” فيما بعد تم ترقية الصلاحيات ، وتمت عملية الإختراق كالتالي :

• من خلال الـ VirusTotal وجدنا التالي :

• هنا تم إستخدام برمجيات ضارة بالإضافة إلى عملية رفع الصلاحيات التي تمت.

• من ضمن عملية التحليل في VirusTotal وجدنا الـ hash التالي :

• قمنا بتحليله في الـ VirusTotal ، كان عبارة عن PowerShell script كتكنيك لتنفيذ برمجيات على ملف من نوعه zip لتحميله في جهاز الضحية

• بعد ذلك قمنا بالعودة للموقع لخانة الـ Monitoring لإنشاء الـ Case

• هنا اسئلة تم ذكرها عن الـ Case التي انشاءناها

1. متى تم إرسال الإيميل ؟

   
   

   Jan, 31, 2021, 03:48 PM

   
   

2. ما هو عنوان الـ SMTP الخاص بالبريد ؟

   
   

   49.234.43.39

   
   

3. ما هو عنوان المرسل التي تم إرسال الإيميل له ؟

   
   

   accounting@cmail.carleton.ca

   
   

4. ما هو عنوان المستلم الذي إستلم الإيميل ؟

   
   

   richard@letsdefend.io

   
   

5. هل محتوى البريد كان مُريب؟

   
   

   نعم

   
   

6. هل يوجد أي مرفق كان بالرسالة ؟

   
   

   نعم

• بعد ماتم تحليل الإيميل ، كان أول سؤال تم طرحه عن وجود أي مرفقات كانت بالإيميل ، فإخترنا الجواب نعم

• بعد ذلك تم طرح اسئلة عن نوع المرفق الذي كان بالرسالة هل كان ضاراً أم لا ، وبناءاً على التحليل السابق كان ضاراً

• بعد ذلك تم طرح سؤالاً عن هل تم وصول الإيميل إلى المستخدم بالفعل؟ فبناءاً هل التحليل تم وصوله للمستخدم “Richard”

• بعد ذلك تم إرشادنا لحذف الإيميل الذي وصل إلى “richard” أو العميل

• بما إنه تم ذكر إن الإيميل لابد أن يُحذف ، نذهب لخانة الـ Email Security ونبحث عن الإيميل الذي تم الإرسال له “richard@letsdefend.io”

• بعد ماتم حذفه ، ذهبنا للسؤال التالي :

• بناءاً على ماتم ذكره في السؤال ، نتحقق من خانة الـ “Log Management” من خلال البحث عن الـ SMTP Address وجدنا إنه تم فتحه

• بعد ذلك تم طلب مننا إن نعمل إحتواء أو “Containment” للجهاز كما فعلناه سابقاً من خلال خانة الـ EndPoint Security والبحث عن “richard” نعمل click على الخانة الظاهرة أمامنا

• بعد ذلك إنتقلنا إلى عمل الـ EDR كما طُلب منا ، فمن خلاله سُنشئ التالي :

• في محتوى الرسالة كما ذكرنا سابقاً كان يحتوي على مُرفق ، حينما حللناه كان ملف إمتداد Excel ، فظهر لنا قيمة الـ Hash ، هذه القيمة سنضيفها في عمل الـ EDR ، وهنا تذكير بقيمة الـ Hash مبدئياً

• فسيكون شكلها بالـ EDR كالتالي :

• من خلال المعطيات عدنا لخانة الـ EndPoint Security وبحثنا ايضاً عن “richard” حتى نضيف الـ Artifact التي وجدناها

• من خلال التحليل الذي تم في الـ VirusTotal وجدنا ملف إسمه Test.exe وقمنا بتحليله وكان عبارة عن برمجيات خبيثة تسمح بعمل Remote Access على النظام

• قمنا بإضافة الـ hash بداخل الـ EDR السابقة

• بعد ذلك اضفنا الـ IP Address الذي تم إختراقه

• بالبحث في خانة الـ Log Management عن الـ IP Address السابق ، وجدنا الرابط التالي :

