الكشف عن قواعد Outlook وهجمات حقن Forms المخصصة ومعالجتها

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

موجز تعرف على كيفية التعرف على قواعد Outlook وهجمات حقن Forms المخصصة ومعالجتها في Office 365.

ما المقصود بقواعد Outlook وهجمة حقن Forms المخصصة؟

بعد أن يحصل المهاجم على حق الوصول إلى مؤسستك، يحاول إنشاء موطئ قدم للبقاء في المؤسسة أو العودة إليها بعد اكتشافها. يسمى هذا النشاط إنشاء آلية استمرار. هناك طريقتان يمكن للمهاجم استخدام Outlook لإنشاء آلية استمرار:

• من خلال استغلال قواعد Outlook.
• عن طريق إدخال نماذج مخصصة في Outlook.

لا يساعد إعادة تثبيت Outlook، أو حتى منح الشخص المتأثر كمبيوتر جديد. عندما يتصل التثبيت الجديد ل Outlook بعلبة البريد، تتم مزامنة جميع القواعد والنماذج من السحابة. عادة ما يتم تصميم القواعد أو النماذج لتشغيل التعليمات البرمجية عن بعد وتثبيت البرامج الضارة على الجهاز المحلي. تقوم البرامج الضارة بسرقة بيانات الاعتماد أو تنفيذ نشاط غير مشروع آخر.

الخبر السار هو: إذا قمت بإبقاء عملاء Outlook مصححين إلى أحدث إصدار، فلن تكون عرضة للتهديد لأن الإعدادات الافتراضية لعميل Outlook الحالي تحظر كلتا الآليتين.

تتبع الهجمات عادة هذه الأنماط:

استغلال القواعد:

1. يسرق المهاجم بيانات اعتماد المستخدم.
2. يقوم المهاجم بتسجيل الدخول إلى علبة بريد Exchange الخاصة بهذا المستخدم (Exchange Online أو Exchange المحلي).
3. يقوم المهاجم بإنشاء قاعدة إعادة توجيه علبة الوارد في علبة البريد. يتم تشغيل قاعدة إعادة التوجيه عندما تتلقى علبة البريد رسالة معينة من المهاجم تتطابق مع شروط القاعدة. شروط القاعدة وتنسيق الرسالة مصممان خصيصا لبعضهما البعض.
4. يرسل المهاجم البريد الإلكتروني للمشغل إلى علبة البريد المخترقة، والتي لا يزال المستخدم غير المطمئن يستخدمها كالمعتاد.
5. عندما تتلقى علبة البريد رسالة تطابق شروط القاعدة، يتم تطبيق إجراء القاعدة. عادة ما يكون إجراء القاعدة هو تشغيل تطبيق على خادم بعيد (WebDAV).
6. عادة ما يقوم التطبيق بتثبيت البرامج الضارة على جهاز المستخدم (على سبيل المثال، PowerShell Empire).
7. تسمح البرامج الضارة للمهاجم بسرقة (أو السرقة مرة أخرى) اسم المستخدم وكلمة المرور أو بيانات الاعتماد الأخرى من الجهاز المحلي وتنفيذ أنشطة ضارة أخرى.

استغلال Forms:

1. يسرق المهاجم بيانات اعتماد المستخدم.
2. يقوم المهاجم بتسجيل الدخول إلى علبة بريد Exchange الخاصة بهذا المستخدم (Exchange Online أو Exchange المحلي).
3. يقوم المهاجم بإدراج قالب نموذج بريد مخصص في علبة بريد المستخدم. يتم تشغيل النموذج المخصص عندما تتلقى علبة البريد رسالة معينة من المهاجم تتطلب من علبة البريد تحميل النموذج المخصص. النموذج المخصص وتنسيق الرسالة مصممان خصيصا لبعضهما البعض.
4. يرسل المهاجم البريد الإلكتروني للمشغل إلى علبة البريد المخترقة، والتي لا يزال المستخدم غير المطمئن يستخدمها كالمعتاد.
5. عندما تتلقى علبة البريد الرسالة، تقوم علبة البريد بتحميل النموذج المطلوب. يقوم النموذج بتشغيل تطبيق على خادم بعيد (WebDAV).
6. عادة ما يقوم التطبيق بتثبيت البرامج الضارة على جهاز المستخدم (على سبيل المثال، PowerShell Empire).
7. تسمح البرامج الضارة للمهاجم بسرقة (أو السرقة مرة أخرى) اسم المستخدم وكلمة المرور أو بيانات الاعتماد الأخرى من الجهاز المحلي وتنفيذ أنشطة ضارة أخرى.

