Обнаружение и исправление атак с правилами Outlook и пользовательскими Forms внедрения

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Сводка Узнайте, как распознавать и исправлять правила Outlook и пользовательские атаки Forms внедрения в Office 365.

Что такое атака путем внедрения правил Outlook и пользовательского Forms?

После того как злоумышленник получает доступ к вашей организации, он пытается закрепиться, чтобы остаться или вернуться к ней после обнаружения. Это действие называется созданием механизма сохраняемости. Злоумышленник может использовать Outlook для создания механизма сохраняемости двумя способами:

• Используя правила Outlook.
• Путем внедрения пользовательских форм в Outlook.

Переустановка Outlook или даже предоставление пострадавшему пользователю нового компьютера не поможет. Когда после новой установки Outlook подключается к почтовому ящику, все правила и формы синхронизируются из облака. Правила или формы обычно предназначены для запуска удаленного кода и установки вредоносных программ на локальном компьютере. Вредоносная программа крадет учетные данные или выполняет другие незаконные действия.

Хорошая новость заключается в том, что при сохранении исправлений клиентов Outlook до последней версии вы не будете уязвимы для угрозы, так как текущий клиент Outlook по умолчанию блокирует оба механизма.

Атаки обычно следуют следующим шаблонам:

Эксплойт правил:

1. Злоумышленник похищает учетные данные пользователя.
2. Злоумышленник входит в почтовый ящик Exchange этого пользователя (Exchange Online или локальную среду Exchange).
3. Злоумышленник создает правило переадресации папки "Входящие" в почтовом ящике. Правило переадресации активируется, когда почтовый ящик получает от злоумышленника определенное сообщение, соответствующее условиям правила. Условия правила и формат сообщения разработаны специально для друг друга.
4. Злоумышленник отправляет сообщение электронной почты триггера в скомпрометированный почтовый ящик, который по-прежнему используется в обычном режиме не подозревающим пользователем.
5. Когда почтовый ящик получает сообщение, соответствующее условиям правила, применяется действие правила. Как правило, действие правила заключается в запуске приложения на удаленном сервере (WebDAV).
6. Как правило, приложение устанавливает вредоносные программы на компьютере пользователя (например, PowerShell Empire).
7. Вредоносная программа позволяет злоумышленнику украсть (или снова) имя пользователя, пароль или другие учетные данные с локального компьютера и выполнить другие вредоносные действия.

Эксплойт Forms:

1. Злоумышленник похищает учетные данные пользователя.
2. Злоумышленник входит в почтовый ящик Exchange этого пользователя (Exchange Online или локальную среду Exchange).
3. Злоумышленник вставляет пользовательский шаблон формы почты в почтовый ящик пользователя. Пользовательская форма активируется, когда почтовый ящик получает определенное сообщение от злоумышленника, которому требуется, чтобы почтовый ящик загрузил настраиваемую форму. Настраиваемая форма и формат сообщения адаптированы друг к другу.
4. Злоумышленник отправляет сообщение электронной почты триггера в скомпрометированный почтовый ящик, который по-прежнему используется в обычном режиме не подозревающим пользователем.
5. Когда почтовый ящик получает сообщение, почтовый ящик загружает требуемую форму. Форма запускает приложение на удаленном сервере (WebDAV).
6. Как правило, приложение устанавливает вредоносные программы на компьютере пользователя (например, PowerShell Empire).
7. Вредоносная программа позволяет злоумышленнику украсть (или снова) имя пользователя, пароль или другие учетные данные с локального компьютера и выполнить другие вредоносные действия.

Как может выглядеть атака путем внедрения правил и пользовательских Forms Office 365?

Пользователи вряд ли заметят эти механизмы сохраняемости, и они даже могут быть невидимыми для них. В следующем списке описаны признаки (индикаторы компрометации), указывающие на необходимость действий по исправлению:

• Индикаторы компрометации правил:

  • Действие правила — запуск приложения.
  • Правило ссылается на EXE, ZIP или URL-адрес.
  • На локальном компьютере найдите новые запуски процесса, которые происходят из PID Outlook.