• بالبحث من خلال الـ VirusTotal عن الموقع ، وجدنا إنه يحتوي على برامج ضارة

• قمنا بإضافته في الـ EDR كـ URL Address لأن من خلاله تم إرساله كـ Payload لإختراق جهاز الضحية

• قمنا بعد ذلك بإضافة الـ Email Sender الذي قام بإرسال الإيميل للضحية وآضفنا الـ Artifact في جدول الـ EDR

• بعد ذلك اضفنا الـ Domain الذي تم إرسال إيميل منه

• بعد ذلك ، اضفنا الـ IP Address الذي ارسل الإيميل منه وهو كان الـ SMTP Address كما ذُكر سابقاً

• بعد ما تم إضافة جميع الـ Artifacts المهمة في هذا الـ Case وانتهينا منه ، يظهر في التالي أن نضع الـ Analyst Note كإختصار ماحدث بأن البريد الإلكتروني المُرسل كان يحتوي على فاتورة مُزيّفة ، كانت عبارة عن maildoc لثغرة برقم “CVE-2017-11882” كما تم ذكره سابقاً

• بعد ذلك تظهر نافذة الإنتهاء من الـ Playbook التي اجريناها

• بعد ذلك تظهر نافذ لإغلاق الـ Case التي تم العمل عليها

• بعد ذلك تظهر النافذة التالية :

• سنختار الـ True Positive وهي تعني أن الملف الذي تم تنزيله هو ملف لبرنامج ضار ، وتم عمل Detected على إنه ضار ، وتم إغلاق الـ Alert.

• في البداية يُعتبر هذا الـ Event داخلي ، مصدره من “john” تم إرسال إيميل عبر الـ SMTP Address الـ IP Address التالي “172.16.20.3” تم إرساله إلى “susie” بالوقت والتاريخ المذكور في الصورة “Feb, 07, 2021, 04:24 AM”

• في البحث في خانة الـ Email Security عن عنوان المصدر الذي تم إرسال الإيميل منه ، نجد محتوى الرسالة كالتالي :

• محتوى الرسالة لايحتوي على أي مرفقات ، بالتالي كان محتوى الرسالة عن إجتماع مابين الموظفين في حالة كانوا متواجدون.

• في خانة الـ Log Management بحثنا عن الإيميل الذي تم إرساله من “john” ما إذا تم وصوله إلى “susie” وكما ظاهر في الصورة تم إرساله بالفعل ووصل إلى “susie”

• بعد ذلك بإستخدام المعطيات المذكورة بالصورة السابقة نبحث عن “Dest.Address” في خانة الـ EndPoint Security وهي “172.16.20.3”

• بالنظر إلى الـ Processes التي تمت كان لايوجد من بينها أي suspicious وكل الـ Processes التي تمت كانت من داخل المنظمة بما إنه يُعتبر Server حامل الـ Domain التالي “LetsDefend”

• الآن نبدأ بإنشاء الـCase والإجابة على الأسئلة بخصوص الـ Events الذي تم

1. متى تم إرسال الإيميل؟

   
   

   Feb, 07, 2021, 04:24 AM

   
   

2. ما هو SMTP Address الخاص بالبريد الإلكتروني؟

   
   

   172.16.20.3

   
   

3. ما هو عنوان المرسل ؟

   
   

   john@letsdefend.io

   
   

4. ما هو عنوان المستلم؟

   
   

   susie@letsdefend.io

   
   

5. هل محتوى البريد مُريب؟

   
   

   لا

   
   

6. هل يوجد أي مرفق؟

   
   

   لا

• بعد ذلك ، تم السؤال عن وجود أي مُرفقات بالإيميل ، فكان الجواب لا

• بعد ذلك تم السؤال عن وجود أي Malicious فكان الجواب لا

• بعد ذلك انشأنا الـ Artifacts التي كانت موجودة في الـ Case

• ثم بعد ذلك اضفنا الـ Analyst Note كالتالي :

• ثم بعد ذلك اغلقنا الـ Alert بالشكل التالي :

• الـ False Positive يقصد به إن الـ Alert الذي حدث لايحتوي على برامج ضارة ، لكن تم عمل Detected له على إنه ضار ..