ما القواعد وهجمات حقن Forms المخصصة التي قد تبدو Office 365؟

من غير المحتمل أن يلاحظ المستخدمون آليات الاستمرار هذه وقد تكون غير مرئية لهم. تصف القائمة التالية العلامات (مؤشرات التسوية) التي تشير إلى خطوات المعالجة مطلوبة:

• مؤشرات اختراق القواعد:

  • إجراء القاعدة هو بدء تشغيل تطبيق.
  • تشير القاعدة إلى EXE أو ZIP أو URL.
  • على الجهاز المحلي، ابحث عن بدء عملية جديدة تنشأ من Outlook PID.

• مؤشرات اختراق النماذج المخصصة:

  • يتم حفظ النماذج المخصصة كفئة رسائل خاصة بها.
  • تحتوي فئة الرسالة على تعليمات برمجية قابلة للتنفيذ.
  • عادة ما يتم تخزين النماذج الضارة في مجلدات مكتبة Forms الشخصية أو علبة الوارد.
  • يسمى النموذج IPM. ملاحظه. [اسم مخصص].

خطوات للعثور على علامات هذا الهجوم وتأكيده

يمكنك استخدام أي من الطرق التالية لتأكيد الهجوم:

• افحص القواعد والنماذج يدويا لكل علبة بريد باستخدام عميل Outlook. هذه الطريقة شاملة، ولكن يمكنك التحقق من علبة بريد واحدة فقط في كل مرة. يمكن أن تستغرق هذه الطريقة وقتا طويلا جدا إذا كان لديك العديد من المستخدمين للتحقق منها، وقد تصيب أيضا الكمبيوتر الذي تستخدمه.

• استخدم البرنامج النصيGet-AllTenantRulesAndForms.ps1 PowerShell لتفريغ جميع قواعد إعادة توجيه البريد والنماذج المخصصة تلقائيا لجميع المستخدمين في مؤسستك. هذه الطريقة هي الأسرع والأكثر أمانا بأقل قدر من النفقات العامة.

  ملاحظة

  اعتبارا من يناير 2021، يكون البرنامج النصي (وكل شيء آخر في المستودع) للقراءة فقط وأرشفة. تحاول الأسطر من 154 إلى 158 الاتصال Exchange Online PowerShell باستخدام أسلوب لم يعد مدعوما بسبب إهمال اتصالات PowerShell البعيدة في يوليو 2023. قم بإزالة الأسطر من 154 إلى 158 والاتصال Exchange Online PowerShell قبل تشغيل البرنامج النصي.

تأكيد هجوم القواعد باستخدام عميل Outlook

1. افتح عميل Outlook للمستخدمين كمستخدم. قد يحتاج المستخدم إلى مساعدتك في فحص القواعد الموجودة في علبة البريد الخاصة به.

2. راجع مقالة إدارة رسائل البريد الإلكتروني باستخدام القواعد للاطلاع على الإجراءات المتعلقة بكيفية فتح واجهة القواعد في Outlook.

3. ابحث عن القواعد التي لم يقم المستخدم بإنشائها، أو أي قواعد أو قواعد غير متوقعة بأسماء مشبوهة.

4. ابحث في وصف القاعدة عن إجراءات القاعدة التي تبدأ والتطبيق أو تشير إلى .EXE أو ملف .ZIP أو لتشغيل عنوان URL.

5. ابحث عن أي عمليات جديدة تبدأ باستخدام معرف عملية Outlook. راجع البحث عن معرف العملية.

خطوات لتأكيد الهجوم Forms باستخدام عميل Outlook

1. افتح عميل Outlook للمستخدم كمستخدم.

