Warnungsklassifizierung für verdächtige E-Mail-Weiterleitungsaktivitäten

Bedrohungsakteure können kompromittierte Benutzerkonten für mehrere böswillige Zwecke verwenden, z. B. für das Lesen von E-Mails im Posteingang eines Benutzers, das Weiterleiten von E-Mails an externe Empfänger und das Senden von Phishing-Mails. Der Zielbenutzer ist sich möglicherweise nicht bewusst, dass seine E-Mails weitergeleitet werden. Dies ist eine gängige Taktik, die Angreifer verwenden, wenn Benutzerkonten kompromittiert werden.

E-Mails können entweder manuell oder automatisch mithilfe von Weiterleitungsregeln weitergeleitet werden. Die automatische Weiterleitung kann auf verschiedene Arten implementiert werden, z. B. Posteingangsregeln, Exchange-Transportregel (ETR) und SMTP-Weiterleitung. Die manuelle Weiterleitung erfordert zwar eine direkte Aktion der Benutzer, sie kennen jedoch möglicherweise nicht alle automatisch weitergeleiteten E-Mails. In Microsoft 365 wird eine Warnung ausgelöst, wenn ein Benutzer eine E-Mail automatisch an eine potenziell schädliche E-Mail-Adresse weitergibt.

Dieses Playbook hilft Ihnen, Verdächtige Email Weiterleitungsaktivitätswarnungen zu untersuchen und sie schnell entweder als wahr positiv (TP) oder falsch positiv (FP) zu bewerten. Anschließend können Sie empfohlene Aktionen für die TP-Warnungen ergreifen, um den Angriff zu beheben.

Eine Übersicht über Warnungsklassifizierungen für Microsoft Defender for Office 365 und Microsoft Defender for Cloud Apps finden Sie im Einführungsartikel.

Die Verwendung dieses Playbooks hat folgende Ergebnisse:

• Sie identifizieren die Warnungen im Zusammenhang mit automatisch generierten E-Mails als böswillige (TP) oder gutartige Aktivitäten (FP).

  Wenn Sie böswillig sind, haben Sie die automatische E-Mail-Weiterleitung für die betroffenen Postfächer beendet.

• Sie ergreifen die erforderliche Aktion, wenn E-Mails an eine schädliche E-Mail-Adresse weitergeleitet wurden.

Email Weiterleitungsregeln

Email Weiterleitungsregeln ermöglichen benutzern das Erstellen einer Regel zum Weiterleiten von E-Mail-Nachrichten, die an das Postfach eines Benutzers gesendet werden, an das Postfach eines anderen Benutzers innerhalb oder außerhalb des organization. Einige E-Mail-Benutzer, insbesondere solche mit mehreren Postfächern, konfigurieren Weiterleitungsregeln, um Arbeitgeber-E-Mails in ihre privaten E-Mail-Konten zu verschieben. Email Weiterleitung ist ein nützliches Feature, kann aber aufgrund der potenziellen Offenlegung von Informationen auch ein Sicherheitsrisiko darstellen. Angreifer können diese Informationen verwenden, um Ihre organization oder deren Partner anzugreifen.

Verdächtige E-Mail-Weiterleitunsaktivitäten

Angreifer können E-Mail-Regeln einrichten, um eingehende E-Mails im kompromittierten Benutzerpostfach zu verbergen, um ihre schädlichen Aktivitäten für den Benutzer zu verschleiern. Sie können auch Regeln im kompromittierten Benutzerpostfach festlegen, um E-Mails zu löschen, die E-Mails in einen anderen weniger auffälligen Ordner wie einen RSS-Ordner zu verschieben oder E-Mails an ein externes Konto weiterzuleiten.

Einige Regeln verschieben möglicherweise alle E-Mails in einen anderen Ordner und markieren sie als "gelesen", während einige Regeln möglicherweise nur E-Mails verschieben, die bestimmte Schlüsselwörter in der E-Mail-Nachricht oder dem Betreff enthalten. Beispielsweise kann die Posteingangsregel so festgelegt werden, dass unter anderem nach Schlüsselwörtern wie "Rechnung", "Phish", "Antwort nicht", "verdächtige E-Mail" oder "Spam" gesucht und in ein externes E-Mail-Konto verschoben wird. Angreifer können auch das kompromittierte Benutzerpostfach verwenden, um Spam, Phishing-E-Mails oder Schadsoftware zu verteilen.

Microsoft Defender for Office 365 können verdächtige E-Mail-Weiterleitungsregeln erkennen und warnungen, sodass Sie ausgeblendete Regeln an der Quelle suchen und löschen können.