• في البداية الـ Event الذي حدث كان عبارة عن إيميل تم إرساله من “aaronluo” على الـ SMTP Address التالي “189.162.189.159” إلى “mark” ،عنوان الإيميل كان عن حجز جرعة “COVID19” وتاريخ هذا الـ Event مع الوقت كان يوافق Mar, 21, 2021, 12:26 PM

• نبحث بالبداية عن إذا تم وصول الرسالة إلى المستلم أو لا من خلال خانة الـ Log Management من خلال البحث عن الـ SMTP Address يظهر لنا إن تم إرسالها بالفعل

• بالنظر إلى الـ Source Address والـ Destination Address في خانة الـ Log Management نبدأ نحللها عن طريق الـ VirusTotal

• بالبداية نحلل الـ Destination Address ومن التحليل لايظهر أي حركة مشبوهه

• بعد ذلك حللنا الـ Source Address من خلال الـ VirusTotal ووجدنا إن به حركة مشبوهه

• بالبحث عن مصدر Domain المُرسل “aaronluo” كان مربوط بدولة كندا “cmail.carleton.ca”، وإنه الـ IP تم تحويله إلى المكسيك

• يظهر لنا من خلال الـ Log Management الـ Dest.Address الذي ذهبت الرسالة له ، فمن خلال البحث عن “172.16.20.3” في خانة الـ EndPoint Security مايحتويه ظهر لنا التالي :

• من بعد التحليل فيما حدث ، لايوجد أي شيء مشبهوه ، والواضح إنه Server داخل المنظمة

• بعد ذلك نبحث عن محتوى الرسالة في خانة الـ Email Security من خلال البحث عن الـ SMTP Address يظهر لنا المحتوى التالي :

• بالنظر إلى محتوى الرسالة ، كان يطلب المرسل “aaronluo” من الذي إستلم الرسالة وهو “mark” بأن يُحمّل المُرفق الذي كان بالرسالة !

• بعد ماتم تحميل المُرفق ، وجدنا التالي :

• وجدنا المجلد بداخله مستند بإمتداد الـ PDF ، الملف كان به تشويش ومُريب ، فقمنا بتحليله في الـVirusTotal وظهر معانا كالتالي :

• في البداية كنظرة أولية للتحليل ، الملف يحتوي على برامج ضارة من بينها إنه استخدم technique أو آلية مايُسمى بالـ Phishing: Spearphishing Link وهي إنه استخدم بمحتوى الملف بأنه وضع URL كمحاولة للوصول لجهاز الضحية.. خطوات مافعله المُرسل بالتفاصيل مذكورة في الرابط التالي :

• الأن ننُشئ الـ Case لكن ناخذ بعين الإعتبار أن الـ Action الذي تم كان إعطاء المُرسل حظر “Blocked”

• بعد ذلك نجيب على الأسئلة التالية :

1. متى تم إرسال الإيميل؟

   
   

   Mar, 21, 2021, 12:26 PM

   
   

2. ما هو الـ SMTP Address الخاص بالبريد الإلكتروني؟

   
   

   189.162.189.159

   
   

3. ما هو عنوان المُرسل؟

   
   

   aaronluo@cmail.carleton.ca

   
   

4. ما هو عنوان المُستلم؟

   
   

   mark@letsdefend.io

   
   

5. هل محتوى البريد مُريب؟

   
   

   نعم

   
   

6. هل يوجد أي مرفق؟

   
   

   نعم

• بعد ذلك تم السؤال عن وجود أي مُرفقات في الإيميل فكان الجواب نعم

• بعد ذلك تم السؤال عن وجود أي Malicious كانت موجودة في المُرفقات فكان الجواب نعم

