Share via

Outlook Kurallarını ve Özel Forms Ekleme Saldırılarını Algılama ve Düzeltme

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Özet Office 365'da Outlook kurallarını ve özel Forms ekleme saldırılarını tanıyıp düzeltmeyi öğrenin.

Outlook Kuralları ve Özel Forms ekleme saldırısı nedir?

Bir saldırgan kuruluşunuza erişim kazandıktan sonra, bulunduğu yerde kalmak veya bulunduktan sonra geri dönmek için bir koruma alanı oluşturmaya çalışır. Bu etkinliğe kalıcılık mekanizması oluşturma adı verilir. Bir saldırganın kalıcılık mekanizması oluşturmak için Outlook'u kullanabilmesi için iki yol vardır:

  • Outlook kurallarını kullanarak.
  • Outlook'a özel formlar ekleyerek.

Outlook'u yeniden yüklemek, hatta etkilenen kişiye yeni bir bilgisayar vermek işe yaramaz. Outlook'un yeni yüklemesi posta kutusuna bağlandığında, tüm kurallar ve formlar buluttan eşitlenir. Kurallar veya formlar genellikle uzak kod çalıştırmak ve yerel makineye kötü amaçlı yazılım yüklemek için tasarlanmıştır. Kötü amaçlı yazılım kimlik bilgilerini çalar veya diğer yasadışı etkinlikleri gerçekleştirir.

İyi haber şudur: Outlook istemcilerine en son sürüme düzeltme eki uygulamazsanız, geçerli Outlook istemcisi varsayılan olarak her iki mekanizmayı da engellediğinden, tehdide karşı savunmasız değilsinizdir.

Saldırılar genellikle şu desenleri izler:

Kurallardan Yararlanma:

  1. Saldırgan bir kullanıcının kimlik bilgilerini çalar.
  2. Saldırgan, kullanıcının Exchange posta kutusunda (Exchange Online veya şirket içi Exchange) oturum açar.
  3. Saldırgan, posta kutusunda bir iletme Gelen Kutusu kuralı oluşturur. posta kutusu saldırgandan kuralın koşullarıyla eşleşen belirli bir ileti aldığında iletme kuralı tetikler. Kural koşulları ve ileti biçimi, birbirlerine göre uyarlanmıştır.
  4. Saldırgan, güvenliği aşılmış posta kutusuna tetikleyici e-postasını gönderir. Bu e-posta, hala sızdırılmayan kullanıcı tarafından normal olarak kullanılıyor.
  5. Posta kutusu kural koşullarıyla eşleşen bir ileti aldığında, kuralın eylemi uygulanır. Kural eylemi genellikle bir uygulamayı uzak (WebDAV) sunucusunda başlatmaktır.
  6. Genellikle uygulama kullanıcının makinesine kötü amaçlı yazılım yükler (örneğin, PowerShell Empire).
  7. Kötü amaçlı yazılım, saldırganın kullanıcının kullanıcı adını ve parolasını veya diğer kimlik bilgilerini yerel makineden çalmasına (veya yeniden çalmasına) ve diğer kötü amaçlı etkinlikleri gerçekleştirmesine olanak tanır.

Forms Açık:

  1. Saldırgan bir kullanıcının kimlik bilgilerini çalar.
  2. Saldırgan, kullanıcının Exchange posta kutusunda (Exchange Online veya şirket içi Exchange) oturum açar.
  3. Saldırgan, kullanıcının posta kutusuna özel bir posta formu şablonu ekler. Özel form, posta kutusu saldırgandan özel formun yüklenmesini gerektiren belirli bir ileti aldığında tetikler. Özel form ve ileti biçimi, birbirlerine göre uyarlanmıştır.
  4. Saldırgan, güvenliği aşılmış posta kutusuna tetikleyici e-postasını gönderir. Bu e-posta, hala sızdırılmayan kullanıcı tarafından normal olarak kullanılıyor.
  5. Posta kutusu iletiyi aldığında, posta kutusu gerekli formu yükler. Form, uzak (WebDAV) sunucusunda bir uygulama başlatır.
  6. Genellikle uygulama kullanıcının makinesine kötü amaçlı yazılım yükler (örneğin, PowerShell Empire).
  7. Kötü amaçlı yazılım, saldırganın kullanıcının kullanıcı adını ve parolasını veya diğer kimlik bilgilerini yerel makineden çalmasına (veya yeniden çalmasına) ve diğer kötü amaçlı etkinlikleri gerçekleştirmesine olanak tanır.

Kurallar ve Özel Forms Ekleme saldırısı Office 365 nasıl görünebilir?