Weitere Informationen finden Sie in den folgenden Blogbeiträgen:

• Business Email Compromise
• Hinter den Kulissen der Kompromittierung von Geschäftlichen E-Mails: Verwenden domänenübergreifender Bedrohungsdaten zur Unterbrechung einer großen BEC-Kampagne

Warnungsdetails

Um die Warnung Verdächtige Email Weiterleitungsaktivität zu überprüfen, öffnen Sie die Seite Warnungen, um den Abschnitt Aktivitätsliste anzuzeigen. Im Folgenden sehen Sie ein Beispiel.

Wählen Sie Aktivität aus, um die Details dieser Aktivität auf der Randleiste anzuzeigen. Im Folgenden sehen Sie ein Beispiel.

Untersuchungsworkflow

Bei der Untersuchung dieser Warnung müssen Sie Folgendes ermitteln:

• Sind das Benutzerkonto und sein Postfach kompromittiert?
• Sind die Aktivitäten schädlich?

Sind das Benutzerkonto und sein Postfach kompromittiert?

Wenn Sie sich das verhalten des Absenders in der Vergangenheit und die letzten Aktivitäten ansehen, sollten Sie feststellen können, ob das Konto des Benutzers als kompromittiert betrachtet werden soll. Sie können die Details der Warnungen anzeigen, die auf der Seite des Benutzers im Microsoft Defender-Portal ausgelöst werden.

Sie können auch diese anderen Aktivitäten für das betroffene Postfach analysieren:

• Verwenden von Threat Explorer, um E-Mail-bezogene Bedrohungen zu verstehen

  • Beobachten Sie, wie viele der zuletzt vom Absender gesendeten E-Mails als Phishing, Spam oder Schadsoftware erkannt werden.
  • Beachten Sie, wie viele der gesendeten E-Mails vertrauliche Informationen enthalten.

• Bewerten Sie das Verhalten riskanter Anmeldungen im Microsoft-Azure-Portal.

• Suchen Sie nach schädlichen Aktivitäten auf dem Gerät des Benutzers.

Sind die Aktivitäten schädlich?

Untersuchen Sie die E-Mail-Weiterleitungsaktivität. Überprüfen Sie für instance den Typ der E-Mail, den Empfänger dieser E-Mail oder die Art und Weise, wie die E-Mail weitergeleitet wird.

Weitere Informationen finden Sie in den folgenden Artikeln:

• Bericht über automatisch weitergeleitete Nachrichten im EAC
• Neue Benutzer, die E-Mail-Erkenntnisse im EAC weiterleiten
• Auf ein kompromittiertes E-Mail-Konto reagieren
• Melden falsch positiver und falsch negativer Ergebnisse in Outlook

Hier ist der Workflow zum Identifizieren verdächtiger E-Mail-Weiterleitungsaktivitäten.

Sie können eine E-Mail-Weiterleitungswarnung mithilfe von Threat Explorer oder mit erweiterten Huntingabfragen untersuchen, basierend auf der Verfügbarkeit von Features im Microsoft Defender-Portal. Sie können den gesamten Prozess oder einen Teil des Prozesses nach Bedarf verfolgen.

Verwenden von Threat Explorer

Threat Explorer bietet eine interaktive Untersuchungserfahrung für E-Mail-bezogene Bedrohungen, um festzustellen, ob diese Aktivität verdächtig ist oder nicht. Sie können die folgenden Indikatoren aus den Warnungsinformationen verwenden:

• SRL/RL: Verwenden Sie die (Verdächtige) Empfängerliste (SRL), um diese Details zu finden:

  

  • Wer sonst hat E-Mails an diese Empfänger weitergeleitet?
  • Wie viele E-Mails wurden an diese Empfänger weitergeleitet?
  • Wie häufig werden E-Mails an diese Empfänger weitergeleitet?

• MTI: Verwenden Sie die Id der Nachrichtenablaufverfolgung/netzwerknachrichten-ID, um diese Details zu ermitteln:

  

  • Welche weiteren Details sind für diese E-Mail verfügbar? Beispiel: Betreff, Rückgabepfad und Zeitstempel.
  • Was ist der Ursprung dieser E-Mail? Gibt es ähnliche E-Mails?
  • Enthält diese E-Mail URLs? Verweist die URL auf vertrauliche Daten?
  • Enthält die E-Mail Anlagen? Enthalten die Anlagen vertrauliche Informationen?
  • Welche Aktion wurde für die E-Mail ausgeführt? Wurde es gelöscht, als gelesen markiert oder in einen anderen Ordner verschoben?
  • Gibt es Bedrohungen im Zusammenhang mit dieser E-Mail? Ist diese E-Mail Teil einer Kampagne?

Basierend auf Antworten auf diese Fragen sollten Sie in der Lage sein, zu bestimmen, ob eine E-Mail bösartig oder unschädlich ist.