• بعد ذلك تم السؤال عن الإيميل إذا وصل للمستلم أم لا ، فكان الجواب إن الإيميل وصل له

• بعد ذلك تم الطلب من إن الإيميل يُحذف ، فقمت بحذفه ^^

• بعد ذلك كان السؤال ما إذا كان تم فتح الملف الضار من خلال البحث في خانة الـ Log Managemen وبناءاً على ماتم شرحه بالأعلى ، فكان الجواب بأن المُستلم قد فتح الملف الضار

• بعد ذلك طُلب منّا عمل الـ EDR وعمل إحتواء أو “Containment” للجهاز الذي تضرر

• ففي البداية سُنضيف الـ Hash الذي ظهر في الـ VirusTotal عندما تم تحليل ملف الـ PDF

• بعد ذلك اضفنا الإيميل المُرسل وايضاً الـ Domain والـ IP Address الخاص به

• بعد ذلك تم إضافة الملاحظة بخصوص التحليل كمختصر بأن البريد الإلكتروني كان عبارة عن “Spoofed” وبأنه على مستوى الـ Firewall تم حظر الجهاز..

• في الآخر تم إغلاق الـ Alert بالشكل التالي :

• بعد ذلك، إخترنا الـ True Positive وهي تعني أن الملف الذي تم تنزيله هو ملف لبرنامج ضار ، وتم عمل Detected على إنه ضار ، وتم إغلاق الـ Alert.

• بالبداية هذا الـ Event حدث بتاريخ Mar, 22, 2021 في الساعة 09:23 PM ، الحدث عبارة عن رسالة كان يوجد بها رابط تم إكتشافه وحالة الجهاز تم السماح له ، فالتحليل بناءاً على الـ Source Address الذي تم المرسل من خلاله والـ Source Hostname الذي استخدمه ، ايضاً تم وصولها إلى المستلم ويحمل آسم المستخدم “ellie” ..

• نبحث في البداية عن الـ Source Address الذي استخدمه المُرسل من خلال خانة الـ Log Management ، فبالنظر إلى الـ Logs التي حدثت نبحث عن التاريخ الذي تم فيه الـ Event فسنجد التالي :

• تم تحليل الرابط عن طريق الـ VirusTotal ولاحظنا وجود Phishing تم من خلاله

• بعد ذلك من خلال الـ Source Address ايضاً بحثنا في خانة الـ EndPoint Security ووجدنا فيه كالتالي :

• بالمعلومات الظاهرة في الصورة كان آخر تسجيل دخول فيه بتاريخ Dec, 05, 2020, وفي الساعة 04:12 PM وبالـ User المستخدم كان بإسم “Emily” والـ Host Name كان يحمل إسم “EmilyComp”

• الأن يتم ذكر كل ماتم تسجيله في جهاز “Emily” من خلال الـ Processes التي حدثت

• هنا يتضح لدينا في العمليات التي تمت بأنه تم النقر على الـ URL كما ظهر في تحليل الـ VirusTotal

• بالنظر للتحليل الذي تم فأنه تم الضغط على الـ URL وتم تشغيله في جهاز الضحية ، ومن خلال الـ behavior الذي حدث تم ذكره بالتفصيل في الرابط

• ايضاً من خلال الـ Terminal History الذي تم بجهاز “Emily” حدث كالتالي :

• هنا يتضح محاولة تشغيل الـ Script

• ايضاً من خلال البحث في الـ Browser History يتضح إن الروابط جميعها كانت ملّغمة ماعدا الرابط الأول وذلك بتحليلها عن طريق الـ VirusTotal

• مثال على تحليلنا على آخر رابط في الـ VirusTotal وجدنا كالتالي :

• بعد ماتم ذكر المعلومات المهمة ، نبدأ الأن بإنشاء الـ Case كالتالي :

• هنا طلب أن نجمع المعلومات المذكورة في الصورة التالية :