2. اتبع الخطوات الواردة في إظهار علامة التبويب المطور لإصدار المستخدم من Outlook.

3. افتح علامة تبويب المطور المرئية الآن في Outlook وحدد تصميم نموذج.

4. حدد علبة الوارد من القائمة بحث في . ابحث عن أي نماذج مخصصة. النماذج المخصصة نادرة بما يكفي أنه إذا كان لديك أي نماذج مخصصة على الإطلاق، فإنه يستحق نظرة أعمق.

5. تحقق من أي نماذج مخصصة، خاصة النماذج التي تم وضع علامة عليها على أنها مخفية.

6. افتح أي نماذج مخصصة وفي مجموعة النماذج ، حدد عرض التعليمات البرمجية لمعرفة ما يتم تشغيله عند تحميل النموذج.

خطوات لتأكيد هجوم القواعد Forms باستخدام PowerShell

أبسط طريقة للتحقق من هجوم القواعد أو النماذج المخصصة هي تشغيل البرنامج النصيGet-AllTenantRulesAndForms.ps1 PowerShell. يتصل هذا البرنامج النصي بكل علبة بريد في مؤسستك ويفرغ جميع القواعد والنماذج في ملفين .csv.

المتطلبات الأساسية

يجب أن تكون عضوا في دور المسؤول العام في Microsoft Entra ID أو مجموعة دور إدارة المؤسسة في Exchange Online، لأن البرنامج النصي يتصل بكل علبة بريد في المؤسسة لقراءة القواعد والنماذج.

1. استخدم حسابا مع حقوق المسؤول المحلي لتسجيل الدخول إلى الكمبيوتر حيث تنوي تشغيل البرنامج النصي.

2. قم بتنزيل محتويات البرنامج النصي Get-AllTenantRulesAndForms.ps1 أو نسخها من GitHub إلى مجلد يسهل العثور عليه وتشغيل البرنامج النصي منه. ينشئ البرنامج النصي ملفين مخصصين للتاريخ في المجلد: MailboxFormsExport-yyyy-MM-dd.csv و MailboxRulesExport-yyyy-MM-dd.csv.

   قم بإزالة الأسطر من 154 إلى 158 من البرنامج النصي، لأن أسلوب الاتصال هذا لم يعد يعمل اعتبارا من يوليو 2023.

3. اتصل ب Exchange Online PowerShell.

4. انتقل في PowerShell إلى المجلد حيث قمت بحفظ البرنامج النصي، ثم قم بتشغيل الأمر التالي:

   .\Get-AllTenantRulesAndForms.ps1
   

تفسير الإخراج

• MailboxRulesExport-yyyy-MM-dd.csv: افحص القواعد (واحدة لكل صف) للحصول على شروط الإجراء التي تتضمن التطبيقات أو الملفات التنفيذية:
  • ActionType (العمود A): من المحتمل أن تكون القاعدة ضارة إذا كان هذا العمود يحتوي على القيمة ID_ACTION_CUSTOM.
  • IsPotentiallyMalicious (العمود D): من المحتمل أن تكون القاعدة ضارة إذا كان هذا العمود يحتوي على القيمة TRUE.
  • ActionCommand (العمود G): من المحتمل أن تكون القاعدة ضارة إذا كان هذا العمود يحتوي على أي من القيم التالية:
    • تطبيق.
    • ملف .exe أو .zip.
    • إدخال غير معروف يشير إلى عنوان URL.
• MailboxFormsExport-yyyy-MM-dd.csv: بشكل عام، يعد استخدام النماذج المخصصة نادرا. إذا وجدت أي في هذا المصنف، فافتح علبة بريد هذا المستخدم وافحص النموذج نفسه. إذا لم تضعها مؤسستك هناك عن قصد، فمن المحتمل أن تكون ضارة.

كيفية إيقاف ومعالجة قواعد Outlook والهجوم Forms

إذا وجدت أي دليل على أي من هذه الهجمات، فإن المعالجة بسيطة: ما عليك سوى حذف القاعدة أو النموذج في علبة البريد. يمكنك حذف القاعدة أو النموذج باستخدام عميل Outlook أو استخدام Exchange PowerShell.