• Индикаторы компрометации пользовательских форм:

  • Пользовательские формы представлены как собственный класс сообщений.
  • Класс Message содержит исполняемый код.
  • Как правило, вредоносные формы хранятся в личных Forms библиотеках или папках папки "Входящие".
  • Форма называется IPM. Примечание. [пользовательское имя].

Действия по обнаружению признаков этой атаки и ее подтверждению

Для подтверждения атаки можно использовать один из следующих методов:

• Вручную изучите правила и формы для каждого почтового ящика с помощью клиента Outlook. Этот метод является тщательным, но вы можете проверка только один почтовый ящик за раз. Этот метод может занять очень много времени, если у вас есть много пользователей для проверка, а также может заразить компьютер, который вы используете.

• Используйте сценарий PowerShellGet-AllTenantRulesAndForms.ps1 для автоматического дампа всех правил переадресации почты и настраиваемых форм для всех пользователей в организации. Этот метод является самым быстрым и безопасным с наименьшим объемом затрат.

  Примечание.

  С января 2021 г. скрипт (и все остальное в репозитории) доступен только для чтения и архивируется. Строки 154–158 пытаются подключиться к Exchange Online PowerShell с помощью метода, который больше не поддерживается из-за прекращения использования удаленных подключений PowerShell в июле 2023 г. Удалите строки с 154 по 158 и Подключиться к Exchange Online PowerShell перед выполнением сценария.

Подтверждение атаки правил с помощью клиента Outlook

1. Откройте клиент Outlook для пользователей в качестве пользователя. Пользователю может потребоваться ваша помощь при изучении правил в почтовом ящике.

2. Инструкции по открытию интерфейса правил в Outlook см. в статье Управление сообщениями электронной почты с помощью правил .

3. Найдите правила, которые пользователь не создавал, или любые непредвиденные правила или правила с подозрительными именами.

4. Просмотрите в описании правила действия, которые запускают и приложения или ссылаются на .EXE, .ZIP файл или для запуска URL-адреса.

5. Найдите новые процессы, которые начинают использовать идентификатор процесса Outlook. См. раздел Поиск идентификатора процесса.

Действия по подтверждению атаки Forms с помощью клиента Outlook

1. Откройте клиент Outlook пользователя в качестве пользователя.

2. Выполните действия, описанные в разделе Показать вкладку Разработчик для версии Outlook пользователя.

3. Откройте видимую вкладку разработчика в Outlook и выберите конструктор формы.

4. Выберите папку "Входящие" в списке "Поиск ". Найдите все настраиваемые формы. Пользовательские формы встречаются достаточно редко, что, если у вас есть какие-либо пользовательские формы, стоит более подробно рассмотреть.

5. Изучите все настраиваемые формы, особенно формы, помеченные как скрытые.

6. Откройте все настраиваемые формы и в группе Форма выберите Просмотреть код , чтобы узнать, что выполняется при загрузке формы.

Действия по подтверждению правил и Forms атаки с помощью PowerShell

Самый простой способ проверить атаку с помощью правил или пользовательских форм — запустить сценарий PowerShellGet-AllTenantRulesAndForms.ps1 . Этот скрипт подключается к каждому почтовому ящику в организации и создает дампы всех правил и форм в два .csv файла.

Предварительные условия

Необходимо быть членом роли глобального администратора в Microsoft Entra ID или группы ролей "Управление организацией" в Exchange Online, так как скрипт подключается к каждому почтовому ящику в организации для чтения правил и форм.

1. Используйте учетную запись с правами локального администратора для входа на компьютер, на котором планируется запустить скрипт.

2. Скачайте или скопируйте содержимое скрипта Get-AllTenantRulesAndForms.ps1 из GitHub в папку, в которую легко найти и запустить скрипт. Скрипт создает в папке два файла с меткой даты: MailboxFormsExport-yyyy-MM-dd.csv и MailboxRulesExport-yyyy-MM-dd.csv.

   Удалите строки 154–158 из скрипта, так как этот метод подключения больше не работает с июля 2023 г.

3. Подключение к Exchange Online PowerShell.

4. Перейдите в PowerShell в папку, в которой сохранен скрипт, а затем выполните следующую команду:

   .\Get-AllTenantRulesAndForms.ps1
   

Интерпретация выходных данных

• MailboxRulesExport-yyyy-MM-dd.csv: проверьте правила (по одному на строку) на наличие условий действий, включающих приложения или исполняемые файлы:
  • ActionType (столбец A): правило, скорее всего, является вредоносным, если этот столбец содержит значение ID_ACTION_CUSTOM.
  • IsPotentiallyMalicious (столбец D): правило, скорее всего, является вредоносным, если этот столбец содержит значение TRUE.
  • ActionCommand (столбец G): правило, скорее всего, является вредоносным, если этот столбец содержит одно из следующих значений:
    • Приложение.
    • Файл .exe или .zip.
    • Неизвестная запись, ссылающаяся на URL-адрес.
• MailboxFormsExport-yyyy-MM-dd.csv: в целом использование пользовательских форм встречается редко. Если вы нашли что-либо в этой книге, откройте почтовый ящик этого пользователя и изучите саму форму. Если ваша организация не поместила его туда намеренно, это, скорее всего, злонамеренно.

Как остановить и исправить правила Outlook и Forms атаки

Если вы найдете какие-либо доказательства любой из этих атак, исправление просто: просто удалите правило или форму в почтовом ящике. Правило или форму можно удалить с помощью клиента Outlook или Exchange PowerShell.

Использование Outlook

1. Определите все устройства, на которых пользователь использовал Outlook. Все они должны быть очищены от потенциальных вредоносных программ. Не разрешайте пользователю входить в систему и использовать электронную почту, пока не будут очищены все устройства.

2. На каждом устройстве выполните действия, описанные в разделе Удаление правила.

3. Если вы не уверены в наличии других вредоносных программ, вы можете отформатировать и переустановить все программное обеспечение на устройстве. Для мобильных устройств можно выполнить действия производителей, чтобы сбросить заводской образ устройства.

4. Установите самые актуальные версии Outlook. Помните, что текущая версия Outlook по умолчанию блокирует оба типа этой атаки.

5. После удаления всех автономных копий почтового ящика выполните следующие действия.

   • Сбросьте пароль пользователя, используя высокое качество (длину и сложность).
   • Если многофакторная проверка подлинности (MFA) не включена для пользователя, выполните действия, описанные в разделе Настройка многофакторной проверки подлинности для пользователей.

   Эти действия гарантируют, что учетные данные пользователя не предоставляются другими способами (например, фишинг или повторное использование пароля).

С помощью PowerShell

Подключитесь к требуемой среде Exchange PowerShell:

• Почтовые ящики на локальных серверах Exchange. Подключитесь к серверам Exchange с помощью удаленной оболочки PowerShell или откройте командную консоль Exchange.

• Почтовые ящики в Exchange Online: подключитесь к Exchange Online PowerShell.

После подключения к требуемой среде Exchange PowerShell можно выполнить следующие действия с правилами папки "Входящие" в почтовых ящиках пользователей:

• Просмотр правил папки "Входящие" в почтовом ящике:

  • Просмотр сводного списка всех правил

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • Просмотрите подробные сведения для определенного правила:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  Подробные сведения о синтаксисе и параметрах см. в разделе Get-InboxRule.

• Удаление правил папки "Входящие" из почтового ящика:

  • Удалите определенное правило:

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • Удалите все правила:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  Подробные сведения о синтаксисе и параметрах см. в разделе Remove-InboxRule.

• Отключите правило папки "Входящие" для дальнейшего изучения:

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  Подробные сведения о синтаксисе и параметрах см. в разделе Disable-InboxRule.