• بعد ذلك طلب أن نبحث في خانة الـ Log Management عن تفاصيل الحدث كما تم شرحه بالأعلى بالبحث عن الـ Source Address

• بعد ذلك تم السؤال عن هل يوجد في الـ URL بداخله Malicious أم لا فكان الجواب نعم كان به Malicious

• بعد ذلك تم السؤال عن إذا تم الوصول إلى الـ URL او تم أحد بضغطه ، فكان الجواب نعم وتم طرح الأسئلة التالية :

1. متى تم الوصول إلى الـ URL ؟

   
   

   Mar, 22, 2021, 09:23 PM

   
   

2. ما هو عنوان الـ Source Address ؟

   
   

   172.16.17.49

   
   

3. ما هو الـ Destination Address ؟

   
   

   91.189.114.8

   
   

4. أي مستخدم حاول الوصول للرابط ؟

   
   

   Emily

   
   

5. ما هو الـ User Agent ؟

   
   

   Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36

   
   

6. هل الطلب محجوب أو تم عمل Block عليه ؟

   
   

   لا

   
   

• بعد ذلك نعمل الـ EDR لكن قبلها لابد من عمل إحتواء أو “Containment” لجهاز “Emily” من خلال خانة الـ EndPoint Security ، وهذه جميع الـ Artifacts التي تم إستخراجها من الـ Case

• بعد ذلك آضفنا الملاحظة التالية ، وهي أن الموقع أو الرابط كان تصيد إحتيالي وتم إصدار تنبيه له

• الأن نغلق الـ Alert كالتالي :

• كما قلنا سابقاً أن الـ True Positive وهي تعني أن الرابط تم إكتشافه إنه ضار ، وتم عمل Detected له على إنه ضار ، وتم إغلاق الـ Alert.

هذا الـ Event ليس من ضمن الـ Course لكن كان من ضمن الـ Practice التي تكون واقعية

• في البداية الـ Event حدث في تاريخ Jun, 13, 2021 وفي الساعة 02:13 مساءاً ، الـ Alert الصادر كان عن تصيد إحتيالي حقيقي وقع الـ Source Address كان trenton@tritowncomputers.com على الـ Domain التالي tritowncomputers.com وكان المستلم صاحب الـ Destination Address هو lars@letsdefend.io عنوان الإيميل كان “RE: Meeting Notes” ومن العنوان يتّضح إنه تم إعادة توجيه للمستلم ، تم إرساله على الـ SMTP Address وهو كالتالي “24.213.228.54”

• في البداية بحثنا في خانة الـ Log Management عن السجلات التي تمت في خصوص الـ Event لكن لم يظهر أي سجل عن الحادثة ..

• بعد ذلك بحثنا عن المستلم والذي كان إيميله التالي “lars@letsdefend.io“ في خانة الـ EndPoint Security بحثنا فقط عن “lars” ووجدنا التالي :

• الأن نبحث فيما تم على جهاز “lars” بالتفصيل ، فبناءً على الـ Processes أو العمليات التي تمت

• بالنظر إلى العمليات التي تمت ، قمنا بتحليلها في الـ VirusTotal ولم نجد بها أي شيء مشبوهه

بخصوص الـ Network Action كانت في أيام تخص الشهر الذي قبل الحادثة ، لكن مايُهمنا الذي تم في وقت الحادثة وهي كالتالي :

• بالنظر إلى الـ Terminal History وجدنا بأن هناك من قام بالإستعلام عن عدة أمور من بينها معرفة أي صلاحية عليه الجهاز

• بالبحث أيضاً ماتم في الـ Browser History وجدنا أن كل ماتم قبل الحادثة ولا يوجد أي بحث تم خلال وقت الحادثة

• بعد ذلك بحثنا في خانة الـ Log Management بالـ IP Address الخاص في “Lars” للتأكد من أن الإيميل تم فتحه أو لا ، ووجدنا بأن تم توجيه الـ IP Address لعنوانين مختلفين

الأول كان الـ Destination Address : 192.232.219.67 كان مرتبط بالـ URL التالي :

• قمنا بتحليل الـ URL من خلال الـ VirusTotal ووجدنا بأنه عبارة عن “Compromised Website” موقع مُخترق ..

