Pleins feux sur les menaces : comment les attaquants utilisent les règles de boîte de réception pour échapper à la détection après la compromission

3 octobre 2023 par
Pleins feux sur les menaces : comment les attaquants utilisent les règles de boîte de réception pour échapper à la détection après la compromission
Fabrice ADZRAKOU

Les règles de boîte de réception automatisée sont une fonctionnalité utile et familière de la plupart des clients de messagerie. Ils aident les gens à gérer leurs boîtes de réception et le flot quotidien de communications souhaitées et indésirables en leur permettant de déplacer des courriels vers des dossiers spécifiques, de les transférer à des collègues pendant leur absence ou simplement de les supprimer.

Si des attaquants ont compromis votre compte, ils peuvent utiliser les règles de la boîte de réception pour se cacher à la vue de tous pendant qu’ils déplacent discrètement des informations hors du réseau via votre boîte de réception, s’assurent que vous ne voyez pas d’avertissements de sécurité, classent les messages sélectionnés dans des dossiers obscurs afin que vous ne les trouviez pas facilement, ou suppriment les messages du cadre supérieur qu’ils prétendent être dans une tentative de soutirer de l’argent.

En bref, il s’agit d’une tactique d’attaque absolument brillante qui fournit de la furtivité et est facile à mettre en œuvre sur un compte compromis.

La détection des courriels a progressé au fil des ans et l’utilisation de l’apprentissage automatique a facilité la détection de la création de règles suspectes, mais comme le montrent les chiffres de détection de Barracuda, les attaquants continuent de mettre en œuvre cette technique avec succès. Parce que la technique nécessite un compte compromis, les chiffres globaux peuvent être relativement faibles. Cependant, il constitue toujours une menace sérieuse pour l’intégrité des données et des actifs d’une organisation, notamment parce que la création de règles est une technique post-compromission. Cela signifie que les attaquants sont déjà sur votre réseau. Une action immédiate est nécessaire pour les faire sortir.

Nous croyons qu’il est important de comprendre le risque et la façon d’y répondre. Cet article de blog explore comment les attaquants utilisent des règles de messagerie automatisées pour les activités malveillantes, les mesures défensives qui ne fonctionnent pas et celles qui fonctionnent.

Le courrier électronique est un vecteur d’attaque primaire


Les attaques par courriel ont un taux de réussite élevé et constituent un point d’entrée commun pour de nombreuses autres cyberattaques. Barracuda Research a révélé que 75% des entreprises interrogées dans le monde avaient au moins une violation de la sécurité des courriels en 2022.

Ces attaques vont du phishing de base et des liens ou pièces jointes malveillants aux techniques sophistiquées d’ingénierie sociale telles que la compromission des courriels professionnels (BEC), le détournement de conversation et la prise de contrôle de compte. Certains des types les plus avancés sont associés à des règles de messagerie malveillantes.

Comment les attaquants créent des règles de messagerie automatisées — et pourquoi


Afin de créer des règles de messagerie malveillantes, les attaquants doivent avoir compromis un compte cible, par exemple, par un courriel de phishing réussi ou en utilisant des informations d’identification volées saisies lors d’une violation antérieure. Une fois que l’attaquant contrôle le compte de messagerie de la victime – un type d’attaque connu sous le nom de prise de contrôle de compte – il peut définir une ou plusieurs règles de messagerie automatisées, un processus simple qui permet aux attaquants de maintenir un accès furtif et persistant à la boîte aux lettres – quelque chose qu’ils peuvent utiliser à des fins malveillantes.


Utilisation de règles de messagerie pour voler des informations ou de l’argent et retarder la détection


Les attaquants pourraient définir une règle pour transférer à une adresse externe tous les e-mails contenant des mots clés sensibles et potentiellement lucratifs tels que « paiement », « facture » ou « confidentiel ».

Les attaquants peuvent également utiliser des règles de messagerie pour masquer des courriels entrants spécifiques en déplaçant ces messages vers des dossiers rarement utilisés, en marquant les courriels comme lus ou en les supprimant simplement. Ils pourraient le faire, par exemple, pour cacher les alertes de sécurité, les communications de commandement et de contrôle, les réponses aux courriels internes de spear-phishing envoyés à partir du compte compromis, ou pour cacher leurs traces au propriétaire du compte qui utilise probablement le compte en même temps, ignorant les intrus.

En outre, les attaquants peuvent créer des règles de transfert de courriels pour surveiller les activités d’une victime et collecter des renseignements sur la victime ou l’organisation de la victime afin de les utiliser dans le cadre d’autres exploits ou opérations.

