Sadržaj

Analiza SMTP protokola iz perspektive forenzike

Sažetak

SMTP (Simple Mail Transfer Protocol) predstavlja osnovni TCP/IP protokol za slanje i primanje elektroničke pošte. Forenzička analiza SMTP prometa ključna je za otkrivanje sigurnosnih prijetnji, s fokusom na detekciju neobičnih aktivnosti, analizu uzoraka prometa i identifikaciju IOCs. Analiza e-pošte u forenzičkom kontekstu usmjerena je na strukturu poruka, posebno zaglavlje i tijelo, kako bi identificirala zlonamjerne sadržaje. Primjeri napada putem SMTP-a, poput napada na DNC 2016., SMTP krijumčarenja i SMTP Injection, ilustriraju ozbiljnost sigurnosnih prijetnji vezanih uz SMTP. Zaštita od napada putem SMTP-a zahtijeva implementaciju autentifikacije, SSL/TLS enkripciju, redovito ažuriranje poštanskih poslužitelja, filtriranje e-pošte, analizu prometa i edukaciju korisnika. Ove sigurnosne prakse stvaraju otpornost na sigurnosne prijetnje putem SMTP-a.

Ključne riječi: SMTP; e-pošta; forenzika; sigurnost; napad; obrana

Uvod

SMTP (Simple Mail Transfer Protocol) predstavlja osnovni TCP/IP protokol koji se koristi za prijenos elektroničke pošte putem računalnih mreža. Taj protokol sa svojim funkcijama omogućuje pouzdano slanje i primanje poruka među korisnicima. Osnovna uloga SMTP-a sastoji se u prenošenju poruka s poštanskog poslužitelja pošiljatelja do poštanskog poslužitelja primatelja. Ključne karakteristike ovog protokola uključuju jednostavnost, efikasnost i otvorenost prema drugim protokolima u e-poštanskim sustavima.

Arhitektura SMTP-a se sastoji od inicijacije veze, prijenosa poruke i potvrde o uspješnom prijenosu. SMTP koristi model klijent-poslužitelj na sljedeći način: poslužitelj e-pošte koristi SMTP za slanje poruke s klijenta drugom poslužitelju e-pošte. Poslužitelj pošiljatelja koristi SMTP kao uslugu za slanje e-pošte na primateljski poslužitelj. Poslužitelj primatelja koristi klijenta za preuzimanje dolazne pošte putem, npr. IMAP-a, i stavlja je u primateljev sandučić. Tako, npr., kada korisnik klikne gumb “pošalji”, uspostavlja se TCP veza koja povezuje SMTP poslužitelj. Kada SMTP poslužitelj primi TCP vezu od klijenta, SMTP proces pokreće vezu preko porta 25 za slanje e-pošte. Odavde SMTP klijent govori poslužitelju što treba učiniti s informacijama kao što su adrese pošiljatelja i primatelja te sadržaj e-pošte. Agent za prijenos pošte (MTA) zatim provjerava jesu li obje adrese e-pošte iz iste domene e-pošte. Ako su s iste domene, e-pošta se šalje; ako nije, poslužitelj koristi sustav naziva domene (DNS) za identifikaciju domene primatelja i zatim je šalje ispravnom poslužitelju. Primatelj zatim koristi IMAP ili POP3 protokole za primanje e-pošte.

Slika 1 Prikaz modela rada SMTP servera

                     Slika 1 Prikaz modela rada SMTP servera

U forenzičkom kontekstu, SMTP igra ključnu ulogu u istraživanju cyber napada, budući da je e-pošta često korištena kao kanal za širenje zlonamjernih sadržaja, poput phishing poruka, zlonamjernih privitaka ili linkova koji vode do zlonamjernih web stranica. Analiza prometa putem SMTP-a omogućuje identifikaciju neobičnih aktivnosti, otkrivanje potencijalnih prijetnji te rekonstrukciju napada i koraka koje su napadači poduzeli. Razumijevanje arhitekture i funkcionalnosti SMTP-a ključno je za učinkovitu forenzičku analizu e-pošte te pruža informacije za bolje razumijevanje i suzbijanje cyber prijetnji i napada.

