Análisis forense de correo electrónico y entornos M365

Marzo 18, 2022 - 17:42

Análisis forense de correo electrónico y entornos M365

Tiempo de lectura estimado: 14 minutos

Esta conferencia magistral pertenece al Módulo 10 “Análisis forense. Malware y técnicas de ocultación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es mostrar algunas de las técnicas y herramientas para analizar tráfico y el correo electrónico en M365.

Fundamentos de correo electrónico

SMTP

Siglas de Simple Mail Transfer Protocol, Protocolo de Transferencia Simple de Correo. Permite el envío de correos electrónicos a través de Internet y tiene su origen en sus primeros días (RFC 821, RFC 2821, RFC 5321). Se dedica al envío de un mensaje de correo de un servidor origen a un servidor destino, pudiendo pasar por servidores intermedios.

El cliente de correo se comunica con el servidor SMTP (puerto 25/587, 465 para SMTPS) que le proporciona el servicio para emitir el correo. De forma predeterminada no proporciona autenticación ni cifrado. Pueden utilizarse extensiones del protocolo para lo primero y TLS para lo segundo.

POP3

Siglas de Post Office Protocol o Protocolo de Oficina de Correo. Es utilizado por un cliente de correo electrónico para descargar y almacenar de manera local los correos recibidos.

Se diferencia de IMAP en que no deja una copia del correo recibido en el servidor, únicamente existiendo una copia local una vez descargado el mensaje, a diferencia de IMAP que conserva el mensaje en el servidor.

El cliente de correo se comunica con el servidor POP3 (puerto 110, 995 para POP3S) para descargar los mensajes. Tampoco proporciona cifrado, pudiendo utilizarse TLS por encima (POP3S). Sí que proporciona actualmente métodos de autenticación.

IMAP

Siglas de Internet Message Access Protocol o Protocolo de Acceso a Mensajes de Internet. Al igual que POP3 se encarga de recibir mensajes de correo electrónico, pero deja la copia en el lado servidor, visualizando los mensajes de forma remota. El cliente de correo se comunica con el servidor IMAP (puerto 143, 993 para IMAPS) para descargar los mensajes. Tampoco ofrece cifrado de forma predeterminada, pudiendo utilizar TLS por encima (IMAPS). Igual que POP3, proporciona métodos de autenticación.

Cabeceras de correo electrónico

Actualmente el phishing es uno de los principales vectores de ataque. el objetivo principal suele ser obtener datos, contraseñas e información para su posterior explotación. Tiene muchas variantes (smishingm vishing…), vamos a centrarnos en el phishing realizado en las cabeceras de correos electrónicos.

Un correo electrónico se compone de las cabeceras y el cuerpo. Las cabeceras indican datos necesarios para su envio: de quién viene, qué servidor lo envió, por dónde ha pasado, cuál es su destino… Los servidores de correo intermedios pueden modificar o añadir cabeceras. Podemos ver las cabeceras en:

Outlook -> Abrir correo electrónico y hacer click en Archivo > Propiedades.
Thunderbird -> Abrir correo electrónico, click en botón Más, seleccionar Ver Fuente.
Visualizador de cabeceras -> https://mha.azurewebsites.net

BEC (Business Email Compromise)

Es un incidente de seguridad en el cual una cuenta de correo corporativa es comprometida y queda bajo el control de los atacantes. La cuenta suele ser comprometida a través de la obtención de los credenciales del usuario, ya sea a través de phishing o bien ataques de fuerza bruta o password spraying.

Los atacantes pueden ocultar su dirección IP a través de servidores intermedios, proxies o servicios VPN. Las consecuencias son variadas: compromiso y robo de información personal, envío de emails fraudulentos a contactos corporativos o potencialmente un fraude financiero.

¿Qué es un Microsoft 365?

Microsoft 365 es el nombre del servicio de Microsoft para empresas que incluye aplicaciones de ofimática y colaboración. Dependiendo de la suscripción, incluye el paquete de ofimática Office, servicios de colaboración mediante Sharepoint y Microsoft Teams y, especialmente en el caso que nos ocupa, servicios de correo electrónico mediante Exchange Online.

Suele estar integrado con Azure Active Directory como directorio central de autenticación. Dada su prevalencia en el mercado, un gran número de incidentes de tipo BEC ocurren en este tipo de entornos.Para ayudarnos en una investigación podemos utilziar los siguientes elementos:

Unified Audit Logs
Azure Sign-In Logs
Azure Audit Logs
Mailbox Audit Logs
Message Traces
Microsoft eDiscovery

Unified Audit Logs

Los registros unificados de auditoría recogen todas (o casi todas) las acciones realizadas en el entorno Microsoft 365 por parte de los usuarios. Incluye, entre otros, los servicios Sharepoint, Exchange Online, Azure Active Directory, Microsoft Teams y un largo etcétera.

