EchoSpoofing چیست و چگونه کشف شد؟
در ژوئیه سال ۲۰۲۴، تیم تحقیقاتی Guardio Labs حملهای پیشرفته با نام EchoSpoofing را افشا کرد که توانسته بود از طریق بایپس کردن مکانیزمهای احراز هویت Microsoft 365، ایمیلهای جعلی را با موفقیت ارسال کند. این حمله با بهرهگیری از کانکتورهای هیبریدی و سرورهای SMTP شخصی، امکان ارسال ایمیلهایی را فراهم میکرد که از دید SPF، DKIM و حتی DMARC معتبر به نظر میرسیدند. EchoSpoofing به مهاجمان اجازه میداد بدون شناسایی توسط مکانیزمهای امنیتی، به هویت سازمانهای معتبر مانند Disney یا Coca-Cola نفوذ کرده و اطلاعات حساسی نظیر شماره کارتهای اعتباری را سرقت کنند.
چرا EchoSpoofing همچنان یک تهدید جدی است؟
با وجود پچ شدن سرورهای SMTP آسیبپذیر در سال گذشته، مهاجمان سایبری همچنان در حال تطبیق با شرایط جدید و یافتن مسیرهای جایگزین هستند. نسخه جدید این حمله از سرویسدهندگان شخص ثالث فیلترینگ ایمیل یا همان Email Hygiene Providers سوءاستفاده میکند تا از سدهای امنیتی عبور کند. این نشان میدهد که EchoSpoofing تنها یک آسیبپذیری لحظهای نبوده، بلکه نوعی حمله استراتژیک و در حال تحول است که همچنان سازمانها را تهدید میکند.
مکانیزم حمله EchoSpoofing چگونه عمل میکند؟
در حمله اولیه، مهاجم یک Tenant جدید در Microsoft 365 ایجاد کرده، سپس یک Hybrid Connector برای اتصال سرور SMTP شخصیاش به Office 365 راهاندازی میکند. از آنجا که این اتصال مجاز است، ایمیلهای خروجی از طرف مهاجم بدون بررسیهای امنیتی ارسال میشوند. نکته مهم اینجاست که حتی در صورتی که سازمان هدف از سیاستهای سختگیرانه DMARC با حالت reject استفاده کند، مایکروسافت به جای مسدود کردن ایمیل، آن را به عنوان اسپم نشانهگذاری کرده و اجازه ورود به Tenant مهاجم را میدهد.
استفاده مهاجمان از محدوده IP پرخطر مایکروسافت
در جریان این حمله، ایمیلهایی که از طریق Tenant مهاجم ارسال میشوند، نه از طریق آدرسهای معتبر SPF بلکه از محدوده IP پرخطر مایکروسافت (40.95.0.0/16) عبور میکنند. این نشانهای واضح است از اینکه مایکروسافت حتی خود نیز در کنترل کامل Mail Flow قرار ندارد. این موضوع باعث میشود برخی سازمانهایی که بررسی SPF را بهدرستی پیادهسازی نکردهاند، قربانی ایمیلهای جعلی شوند.
نسخه پیشرفته حمله و بهرهبرداری از Email Hygiene Providers
نسخه جدید EchoSpoofing با هدف دور زدن لایههای امنیتی بیشتر، از سرویسدهندگان شخص ثالث Email Security مانند Symantec Email Security.cloud سوءاستفاده میکند. در این حمله، مهاجم ایمیلها را بهگونهای طراحی میکند که مسیر خروجیشان از طریق همان ارائهدهنده امنیتی باشد که سازمان هدف از آن استفاده میکند. به این ترتیب، ایمیل از آدرس IP مجاز و با امضای DKIM ارسال شده و احتمال تحویل آن به Inbox بسیار بالا میرود.
نقش Symantec در شناسایی نسخه جدید EchoSpoofing
تحلیلگران تهدید Symantec به همراه تیم Carbon Black با بررسی زنجیره حملات در سطح جهانی، موفق شدند نسخه جدید این حمله را شناسایی کرده و الگوهای رفتاری آن را استخراج کنند. این اقدام باعث شد سازمانهایی که از راهکارهای امنیتی Symantec استفاده میکنند، بتوانند با بهروزرسانی قوانین شناسایی و فیلترینگ خود، از وقوع این حملات جلوگیری کنند.