Как свести к минимуму будущие атаки

Во-первых: защита учетных записей

Правила и Forms эксплойты используются злоумышленником только после кражи или взлома учетной записи пользователя. Таким образом, первым шагом к предотвращению использования этих эксплойтов в организации является агрессивная защита учетных записей пользователей. Некоторые из наиболее распространенных способов взлома учетных записей — это фишинговые атаки или атаки с распылением паролей.

Лучший способ защитить учетные записи пользователей (особенно учетные записи администратора) — настроить MFA для пользователей. Кроме того, следует:

• Отслеживайте доступ к учетным записям пользователей и их использование. Вы не можете предотвратить первоначальное нарушение, но вы можете сократить длительность и последствия нарушения, обнаружив его быстрее. Эти политики Office 365 Cloud App Security можно использовать для мониторинга учетных записей и оповещения о необычных действиях:

  • Несколько неудачных попыток входа. Запускает оповещение, когда пользователи выполняют несколько неудачных действий входа в одном сеансе в отношении изученного базового плана, что может указывать на попытку нарушения.

  • Невозможное перемещение. Активирует оповещение при обнаружении действий одного пользователя в разных расположениях в течение периода времени, который короче ожидаемого времени в пути между двумя расположениями. Это действие может указывать на то, что другой пользователь использует одни и те же учетные данные. Обнаружение этого аномального поведения требует начального периода обучения в семь дней для изучения нового шаблона действий пользователя.

  • Необычные олицетворенные действия (по пользователю): активирует оповещение, когда пользователи выполняют несколько олицетворенных действий в одном сеансе относительно изученного базового плана, что может указывать на попытку нарушения.

• Используйте такое средство, как Office 365 Оценка безопасности, для управления конфигурациями и поведением безопасности учетных записей.

Во-вторых: поддержание актуальности клиентов Outlook

В полностью обновленных и исправленных версиях Outlook 2013 и 2016 по умолчанию отключается действие "Запустить приложение". Даже если злоумышленник взломает учетную запись, действия правил и форм блокируются. Вы можете установить последние обновления и исправления для системы безопасности, выполнив действия, описанные в разделе Установка обновлений Office.

Ниже приведены версии исправлений для клиентов Outlook 2013 и 2016:

• Outlook 2016: 16.0.4534.1001 или выше.
• Outlook 2013: 15.0.4937.1000 или более поздней версии.

Дополнительные сведения об отдельных исправлениях системы безопасности см. в следующих разделах:

• Исправление для системы безопасности Outlook 2016
• Исправление системы безопасности Outlook 2013

Третье: мониторинг клиентов Outlook

Даже после установки исправлений и обновлений злоумышленник может изменить конфигурацию локального компьютера, чтобы повторно включить поведение "Запуск приложения". Расширенное управление групповая политика можно использовать для мониторинга и применения политик локального компьютера на клиентских устройствах.

Чтобы узнать, включена ли функция "Запуск приложения" повторно с помощью переопределения в реестре, см. сведения в разделе Просмотр системного реестра с помощью 64-разрядных версий Windows. Проверьте следующие подразделы:

• Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Найдите ключ EnableUnsafeClientMailRules:

• Если значение равно 1, исправление для системы безопасности Outlook переопределено, и компьютер уязвим для атаки формы и правил.
• Если значение равно 0, действие "Запустить приложение" отключается.
• Если раздел реестра отсутствует и установлена обновленная и исправленная версия Outlook, система не будет уязвима для этих атак.

Клиентам с локальными установками Exchange следует рассмотреть возможность блокировки старых версий Outlook, для которых нет доступных исправлений. Дополнительные сведения об этом процессе см. в статье Настройка блокировки клиента Outlook.

См. также:

• Вредоносные правила Outlook от SilentBreak Security Post о векторе правил содержит подробный обзор правил Outlook.
• MAPI через HTTP и Mailrule Pwnage в блоге Sensepost о Mailrule Pwnage обсуждает инструмент под названием Линейка, который позволяет использовать почтовые ящики с помощью правил Outlook.
• Outlook формирует и создает оболочки в блоге Sensepost о Forms Threat Vector.
• База кода линейки
• Индикаторы компрометации линейки