Utilisation de règles de messagerie pour les attaques BEC (Business Courriel Compromise)
Les attaques BEC visent à convaincre les autres qu’un courriel provient d’un utilisateur légitime, afin de frauder l’entreprise et ses employés, clients ou partenaires.

Les attaquants pourraient définir une règle qui supprime tous les courriels entrants d’un certain collègue, tel que le directeur financier (CFO). Cela permet aux attaquants de se faire passer pour le directeur financier, en envoyant de faux courriels à leurs collègues pour les convaincre de transférer les fonds de l’entreprise sur un compte bancaire contrôlé par les attaquants.

En novembre 2020, le FBI a publié une notification sur la façon dont les cybercriminels exploitaient le manque de synchronisation et de visibilité de la sécurité entre les clients de messagerie Web et de bureau pour définir des règles de transfert de courriels afin d’augmenter la probabilité d’une attaque BEC réussie.

Utilisation de règles de messagerie dans les attaques ciblées d’États-nations


Les règles de messagerie malveillantes sont également utilisées dans les attaques ciblées. Le Cadre MITRE ATT&CK® des tactiques et techniques adverses classe le transfert de courriels malveillants comme T1114.003 et nomme trois groupes de menaces persistantes avancées (APT) qui utilisent cette technique. Il s’agit de Kimsuky, un acteur de cyber espionnage de la menace de l’État-nation ; LAPSUS$, qui est connu pour ses attaques d’extorsion et de perturbation ; et Silent Librarian, un autre groupe d’États-nations associé au vol de propriété intellectuelle et à la recherche.

MITRE classe les règles de masquage des courriels (T1564.008) comme une technique utilisée pour l’évasion de la défense. Un APT connu pour utiliser cette technique est FIN4, un acteur de menace à motivation financière qui crée des règles dans les comptes des victimes pour supprimer automatiquement les e-mails contenant des mots tels que « piraté », « hameçonnage » et « malware », probablement pour empêcher l’équipe informatique de la victime d’alerter les employés et d’autres personnes de leurs activités.

Des défenses qui ne fonctionnent pas (seules)


Si la règle malveillante n’est pas détectée, elle reste opérationnelle même si le mot de passe de la victime est modifié, si elle active l’authentification multi facteur, impose d’autres politiques d’accès conditionnel strictes ou si son ordinateur est complètement reconstruit. Tant que la règle reste en place, elle reste efficace.

En outre, même si les règles de messagerie suspectes peuvent être une bonne indication d’une attaque, le simple fait de les regarder isolément peut ne pas fournir un signal suffisamment fort qu’un compte a été compromis. Les défenses doivent utiliser plusieurs signaux pour réduire le bruit et alerter l’équipe de sécurité de ce qui est susceptible d’être une attaque par courriel réussie. La nature dynamique et évolutive des cyberattaques, y compris l’utilisation de tactiques sophistiquées par les attaquants, nécessite une approche multidimensionnelle de la détection et de la défense.

Défenses efficaces


Étant donné que la création de règles de boîte de réception est une technique post-compromission, la protection la plus efficace est la prévention, c’est-à-dire l’arrêt des attaquants de compromettre le compte en premier lieu. Mais vous avez également besoin de mesures efficaces de détection et de réponse aux incidents pour identifier les comptes piratés et atténuer l’impact.

Cela inclut une visibilité complète de chaque action effectuée dans la boîte de réception de chaque employé, des règles créées, de ce qui a été modifié ou consulté, de l’historique de connexion de l’utilisateur, de l’heure, de l’emplacement et du contexte des courriels envoyés, etc. La protection basée sur l’IA de Barracuda utilise ces données pour créer un profil de compte intelligent pour chaque utilisateur - et toute anomalie, aussi subtile soit-elle, est immédiatement signalée à l’attention. En outre, la protection contre l’usurpation d’identité de Barracuda utilise plusieurs signaux tels que les données de connexion, les données de courriel et les modèles statistiques, ainsi que des règles pour identifier une attaque de prise de contrôle de compte.

Enfin, des mesures de détection et de réponse étendues (XDR), y compris XDR Cloud Security de Barracuda et une surveillance 24 heures sur 7, <> jours sur <> par un centre d’opérations de sécurité (SOC), peuvent aider à garantir que même les activités profondément cachées et obscurcies sont repérées et neutralisées.


SOURCE: Blog partenaire BARRACUDA 


Lire aussi :

Your Dynamic Snippet will be displayed here... This message is displayed because you did not provided both a filter and a template to use.


Archiver