• بعد ذلك بحثنا عن مصدر الموقع السابق ، فظهر لنا إنه مسجل مع الـ IP Address المذكور في خانة الـ Log Management :

والـ Destination Address : 188.213.19.81 الآخر كان مرتبط بالـ URL التالي :

• قمنا بتحليل الـ URL من خلال الـ VirusTotal ووجدنا بأنه عبارة عن “Compromised Website” موقع مُخترق ايضاً ..

• بعد ذلك بحثنا عن محتوى الرسالة في خانة الـ Email Security من خلال عنوان المُرسل ، فوجدنا كالتالي :

• محتوى الرسالة يتضمن بأن يتم فحص مستند يخص المستلم وهو مُرفق بالرسالة

• بعد تحميل المُرفق وجدنا الملفات التالية

• نبدأ الآن بتحليل ملف الـذي قمنا بتحميله عن طريق الـ VirusTotal

• كما ظاهر في الصورة الملف المُرفق كان يحتوي على برمجيات ضارة ، من بينها تشغيل ملفات تضمن البقاء على جهاز الضحية ، تفاصيل السلوك الذي تم بكامل التفاصيل موجودة في الرابط

• من ضمن الملفات المُرفقة يوجد ملف الـ Excel فقمنا بتحليله عن طريق الـ VirusTotal

• يتضح لنا أن المهاجم قام بعمل عدة برمجيات ضارة من بينها كان أن الضحية قام بفتح الملف والمهاجم وضع تقنيات مثل إنه وضع Script داخل مستند الـ Excel وتتنفذ عند النقر عليها ، كامل تفاصيل السلوك الذي قام به المهاجم موجود في الرابط

من ضمن الـ Relations التي وجدنا في التحليل كان عن الرابطين الذين كانا مسجلان في خانة الـ Log Management :

• ايضاً بخصوص الملفات المتبقية قمنا بتحليلها عن طريق الـ VirusTotal ووجدنا التالي :

• من الواضح لدينا هنا أن المهاجم كان يحاول تشغيل الـ Malicious Code عن طريق الـ Powershell ليتمكن من الوصول إليه بشكل Remotely ، كامل التفاصيل مذكورة بالرابطين

• بعد ذلك سنقوم بإنشاء الـ Case ونجيب عالآتي :

1. متى تم إرسال الإيميل ؟

   
   

   Jun, 13, 2021, 02:13 PM

   
   

2. ما هو الـ SMTP Address الخاص بالبريد الإلكتروني ؟

   
   

   24.213.228.54

   
   

3. ما هو عنوان المُرسل ؟

   
   

   trenton@tritowncomputers.com

   
   

4. ما هو عنوان المُستلم ؟

   
   

   lars@letsdefend.io

   
   

5. هل محتوى البريد مُريب ؟

   
   

   نعم

   
   

6. هل يوجد أي مُرفق ؟

   
   

   نعم

   
   

• بعد ذلك تم السؤال عن وجود مُرفقات أو روابط فكان الجواب نعم

• بعد ذلك تم السؤال عن إذا تم تحليل الروابط والمرفقات ووجود أي Malicious فكان الجواب نعم

• بعد ذلك تم السؤال عن الإيميل إذا وصل أم لا ، فكان الجواب نعم وتم فتحه

• بعد ذلك تم الطلب مننّا إتخاذ إجراء بأن يتم حذف الإيميل فتم حذفه من خانة الـ Email Security

• بعد ذلك طُلب مننا إن نتحقق من أن إذا تم فتح الإيميل من خلال خانة الـ Log Management كما ذكرنا سابقاً فكان الجواب نعم تم فتحه