Abfragen für die erweiterte Suche

Um erweiterte Hunting-Abfragen zu verwenden, um Informationen im Zusammenhang mit einer Warnung zu sammeln und festzustellen, ob die Aktivität verdächtig ist oder nicht, stellen Sie sicher, dass Sie Zugriff auf die folgenden Tabellen haben:

• EmailEvents: Enthält Informationen zum E-Mail-Fluss.

• EmailUrlInfo: Enthält Informationen zu URLs in E-Mails.

• CloudAppEvents: Enthält das Überwachungsprotokoll von Benutzeraktivitäten.

• IdentityLogonEvents: Enthält Anmeldeinformationen für alle Benutzer.

Hinweis

Bestimmte Parameter sind für Ihre organization oder Ihr Netzwerk eindeutig. Geben Sie diese spezifischen Parameter wie in jeder Abfrage angegeben ein.

Führen Sie diese Abfrage aus, um herauszufinden, wer sonst noch E-Mails an diese Empfänger weitergeleitet hat (SRL/RL).

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId

Führen Sie diese Abfrage aus, um herauszufinden, wie viele E-Mails an diese Empfänger weitergeleitet wurden.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress

Führen Sie diese Abfrage aus, um herauszufinden, wie häufig E-Mails an diese Empfänger weitergeleitet werden.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)

Führen Sie diese Abfrage aus, um herauszufinden, ob die E-Mail URLs enthält.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti

Führen Sie diese Abfrage aus, um herauszufinden, ob die E-Mail Anlagen enthält.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti

Führen Sie diese Abfrage aus, um herauszufinden, ob die Weiterleitung (Absender) neue Regeln erstellt hat.

let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
    "New-InboxRule",
    "UpdateInboxRules",
    "Set-InboxRule",
    "Set-Mailbox",
    "New-TransportRule",
    "Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)

Führen Sie diese Abfrage aus, um herauszufinden, ob von diesem Benutzer anomale Anmeldeereignisse aufgetreten sind. Beispiel: unbekannte IP-Adressen, neue Anwendungen, ungewöhnliche Länder/Regionen, mehrere LogonFailed-Ereignisse.

let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender

Untersuchen von Weiterleitungsregeln

Sie können verdächtige Weiterleitungsregeln auch im Exchange Admin Center finden, basierend auf dem Regeltyp (dem FT-Wert in der Warnung).

• ETR

  Exchange-Transportregeln sind im Abschnitt Regeln aufgeführt. Vergewissern Sie sich, dass alle Regeln den Erwartungen entsprechen.

• SMTP

  Sie können Postfachweiterleitungsregeln anzeigen, indem Sie das Postfach > des Absenders Nachrichtenflusseinstellungen > verwalten Email Weiterleitung > Bearbeiten auswählen.

• PosteingangRule

  Posteingangsregeln werden mit dem E-Mail-Client konfiguriert. Sie können das PowerShell-Cmdlet Get-InboxRule verwenden, um die von Benutzern erstellten Posteingangsregeln aufzulisten.

Zusätzliche Untersuchung

Zusammen mit den bisher ermittelten Beweisen können Sie ermitteln, ob neue Weiterleitungsregeln erstellt werden. Untersuchen Sie die IP-Adresse, die der Regel zugeordnet ist. Stellen Sie sicher, dass es sich nicht um eine anomale IP-Adresse handelt und mit den üblichen Aktivitäten des Benutzers übereinstimmt.

Empfohlene Aktionen

Nachdem Sie festgestellt haben, dass die zugehörigen Aktivitäten diese Warnung als Richtig positiv festlegen, klassifizieren Sie die Warnung, und führen Sie die folgenden Aktionen zur Behebung aus:

1. Deaktivieren und löschen Sie die Posteingangsweiterleitungsregel.

2. Setzen Sie für den Weiterleitungstyp InboxRule die Anmeldeinformationen des Benutzers zurück.

3. Untersuchen Sie für den Smtp- oder ETR-Weiterleitungstyp die Aktivitäten des Benutzerkontos, das die Warnung erstellt hat.

   • Untersuchen Sie alle anderen verdächtigen Administratoraktivitäten.

   • Setzen Sie die Anmeldeinformationen des Benutzerkontos zurück.

4. Überprüfen Sie, ob andere Aktivitäten von betroffenen Konten, IP-Adressen und verdächtigen Absendern stammen.

Siehe auch

• Übersicht über die Warnungsklassifizierung
• Verdächtige Posteingangsweiterleitungsregeln
• Verdächtige Posteingangsmanipulationsregeln
• Untersuchen von Warnungen

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.