Kullanıcıların bu kalıcılık mekanizmalarını fark etme olasılıkları düşüktür ve hatta onlar için görünmez bile olabilirler. Aşağıdaki listede, düzeltme adımlarının gerekli olduğunu belirten işaretler (Risk Göstergeleri) açıklanmaktadır:

  • Kuralların tehlikeye atılmasına ilişkin göstergeler:

    • Kural Eylemi, bir uygulamayı başlatmaktır.
    • Kural Exe, ZIP veya URL'ye başvurur.
    • Yerel makinede, Outlook PID'den kaynaklanan yeni işlem başlangıçlarını arayın.

  • Özel formların güvenliğinin aşılmasına ilişkin göstergeler:

    • Kendi ileti sınıfı olarak kaydedilen özel formlar var.
    • İleti sınıfı yürütülebilir kod içerir.
    • Kötü amaçlı formlar genellikle Kişisel Forms Kitaplığı veya Gelen Kutusu klasörlerinde depolanır.
    • Form IPM olarak adlandırılır. Not. [özel ad].

Bu saldırının işaretlerini bulma ve onaylama adımları

Saldırıyı onaylamak için aşağıdaki yöntemlerden birini kullanabilirsiniz:

  • Outlook istemcisini kullanarak her posta kutusu için kuralları ve formları el ile inceleyin. Bu yöntem kapsamlıdır, ancak aynı anda yalnızca bir posta kutusunu deleyebilirsiniz. Denetlemeniz gereken çok sayıda kullanıcı varsa bu yöntem çok zaman alabilir ve kullandığınız bilgisayara da bulaşabilir.

  • Get-AllTenantRulesAndForms.ps1 PowerShell betiğini kullanarak kuruluşunuzdaki tüm kullanıcılar için tüm posta iletme kurallarını ve özel formları otomatik olarak döküm edin. Bu yöntem, en az ek yüke sahip en hızlı ve en güvenli yöntemdir.

    Not

    Ocak 2021 itibarıyla betik (ve depodaki diğer her şey) salt okunur ve arşivlenmiş olur. 154 ile 158 arasındaki satırlar, Temmuz 2023'te uzak PowerShell bağlantılarının kullanımdan kaldırılması nedeniyle artık desteklenmeyen bir yöntem kullanarak Exchange Online PowerShell'e bağlanmayı dener. Betiği çalıştırmadan önce 154- 158 satırlarını kaldırın ve Exchange Online PowerShell'e bağlanın.

Outlook istemcisini kullanarak Kural Saldırısını Onaylama

  1. Kullanıcı olarak kullanıcılar Outlook istemcisini açın. Kullanıcının posta kutularındaki kuralları inceleme konusunda yardımınıza ihtiyacı olabilir.

  2. Outlook'ta kural arabirimini açma yordamları için Kural kullanarak e-posta iletilerini yönetme makalesine bakın.

  3. Kullanıcının oluşturmamış olduğu kuralları veya şüpheli adlara sahip beklenmeyen kuralları veya kuralları arayın.

  4. Başlatan ve uygulamaya yönelik kural eylemleri için kural açıklamasına bakın veya bir .EXE, .ZIP dosyasına veya url başlatmaya bakın.

  5. Outlook işlem kimliğini kullanmaya başlayan tüm yeni işlemleri arayın. İşlem Kimliğini Bulma bölümüne bakın.

Outlook istemcisini kullanarak Forms saldırısını onaylama adımları

  1. Kullanıcı olarak Outlook istemcisini açın.

  2. Kullanıcının Outlook sürümünün Geliştirici sekmesini gösterme başlığı altındaki adımları izleyin.

  3. Outlook'ta görünür durumdaki geliştirici sekmesini açın ve bir form tasarla'ya tıklayın.

  4. Bak listesinden GelenKutusu'nu seçin. Herhangi bir özel form arayın. Özel formlar, özel formlarınız varsa daha derin bir görünüme değer olacak kadar nadirdir.

  5. Özel formları, özellikle gizli olarak işaretlenmiş formları araştırın.

  6. Herhangi bir özel formu açın ve Form grubunda Kodu Görüntüle'yi seçerek form yüklendiğinde çalıştırılanları görün.

PowerShell kullanarak Kurallar ve Forms saldırısını onaylama adımları

Kuralları veya özel form saldırılarını doğrulamanın en basit yolu ,Get-AllTenantRulesAndForms.ps1 PowerShell betiğini çalıştırmaktır. Bu betik, kuruluşunuzdaki her posta kutusuna bağlanır ve tüm kuralları ve formları iki .csv dosyasına döker.

Önkoşullar

Betik, kuralları ve formları okumak için kuruluştaki her posta kutusuna bağlandığından, Microsoft Entra ID'da Genel Yönetici rolünün veya Exchange Online Kuruluş Yönetimi rol grubunun üyesi olmanız gerekir.

