偵測並補救 Outlook 規則和自訂 Forms 插入攻擊

提示

您是否知道您可以免費試用適用於 Office 365 的 Microsoft Defender 方案 2 中的功能？ 在 Microsoft Defender 入口網站試用中樞使用 90 天適用於 Office 365 的 Defender 試用版。 瞭解誰可以在試用適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

摘要瞭解如何辨識和補救 Office 365 中的 Outlook 規則和自訂 Forms 插入式攻擊。

什麼是 Outlook 規則和自定義Forms注入攻擊？

攻擊者取得組織的存取權之後，會嘗試建立立足點，以便在被發現後留下來或重新進入。 此活動稱為 建立持續性機制。 攻擊者可以使用 Outlook 來建立持續性機制的兩種方式：

• 藉由利用 Outlook 規則。
• 通過將自定義表單注入 Outlook。

重新安裝 Outlook，甚至給受影響的人一台新計算機都無濟於事。 當 Outlook 的全新安裝連線到信箱時，所有規則和表單都會從雲端同步處理。 規則或表單通常設計為在本機電腦上執行遠端程式碼和安裝惡意軟體。 惡意軟體會竊取憑證或執行其他非法活動。

好消息是：如果您將 Outlook 用戶端修補到最新版本，則不會受到威脅，因為目前的 Outlook 用戶端預設值會封鎖這兩種機制。

攻擊通常遵循以下模式：

規則利用：

1. 攻擊者竊取使用者的認證。
2. 攻擊者會登入該使用者的 Exchange 信箱 (Exchange Online 或內部部署 Exchange) 。
3. 攻擊者會在信箱中建立轉寄收件匣規則。 當信箱收到來自攻擊者符合規則條件的特定郵件時，就會觸發轉寄規則。 規則條件和訊息格式是為彼此量身打造的。
4. 攻擊者會將觸發電子郵件傳送至遭入侵的信箱，而毫無戒心的使用者仍會正常使用該信箱。
5. 當信箱收到符合規則條件的郵件時，會套用規則的動作。 一般而言，規則動作是在遠端 (WebDAV) 伺服器上啟動應用程式。
6. 通常，應用程式會在使用者的電腦上安裝惡意軟體 (例如 PowerShell Empire) 。
7. 該惡意軟件允許攻擊者從本地計算機竊取 (或再次竊取用戶的用戶名和密碼或其他憑據) 並執行其他惡意活動。

Forms 利用：

1. 攻擊者竊取使用者的認證。
2. 攻擊者會登入該使用者的 Exchange 信箱 (Exchange Online 或內部部署 Exchange) 。
3. 攻擊者將自訂郵件表單範本插入使用者的信箱。 當信箱收到來自攻擊者的特定郵件時，會觸發自定義表單，該郵件需要信箱載入自定義表單。 自訂表單和訊息格式是為彼此量身定制的。
4. 攻擊者會將觸發電子郵件傳送至遭入侵的信箱，而毫無戒心的使用者仍會正常使用該信箱。
5. 當信箱收到郵件時，信箱會載入所需的表單。 表單會在遠端 (WebDAV) 伺服器上啟動應用程式。
6. 通常，應用程式會在使用者的電腦上安裝惡意軟體 (例如 PowerShell Empire) 。
7. 該惡意軟件允許攻擊者從本地計算機竊取 (或再次竊取用戶的用戶名和密碼或其他憑據) 並執行其他惡意活動。

規則和自訂 Forms 插入式攻擊可能看起來像 Office 365？

使用者不太可能注意到這些持久性機制，甚至可能對他們來說是不可見的。 下列清單說明指出需要修復步驟的跡象 (入侵指標) ：

• 規則妥協的指標：

  • 規則動作是啟動應用程式。
  • 規則會參考 EXE、ZIP 或 URL。
  • 在本機電腦上，尋找源自 Outlook PID 的新進程啟動。

• 自訂表單入侵的指標：

  • 呈現的自訂表單會儲存為自己的訊息類別。
  • Message 類別包含可執行程式碼。
  • 通常，惡意表單儲存在個人 Forms 庫或收件匣資料夾中。
  • 表單名為 IPM。便條。[自訂名稱]。

