Jump to content

Email-Fraud Nachlese und Vorsorge, Exchange absichern


Recommended Posts

Hallo, 

 

verstehe ich die Sachlage bei diesem Email Fraud (Aussenhandel/Übersee involviert)   richtig  oder gibt es noch ganz andere Maßnahmen um Ursache zu finden oder zukünftige Vorfälle zu vermeiden?

(es ist exchange 2013 Cu23 on premise ohne POP3 Provider-Abholung vorhanden)

 

Es gibt eigentlich kein Hinweis, das der Exchangeserver kompromittiert wurde

 

Details:
Der Mitleser hat zum richtigen Zeitpunkt eine gefälschte PDF Rechnung an den Exchange-Eigentümer übermittelt hat)

Es soll die Sicherheit verbessert werden bzw. ist die Sicherheitslücke derzeit unklar.

Ich bin die Exchange-Postfächer im ECP durchgegangen und habe rechts unter "Active Sync Details" keine fremden EAS-Geräten gefunden.

OWA war für die betroffenen Postfächer bereits deaktiviert, beim ganzen Exchange sind nur ca. 2-3 OWAs freigeschaltet, jedoch mit einigen Postfacherechtigungen.

Im IIS OWA Log (siehe unten) sind "BOTs, Loginversuche und echte Logins" nicht so leicht zu unterscheiden. 

 

Optimierungsideen: 

a) Port 443 (mittels Firewall Geolocation nur für bestimmte Länder eingehend erlauben)

b) 3rd Party MDM/MFA/VPN  für mobile Geräte "ausrollen"

c) Spamfilter optimieren, so dass z.B. SPF/rDNS  geprüft wird und Warnungen im Betreff/Mailbody stehen...

d) verhindern, das Outlook Anywhere "von jedem externen Gerät so einfach möglich ist"

e) Firewall-Traffic Log Speicherung erweitern

 

+++++++++

Weitere Infos:

Die Smartphones verwenden kein VPN. Es ist keine 3rd Party MDM Lösung vorhanden, es sind ca. 15 iPhones.

Die Exchange 2013 Activesync Geräte-Quarantäne Funktion ist nicht aktiviert.

Der Fraud wurde mittels unterschiedlichem  FROM: und Reply-to Headerfeld  "fingiert"

Die "Clean-Check-Einträge" im Emailheader  von "ESET Exchange Spamfilter und vom SMTP-Proxy" sind im Fraud-Mail-Header sichtbar (in dem u.g. Auszug jedoch nicht)

Es ist kein POP3/IMAP im Einsatz.

 

Fazit: 

- Wenn "Reply-to" abweichend von "FROM" ist: kann man das nicht so einfach mittels Spamfilter oder Outlook sichtbar machen

- ein offener Port 443 ist immer eine Gefahr, bzw. den Exchange 2013 CU23 direkt im Internet stehen zu haben ist zu gefährlich, wenn kein MFA/VPN/DMZ/Proxy verwendet wird

...

 

+++++++

 

Received: from xxxxx.xxxxxx.net (209.191.xxx.xxx) by

Exchange.domäne.local (192.168.xxx.xxx) with Microsoft SMTP Server id 15.0.1497.2

via Frontend Transport; Tue, 27 Oct 2020 11:43:08 +0100

Received: from [::1] (port=48772 helo=xxxxx)

            by xxxxx.xxxxxx.net with esmtpa (Exim 4.93)

            (envelope-from <ansprechpartner1@firma2.com>)

            id xxxxxxx-Qm; Tue, 27 Oct 2020 10:43:07 +0000

From: Vorname <ansprechpartner2@firma2.com>

To: empfänger1 <empfänger1@empfänger1.de>, empfänger2

            <empfänger2@empfänger1.de>

CC: ansprechpartner2 <ansprechpartner2.firma2@mail.com>, finance

            <finance.firma2@mail.com>, ansprechpartner3

            <finance.firma2@mail.com>, "empfänger1@empfänger1.de" <empfänger1@empfänger1.de>

Subject: RE: Invoice

Thread-Topic: Invoice

Thread-Index: xxxxxxxxxx==

Date: Tue, 27 Oct 2020 10:43:07 +0000

Message-ID: <xxxxxxxxx@firma2.com>

References: <xxxxxx.xxxxxx.i.mail.ru>

In-Reply-To: <xxxx.xxxxxxxx.i.mail.ru>

Reply-To: "ansprechpartner2.firma2@mail.com" <ansprechpartner2.firma2@mail.com>

Content-Language: de-DE

X-MS-Has-Attach: yes

X-MS-TNEF-Correlator:

Content-Type: multipart/mixed;

            boundary="_xxxxxxxxxxpk_"

MIME-Version: 1.0

 

+++++++++++++++

http://it-blog.bru.ch/2016/06/owa-und-eas-log-analyse.html

OWA und EAS Log Analyse

 

cs-uri-stemcs(User-Agent)     

/owa/Mozilla/5.0+(compatible+YandexBot/3.0++http://yandex.com/bots)   

/owa/auth/logon.aspxMozilla/5.0+(compatible+YandexBot/3.0++http://yandex.com/bots)   

/owa/libwww-perl/6.45     

/owa/auth/logon.aspxlibwww-perl/6.45     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+6.00+rv:24.0)+Gecko/20100101+Firefox/24.0   

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/Mozilla/5.0+(compatible+CensysInspect/1.1++https://about.censys.io/)   

/owa/auth/logon.aspxMozilla/5.0+(compatible+CensysInspect/1.1++https://about.censys.io/)   

/owa/auth/logon.aspxMozilla/5.0,,,,,,,,,,     

/owa/auth/logon.aspx"Mozilla/5.0,,,,,,,,,,     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.00+rv:47.0)+Gecko/20100101+Firefox/47.0   

