Reageren op een gehackt cloud-e-mailaccount

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

Gebruikersreferenties beheren de toegang tot Microsoft Entra ID-accounts, die centraal staan bij onderzoek naar inbreuk. Zodra een aanvaller toegang heeft tot het account, heeft deze toegang tot het bijbehorende Microsoft 365-postvak, SharePoint-mappen of bestanden in de OneDrive van de gebruiker. Herstel en onderzoek van een gecompromitteerde gebruiker is gericht op het betrokken account en de services die aan het account zijn gekoppeld.

Aanvallers gebruiken vaak het postvak van een gecompromitteerde gebruiker om te verzenden naar geadresseerden binnen en buiten de organisatie. Business Email Compromise (BEC) is een productief type aanval en wordt in dit artikel behandeld.

In dit artikel worden de symptomen van accountcompromittatie (met name het postvak) behandeld en hoe u de controle over het gecompromitteerde account kunt terugkrijgen.

Belangrijk

Met de volgende knop kunt u verdachte accountactiviteit testen en identificeren. Gebruik deze test met de richtlijnen in dit artikel om inzicht te krijgen in mogelijk gecompromitteerde accounts en de benodigde herstelacties te bepalen.

Tests uitvoeren: gecompromitteerde accounts

Veelvoorkomende symptomen van een gecompromitteerd Microsoft 365-e-mailaccount

Een of meer van de volgende activiteiten kunnen erop wijzen dat een account dat is gekoppeld aan een Microsoft 365-postvak is gecompromitteerd:

• Het postvak kan geen e-mail verzenden.
• Verdachte activiteit. Bijvoorbeeld ontbrekende of verwijderde e-mail.
• Verdachte regels voor Postvak IN. Bijvoorbeeld:
  • Regels die e-mail automatisch doorsturen naar onbekende adressen.
  • Regels waarmee berichten worden verplaatst naar de mappen Notities, Ongewenste Email of RSS-abonnementen.
• De mappen Verzonden items of Verwijderde items bevatten verdachte berichten. Bijvoorbeeld: 'Ik zit vast in Londen, stuur geld.'
• Wijzigingen in de contactpersoon van de gebruiker in de algemene adreslijst (GAL). Bijvoorbeeld naam, telefoonnummer of postcode.
• Regelmatige wachtwoordwijzigingen of onverklaarde accountvergrendelingen.
• Onlangs extern doorsturen van e-mail toegevoegd.
• Verdachte e-mailhandtekeningen. Bijvoorbeeld een valse bankhandtekening of een medicijnhandtekening op recept.

Als het postvak een van deze symptomen vertoont, gebruikt u de stappen in de volgende sectie om de controle over het account terug te krijgen.

Email-functie beveiligen en herstellen naar een gecompromitteerd Microsoft 365-account met e-mail

Nadat de aanvaller toegang heeft tot een account, moet u de toegang tot het account zo snel mogelijk blokkeren.

De volgende stappen hebben betrekking op bekende methoden waarmee de aanvaller persistentie kan behouden en later de controle over het account kan terugkrijgen. Zorg ervoor dat u elke stap uitvoert.

Stap 1: het betrokken gebruikersaccount uitschakelen

• Het uitschakelen van het gecompromitteerde account heeft de voorkeur en wordt ten zeerste aanbevolen totdat u het onderzoek hebt voltooid.

  1. Installeer zo nodig de Microsoft Graph PowerShell-module in PowerShell door de volgende opdracht uit te voeren:

     Install-Module -Name Microsoft.Graph -Scope CurrentUser
     

  2. Maak verbinding met Microsoft Graph door de volgende opdracht uit te voeren:

     Connect-MgGraph -Scopes "User.ReadWrite.All"
     

  3. Als u de details van het gebruikersaccount wilt opslaan in de variabele met de naam $user, vervangt u <UPN> door de accountnaam van de gebruiker (user principal name of UPN) en voert u de volgende opdracht uit:

     $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
     

     Bijvoorbeeld:

     $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
     

  4. Voer de volgende opdracht uit om het gebruikersaccount uit te schakelen:

     Update-MgUser -UserId $user.Id -AccountEnabled $false
     

  Zie Update-MgUser voor gedetailleerde syntaxis- en parameterinformatie

• Als u het account niet kunt uitschakelen, kunt u het wachtwoord het beste opnieuw instellen. Zie Wachtwoorden opnieuw instellen in Microsoft 365 voor Bedrijven voor instructies.