Forenzička analiza SMTP prometa

Prikupljanje i analiza SMTP prometa predstavljaju ključne faze u forenzičkoj analizi elektroničke pošte. Postoje različite metode prikupljanja prometa koje omogućuju forenzičarima da steknu uvid u aktivnosti povezane s SMTP protokolom. Neke metode uključuju korištenje mrežnih uređaja za snimanje prometa, poput IDS (Intrusion Detection System) i sniffer alata. Ti uređaji mogu zabilježiti sve pakete koji prolaze kroz mrežu, uključujući i SMTP komunikaciju. IDS koristi bazu podataka poznatih uzoraka i pravila kako bi identificirao tipične prijetnje, poput pokušaja neovlaštenog pristupa ili distribucije zlonamjernih privitaka putem SMTP-a. Može detektirati neobične obrasce u SMTP prometu, kao što su veliki brojevi neuspješnih pokušaja autentikacije ili neobični volumeni prometa prema određenim mail poslužiteljima. Prikupljeni podaci zatim se čuvaju u sigurnom okruženju radi kasnije analize. Alati za snimanje mrežnog prometa, kao što su Wireshark, Tcpdump ili Snort, često se koriste u forenzičke svrhe. Ti sniffer alati omogućuju detaljniju analizu komunikacije na razini paketa. Identifikacija ključnih podataka uključuje praćenje headera poruka, IP adresa, vremenskih žigova, eventualnih privitaka i drugih metapodataka. Ovo omogućuje rekonstrukciju toka komunikacije, identificiranje sudionika i pratitelja elektroničke pošte te utvrđivanje izvora i odredišta poruka. Analiza SMTP zapisa, u recimo Wiresharku, uključuje pregled logova poštanskih poslužitelja, evidencija o uspješnom ili neuspješnom slanju poruka, te praćenje aktivnosti korisnika. Identifikacija ključnih podataka uključuje prepoznavanje IP adresa, korisničkih imena, vremenskih oznaka te informacija o protokolu koji se koristi.

U kontekstu analize SMTP prometa, tehnike koje se primjenjuju su detekcija neobičnih aktivnosti, analiza uzoraka prometa, kao i identifikacija IOCs (Indicators of Compromise). Detekcija neobičnih aktivnosti usredotočena je na identifikaciju ponašanja koje odstupa od uobičajenog i očekivanog na mreži. Ova tehnika koristi sustave detekcije anomalija koji analiziraju promet i traže nenormalne obrasce ili aktivnosti koje bi mogle ukazivati na sigurnosni incident. U forenzici se ova tehnika koristi kako bi se identificirale potencijalne prijetnje ili neobične situacije u SMTP prometu. To uključuje prepoznavanje neobičnih pokušaja autentikacije, neuobičajene razmjene podataka između poštanskih poslužitelja ili druge aktivnosti koje nisu tipične za uobičajenu komunikaciju. Analiza uzoraka prometa uključuje proučavanje tipičnih i uobičajenih uzoraka u mrežnom prometu kako bi se identificirali specifični obrasci koji ukazuju na prijetnje ili abnormalnosti. Ova tehnika koristi se za identifikaciju tipičnih scenarija napada putem SMTP-a. To može uključivati analizu karakterističnih uzoraka kod phishing napada, distribuciju zlonamjernih privitaka ili zloupotrebu e-poštanskog sustava za neovlašteni pristup. IOCs su specifični pokazatelji koji ukazuju na moguću prisutnost sigurnosne prijetnje ili indikaciju kompromitacije sustava. To mogu biti IP adrese, hash-vrijednosti zlonamjernih datoteka, URL-ovi ili drugi identifikatori koji se povezuju s poznatim prijetnjama. Ova tehnika se koristi kako bi identificirali konkretni trag ili namjeru o prisutnosti prijetnji u SMTP prometu. Te tehnike omogućuju da se detektiraju potencijalne prijetnje, identificiraju zlonamjerne aktivnosti i da se reagira na incidente.

Analiza e-pošte

U kontekstu analize SMTP prometa, struktura e-pošte igra ključnu ulogu u razumijevanju komunikacije i identifikaciji potencijalnih prijetnji. Struktura e-pošte prenosi se putem SMTP protokola, a ključni elementi od interesa za forenzičare prilikom analize su: header i tijelo poruke. Header sadrži informacije o poruci, uključujući adrese pošiljatelja i primatelja, datum slanja, i druge relevantne metapodatke. Pažljivom analizom headera može se utvrditi autentičnost poruke, identificirat moguće manipulacije, te pratiti tok e-pošte kroz sustav. Tijelo poruke sadrži samu e-poštu. Ova se komponenta također pažljivo analizira kako bi se identificirale ključne informacije ili tragovi o sadržaju poruke. Tu se traže mogući znakovi zlonamjernog sadržaja, uključujući sumnjive linkove, neobične privitke ili druge indikatore koji ukazuju na prijetnju. Kada je riječ o analizi privitaka, koji su često sastavni dio e-pošte prenesene putem SMTP-a, posebna pažnja se posvećuje identifikaciji zlonamjernih kodova. Analiza privitaka uključuje otvaranje datoteka i provjeru njihovog sadržaja. Koriste se antivirusni alati, heurističke analize i sandboxing tehnike kako bi se identificirale eventualne prijetnje i analizirali zlonamjerni kodovi prisutni u privicima.

