Exchange Online Forwarding Yapılan E-Mail Adreslerinin Tespit Edilmesi

İşletmeler her gün farklı senaryolarla siber olaylara dahil olabiliyorlar. Bunların başında oltalama saldırıları gelmektedir. Kullanıcılar bir şekilde kullanıcı isimlerini ve parolalarını kaptırabiliyorlar. Eğer kullanıcı kritik düzeyde bir kullanıcıysa saldırganlar için büyük bir fırsat oluşturabiliyor. Genellikle karşılaştığımız senaryolar ele geçirilen kullanıcının mail adresinin bir şekilde farklı bir mail adresine yönlendirerek. Kullanıcının tüm yazışmalarını takip edebiliyorlar. Gerektiği durumlarda saldırgan bir şekilde kendini araya sokarak para yatıracak kurumla konuşmaya başlayıp kendi hesap numaralarına paranın yatmasını sağlayabiliyor. Sizde böyle bir senaryo veya buna benzer bir senaryo ile karşılaştığınızda ilk yapmanız gereken şey içeriden bir kullanıcınıza ait mail adresi forwarding yani başka bir mail adresine yönlendirilmiş mi ? yönlendirildiyse neden yönlendirildi ? gibi sorulara cevap aramanız gerekecek.

İki farklı senaryo üzerinden ilerleyeceğiz eğer kullanıcınızın mail adresi direk yönlendirildiyse bunu tespit etmek kolay olacaktır. Lakin Outlook üzerinde bir kural oluşturularak yapıldıysa bunu tespit etmek biraz daha karmaşık bir hal alarak zor bir durum ortaya çıkacaktır. Böyle bir durumu tespit etmek için PowerShell ile Exchange Online bağlanarak gerçekleştireceğiz. Bu durumdan zarar gören kurban kullanıcımız muhtemelen bu durumun farkın bile varmayacaktır. Zaten kurban kullanıcının bu işlemlerin farkında olamaması faydalı olacaktır. Sebebine gelince kurban kullanıcı belki bilinçli bir şekilde bu saldırıya yardımcı oluyordur. Bu ihtimalini unutmamız gerekir. Şimdi isterseniz iki farklı senaryoyu birlikte inceleyelim.

1. Senaryo

İlk senaryomuzda saldırganımız kullanıcının tüm mail trafiğini iletme üzerinden direk bir mail adresine yönlendirilmiş yani forwarding işlemi yapılmış.

2. Senaryo

İkinci senaryomuzda ise Outlook üzerinde bir kural oluşturulmuş ve yine tüm mail trafiği saldırgan kullanıcıya ait mail adresine yönlendirilmiş. Bu senaryomuz zor bir senaryo olduğu için bir vaka incelemesi yapacağımız durumda şüpheli olan kullanıcıların tamamında bu senaryo üzerinden gidebiliriz.

Exchange Online’na PowerShell ile Bağlanma

 $UserCredential = Get-Credential


 $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential


 $UserCredential -Authentication Basic -AllowRedirection


 Import-PSSession $Session -DisableNameChecking


Öncelikle PowerShell uygulamamızı yönetici olarak başlatalım. Hemen ardından yukarıda bulunan komutları kullanarak Exchange Online’a PowerShell ile bağlanalım.

1. Senaryonun Analizi

Organizasyon İçerisinde Yapılan Tüm Forwarding İşlemlerinin Tespiti

 Get-Mailbox | select UserPrincipalName,ForwardingSmtpAddress,DeliverToMailboxAdndForward


Yukarıda ki komut dizinini kullanarak Office 365 organizasyonumuz içerisinde forwarding yapılan bir mail adresi varmı yokmu tespit etmeye çalışalım. Victim isimli bir kullanıcımda direk bir yönlendirme olduğunu gördüm. Yönlendirilen adres bir gmail adresi ve dış bir kullanıcı muhtemelen bu kullanıcı bir şekilde ele geçirilmiş. Bunu derinlemesine araştırmanız gerekecektir. Burada Üçüncü bir göz yani bir güvenlikçiyle analiz etmeniz sizin için faydalı olacaktır. Sebebine gelince saldırgan kişinin neleri ele geçirip neleri ele geçirmediğini bilemeyeceğiniz için firma içerisinde bir PenTest yaptırmanız mantıklı olacaktır.