  • Zorg ervoor dat u een sterk wachtwoord gebruikt: hoofdletters en kleine letters, ten minste één cijfer en ten minste één speciaal teken.
  • Verzend het nieuwe wachtwoord niet via e-mail naar de gebruiker, omdat de aanvaller op dit moment toegang kan hebben tot het postvak.
  • Gebruik een uniek wachtwoord dat de aanvaller niet kan raden. Zelfs als de vereiste voor wachtwoordgeschiedenis dit toestaat, moet u geen van de laatste vijf wachtwoorden opnieuw gebruiken.
  • Als het account wordt gesynchroniseerd vanuit Active Directory, stelt u het wachtwoord in Active Directory opnieuw in en stelt u het tweemaal opnieuw in om het risico van pass-the-hash-aanvallen te beperken. Zie Set-ADAccountPassword voor instructies.
  • Als de identiteit van de gebruiker is gefedereerd met Microsoft 365, moet u het accountwachtwoord wijzigen in de on-premises omgeving en vervolgens de beheerder op de hoogte stellen van de inbreuk.
  • Vergeet niet om app-wachtwoorden bij te werken. App-wachtwoorden worden niet automatisch ingetrokken wanneer u het wachtwoord opnieuw instelt. De gebruiker moet bestaande app-wachtwoorden verwijderen en nieuwe app-wachtwoorden maken. Zie App-wachtwoorden beheren voor verificatie in twee stappen voor meer informatie.

• We raden u ten zeerste aan om meervoudige verificatie (MFA) in te schakelen en af te dwingen voor het account. MFA beschermt effectief tegen accountinbreuk en is essentieel voor accounts met beheerdersbevoegdheden.

  Zie de volgende artikelen voor meer informatie:

  • Meervoudige verificatie instellen
  • Phishingresistente MFA vereisen voor beheerders

Stap 2: gebruikerstoegang intrekken

Met deze stap wordt elke actieve toegang met behulp van de gestolen referenties onmiddellijk ongeldig gemaakt en voorkomt u dat de aanvaller toegang heeft tot meer gevoelige gegevens of onbevoegde acties uitvoert op het gehackte account.

1. Voer de volgende opdracht uit in een PowerShell-venster met verhoogde bevoegdheid (een PowerShell-venster dat u opent door Als administrator uitvoeren te selecteren):

   Set-ExecutionPolicy RemoteSigned
   

2. Voer indien nodig de volgende opdrachten uit om de vereiste modules voor Microsoft Graph PowerShell te installeren:

   Install-Module Microsoft.Graph.Authentication
   
   Install-Module Microsoft.Graph.Users.Actions
   

3. Maak verbinding met Microsoft Graph door de volgende opdracht uit te voeren:

   Connect-MgGraph -Scopes User.RevokeSessions.All
   

4. Vervang UPN> door <het account van de gebruiker (user principal name of UPN) en voer vervolgens de volgende opdracht uit:

   Revoke-MgUserSignInSession -UserId <UPN>
   

   Bijvoorbeeld:

   Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
   

Zie Gebruikerstoegang intrekken in noodgevallen in Microsoft Entra ID voor meer informatie.

Stap 3: controleer de geregistreerde MFA-apparaten voor de betrokken gebruiker

Identificeer en verwijder verdachte apparaten die zijn toegevoegd door een aanvaller. Zorg er ook voor dat niet-herkende MFA-methoden worden verwijderd om het account van de gebruiker te beveiligen.

Zie MFA-methoden verwijderd voor instructies

Stap 4: de lijst met toepassingen met gebruikerstoestemming bekijken

Verwijder toepassingen die niet mogen worden toegestaan.

Zie Toepassingsbeoordeling voor instructies.

Stap 5: controleer de beheerdersrollen die aan de gebruiker zijn toegewezen

Verwijder alle rollen die niet mogen worden toegestaan.

Zie de volgende artikelen voor meer informatie:

• Azure-roltoewijzingen weergeven met behulp van de Azure Portal
• Roltoewijzingen Microsoft Entra weergeven
• Machtigingen in de Microsoft Purview-portal
• machtigingen Microsoft Defender voor Office 365 in de Microsoft Defender-portal

Stap 6: Doorstuurservers controleren

Verwijder eventuele verdachte doorsturen van postvakken die de aanvaller heeft toegevoegd.