  1. Betiği çalıştırmak istediğiniz bilgisayarda oturum açmak için yerel yönetici haklarına sahip bir hesap kullanın.

  2. GitHub'danGet-AllTenantRulesAndForms.ps1 betiğinin içeriğini indirip kopyalayıp kolayca bulunup çalıştırılacak bir klasöre kopyalayın. Betik, klasöründe iki tarih damgalı dosya oluşturur: MailboxFormsExport-yyyy-MM-dd.csv ve MailboxRulesExport-yyyy-MM-dd.csv.

    Bu bağlantı yöntemi artık Temmuz 2023'ten itibaren çalışmadığından betikten 154 ile 158 arasındaki satırları kaldırın.

  3. Exchange Online PowerShell’e bağlanma.

  4. PowerShell'de betiği kaydettiğiniz klasöre gidin ve aşağıdaki komutu çalıştırın:

    .\Get-AllTenantRulesAndForms.ps1

Çıkışı yorumlama

  • MailboxRulesExport-yyyy-MM-dd.csv: Uygulamaları veya yürütülebilir dosyaları içeren eylem koşulları için kuralları (satır başına bir tane) inceleyin:
    • ActionType (A sütunu):Bu sütun değerini ID_ACTION_CUSTOMiçeriyorsa kural büyük olasılıkla kötü amaçlıdır.
    • IsPotentiallyMalicious (D sütunu): Bu sütun değerini TRUEiçeriyorsa kural büyük olasılıkla kötü amaçlıdır.
    • ActionCommand (G sütunu):Bu sütun aşağıdaki değerlerden herhangi birini içeriyorsa kural büyük olasılıkla kötü amaçlıdır:
      • Bir uygulama.
      • bir .exe veya .zip dosyası.
      • URL'ye başvuran bilinmeyen bir giriş.
  • MailboxFormsExport-yyyy-MM-dd.csv: Genel olarak özel formların kullanımı nadirdir. Bu çalışma kitabında herhangi birini bulursanız, kullanıcının posta kutusunu açın ve formun kendisini inceleyin. Kuruluşunuz bunu kasıtlı olarak koymadıysa, büyük olasılıkla kötü amaçlıdır.

Outlook Kurallarını ve Forms saldırısını durdurma ve düzeltme

Bu saldırılardan herhangi biriyle ilgili herhangi bir kanıt bulursanız, düzeltme basittir: posta kutusunda kuralı veya formu silmeniz gerekir. Outlook istemcisini veya Exchange PowerShell'i kullanarak kuralı veya formu silebilirsiniz.

Outlook'u kullanma

  1. Kullanıcının Outlook'u kullandığı tüm cihazları belirleyin. Bunların tümünün olası kötü amaçlı yazılımlardan temizlenmesi gerekir. Tüm cihazlar temizleninceye kadar kullanıcının oturum açmasına ve e-posta kullanmasına izin verme.

  2. Her cihazda , Kural silme'deki adımları izleyin.

  3. Diğer kötü amaçlı yazılımların varlığından emin değilseniz, cihazdaki tüm yazılımları biçimlendirebilir ve yeniden yükleyebilirsiniz. Mobil cihazlar için üretici adımlarını izleyerek cihazı fabrika görüntüsüne sıfırlayabilirsiniz.

  4. Outlook'un en güncel sürümlerini yükleyin. Outlook'un geçerli sürümünün bu saldırının her iki türünü de varsayılan olarak engellediği unutmayın.

  5. Posta kutusunun tüm çevrimdışı kopyaları kaldırıldıktan sonra aşağıdaki adımları uygulayın:

    Bu adımlar, kullanıcının kimlik bilgilerinin başka yollarla (örneğin, kimlik avı veya parola yeniden kullanımı) gösterilmemesini sağlar.

PowerShell kullanma

Gerekli Exchange PowerShell ortamına bağlanın:

Gerekli Exchange PowerShell ortamına bağlandıktan sonra, kullanıcı posta kutularındaki Gelen Kutusu kurallarında aşağıdaki eylemleri gerçekleştirebilirsiniz:

  • Posta kutusunda Gelen Kutusu kurallarını görüntüleme:

    • Tüm kuralların özet listesini görüntüleme

      Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com

    • Belirli bir kural için ayrıntılı bilgileri görüntüleyin:

      Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List

    Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-InboxRule.

  • Posta kutusundan Gelen Kutusu kurallarını kaldırma:

    • Belirli bir kuralı kaldırma:

      Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"

    • Tüm kuralları kaldır:

      Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule

    Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Remove-InboxRule.

  • Daha fazla araştırma için Gelen Kutusu kuralını kapatın:

    Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"

    Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Disable-InboxRule.

Gelecekteki saldırıları en aza indirme

İlk olarak: hesapları koruma

Kurallar ve Forms açıklarından yararlanma işlemleri, saldırgan tarafından yalnızca kullanıcının hesabını çaldıktan veya ihlal ettikten sonra kullanılır. Bu nedenle, bu açıkların kuruluşunuza karşı kullanılmasını önlemenin ilk adımı, kullanıcı hesaplarını agresif bir şekilde korumaktır. Hesapların ihlal edilmesi için en yaygın yollardan bazıları kimlik avı veya parola spreyi saldırılarıdır.