 Get-Mailbox [email protected] | fl


Yine yukarıda ki komut setini kullanarak kurban kullanıcı hakkında detaylı bilgilerde alabilirsiniz. Yine SMTP forwarding yapıldığını yukarıda ki görselde görmeniz mümkündür.

SMTP Adreslerinin İptal Edilmesi

 Set-Mailbox [email protected] -ForwardingAddress $Null 



 Set-Mailbox [email protected] -ForwardingSmtpAddress $Null


Yukarıda ki komut setlerini kullanarak kurban kullanıcının yönlendirmelerini iptal edebilirsiniz.

2. Senaryonun Analizi

Outlook Üzerinde Oluşturulan Kuralları Görüntülenmesi

 Get-InboxRule -Mailbox [email protected]


Bazen her şey yolunda gitmeyebilir. İlk senaryomuz ne kadar basitti değil mi ? Hemen tespit ettik. İkinci senaryomuz biraz daha karışık ve yorucu olacağını düşünüyorum. Evet ben makalede bir kullanıcı üzerinden ilerliyorum. Bu kullanıcıyı veya kullanıcıları nasıl tespit ettim ? Aslında bunu tespit etmek ve vaka incelemesi için bekli tüm kullanıcıları tek tek analiz yapmanız gerekebilecek. Ya da olaya karışan şüpheli kullanıcıları incelemeniz gerekebilecek. Burada senaryonun size gelişi ve şüpheliler olayı biraz daha kolaylaştıracaktır. Şimdi ise kurban kullanıcımı analiz etmeye devam ediyorum. SMTP forwarding iptal etmiştik daha önceden. Şimdi ise yukarıda ki PowerShell komutunu kullanarak kurban kullanıcımın Outlook üzerinde oluşturduğu kuralları tespit ediyorum. True veya False seçenekleri kuralın aktif veya pasif olduğunu gösterecektir. Yukarıda görüldüğü gibi kural aktif bir şekilde çalışıyor.

Kural İçeriğinin Görüntülenerek Analiz Edilmesi

 Get-InboxRule -Mailbox [email protected] -Identity ForwardingRule | Select -Property *


Yukarıda ki komut setini kullanarak kuralın içeriğini görüntülediğimizde Outlook üzerinde oluşturulan kuralın dış bir mail adresi yani saldırgana ait olan adrese yönlendirildiğini görebiliriz. Burada birden fazla kuralda olabilir bu kuralları tek tek incelemeniz yerinde bir davranış olacaktır.

Oluşturulan Kuralın Silinmesi

Remove-InboxRule -Mailbox [email protected] -Identity "ForwardingRule"


Yukarıda bulunan komut setini kullanarak Outlook üzerinde oluşturulan kuralı silebilirsiniz.

Not: Kurban kullanıcına ait kuralların tamamını kaldırmak için aşağıda ki komutu kullanabilirsiniz.

 Get-InboxRule -Mailbox "[email protected]" | Remove-InboxRule


Bu tarz durumlardan zarar görmemek adına kullanıcılarınızı muhakkak bilinçlendirin. Her önüne gelen maili açmasın her linke tıklamasın. Gerekirse kullanıcılarınıza farkındalık eğitimleri aldırın. Firmanız için Penetrasyon testleri yaptırın. Özellikle ödeme yapılacak kurum ve kuruluşlardan sözlü olarak teyit alın.

Not : PenTest yaptırabileceğiz değerli dostlarımız bulunmaktadır. 😀 Davut Eren

Başka yazılarda görüşmek üzere…

Mehmet PARLAKYIGIT

Office Apps & Services MVP | Arena Bilgisayar A.Ş'de Microsoft Satış Mühendisi olarak çalışmakta.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Paylaşımlar
Tweetle
Paylaş
Pin
Paylaş