Suele servir como un punto centralizado que contendrá la mayor parte de la información necesaria para la investigación. Suele tener una rotación de 7 o 30 días dependiendo de la suscripción y los eventos pueden tener un retardo antes de aparecer. Pueden consultarse en el centro de cumplimiento de Microsoft 365 en la sección Auditar. También pueden consultarse a través de Powershell con el módulo de ExchangeOnline:

Search-UnifiedAuditLog -StarDate -EndDate -Users - Operations [..]

Azure Sign-In Logs

Estos logs, que pueden encontrarse dentro del centro de control de Azure Active Directory, recogen los inicios de sesión de los usuarios. En la plataforma, se dividen principalmente en Interactive (el usuario inicia sesión explícitamente), Non-Interactive (un cliente inicia sesión en nombre del usuario), y Service Principal (Apps y servicios).

Indican la IP origen y geolocalización del inicio de sesión, el error si es que hubo alguno, etc. Tienen una rotación de 30 días y pueden consultarse en el portal de Azure en la sección Azure Active Directory -> Registros de inicio de sesión, pudiendo exportarse en CSV.

Azure Audit Logs

Los registros de auditoría en Azure nos indican operaciones administrativas sobre la subscripción y sobre las cuentas de Azure Active Directory. Pueden ayudarnos a identificar reset de contraseñas, creación de cuentas, asignación de grupos, etc.

Incluyen la operación, IP origen y geolocalización de la misma, y además quién realizó la operación sobre qué cuenta. Tienen una rotación de 30 días. Pueden consultarse en el portal de Azure en la sección Azure Active Directory -> Registros de auditoría, pudiendo exportarse en CSV.

Mailbox Audit Logs

Los registros de auditoría de Exchange Online recogen todas (o casi todas) las acciones realizadas por una cuenta de correo, incluyendo la redacción y envío de correos electrónicos, movimiento entre carpetas, etc. Tienen la gran ventaja de tener una rotación estándar de 90 días, aportando en muchas ocasiones evidencia que ya ha rotado en los UAL. Pueden consultarse a través de Powershell con el módulo de ExchangeOnline, pudiendo además exportar el resultado a CSV:

Search-MailboxAuditLog -Identity ‹direcciones de correo> -StartDate ‹fecha inicio> -EndDate ‹fecha final> -ResultSize <límite de resultados> [l Export-CSV ‹fichero salida>]

Message Traces

El seguimiento de mensajes nos permite visualizar y exportar una lista de mensajes enviados o recibidos por una dirección de correo electrónico. Se puede filtrar por emisor y receptor, estado dirección IP de entrega, ID de mensaje, dirección IP origen... Permite remontarse hasta 90 días desde el momento de la búsqueda, pudiendo también aportar visibilidad en ventanas temporales en las que los UAL ya han rotado.

Pueden consultarse a través del portal de seguridad y cumplimiento de Office 365 en el apartado Flujo de correo -> Seguimiento de mensajes. Permite la emisión de informes de resumen, informes de resumen mejorados e informes ampliados. Los segundos son los que aportan mejor información. Si establecemos un intervalo de más de 10 días, los informes de resumen no pueden seleccionarse, ni tampoco previsualizar el resultado; únicamente exportarse como CSV.

Microsoft eDiscovery

Las subscripciones de Microsoft 365 incluyen de forma predeterminada una plataforma de eDiscovery o búsqueda de evidencia. La herramienta permite realizar búsquedas sobre diversos elementos del entorno Microsoft 365, tales como contactos, sitios de Sharepoint o correos electrónicos. Pueden especificarse campos de búsqueda en base a elementos del correo y buzones específicos.

Permite exportar los resultados a un fichero PST que puede ser posteriormente leído por herramientas forenses (X-Ways, PST Walker...) o bien como una colección de ficheros EML. Pueden consultarse en el centro de cumplimiento de Microsoft 365 en la sección eDiscovery -> Núcleo (Core). Permite crear un caso, en el cual podremos realizar búsquedas y exportar los resultados. Necesitaremos tener explícitamente permisos de eDiscovery Manager, así como eDiscoverv Supervisor si queremos previsualizar resultados en la plataforma.

En la masterclass en vídeo se muestran ejemplos de la utilización de las herramientas.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.