• بعد ذلك عملنا الـ EDR كما طُلب مننا وأيضاً نعمل إحتواء أو “Containment” لجهاز الخاص بـ “lars”

• هنا قمنا بجمع الـ Artifacts جميعها التي حدثت في هذا الـ Event في الـ EDR

• بعد ذلك تم إضافة الملاحظة وهي شرح مبسط لما حدث أن الإيميل الذي وصل كان إيميل للتصيد الإحتيالي وأن المُرفقات كانت تحتوي على برمجيات ضارة تم تشغيلها على جهاز “Lars” واياضً تم تعطيل الحسابات على الـ Active Directory وفرض تغيير الـ Passwords

• بعد ذلك تم إغلاق الـ Alert بالشكل التالي :

• الـ True Positive هي تعني أن الإيميل الذي تم إرساله للتصيد الاحتيالي مع وجود مُرفقات وهي برامج الضارة وأيضاً تم إكتشافه إنه ضار ، وتم عمل Detected له على إنه ضار ، وتم إغلاق الـ Alert.

• بالبداية التحدي يتمحور حول إن هناك تسريب لعنوان البريد الإلكتروني الخاص بالمستهدف وتلقى هذا المستهدف بريد إلكتروني من Paypal باللغة الإلمانية ، والمطلوب منّا في هذا التحدي تحليل البريد الإلكتروني المشبوه ، فسنقوم بتحميل الملف الموجود في التحدي وعمل تحليله له وأيضاً الإجابة على الأسئلة المطروحة في التحدي.

• بالبداية نقوم بتحليل الرسالة الذي وصلت للضحية كالتالي :

• يتضح من أن الإيميل كان يحتوي بالفعل على التصيد الإحتيالي ، فمن خلال ترجمة محتوى الرسالة يتضح انه لم يحدد العميل من هو وكان يطلب بأن يعمل على تأكيد أن الرسالة التي وصلت منذ تاريخ 09.08.2022 رغم أن المُرسل لم يحدد المبلغ المطلوب

• بالذهاب إلى خانة ملف ثم خصائص ، تظهر المعلومات التالية ، قمنا بنسخها وحفظها في Note لتسهل قراءتها

• بناءاً على الأسئلة نجيب عليها ومن خلالها نبدأ بتحليل محتوى الرسالة

• بناءاً على السؤال السابق والذي يتضمن بأن يتم إرجاع الرسائل غير المستلمة إلى المرسل الأساسي بمعنى إن هذا العنوان غير مرئي للذين ارسل لهم المُرسل رسالة ، فسنجد الجواب هنا :

• السؤال التالي يتضمن حول اسم الـ Domain الذي كان بالـ URL بالبريد الذي تم إرساله :

• بناءاً على السؤال السابق نبحث في الـ URL الذي كان في الرسالة هنا

• نبدأ بتحليل الـ URL عن طريق الـ VirsuTotal ونستنتج بأن الموقع ضار

• الـ Domain الذي يتضمن في الـ URL ايضاً يُعتبر Phishing Website، فسيكون الجواب على السؤال السابق هو الذي ظاهر في الصورة التالية :

• فيما يخص السؤال التالي وهو فيما يخص الـ Domain السابق إذا كان Suspicious أم لا فكان الجواب أن التحليل السابق يُثبت إنه Suspicious

• السؤال الذي يليه يطلب منّا أن نستخرج الـ Body SHA-256 لـ Domain

• من خلال التحليل في الـ VirusTotal نستخرجه ، وهو عبارة عن آلية تُشفّر به محتوى الرسالة بطول ثابت “256” تُستخدم به تقنية التالية

  DKIM (DomainKeys Identified Mail)

  وهي التي تسمح للمُستلم بالتحقق من مصدر البريد الإلكتروني وإنه لم يتم التلاعب به

• آخر سؤال يتحدث عن ما إذا كان الإيميل المُرسل عبارة عن Phishing Email أم لا فكان الجواب ببساطة نعم

المصادر :