استخدام Outlook

1. حدد جميع الأجهزة التي استخدم فيها المستخدم Outlook. يجب تنظيفها جميعا من البرامج الضارة المحتملة. لا تسمح للمستخدم بتسجيل الدخول واستخدام البريد الإلكتروني حتى يتم تنظيف جميع الأجهزة.

2. على كل جهاز، اتبع الخطوات الواردة في حذف قاعدة.

3. إذا لم تكن متأكدا من وجود برامج ضارة أخرى، يمكنك تنسيق وإعادة تثبيت جميع البرامج على الجهاز. بالنسبة للأجهزة المحمولة، يمكنك اتباع خطوات الشركات المصنعة لإعادة تعيين الجهاز إلى صورة المصنع.

4. قم بتثبيت أحدث إصدارات Outlook. تذكر أن الإصدار الحالي من Outlook يحظر كلا النوعين من هذا الهجوم بشكل افتراضي.

5. بمجرد إزالة جميع نسخ علبة البريد دون اتصال، قم بالخطوات التالية:

   • إعادة تعيين كلمة مرور المستخدم باستخدام قيمة عالية الجودة (الطول والتعقيد).
   • إذا لم يتم تشغيل المصادقة متعددة العوامل (MFA) للمستخدم، فاتبع الخطوات الواردة في إعداد المصادقة متعددة العوامل للمستخدمين

   تضمن هذه الخطوات عدم كشف بيانات اعتماد المستخدم عبر وسائل أخرى (على سبيل المثال، التصيد الاحتيالي أو إعادة استخدام كلمة المرور).

استخدام PowerShell

الاتصال ببيئة Exchange PowerShell المطلوبة:

• علب البريد على خوادم Exchange المحلية: اتصل بخوادم Exchange باستخدام PowerShell البعيد أو افتح Exchange Management Shell.

• علب البريد في Exchange Online: الاتصال Exchange Online PowerShell.

بعد الاتصال ببيئة Exchange PowerShell المطلوبة، يمكنك اتخاذ الإجراءات التالية على قواعد علبة الوارد في علب بريد المستخدم:

• عرض قواعد علبة الوارد في علبة بريد:

  • عرض قائمة ملخصة بجميع القواعد

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • عرض معلومات مفصلة لقاعدة معينة:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-InboxRule.

• إزالة قواعد علبة الوارد من علبة بريد:

  • إزالة قاعدة معينة:

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • إزالة جميع القواعد:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-InboxRule.

• إيقاف تشغيل قاعدة علبة الوارد لمزيد من التحقيق:

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Disable-InboxRule.

كيفية تقليل الهجمات المستقبلية

أولا: حماية الحسابات

لا يستخدم المهاجم القواعد ومآثر Forms إلا بعد سرقة حساب المستخدم أو اختراقه. لذلك، فإن خطوتك الأولى لمنع استخدام هذه الهجمات ضد مؤسستك هي حماية حسابات المستخدمين بقوة. بعض الطرق الأكثر شيوعا لخرق الحسابات هي من خلال التصيد الاحتيالي أو هجمات نشر كلمة المرور.

أفضل طريقة لحماية حسابات المستخدمين (خاصة حسابات المسؤولين) هي إعداد المصادقة متعددة العوامل للمستخدمين. يجب عليك أيضا:

• مراقبة كيفية الوصول إلى حسابات المستخدمين واستخدامها. لا يجوز لك منع الخرق الأولي، ولكن يمكنك تقصير مدة الخرق وتأثيراته عن طريق اكتشافه في وقت أقرب. يمكنك استخدام نهج أمان التطبيقات على السحابة لـ Office 365 هذه لمراقبة الحسابات وتنبيهك إلى نشاط غير عادي:

  • محاولات تسجيل دخول فاشلة متعددة: يشغل تنبيها عندما يقوم المستخدمون بتنفيذ أنشطة تسجيل دخول فاشلة متعددة في جلسة واحدة فيما يتعلق بالأساس الذي تم تعلمه، والذي قد يشير إلى محاولة خرق.