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.00+rv:47.0)+Gecko/20100101+Firefox/47.0   

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/auth/error_ui.aspxMozilla/5.0     

/owa/auth/current/scripts/premium/error_ui.aspxMozilla/5.0     

/owa/auth/current/scripts/error_ui.aspxMozilla/5.0     

/owa/auth/current/themes/resources/error_ui.aspxMozilla/5.0     

/owa/auth/current/themes/error_ui.aspxMozilla/5.0     

/owa/auth/current/error_ui.aspxMozilla/5.0     

/owa/libwww-perl/6.49     

/owa/auth/logon.aspxlibwww-perl/6.49     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+6.00+rv:24.0)+Gecko/20100101+Firefox/24.0   

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/46.0.2486.0+Safari/537.36+Edge/13.10586     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/46.0.2486.0+Safari/537.36+Edge/13.10586     

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/46.0.2486.0+Safari/537.36+Edge/13.10586     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/46.0.2486.0+Safari/537.36+Edge/13.10586     

/owa/Mozilla/5.0+(Windows+NT+6.20+Trident/7.0+rv:11.0)+like+Gecko  

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+6.20+Trident/7.0+rv:11.0)+like+Gecko  

/owa/Mozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/55.0.2883.87+Safari/537.36     

/owa/auth/logon.aspxMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/55.0.2883.87+Safari/537.36     

/owa/auth/logon.aspxMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/favicon.icoMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/segoeui-semilight.ttfMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/segoeui-regular.ttfMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/Mozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/logon.aspxMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/logon.aspxMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/favicon.icoMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/segoeui-regular.ttfMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/auth/15.0.1497/themes/resources/segoeui-semilight.ttfMozilla/5.0+(X11#NAME?+rv:82.0)+Gecko/20100101+Firefox/82.0   

/owa/Mozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/auth/15.0.1497/themes/resources/favicon.icoMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/Mozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/auth/errorfe.aspxMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/favicon.icoMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/auth/errorFE.aspxMozilla/5.0+(Windows+NT+10.000+rv:82.0)+Gecko/20100101+Firefox/82.0  

/owa/Go+http+package     

/owa/auth/logon.aspxGo+http+package     

/owa/Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/auth/logon.aspxMozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/60.0.3112.113+Safari/537.36     

/owa/login_sid.luapython-requests/2.6.0+CPython/2.6.6+Linux/2.6.32-754.31.1.el6.x86_64     

/owa/auth/logon.aspxpython-requests/2.6.0+CPython/2.6.6+Linux/2.6.32-754.31.1.el6.x86_64     

/owa/Go-http-client/1.1     

/owa/auth/logon.aspxGo-http-client/1.1     

/owa/Mozilla/5.0+(compatible+CensysInspect/1.1++https://about.censys.io/)   

/owa/auth/logon.aspxMozilla/5.0+(compatible+CensysInspect/1.1++https://about.censys.io/)   

/owa/Go-http-client/1.1     

       

 

 

Edited by Dirk-HH-83
Link to post
vor einer Stunde schrieb Dirk-HH-83:

verstehe ich die Sachlage bei diesem Email Fraud (Aussenhandel/Übersee involviert)   richtig

Du erwartest jetzt nicht, dass wir dir deine Konfig analysieren, oder? :) Was man anhand der Mailheader sieht, würde ich auf klassisches Spearphishing oder dumpf Spam/Phishing tippen. Mit den ganzen "Anonymisierungen" kann man das zwar grundsätzlich verstehen, aber es macht das ganze sehr unübersichtlich in meinen Augen.

vor einer Stunde schrieb Dirk-HH-83:

a) Port 443 (mittels Firewall Geolocation nur für bestimmte Länder eingehend erlauben)

Ja, und wenn der erste GF kommt aus einem nicht erlaubten Urlaubsland oder einen Cloudservice dort verwendet, stehste wieder am Anfang.

 

vor einer Stunde schrieb Dirk-HH-83:

b) 3rd Party MDM/MFA/VPN  für mobile Geräte "ausrollen"

 

Wenn die Umgebung das hergibt, dann evtl. ne gute Idee.

 

vor einer Stunde schrieb Dirk-HH-83:

c) Spamfilter optimieren, so dass z.B. SPF/rDNS  geprüft wird und Warnungen im Betreff/Mailbody stehen...

 

Gibts Leute die sowas noch deaktiviert haben? Warnungen usw. sind auch eine Gewohnheit, die dann irgendwann nachläßt, würde ich also mit Vorsicht einsetzen

 

vor einer Stunde schrieb Dirk-HH-83:

d) verhindern, das Outlook Anywhere "von jedem externen Gerät so einfach möglich ist"

 

Wie denn? :)

vor einer Stunde schrieb Dirk-HH-83:

e) Firewall-Traffic Log Speicherung erweitern

 

Und dann? Hast jetzt kein Logging oder wie? Kannst natürlich für alle Ewigkeit speichern und SIEM einführen. Obs hilft, wirst du erst hinterher feststellen.

 

vor einer Stunde schrieb Dirk-HH-83:

- ein offener Port 443 ist immer eine Gefahr, bzw. den Exchange 2013 CU23 direkt im Internet stehen zu haben ist zu gefährlich, wenn kein MFA/VPN/DMZ/Proxy verwendet wird

 

Die Erkenntnis ist jetzt aber 1. nicht neu und 2. erschließt sich mir nicht, was das mit dem Ausgangsproblem "Der Mitleser hat zum richtigen Zeitpunkt eine gefälschte PDF Rechnung an den Exchange-Eigentümer übermittelt hat" zu tun hat.

 

bye

Norbert

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...