Önceki bölümde phishing emailın ne olduğundan, başlık bilgisinin ne olduğundan ve ne yaptığından bahsetmiştik. Şimdi, bir e-postanın phishing olduğundan şüphelendiğimizde, ne yapmamız gerektiğini ve analiz sürecinin nasıl olması gerektiğini bileceğiz.
Phishing analizi sırasında başlıkları kontrol ederken yanıtlamamız gereken temel sorular şunlardır:
- E-posta doğru SMTP sunucusundan mı gönderildi?
- "Kimden" ve "Dönüş Yolu / Yanıt" verileri aynı mı?
Yazının devamında bu e-posta icelendiğinden bizden bu e-postayı indirmemiz isteniyor.
E-posta Doğru SMTP sunucusundan mı gönderildi?
Postanın izlediği yolu görmek için "Alındı" alanını kontrol edebiliriz. Aşağıdaki resimde görüldüğü gibi, posta IP adres sunucusundan "101[.]99.94.116"dır.
Postayı kimin ("gönderen") gönderdiğine bakarsak, Letsdefend.io alan adından geldiğini görürüz.
Yani normal şartlar altında, "letsdefend.io", posta göndermek için "101[.]99.94.116" kullanmalıdır. Bu durumu doğrulamak için "letsdefend.io" tarafından aktif olarak kullanılan MX sunucularını sorgulayabiliriz.
"mxtoolbox.com", aradığınız etki alanı tarafından kullanılan MX sunucularını size göstererek yardımcı olur.
Yukarıdaki resme bakarsak, "letsdefend.io" alan adı, e-posta sunucusu olarak Google adreslerini kullanır. Yani emkei[.]cz veya "101[.]99.94.116" adresleri ile hiçbir ilişkisi yoktur.
Bu kontrolde e-postanın asıl adresten gelmediği, sahte olduğu belirlendi.
"Kimden" ve "Dönüş Yolu / Yanıt" verileri aynı mı?
Olağan durumlar dışında, e-postayı gönderen ile yanıtları alan kişinin aynı olmasını bekleriz. Bu alanların Phishing saldırılarında neden farklı kullanıldığına dair bir örnek:
Yukarıda indirdiğimiz e-postaya dönersek, tek yapmamız gereken "Kimden" ve "Yanıtla" alanlarındaki e-posta adreslerini karşılaştırmak.
Görselde gördüğümüz gibi, veriler farklı. Yani bu e-postaya cevap vermek istediğimizde aşağıdaki gmail adresine cevap göndereceğiz. Bu verilerin farklı olması her zaman kesinlikle bir phishing e-postası olduğu anlamına gelmez, olayı bir bütün olarak ele almamız gerekir. Yani bu şüpheli duruma ek olarak e-posta içeriğinde zararlı bir ek, URL veya yanıltıcı içerik varsa e-postanın phishing olduğunu anlayabiliriz.
Aşağıdaki soruları cevaplandırabilmemiz için bu e-postayı indirmemiz gerekiyor.
Soru 1
Cevap: mrs.dara@daum.net
Bu e-postayı yanıtlayabilmek için ileti -> yanıtla kısmına giriyoruz ve orada e-postanın yanıtlanmak istediğinde kime göderiliceğini görüyoruz.
Soru 2
E-posta hangi IP adresinden gönderildi?
Cevap: 222.227.81.181
Sorunun cevabını bulabilmek için Özellikler kısmına giriyoruz. Sonrasında İnternet üst bilgileri kısmında aşağıda resmini koyduğum kısımda kırmızı ile işaretlediğim kısımda e-postanın hangi IP adresinden geldiğini bulmuş oluyoruz.
Soru 3
Yukarıdaki e-postayı indirin ("Başlık Yarışması"), gönderenin adresi ve "Yanıtla" alanındaki adres farklı mı? (Yes/No)
Cevap: Yes
E-postayı gönderenin adresini ve bu e-postayı yanıtla alanındaki adreslerin aynı olup olmadığını görebilmek için İleti -> Yanıtla kısmına giriyoruz. Ardından gönderen ve alıcı adreslere baktığımızda bu adreslerin farklı olduğunu görüyoruz.
Dinamik Analiz
URL'ler ve dosyalar postada bulunabilir. Bu dosyalar ve URL adreslerinin incelenmesi gerekir. Bu dosyaları kişisel bilgisayarınızda çalıştırarak verilerinizin bilgisayar korsanları tarafından çalınmasını istemezsiniz. Bu nedenle maildeki web siteleri ve dosyalar sandbox ortamlarda çalıştırılmalı ve sistemde yapılan değişiklikler incelenmeli, zararlı olup olmadığı kontrol edilmelidir.
Maildeki web adreslerini hızlıca kontrol etmek isterseniz Browserling gibi çevrimiçi web tarayıcılarını kullanarak web sitesinin içeriğini görebilirsiniz . Bu tür hizmetlerle ilgili iyi olan şey, web sayfasına kendi bilgisayarınızdan gitmediğiniz için tarayıcıları etkileyen olası bir zero day güvenlik açığından etkilenmeyeceksiniz. Browserling gibi web tarayıcıları kullanmanın dezavantajı, siteye kötü amaçlı dosya indirilirse bu dosyayı çalıştıramazsınız. Bu nedenle analiziniz kesintiye uğrayacaktır.
Maildeki adreslere gitmeden önce adreste önemli bilgiler olup olmadığı kontrol edilmelidir. Yukarıdaki görseldeki örneği incelediğimizde, kullanıcı popülershoppingsite[.]com'a tıkladığında aslında kullanıcının adresinin ziyaret edildiği, e-posta parametresinde ise kullanıcının e-posta adresinin olduğu görülmektedir. Kullanıcı phishing sayfasına şifresini girmese bile bu adrese ulaşıldığında maildeki bağlantıya ulaşıldığı ve saldırganın bu kullanıcının geçerli olduğunu anladığı anlamına gelir. Daha sonra gerçekleştireceği saldırılarda geçerli olan kullanıcılar üzerinde sosyal mühendislik saldırıları yaparak gerçekleştireceği saldırının başarı oranını artırabilir. Bu nedenle adreslere ulaşmadan önce e-posta adresi gibi bilgilerin değiştirilmesi gerekmektedir.
Sandbox ortamlarında şüpheli dosyaları ve web sitelerini inceleyebilirsiniz. Bu ortamlardaki dosyaları incelediğinizde, bilgisayarınıza kötü amaçlı yazılım bulaştırma riskini ortadan kaldırmış olursunuz. Birçok sandbox hizmeti / ürünü mevcuttur. Bu ürün/hizmetler ücretli ve ücretsiz olarak kullanılabilir. Bu hizmetlerden birini/birkaçını ihtiyaçlarınıza göre seçebilirsiniz.
Yaygın olarak kullanılan birkaç sanal alan:
- VMRay
- Cuckoo Sandbox
- JoeSandbox
- AnyRun
- Hybrid Analysis(Falcon Sandbox)
%20-%20Copy.png)
.png)
0 Yorumlar