Napadi putem SMTP-a

Napad na Democratic National Committee (DNC), 2016.

Tijekom predsjedničke kampanje u SAD-u 2016., došlo je do značajnog cyber napada na Democratic National Committee (DNC). Napad je bio usmjeren na e-poštu DNC-a s ciljem prikupljanja osjetljivih informacija i utjecaja na političke procese. Djelatnici DNC-a primili su phishing e-poštu koja se prikazivala kao legitimna komunikacija. Napadači su koristili lažne e-mail poruke s poveznicama koje su vodile do web stranica za prijavu, omogućavajući im krađu pristupnih podataka. Nakon što su dobili pristup e-poštanskim računima, napadači su presreli i ukrali veliku količinu elektroničke pošte. Ukradena e-pošta, uključujući internu prepisku, strategije kampanje i osjetljive informacije, objavljena je putem različitih online platformi. Forenzičari su analizirali logove poštanskog poslužitelja kako bi rekonstruirali putanju napada, identificirali korisničke račune koji su bili kompromitirani i pratili kretanje napadača unutar sustava. Forenzička analiza uključivala je proučavanje phishing e-pošte i načina na koji su napadači stvorili uvjerljive poruke kako bi prevarili korisnike i došli do pristupnih podataka. Identificirali su IOCs poput IP adresa phishing web stranica, karakterističnih uzoraka zlonamjernog koda te načina komunikacije napadača s kompromitiranim računima. Kompromitirani računi su odmah zatvoreni, a pristupni podaci promijenjeni kako bi spriječili daljnje zloupotrebe. Nakon napada, organizacija je uložila napore u educiranje zaposlenika o sigurnosnim prijetnjama putem elektroničke pošte kako bi smanjila rizik od budućih napada.

Slika 2 Prikaz DNC napada

                          Slika 2 Prikaz DNC napada
SMTP krijumčarenje

SMTP krijumčarenje predstavlja tehniku koja iskorištava nesuglasice u analizi i rukovanju SMTP prometom od strane proxy poslužitelja ili vatrozida. U ovom kontekstu, napadači pokušavaju prokrijumčariti zlonamjerne sadržaje ili izbjeći detekciju iskorištavanjem ranjivosti ili nesuglasica u načinu obrade SMTP prometa. Ova tehnika često dovodi do sigurnosnih propusta jer otežava preciznu dijagnozu procesa prijenosa e-pošte. U kontekstu SMTP krijumčarenja, napadači mogu koristiti ranjive poslužitelje diljem svijeta za slanje zlonamjernih e-poruka s lažnih adresa, čime se omogućuje skrivanje pravog izvora napada. Kroz ovu tehniku, napadači mogu zaobići SPF (Sender Policy Framework) provjere, što su mehanizmi koji pomažu u provjeri legitimnosti pošiljatelja e-pošte. Detalji o vrstama SMTP krijumčarenja, poput inbound i outbound, ukazuju na to da napadači mogu lažirati e-poruke s različitih domena, čime povećavaju sofisticiranost napada. Npr., u procesu slanja e-pošte, Outlookov MTA (Mail Transfer Agent) povezuje se s MUA (Mail User Agent) putem TCP/587, a zatim se koriste određene SMTP naredbe kako bi se iskoristile nesuglasice i zaobišle određene sigurnosne kontrole, poput AUTH LOGIN i STARTTLS. Ovdje su ključni aspekti SMTP krijumčarenja:

Slika 3 SMTP smuggling attack

                            Slika 3 SMTP smuggling napad
SMTP Injection

Također poznat kao E-mail Header Injection, predstavlja vrstu napada koja se odnosi na umetanje ili manipulaciju e-mail zaglavlja kako bi se izvršile zlonamjerne radnje. Ovaj tip napada često se koristi za izvršavanje phishinga, spam kampanja ili čak za iskorištavanje ranjivosti u sigurnosti sustava. Napadači pokušavaju umetnuti nevaljane ili zlonamjerne znakove, poput novih redaka (\r\n) ili posebnih znakova, u zaglavlje e-pošte. Cilj je manipulirati zaglavlje e-pošte kako bi se promijenila osnovna struktura poruke. To može uključivati promjenu adresa primatelja, pošiljatelja, ili čak dodavanje novih adresa. Nakon što su zlonamjerne promjene unesene u e-mail zaglavlje, napadači mogu postići različite ciljeve. To može uključivati isporuku phishing linkova, skrivanje praćenih informacija, ili čak izvršavanje zlonamjernih skripti. Npr.