Kullanıcı hesaplarını (özellikle yönetici hesaplarını) korumanın en iyi yolu , kullanıcılar için MFA'yı ayarlamaktır. Ayrıca şunları da yapmalısınız:

  • Kullanıcı hesaplarına nasıl erişilip kullanıldığını izleyin. İlk ihlali engellemeyebilirsiniz, ancak daha erken algılayarak ihlalin süresini ve etkilerini kısaltabilirsiniz. Hesapları izlemek ve olağan dışı etkinlikler konusunda sizi uyarmak için bu Office 365 Bulut Uygulamaları Güvenliği ilkelerini kullanabilirsiniz:

    • Birden çok başarısız oturum açma girişimi: Kullanıcılar öğrenilen temele göre tek bir oturumda birden çok başarısız oturum açma etkinliği gerçekleştirdiğinde uyarı tetikler ve bu da ihlal girişimini gösterebilir.

    • İmkansız seyahat: İki konum arasındaki beklenen seyahat süresinden daha kısa bir süre içinde farklı konumlarda aynı kullanıcıdan etkinlikler algılandığında bir uyarı tetikler. Bu etkinlik, farklı bir kullanıcının aynı kimlik bilgilerini kullandığını gösterebilir. Bu anormal davranışın algılanması, yeni bir kullanıcının etkinlik desenini öğrenmek için yedi günlük ilk öğrenme süresini gerektirmektedir.

    • Olağan dışı kimliğe bürünülen etkinlik (kullanıcı tarafından): Kullanıcılar öğrenilen temele göre tek bir oturumda birden çok kimliğine bürünülen etkinlik gerçekleştirdiğinde uyarı tetikler ve bu da ihlal girişimine işaret edebilir.

  • Hesap güvenlik yapılandırmalarını ve davranışlarını yönetmek için Office 365 Güvenli Puan gibi bir araç kullanın.

İkinci: Outlook istemcilerini güncel tutma

Outlook 2013'ün tam olarak güncelleştirilmiş ve düzeltme eki eklenmiş sürümleri ve 2016, varsayılan olarak "Uygulamayı Başlat" kuralını/form eylemini devre dışı bırakır. Bir saldırgan hesabı ihlal ederse bile kural ve form eylemleri engellenir. Office güncelleştirmelerini yükleme bölümünde yer alan adımları izleyerek en son güncelleştirmeleri ve güvenlik düzeltme eklerini yükleyebilirsiniz.

Outlook 2013 ve 2016 istemcileri için düzeltme eki sürümleri şunlardır:

  • Outlook 2016: 16.0.4534.1001 veya üzeri.
  • Outlook 2013: 15.0.4937.1000 veya üzeri.

Tek tek güvenlik düzeltme ekleri hakkında daha fazla bilgi için bkz:

Üçüncü: Outlook istemcilerini izleme

Düzeltme ekleri ve güncelleştirmeler yüklü olsa bile, bir saldırganın "Uygulamayı Başlat" davranışını yeniden etkinleştirmek için yerel makine yapılandırmasını değiştirmesi mümkündür. İstemci cihazlarında yerel makine ilkelerini izlemek ve zorunlu kılmak için Gelişmiş grup ilkesi Yönetimi'ni kullanabilirsiniz.

Windows'un 64 bit sürümlerini kullanarak sistem kayıt defterini görüntüleme bölümünde yer alan bilgileri kullanarak kayıt defterindeki bir geçersiz kılma aracılığıyla "Uygulamayı Başlat"ın yeniden etkinleştirilip etkinleştirilmediğini görebilirsiniz. Şu alt anahtarları denetleyin:

  • Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
  • Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

anahtarını EnableUnsafeClientMailRulesarayın:

  • Değer 1 ise, Outlook güvenlik düzeltme eki geçersiz kılınmıştır ve bilgisayar Form/Kurallar saldırısına karşı savunmasızdır.
  • Değer 0 ise, "Uygulamayı Başlat" eylemi devre dışı bırakılır.
  • Kayıt defteri anahtarı yoksa ve Outlook'un güncelleştirilmiş ve düzeltme eki uygulamalı sürümü yüklüyse, sistem bu saldırılara karşı savunmasız değildir.

Şirket içi Exchange yüklemeleri olan müşteriler, Düzeltme ekleri bulunmayan eski Outlook sürümlerini engellemeyi göz önünde bulundurmalıdır. Bu işlemle ilgili ayrıntılar Outlook istemci engellemesini yapılandırma makalesinde bulunabilir.

Ayrıca bkz: