响应遭到入侵的连接器

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

连接器用于启用 Microsoft 365 与本地环境中的电子邮件服务器之间的邮件流。 有关详细信息,请参阅 在 Exchange Online 中使用连接器配置邮件流

当攻击者创建新的连接器或修改现有连接器以发送垃圾邮件或钓鱼电子邮件时,具有 Type 值的 OnPremises 入站连接器被视为已泄露。

本文介绍连接器受损的症状以及如何重新获得对它的控制。

连接器遭到入侵的症状

受到入侵的连接器具有以下一个或多个特征:

  • 出站邮件量突然激增。
  • 地址 (也称为 MAIL FROM 地址、P1 发件人或信封发件人) 与5322.From出站电子邮件中的地址 (也称为发件人地址或 P2 发件人) 不匹配5321.MailFrom。 有关这些发件人的详细信息,请参阅 EOP 如何验证发件人地址以防止钓鱼
  • 从未预配或注册的域发送的出站邮件。
  • 连接器被阻止发送或中继邮件。
  • 存在不是由管理员创建的入站连接器。
  • 对现有连接器的配置进行未经授权的更改 (例如名称、域名和 IP 地址) 。
  • 最近泄露的管理员帐户。 创建或编辑连接器需要管理员访问权限。

如果看到这些症状或其他异常症状,则应进行调查。

保护电子邮件功能并将其还原到疑似遭到入侵的连接器

执行 以下所有 步骤以重新获得对连接器的控制。 一旦怀疑有问题,请尽快完成这些步骤,确保攻击者不会恢复对连接器的控制。 这些步骤还有助于删除攻击者可能已添加到连接器的任何后门条目。

步骤 1:确定入站连接器是否已遭到入侵

Microsoft Defender for Office 365计划 2 中,打开 https://security.microsoft.com Microsoft Defender 门户,然后转到“资源管理器”。 或者,若要直接转到 “资源管理器” 页,请使用 https://security.microsoft.com/threatexplorer

  1. “资源管理器” 页上,验证是否已选择“ 所有电子邮件 ”选项卡,然后配置以下选项:

    • 选择日期/时间范围。
    • 选择“ 连接器”。
    • “搜索”框中输入连接器名称。
    • 选择“ 刷新”。

    入站连接器资源管理器视图

  2. 查找电子邮件流量的异常峰值或下降。

    传递到垃圾邮件文件夹的电子邮件数

  3. 回答以下问题:

    • 发件人 IP 是否与组织的本地 IP 地址匹配?
    • 最近有大量邮件发送到垃圾邮件Email文件夹? 此结果清楚地指示已使用已泄露的连接器发送垃圾邮件。
    • 邮件收件人从组织中的发件人接收电子邮件是否合理?

    发件人 IP 和组织本地 IP 地址

Microsoft Defender for Office 365Exchange Online Protection中,使用警报消息跟踪查找连接器泄露的症状:

  1. 打开 Defender 门户,转到https://security.microsoft.com“事件 & 警报>警报”。 或者,若要直接转到“警报”页,请使用 中的https://security.microsoft.com/alerts“打开可疑连接器活动警报”。

  2. “警报 ”页上,使用 筛选>策略>可疑连接器活动 查找与可疑连接器活动相关的任何警报。

  3. 单击名称旁边的“检查”框以外的行中的任意位置,选择可疑连接器活动警报。 在打开的详细信息页上,在“ 活动”列表下选择一个活动,并从警报中复制 “连接器域IP 地址 ”值。

    连接器泄露出站电子邮件详细信息

  4. https://admin.exchange.microsoft.com 打开 Exchange 管理中心,然后转到 “邮件流>邮件跟踪”。 或者,若要直接转到 “消息跟踪 ”页,请使用 https://admin.exchange.microsoft.com/#/messagetrace

    “邮件跟踪”页上,选择“自定义查询”选项卡,选择“启动跟踪,并使用上一步中的“连接器域IP 地址”值。

    有关邮件跟踪的详细信息,请参阅 Exchange Online 中的新式 Exchange 管理中心中的邮件跟踪

    新建邮件跟踪浮出控件

  5. 在邮件跟踪结果中,查找以下信息:

    • 大量消息最近标记为 FilteredAsSpam。 此结果清楚地指示已使用已泄露的连接器发送垃圾邮件。
    • 邮件收件人接收来自组织中的发件人的电子邮件是否合理

    新建邮件跟踪搜索结果

Exchange Online PowerShell 中,将 StartDate> 和 <EndDate> 替换为<你的值,然后运行以下命令,在审核日志中查找和验证与管理员相关的连接器活动。 有关详细信息,请参阅 使用 PowerShell 脚本搜索审核日志

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

有关详细语法和参数信息,请参阅 搜索-UnifiedAuditLog

步骤 2:在连接器中查看和还原未经授权的更改 ()

https://admin.exchange.microsoft.com 打开 Exchange 管理中心,然后转到 “邮件流>连接器”。 或者,若要直接转到“连接器”页,请使用 https://admin.exchange.microsoft.com/#/connectors

在“ 连接器 ”页上,查看连接器列表。 删除或关闭任何未知连接器,并检查每个连接器进行未经授权的配置更改。

步骤 3:取消阻止连接器以重新启用邮件流

重新获得对已入侵连接器的控制后,请在 Defender 门户的 “受限实体 ”页上取消阻止连接器。 有关说明,请参阅 从“受限实体”页中删除阻止的连接器

步骤 4:调查并修正可能遭到入侵的管理员帐户

确定负责未经授权的连接器配置活动的管理员帐户后,调查管理员帐户是否遭到入侵。 有关说明,请参阅响应已泄露Email帐户

更多信息