Güvenli e-posta ağ geçitleri (SEG), kuruluşları kötü amaçlı yazılımlardan, spam’den ve kimlik avı e-postalarından korumak için çok şey yapar. Ancak bazı tehdit aktörleri için, kötü amaçlı e-postaları diğer SEG’lerden gizlice geçirmek için çekici bir seçenek de sunarlar.
Cofense’den güvenlik araştırmacıları bu hafta gözlemlediklerini bildirdiler son zamanlarda saldırılarda yaşanan artış, tehdit aktörlerinin potansiyel kurbanlara gönderdikleri e-postalara gömülü kötü amaçlı URL’leri kodlamak veya yeniden yazmak için SEG’leri kullandığı yer. Çoğu durumda, e-postalar hedeflerine ulaştığında, SEG’ler kötü amaçlı URL’lerin bağlantıyı düzgün bir şekilde incelemeden geçmesine izin verdi.
SEG ve SEG Tehdidi
Cofense’de tehdit istihbaratı yöneticisi olan Max Gannon, bunun sebebinin bazı güvenli e-posta ağ geçidi ürünlerinin SEG kodlu URL’leri düzgün bir şekilde işlememesi ve bunların her zaman güvenli olduğunu varsayması olduğunu söylüyor. Oysa gerçekte öyle değiller.
“SEG’lerin iç yapısına erişimimiz yok, bu yüzden kesin bir şey söyleyemem,” diyor Gannon. “Ancak muhtemelen URL’lere dolaylı olarak güveniyorlar ya da onları taramaya çalışıyorlar, ancak URL’yi kodlayan SEG’nin etki alanı güvenilir, bu yüzden [receiving] SEG, URL’nin kendisinin meşru olduğunu varsayar.”
SEG kodlamasında, güvenli bir e-posta ağ geçidi ürünü, giden bir e-postadaki her URL’yi esasen kendi altyapısını işaret eden bir bağlantıya yeniden yazar. Bir alıcı kodlanmış bağlantıya tıkladığında, kullanıcı önce gönderenin SEG sistemine yönlendirilir ve bu sistem, kullanıcıyı amaçlanan hedefe yönlendirmeden önce URL’nin güvenli olup olmadığını kontrol eder. Kontroller genellikle URL’yi itibar, kara listeler, imzalar ve diğer mekanizmalar kullanarak değerlendirmeyi içerir, bu da bazen bir SEG’in günlerce hatta haftalarca sürmesi gerekebilir Bir URL’yi kötü amaçlı olarak tanımlamadan önce.
Bu durumlarda, sorunlar ortaya çıkabilir Alıcının güvenli e-posta ağ geçidi teknolojisi, önceden kodlanmış bir URL’yi taranması gereken bir URL olarak tanımıyorsa veya alıcının SEG’si URL’yi tarıyor ancak yalnızca gönderen e-posta ağ geçidinin etki alanını görüyorsa ve nihai hedefi görmüyorsa.
Cofense bu haftaki raporunda “SEG’ler e-postalarda zaten SEG kodlu URL’ler tespit ettiğinde genellikle URL’leri taramazlar veya tarama yalnızca güvenlik aracının tarama sayfasını gösterir ve gerçek hedefi göstermez,” diye yazdı. “Sonuç olarak, bir e-postada zaten SEG kodlu URL’ler varsa, alıcının SEG’si genellikle gömülü URL’leri düzgün bir şekilde kontrol etmeden e-postanın geçmesine izin verir.”
Önemli Bir Artış
Saldırganlar, hedef ortamlara kötü amaçlı e-postalar sokmak için daha önce SEG kodlamasını kötüye kullanmıştı. Ancak bu yılın ikinci çeyreğinde, özellikle Mayıs ayında, bu taktiğin kullanımında önemli bir artış oldu. Cofense dedi.
Güvenlik sağlayıcısına göre tehdit aktörlerinin URL’leri kodlamak ve e-posta savunma mekanizmalarını aşmak için en çok suistimal ettiği dört e-posta güvenlik ağ geçidi VIPRE E-posta Güvenliği, Bitdefender LinkScan, Hornet Security Gelişmiş Tehdit Koruması URL Yeniden Yazma ve Barracuda E-posta Ağ Geçidi Savunma Bağlantı Koruması’dır.
Cofense, araştırmacılarının saldırganların bu SEG’leri, çeşitli satıcılardan gelen SEG’ler tarafından korunan kullanıcıları hedef alan çeşitli temalı kampanyalarda kötü amaçlı URL’leri kodlamak için kullandığını gözlemlediğini söyledi.
Gannon, bazı SEG kodlamalarının tehdit aktörünün URL’lerini SEG’den geçirmesini gerektireceğini söylüyor. “Barracuda Link Protect gibi diğer kodlamalar, atlatmaya çalıştığınız kötü amaçlı URL’ye URL’lerini eklemenize izin verir,” diyor. “Örneğin, Barracuda Link Protect’i kullanarak SEG’leri hxxp URL’siyle atlatmak için[:]//Kötü yer[.]com/, Barracuda Link Protect URL’sini ekler ve şunu yapardım: hxxps://linkprotect[.]cudasvc[.]com/url?a=hxxp[:]//Kötü yer[.]com/.”
Gannon, tehdit aktörlerinin bu taktiği çok daha geniş bir ölçekte kullanmamasının bir nedeninin, bunun ek iş gerektirmesi olduğunu söylüyor. “En büyük etken çabadır,” diyor. Bir tehdit aktörü bir kampanyadaki tüm URL’leri kodlamak ve 500 gelen kutusuna daha ulaşmak için bir saat harcayabiliyorsa, aynı saati harcayıp kampanyayı göndermek için 1.000 e-posta adresi daha bulabilir.”
Gannon, taktiğe karşı koruma sağlamanın nispeten zor olabileceğini, çünkü çoğu SEG’nin diğer SEG kodlamalarını görmezden gelmek için ayarlama yöntemleri olmadığını söylüyor. Bu nedenle, taktikle mücadele etmenin en iyi yolu kullanıcı farkındalığı ve eğitimi olmaya devam ediyor. “Uyanık ve bilgili bir çalışan, URL bir SEG tarafından kodlanmış olsa bile, şüpheli bir e-postadaki bir bağlantıya tıklamayacaktır.”
