Классификация оповещений о подозрительных действиях переадресации электронной почты

Область применения:

• Microsoft Defender XDR

Субъекты угроз могут использовать скомпрометированные учетные записи пользователей для нескольких вредоносных целей, включая чтение сообщений электронной почты в папке "Входящие" пользователя, пересылку сообщений электронной почты внешним получателям и отправку фишинговых сообщений, среди прочего. Целевой пользователь может не знать, что его сообщения пересылаются. Это распространенная тактика, которую злоумышленники используют при компрометации учетных записей пользователей.

Сообщения электронной почты можно пересылать вручную или автоматически с помощью правил переадресации. Автоматическую пересылку можно реализовать несколькими способами, например правилами папки "Входящие", правилом транспорта Exchange (ETR) и перенаправлением SMTP. Хотя для переадресации вручную требуется прямое действие со стороны пользователей, они могут не знать обо всех автоматических сообщениях электронной почты. В Microsoft 365 оповещение возникает, когда пользователь автоматически отправляет сообщение электронной почты на потенциально вредоносный адрес электронной почты.

Этот сборник схем помогает исследовать оповещения о подозрительных действиях переадресации Email и быстро оценивать их как истинно положительные (TP) или ложноположительные (FP). Затем можно выполнить рекомендуемые действия для оповещений TP, чтобы устранить атаку.

Общие сведения о классификациях оповещений для Microsoft Defender для Office 365 и Microsoft Defender for Cloud Apps см. во введении.

Результаты использования этого сборника схем:

• Оповещения, связанные с автоматическим отправкой сообщений электронной почты, определяются как вредоносные (TP) или неопасные (FP) действия.

  При наличии вредоносного кода вы можете остановить автоматическую рассылку электронной почты для затронутых почтовых ящиков.

• Вы принимаете необходимые меры, если сообщения электронной почты были переадресованы на вредоносный адрес электронной почты.

правила переадресации Email

Email правила переадресации позволяют пользователям создавать правило для пересылки сообщений электронной почты, отправленных в почтовый ящик пользователя, в почтовый ящик другого пользователя в организации или за ее пределами. Некоторые пользователи электронной почты, особенно с несколькими почтовыми ящиками, настраивают правила переадресации для перемещения сообщений электронной почты работодателя в свои личные учетные записи электронной почты. Email переадресация является полезной функцией, но также может представлять угрозу безопасности из-за потенциального раскрытия информации. Злоумышленники могут использовать эту информацию для атаки на вашу организацию или ее партнеров.

Подозрительные действия по пересылке сообщений электронной почты

Злоумышленники могут настроить правила электронной почты, чтобы скрыть входящие сообщения в скомпрометированном почтовом ящике пользователя, чтобы скрыть свои вредоносные действия от пользователя. Они также могут задавать правила в скомпрометированном почтовом ящике пользователя, чтобы удалять электронные письма, перемещать их в другую менее заметную папку, например папку RSS, или пересылать сообщения во внешнюю учетную запись.

Некоторые правила могут перемещать все сообщения электронной почты в другую папку и помечать их как "прочитанные", в то время как некоторые правила могут перемещать только сообщения с определенными ключевыми словами в сообщении электронной почты или теме. Например, правило папки "Входящие" может искать такие ключевые слова, как "счет", "фишинг", "не отвечать", "подозрительное сообщение" или "спам", а также перемещать их во внешнюю учетную запись электронной почты. Злоумышленники также могут использовать скомпрометированный почтовый ящик пользователя для распространения спама, фишинга или вредоносных программ.

Microsoft Defender для Office 365 может обнаруживать и оповещать о подозрительных правилах переадресации электронной почты, что позволяет находить и удалять скрытые правила в источнике.

Дополнительные сведения см. в следующих записях блога:

• Компрометация бизнес-Email
• За кулисами компрометации бизнес-электронной почты: использование междоменных данных об угрозах для прерывания крупной кампании BEC

Сведения об оповещении

Чтобы просмотреть оповещение о подозрительных действиях переадресации Email, откройте страницу Оповещения, чтобы просмотреть раздел Список действий. Ниже приведен пример.

Выберите Действие , чтобы просмотреть сведения об этом действии на боковой панели. Ниже приведен пример.

Рабочий процесс исследования

При изучении этого оповещения необходимо определить следующее:

• Скомпрометирована ли учетная запись пользователя и его почтовый ящик?
• Являются ли действия вредоносными?

Скомпрометирована ли учетная запись пользователя и его почтовый ящик?

Посмотрев на прошлое поведение отправителя и последние действия, вы сможете определить, следует ли считать учетную запись пользователя скомпрометацией. Сведения об оповещениях, возникающих на странице пользователя, можно просмотреть на портале Microsoft Defender.

Вы также можете проанализировать другие действия для затронутого почтового ящика:

• Использование Обозреватель угроз для понимания угроз, связанных с электронной почтой

  • Понаблюдайте, сколько сообщений электронной почты, отправленных отправителем, обнаруживается как фишинг, спам или вредоносная программа.
  • Следите за тем, сколько отправленных сообщений содержит конфиденциальную информацию.

• Оценка рискованного поведения при входе в систему в портал Azure Майкрософт.

• Проверьте наличие вредоносных действий на устройстве пользователя.

Являются ли действия вредоносными?

Изучите действия переадресации электронной почты. Например, проверка тип электронной почты, получатель этого сообщения или способ его пересылки.