Original header:

To: primatelj@example.com

From: pošiljatelj@example.com

Subject: Važno obavijest o sigurnosti računa

Manipulated header:

To: primatelj@example.com

From: napadac@example.com

Subject: Važno obavijest o sigurnosti računa

CC: zlonamjerni@napad.com

U ovom scenariju, napadač je uspio umetnuti novi redak i dodati CC (Carbon Copy) polje kako bi pridodao dodatnu e-poštu koja će primati kopije poruka. Time napadač može pratiti komunikaciju ili izvršavati druge zlonamjerne radnje.

Slika 4 SMTP Injection napad

                          Slika 4 SMTP Injection napad

Zaštita od napada putem SMTP-a

Zaštita od napada putem SMTP protokola zahtijeva usklađenost s nizom ključnih sigurnosnih praksi. Prvo, organizacije bi trebale implementirati mehanizme autentifikacije kao što su SPF, DKIM i DMARC kako bi potvrdile legitimnost pošiljatelja i spriječile lažiranje e-pošte. Osim toga, kritična je implementacija SSL/TLS enkripcije za sigurnu komunikaciju između poštanskih poslužitelja, čime se sprječava neovlašten pristup ili čitanje sadržaja e-pošte. Redovito ažuriranje i nadogradnja poštanskih poslužitelja s najnovijim sigurnosnim ispravcima ključne su za održavanje otpornosti na potencijalne ranjivosti. Filtriranje e-pošte i analiza prometa SMTP-a pružaju dodatni sloj zaštite identificiranjem i blokiranjem zlonamjernih poruka prije nego što stignu do korisnika. Implementacija anti-phishing tehnika, poput edukacije korisnika o prepoznavanju phishing pokušaja i automatskog označavanja sumnjivih poruka, doprinosi zaštiti od phishing prijetnji. Ograničavanje pristupa SMTP poslužiteljima samo od pouzdanih izvora sprječava neovlašten pristup, dok redovito praćenje logova i detekcija anomalija pomažu u prepoznavanju neobičnih aktivnosti. Konačno, redovita edukacija korisnika o sigurnosnim pravilima i praksama doprinosi smanjenju ljudskog faktora rizika u vezi s e-mail sigurnošću, čime se organizacija čini otpornijom na potencijalne napade putem SMTP protokola.

Zaključak

SMTP je ključni protokol za elektroničku poštu, ali istovremeno predstavlja metu za cyber napade. Forenzička analiza SMTP prometa igra ključnu ulogu u otkrivanju i reakciji na prijetnje. Razumijevanje strukture e-pošte, analiza privitaka te identifikacija ključnih elemenata dodatno doprinose forenzičkoj analizi elektroničke pošte. Stvarni primjeri napada, poput napada na DNC 2016., ilustriraju opasnosti od napada putem SMTP-a. Tehnike poput SMTP krijumčarenja i SMTP Injection pokazuju sofisticirane metode koje zahtijevaju napredne sigurnosne prakse, uključujući mehanizme autentifikacije. Preporučene sigurnosne prakse uključuju autentifikaciju, enkripciju, redovito ažuriranje, filtriranje e-pošte, analizu prometa te educiranje korisnika. Ove mjere zajedno stvaraju otpornost na sigurnosne prijetnje putem SMTP-a.

Literatura

[1] https://www.techtarget.com/whatis/definition/SMTP-Simple-Mail-Transfer-Protocol

[2] https://www.siteground.com/tutorials/email/protocols-pop3-smtp-imap/

[3] https://www.researchgate.net/profile/Mitko-Bogdanoski/publication/344906935_E-MAIL_FORENSICS_TECHNIQUES_AND_TOOLS_FOR_FORENSIC_INVESTIGATION/links/5f98a1e4458515b7cfa3fa22/E-MAIL-FORENSICS-TECHNIQUES-AND-TOOLS-FOR-FORENSIC-INVESTIGATION.pdf

[4] https://beaglesecurity.com/blog/vulnerability/imap-smtp-injection.html

[5] https://gbhackers.com/new-smtp-smuggling-attack/

[6] https://www.vox.com/policy-and-politics/2018/7/16/17575940/russian-election-hack-democrats-trump-putin-diagram