BLOG – Darktrace constateerde in de afgelopen drie maanden meer dan 300.000 gevallen waarin safelinks in het licht van verdachte contexten stonden. Dit wakkert de zorgen aan over een nieuwe aanvalstechniek – safelink smuggling genoemd – omdat traditionele e-mailbeveiligingsoplossingen deze Safelink-aanvallen doorgaans niet tegenhouden.
Safelink smuggling is een techniek waarbij een aanvaller opzettelijk zijn schadelijke payload laat herschrijven door Safelinks. Dit zijn uniform resource locators (url’s) die door beveiligingsoplossingen worden herschreven om aanvullende analyse mogelijk te maken wanneer op de url wordt geklikt. Deze techniek is een manier voor aanvallers om detectie door traditionele e-mailbeveiliging en andere oplossingen te omzeilen.
De techniek telt twee fasen: het laten herschrijven van een kwaadaardige link en het verspreiden van die herschreven link naar andere slachtoffers.
De eerste fase omvat het verbergen van een kwaadaardige payload via een Safelink-mogelijkheid die de link herschrijft. Dit wordt op twee manieren gedaan: via gecompromitteerde accounts of via de antwoordketen.
- Als een aanvaller een legitiem account compromitteert, kan hij zelf kwaadaardige links langs een e-mailbeveiligingsoplossing sturen en de Safelinks exfiltreren. Met andere woorden, de aanvaller stuurt een kwaadaardige payload naar de gecompromitteerde inbox, met de bedoeling dat de kwaadaardige url wordt herschreven. In tegenstelling tot een normale phishing-e-mail waarbij de aanvaller wil voorkomen dat zijn e-mail wordt geblokkeerd, is het doel in dit geval dat de e-mail met de herschreven link in de inbox terechtkomt. Aanvallers sturen de link vaak zonder extra context, omdat extra componenten het bericht mogelijk vasthouden in de spam-folder.
- Een andere methode is de herschreven url te verkrijgen via de antwoordketen. Met deze methode stuurt de aanvaller een schadelijke link per e-mail naar iemand met een e-mailbeveiligingsoplossing waarvan bekend is dat deze safelinks produceren. Het doel is om een antwoord van de interne gebruiker te krijgen. Hierdoor kunnen aanvallers de herschreven url binnen de antwoordketen pakken. Dit is een riskante tactiek. De aanvaller moet er zeker van zijn dat de eerste e-mail niet direct wordt geblokkeerd; ze lopen ook het risico dat beveiligingsleveranciers worden gewaarschuwd voor het domein en de url. Verder moeten ze er zeker van zijn dat de controles die worden uitgevoerd wanneer op de herschreven url wordt geklikt, niet leiden tot een blokkering.
In de tweede fase heeft de aanvaller toegang tot een schadelijke url die is verhuld door een veilige herschrijving. Nu kunnen aanvallers een e-mail doorsturen of opstellen die deze url gebruikt.
Methodologie
Traditionele e-mailbeveiligingsoplossingen herschrijven alle url’s die naar een organisatie worden verzonden, maar deze methodologie brengt een inherent risico met zich mee. Het herschrijven van elke url, of deze nu onschadelijk of schadelijk is, leidt tot een vals gevoel van veiligheid. Bovendien biedt het aanvallers veel mogelijkheden om safelinks te misbruiken. Het uitvoeren van deze aanvallen zou aanzienlijk uitdagender zijn als een e-mailbeveiligingsoplossing niet elke url herschrijft.
Traditioneel was het herschrijven van elke url zinvol, omdat het servers in staat stelde om links grondig te analyseren op bekende aanvalspatronen en handtekeningen. Deze aanpak is echter afhankelijk van de kennis van bekende dreigingen. Onbekende dreigingen worden zo niet meegepakt. Een e-mailbeveiligingsoplossing zou url’s pas moeten herschrijven nadat deze uitgebreid beoordeeld zijn, door de context en inhoud van de e-mail en de link zelf te analyseren.
Legitiem
Traditionele beveiligingsoplossingen missen safelink-aanvallen vaak omdat aanvallers verschillende lagen in de e-mail gebruiken om de url legitiem te laten lijken. Door te profiteren van het inherente vertrouwen van gebruikers in bekende bronnen, is de kans groter dat de gebruiker de URL als legitiem ziet. Dit zien we bijvoorbeeld vaak bij supply chain-aanvallen. De ‘patient zero’ e-mail komt vaak van een bekende bron zoals een partner of andere leverancier.
Wat betreft de url: als de payload kwaadaardig is, waarom is het dan moeilijk voor e-mailbeveiligingsoplossingen om deze te detecteren? In de eerste plaats richten beveiligingsleveranciers zich vaak enkel op de payloads in isolatie, en proberen ze bekende aanvalspatronen of handtekeningen te vinden, zoals een domeinnaam of internetprotocol met een slechte reputatie. Helaas zal deze techniek, als de url een legitiem domein heeft, een schone staat van dienst opleveren. Veelvoorkomende verduisteringstechnieken zoals captcha’s, korte links en doorklikken kunnen allemaal worden ingezet om lagen van complexiteit toe te voegen en ontdekking te voorkomen.
Cybersec Netherlands 2024
Op de vakbeurs Cybersec Netherlands is vanzelfsprekend volop aandacht voor allerlei vormen van cybercrime. De beurs wordt georganiseerd op 6 en 7 november in Jaarbeurs Utrecht. Meld je hier voor het programmaoverzicht en een gratis toegangskaart. Een impressie? Bekijk hier de video-opnames van de editie van vorig jaar.
Om safelink smuggling te ontdekken moet een e-mailbeveiligingsoplossing ook rekening houden met de context van de e-mail. Het wie, wat, wanneer, waar en waarom moet voor elke afzonderlijke e-mail vergeleken worden met het ‘normale’ patroon van de interne ontvanger en de externe verzender, in plaats van deze te proberen te matchen met historische dreigingsgegevens. Wanneer de resultaten voldoende afwijkend zijn, zal dat resulteren in het nemen van directe actie.
Hergebruik
Het is moeilijk voor leveranciers van e-mailbeveiliging om iets te doen aan het hergebruik van hun url’s. Leveranciers kunnen hun verdediging in de diepte verbeteren, met name rond hun e-mailprovideraccounts om methode 1 (aanvallen via gecompromitteerde accounts) te voorkomen en selectiever worden met hun herschrijvingen om methode 2 (aanvallen op antwoordketens) in te perken.
De primaire bescherming tegen safelink smuggling moet worden geboden door de leverancier van e-mailbeveiliging. Zij zijn verantwoordelijk voor de analyse van inkomende e-mails en moeten ervoor zorgen dat technieken zoals Safelink Smuggling niet door hun detectiemechanismen komen.
Wel kunnen AI-oplossingen die de context van e-mails kunnen analyseren worden ingezet als extra beschermingslaag zodat de succeskans van aanvallers die Safelink Smuggling toepassen aanzienlijk afneemt.
Annabel Hazewinkel is technical channel manager bij Darktrace