威胁参与者可以将泄露的用户帐户用于多种恶意目的,包括读取用户收件箱中的电子邮件、创建收件箱规则以将电子邮件转发到外部帐户、发送钓鱼邮件等。 在 BEC) 和钓鱼活动 (业务电子邮件入侵期间,恶意收件箱规则非常常见,并且必须持续监视这些规则。 此 playbook 可帮助你调查可疑收件箱转发规则的警报,并快速将其评级为真 (TP) 或误报 (FP) 。 然后,可以针对 TP 警报采取建议的作来修正攻击。
有关Microsoft Defender for Office 365和Microsoft Defender for Cloud Apps警报分类的概述,请参阅简介文章。
使用此 playbook 的结果如下:
你已将与收件箱转发规则关联的警报标识为恶意 (TP) 或良性 (FP) 活动。
如果存在恶意,则已删除恶意收件箱转发规则。
如果电子邮件已转发到恶意电子邮件地址,则已采取必要措施。
收件箱转发规则
将收件箱规则配置为根据预定义的条件自动管理电子邮件。 例如,可以创建收件箱规则,将所有邮件从经理移动到另一个文件夹中,或将收到的邮件转发到另一个电子邮件地址。
可疑的收件箱转发规则
在获取对用户邮箱的访问权限后,攻击者通常会创建一个收件箱规则,允许他们将敏感数据泄露到外部电子邮件地址,并将其用于恶意目的。
恶意收件箱规则自动执行外泄过程。 使用特定规则时,目标用户的收件箱中与规则条件匹配的每封电子邮件都将转发到攻击者的邮箱。 例如,攻击者可能想要收集与财务相关的敏感数据。 他们创建收件箱规则,将所有包含关键字的电子邮件(如主题或邮件正文中的“finance”和“invoice”)转发到其邮箱。
可疑的收件箱转发规则可能难以检测,因为维护收件箱规则是用户执行的常见任务。 因此,监视警报非常重要。
工作流
下面是识别可疑电子邮件转发规则的工作流。
调查步骤
本部分包含详细的分步指南,以响应事件并采取建议的步骤来保护组织免受进一步的攻击。
查看生成的警报
下面是警报队列中的收件箱转发规则警报示例。
下面是恶意收件箱转发规则触发的警报的详细信息示例。
调查规则参数
此阶段的目的是根据某些条件确定规则是否看起来可疑:
转发规则的收件人:
- 验证目标电子邮件地址不是同一用户拥有的附加邮箱 (避免用户在个人邮箱) 之间自行转发电子邮件的情况。
- 验证目标电子邮件地址不是属于公司的内部地址或子域。
过滤 器:
- 如果收件箱规则包含筛选器(用于在电子邮件的主题或正文中搜索特定关键字),检查提供的关键字(例如财务、凭据和网络等)是否与恶意活动相关。 可以在以下属性下找到这些筛选器 (这些筛选器显示在 rawEventData 列) 事件中:“BodyContainsWords”、“SubjectContainsWords”或“SubjectOrBodyContainsWords”
- 如果攻击者选择不对邮件设置任何筛选器,而是收件箱规则将所有邮箱项目转发到攻击者的邮箱) ,则此行为也是可疑的。
调查 IP 地址
查看与执行规则创建相关事件的 IP 地址相关的属性:
- 搜索来自租户中同一 IP 的其他可疑云活动。 例如,可疑活动可能是多次失败的登录尝试。
- ISP 对于此用户是否常见且合理?
- 此用户的位置是否常见且合理?
在创建规则之前,使用用户收件箱调查任何可疑活动
可以在创建规则之前查看所有用户活动,检查泄露指标,并调查看似可疑的用户作。 例如,多个登录失败。
登录:
验证规则创建事件之前的登录活动是否不可疑 (例如公共位置、ISP 或用户代理) 。
其他警报或事件
- 创建规则之前是否为用户触发了其他警报。 如果是这样,则可能指示用户已受到威胁。
- 如果警报与其他警报关联以指示事件,则事件是否包含其他真正警报?
高级搜寻查询
高级搜寻 是基于查询的威胁搜寻工具,可用于检查网络中的事件并查找威胁指示器。
运行此查询以查找特定时间范围内的所有新收件箱规则事件。
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig 将包含规则配置。
运行此查询,通过查看用户的历史记录来检查 ISP 是否对用户通用。
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
运行此查询,通过查看用户的历史记录来检查国家/地区是否对用户很常见。
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
运行此查询,通过查看用户的历史记录来检查用户代理是否常见。
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
运行此查询以检查,如果其他用户创建的将规则转发到同一目标 (可能指示其他用户受到威胁以及) 。
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
建议的操作
- 禁用恶意收件箱规则。
- 重置用户的帐户凭据。 还可以验证用户帐户是否已受到Microsoft Defender for Cloud Apps的危害,这会从Microsoft Entra ID 保护获取安全信号。
- 搜索受影响的用户执行的其他恶意活动。
- 检查租户中是否存在源自同一 IP 或同一 ISP 的其他可疑活动, (ISP 是否不常见) 查找其他受攻击用户。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。