  • السفر المستحيل: يقوم بتشغيل تنبيه عند اكتشاف الأنشطة من نفس المستخدم في مواقع مختلفة خلال فترة زمنية أقصر من وقت السفر المتوقع بين الموقعين. قد يشير هذا النشاط إلى أن مستخدما مختلفا يستخدم نفس بيانات الاعتماد. يتطلب الكشف عن هذا السلوك الشاذ فترة تعلم أولية لمدة سبعة أيام لمعرفة نمط نشاط مستخدم جديد.

  • نشاط غير عادي منتحل (من قبل المستخدم): يشغل تنبيها عندما يقوم المستخدمون بتنفيذ أنشطة متعددة منتحلة الهوية في جلسة واحدة فيما يتعلق بخط الأساس الذي تم تعلمه، مما قد يشير إلى محاولة خرق.

• استخدم أداة مثل Office 365 Secure Score لإدارة تكوينات وسلوكيات أمان الحساب.

ثانيا: إبقاء عملاء Outlook محدثين

تقوم الإصدارات المحدثة والمصححة بالكامل من Outlook 2013 و2016 بتعطيل إجراء قاعدة/نموذج "بدء التطبيق" بشكل افتراضي. حتى إذا خرق المهاجم الحساب، يتم حظر إجراءات القاعدة والنموذج. يمكنك تثبيت آخر التحديثات وتصحيحات الأمان باتباع الخطوات الواردة في تثبيت تحديثات Office.

فيما يلي إصدارات التصحيح لعملاء Outlook 2013 و2016:

• Outlook 2016: 16.0.4534.1001 أو أحدث.
• Outlook 2013: 15.0.4937.1000 أو أحدث.

لمزيد من المعلومات حول تصحيحات الأمان الفردية، راجع:

• تصحيح أمان Outlook 2016
• تصحيح أمان Outlook 2013

ثالثا: مراقبة عملاء Outlook

حتى مع تثبيت التصحيحات والتحديثات، من الممكن للمهاجم تغيير تكوين الجهاز المحلي لإعادة تمكين سلوك "بدء التطبيق". يمكنك استخدام Advanced نهج المجموعة Management لمراقبة نهج الجهاز المحلي وفرضها على أجهزة العميل.

يمكنك معرفة ما إذا كان "بدء التطبيق" قد تمت إعادة تمكينه من خلال تجاوز في السجل باستخدام المعلومات الموجودة في كيفية عرض سجل النظام باستخدام إصدارات 64 بت من Windows. تحقق من هذه المفاتيح الفرعية:

• Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

ابحث عن المفتاح EnableUnsafeClientMailRules:

• إذا كانت القيمة 1، فقد تم تجاوز تصحيح أمان Outlook وكان الكمبيوتر عرضة لهجوم النموذج/القواعد.
• إذا كانت القيمة 0، يتم تعطيل إجراء "بدء التطبيق".
• إذا لم يكن مفتاح التسجيل موجودا وتم تثبيت الإصدار المحدث والمصحح من Outlook، فلن يكون النظام عرضة لهذه الهجمات.

يجب على العملاء الذين لديهم عمليات تثبيت Exchange المحلية التفكير في حظر الإصدارات القديمة من Outlook التي لا تحتوي على تصحيحات متوفرة. يمكن العثور على تفاصيل حول هذه العملية في المقالة تكوين حظر عميل Outlook.

راجع أيضا:

• توفر قواعد Outlook الضارة بواسطة منشور الأمان SilentBreak حول متجه القواعد مراجعة مفصلة لكيفية استخدام قواعد Outlook.
• يناقش MAPI عبر HTTP و Mailrule Pwnage على مدونة Sensepost حول Mailrule Pwnage أداة تسمى المسطرة تتيح لك استغلال علب البريد من خلال قواعد Outlook.
• نماذج Outlook وقذائفه على مدونة Sensepost حول Forms Threat Vector.
• قاعدة التعليمات البرمجية المسطرة
• مؤشرات المسطرة للتسوية