چگونه Symantec به مقابله با EchoSpoofing کمک میکند؟
Symantec با ارائه سرویسهایی نظیر Email Security.cloud و Data Protection Rules به مشتریان خود امکان ایجاد سیاستهای امنیتی پیشرفته را میدهد. برای مثال، میتوان قوانینی تعریف کرد که ایمیلهایی را که شامل شناسه سازمانی (Org ID) معتبر نیستند، بلاک کند. مهاجمان نمیتوانند این شناسه را جعل کنند، چرا که Microsoft هنگام پردازش ایمیل، Org ID واقعی مهاجم را جایگزین میکند. همین موضوع به Symantec اجازه میدهد تا ایمیلهای جعلی را با دقت بالاتری شناسایی کند.
اهمیت تنظیم دقیق SPF، DKIM و DMARC
Symantec بهطور ویژه توصیه میکند که سازمانها اطمینان حاصل کنند تمامی دامنهها و زیردامنههایشان دارای رکوردهای SPF، DKIM و DMARC معتبر و بهروز هستند. حتی اگر مهاجم موفق به ارسال ایمیل جعلی شود، عدم وجود امضای DKIM یا تطابق با SPF موجب افزایش احتمال شناسایی خواهد شد. این اقدامات پایهای اما حیاتی نقش مهمی در کاهش ریسک حملات ایفا میکنند.
بررسی پیامهای ارسالشده از طریق محدوده IP پرخطر
Symantec به مشتریان خود پیشنهاد میکند با انجام Message Trace در پورتال Exchange Online، بررسی کنند که آیا ایمیلهایی از محدوده IP پرخطر Microsoft ارسال شدهاند یا خیر. در صورتی که چنین موردی وجود داشته باشد، باید تنظیمات مربوط به مسیر خروجی ایمیل اصلاح شده و استفاده از این IPها محدود گردد.
جداسازی IPهای پرخطر از IPهای تولیدی در Symantec
برای جلوگیری از عبور ایمیلهای جعلی از طریق فیلترهای امنیتی، Symantec بهزودی امکان تفکیک IPهای تولیدی و IPهای پرخطر Microsoft را در پنل مدیریت خود فراهم میکند. سازمانهایی که از محدوده IP پرخطر استفاده نمیکنند، میتوانند این IPها را غیرفعال کرده و بدین ترتیب امکان بهرهبرداری مهاجمان را کاهش دهند.
استفاده از شناسایی رفتاری برای مقابله با حملات آینده
Symantec با بهرهگیری از فناوری تحلیل رفتاری (Behavioral Analysis) میتواند الگوهای غیرعادی در ترافیک ایمیل را شناسایی کرده و بهصورت خودکار اقدامات مقابلهای را اعمال کند. این سیستمها با بررسی تناوب، حجم، نوع محتوا و الگوهای ارسال، بهخوبی قادر به تشخیص حملات EchoSpoofing حتی در مراحل ابتدایی هستند.
توصیههای Symantec برای سازمانها
Symantec به سازمانها توصیه میکند که:
تمام دامنهها را با SPF، DKIM و DMARC محافظت کنند.
از سرویسدهندگان امنیتی که امکان تعریف سیاستهای مبتنی بر Org ID را دارند استفاده کنند.
از ارسال ایمیل از طریق محدوده IP پرخطر جلوگیری کنند.
بهصورت مداوم پیامهای خروجی را بررسی کرده و ترافیک غیرعادی را شناسایی کنند.
آموزشهای امنیتی لازم را به کارکنان جهت شناسایی ایمیلهای مشکوک ارائه دهند.
چرا Symantec همچنان انتخاب برتر است؟
در دنیایی که تهدیدات سایبری مانند EchoSpoofing هر روز پیچیدهتر و پنهانتر میشوند، نیاز به راهکارهای امنیتی یکپارچه و هوشمند، بیش از گذشته احساس میشود. Symantec با تکیه بر تجربه طولانی، فناوریهای پیشرفته و شبکه تحلیل تهدید جهانی خود، توانسته است از مشتریان خود در برابر موج جدید حملات ایمیلی محافظت کند. استفاده از راهکارهای پیشنهادی این شرکت، گامی مؤثر در جهت افزایش ایمنی و کاهش ریسک حملات فیشینگ و جعل هویت در سازمانهاست. آلما شبکه نماینده سیمانتک در ایران آماده ارائه انواع نرم افزارهای امنیتی Symantec در سرتاسر ایران می باشد.