1. Verbinding maken met Exchange Online PowerShell.

2. Als u wilt zien of het doorsturen van postvakken (ook wel smtp-doorsturen genoemd) is geconfigureerd voor het postvak, vervangt u Identiteit> door <de naam, het e-mailadres of de accountnaam van het postvak en voert u de volgende opdracht uit:

   Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
   

   Bijvoorbeeld:

   Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
   

   Bekijk de waarden van de volgende eigenschappen:

   • ForwardingAddress: Een niet-lege waarde betekent dat e-mail wordt doorgestuurd naar de opgegeven interne geadresseerde.
   • ForwardingSmtpAddress: Een niet-lege waarde betekent dat e-mail wordt doorgestuurd naar de opgegeven externe ontvanger. Als zowel ForwardingAddress als ForwardingSmtpAddress zijn geconfigureerd, wordt e-mail alleen doorgestuurd naar de interne ontvanger van ForwardingAddress .
   • DeliverToMailboxAndForward: bepaalt hoe berichten worden bezorgd en doorgestuurd naar geadresseerden die zijn opgegeven door ForwardingAddress of ForwardingSmtpAddress:
     • Waar: Berichten worden bezorgd in dit postvak en doorgestuurd naar de opgegeven geadresseerde.
     • Onwaar: Berichten worden doorgestuurd naar de opgegeven geadresseerde. Berichten worden niet bezorgd in dit postvak.

3. Als u wilt zien of e-mail wordt doorgestuurd vanuit het postvak, vervangt u Identiteit> door <de naam, het e-mailadres of de accountnaam van het postvak en voert u de volgende opdracht uit:

   Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   Bijvoorbeeld:

   Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   Bekijk de waarden van de volgende eigenschappen:

   • Ingeschakeld: of de regel is ingeschakeld (Waar) of uitgeschakeld (Onwaar).

   • RedirectTo: een niet-lege waarde betekent dat e-mail wordt omgeleid naar de opgegeven geadresseerden. Berichten worden niet bezorgd in dit postvak.

   • Doorsturen: een niet-lege waarde betekent dat e-mail wordt doorgestuurd naar de opgegeven geadresseerden.

   • ForwardAsAttachmentTo: Een niet-lege waarde betekent dat e-mail als e-mailbijlage wordt doorgestuurd naar de opgegeven geadresseerden.

   • Identiteit: de wereldwijd unieke waarde van de regel. Als u de volledige details van de regel wilt zien, vervangt u Identiteit> door <de waarde Identiteit en voert u de volgende opdracht uit:

     Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
     

     Bijvoorbeeld:

     Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
     

Zie Automatisch doorsturen van externe e-mail beheren voor meer informatie.

Een onderzoek uitvoeren

Wanneer een gebruiker ongebruikelijke symptomen meldt, is het van cruciaal belang om een grondig onderzoek uit te voeren. De Microsoft Entra-beheercentrum en de Microsoft Defender portal bieden verschillende hulpprogramma's om verdachte activiteiten op gebruikersaccounts te onderzoeken. Controleer de auditlogboeken vanaf het begin van de verdachte activiteit totdat u de herstelstappen hebt voltooid.

• Microsoft Entra aanmeldingslogboeken en andere risicorapporten in de Microsoft Entra-beheercentrum: Bekijk de waarden in deze kolommen:

  • IP-adres
  • Aanmeldingslocaties
  • Aanmeldingstijden
  • Aanmelden is geslaagd of mislukt

  Zie de volgende artikelen voor meer informatie:

  • Wat zijn Microsoft Entra auditlogboeken?
  • Wat zijn Microsoft Entra aanmeldingslogboeken?

• Azure-auditlogboeken: zie Logboekregistratie en controle van Azure-beveiliging voor meer informatie.

• Auditlogboeken in de Defender-portal: filter de logboeken op activiteit met behulp van een datumbereik dat begint direct voordat de verdachte activiteit heeft plaatsgevonden. Filter specifieke activiteiten niet tijdens de eerste zoekopdracht.

  Zie Het auditlogboek doorzoeken voor meer informatie.

Door de opgegeven logboeken te analyseren, kunt u het specifieke tijdsbestek vaststellen dat verdere aandacht vereist. Zodra deze zijn geïdentificeerd, controleert u de berichten die tijdens deze periode door de gebruiker zijn verzonden voor meer inzicht.

• Berichttracering in de Defender-portal: controleer de inhoud van de map Verzonden items van het account in Outlook of webversie van Outlook.

  Zie Berichttracering in de Microsoft Defender-portal voor meer informatie.

Nadat het onderzoek is voltooid

1. Als u het account tijdens het onderzoek hebt uitgeschakeld, stelt u het wachtwoord opnieuw in en schakelt u het account in zoals eerder in dit artikel is beschreven

2. Als het account is gebruikt voor het verzenden van spam of een groot e-mailvolume, is het waarschijnlijk dat het postvak is geblokkeerd voor het verzenden van e-mail. Verwijder de gebruiker van de pagina Beperkte entiteiten, zoals beschreven in Geblokkeerde gebruikers verwijderen van de pagina Beperkte entiteiten.

Meer informatie

Outlook-regels en aanvallen met aangepaste Forms-injecties detecteren en herstellen

Onrechtmatige toestemmingsverlening detecteren en herstellen

Spam, niet-spam, phishing, verdachte e-mail en bestanden rapporteren aan Microsoft