Дополнительные сведения см. в следующих статьях:

• Отчет об автоматических сообщениях в EAC
• Новые пользователи, переадресовывая аналитика электронной почты в EAC
• Реагирование на взлом учетной записи электронной почты
• Отчеты о ложных срабатываниях и ложноотрицательных результатах в Outlook

Ниже приведен рабочий процесс для выявления подозрительных действий переадресации электронной почты.

Оповещение переадресации электронной почты можно исследовать с помощью Обозреватель угроз или с помощью расширенных запросов охоты на основе доступности функций на портале Microsoft Defender. При необходимости вы можете выполнить весь процесс или его часть.

Использование Обозреватель угроз

Обозреватель угроз предоставляет интерактивное исследование угроз, связанных с электронной почтой, чтобы определить, является ли это действие подозрительным или нет. Из сведений об оповещении можно использовать следующие индикаторы:

• SRL/RL: используйте список (подозрительных) получателей (SRL), чтобы найти следующие сведения:

  

  • Кто еще пересылал письма этим получателям?
  • Сколько сообщений электронной почты было перенаправлено этим получателям?
  • Как часто сообщения электронной почты пересылаются этим получателям?

• MTI. Используйте идентификатор трассировки сообщений или идентификатор сетевого сообщения, чтобы найти следующие сведения:

  

  • Какие другие сведения доступны для этого сообщения электронной почты? Например, тема, путь возврата и метка времени.
  • Каков источник этого сообщения электронной почты? Есть ли аналогичные сообщения электронной почты?
  • Содержит ли это письмо КАКИЕ-либо URL-адреса? Указывает ли URL-адрес на какие-либо конфиденциальные данные?
  • Содержит ли сообщение электронной почты какие-либо вложения? Содержат ли вложения конфиденциальную информацию?
  • Какое действие было выполнено по электронной почте? Была ли она удалена, помечена как прочитанное или перенесена в другую папку?
  • Существуют ли угрозы, связанные с этим сообщением электронной почты? Является ли эта электронная почта частью какой-либо кампании?

На основе ответов на эти вопросы вы сможете определить, является ли сообщение вредоносным или безопасным.

Запросы расширенной охоты

Чтобы использовать расширенные запросы охоты для сбора информации, связанной с оповещением, и определения того, является ли действие подозрительным, убедитесь, что у вас есть доступ к следующим таблицам:

• EmailEvents — содержит сведения, связанные с потоком электронной почты.

• EmailUrlInfo — содержит сведения, связанные с URL-адресами в сообщениях электронной почты.

• CloudAppEvents — содержит журнал аудита действий пользователей.

• IdentityLogonEvents — содержит сведения для входа для всех пользователей.

Примечание.

Некоторые параметры являются уникальными для вашей организации или сети. Заполните эти конкретные параметры, как описано в каждом запросе.

Выполните этот запрос, чтобы узнать, кто еще пересылал сообщения электронной почты этим получателям (SRL/RL).

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId

Выполните этот запрос, чтобы узнать, сколько сообщений электронной почты было перенаправлено этим получателям.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress

Выполните этот запрос, чтобы узнать, как часто пересылаются сообщения электронной почты этим получателям.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)

Выполните этот запрос, чтобы узнать, содержит ли сообщение электронной почты КАКИЕ-либо URL-адреса.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti

Выполните этот запрос, чтобы узнать, содержит ли сообщение электронной почты какие-либо вложения.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti

Выполните этот запрос, чтобы узнать, создал ли сервер пересылки (отправитель) какие-либо новые правила.

let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
    "New-InboxRule",
    "UpdateInboxRules",
    "Set-InboxRule",
    "Set-Mailbox",
    "New-TransportRule",
    "Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)

Выполните этот запрос, чтобы узнать, были ли аномальные события входа от этого пользователя. Например: неизвестные IP-адреса, новые приложения, необычные страны или регионы, несколько событий LogonFailed.

let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender

Изучение правил переадресации

Вы также можете найти подозрительные правила переадресации с помощью Центра администрирования Exchange на основе типа правила (значение FT в оповещении).

• ETR

  Правила транспорта Exchange перечислены в разделе Правила . Убедитесь, что все правила являются ожидаемыми.

• SMTP

  Правила переадресации почтовых ящиков можно просмотреть, выбрав почтовый ящик > отправителя Управление параметрами потока обработки почты > Email переадресации > Изменить.

• ВходящиеRule

  Правила папки "Входящие" настраиваются с помощью клиента электронной почты. Вы можете использовать командлет PowerShell Get-InboxRule , чтобы получить список правил для папки "Входящие", созданных пользователями.

Дополнительное исследование

Наряду с обнаруженными до сих пор доказательствами можно определить, создаются ли новые правила переадресации. Изучите IP-адрес, связанный с правилом. Убедитесь, что он не является аномальным IP-адресом и соответствует обычным действиям, выполняемым пользователем.

Рекомендуемые действия

Определив, что связанные действия делают это оповещение истинным положительным, классифицируйте оповещение и выполните следующие действия для исправления:

1. Отключите и удалите правило переадресации папки "Входящие".

2. Для типа переадресации InboxRule сбросьте учетные данные пользователя.

3. Для типа пересылки SMTP или ETR изучите действия учетной записи пользователя, создавшего оповещение.

   • Изучите любые другие подозрительные действия администратора.

   • Сброс учетных данных учетной записи пользователя.

4. Проверьте наличие других действий, полученных от затронутых учетных записей, IP-адресов и подозрительных отправителей.

См. также

• Обзор классификации оповещений
• Подозрительные правила пересылки входящих сообщений
• Подозрительные правила обработки входящих сообщений.
• Исследование оповещений

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.