尋找此攻擊跡象並確認的步驟

您可以使用下列任一方法來確認攻擊：

• 使用 Outlook 用戶端手動檢查每個信箱的規則和表單。 這種方法很徹底，但一次只能檢查一個郵箱。 如果您有許多使用者要檢查，此方法可能會非常耗時，而且也可能感染您正在使用的電腦。

• 使用 Get-AllTenantRulesAndForms.ps1 PowerShell 腳本，自動傾印組織中所有使用者的所有郵件轉寄規則和自訂表單。 這種方法是最快、最安全的，開銷最少。

  注意事項

  自 2021 年 1 月起，指令碼 (和存放庫) 中的其他所有內容都是唯讀且封存的。 第 154 行到 158 行嘗試使用由於 2023 年 7 月取代遠端 PowerShell 連線而不再支援的方法來連線到 Exchange Online PowerShell。 在執行腳本之前，請先移除第 154 到 158 行，並連線到 Exchange Online PowerShell。

使用 Outlook 用戶端確認規則攻擊

1. 以使用者身分開啟使用者 Outlook 用戶端。 使用者可能需要您的協助來檢查其信箱上的規則。

2. 請參閱 使用 規則管理電子郵件 一文，以取得如何在 Outlook 中開啟規則介面的程式。

3. 尋找使用者未建立的規則，或任何非預期的規則或名稱可疑的規則。

4. 在規則說明中尋找啟動和套用的規則動作，或參照 .EXE、.ZIP 檔案或啟動 URL。

5. 尋找開始使用 Outlook 進程識別碼的任何新進程。 請參閱 尋找進程 ID。

使用 Outlook 用戶端確認 Forms 攻擊的步驟

1. 以使用者身分開啟使用者 Outlook 用戶端。

2. 請遵循顯示使用者 Outlook 版本的 [開發人員] 索引標籤 中的步驟。

3. 在 Outlook 中開啟現在可見的開發人員索引標籤，然後選取 [設計表單]。

4. 從 [查找範圍] 清單中選取 [收件匣]。 尋找任何自訂表單。 自定義表單非常罕見，如果您有任何自定義表單，則值得深入研究。

5. 調查任何自訂表單，尤其是標示為隱藏的表單。

6. 開啟任何自訂表單，然後在 表單 群組中，選取檢視 程式碼 以查看載入表單時執行的內容。

使用 PowerShell 確認 Rules and Forms 攻擊的步驟

驗證規則或自訂表單攻擊的最簡單方式是執行 Get-AllTenantRulesAndForms.ps1 PowerShell 腳本。 此腳本會連線到組織中的每個信箱，並將所有規則和表單傾印到兩個 .csv 檔案中。

必要條件

您必須是 Microsoft Entra ID 中全域系統管理員^*角色的成員，或 Exchange Online 中的組織管理角色群組，因為腳本會連線到組織中的每個信箱，以讀取規則和表單。

重要事項

^* Microsoft 強烈提倡最小權限原則。 僅為帳戶指派執行其任務所需的最低權限，有助於降低安全風險並加強組織的整體保護。 全域管理員是高度許可權的角色，您應該將其限制為緊急情況或當您無法使用其他角色時。

1. 使用具有本機系統管理員權限的帳戶，登入您要執行腳本的電腦。

2. 從 GitHub 下載或複製 Get-AllTenantRulesAndForms.ps1 腳本的內容，以輕鬆尋找和執行腳本。 指令碼會在資料夾中建立兩個日期戳記檔案： MailboxFormsExport-yyyy-MM-dd.csv 和 MailboxRulesExport-yyyy-MM-dd.csv。

   從指令碼中移除第 154 至 158 行，因為該連線方法自 2023 年 7 月起不再有效。

3. 連線至 Exchange Online PowerShell。

4. 在 PowerShell 中流覽至您儲存腳本的資料夾，然後執行下列命令：

   .\Get-AllTenantRulesAndForms.ps1
   

解譯輸出

• MailboxRulesExport-yyyy-MM-dd.csv：檢查規則 (每列一個，) 包含應用程式或執行檔的動作條件：
  • ActionType (欄 A) ：如果此欄包含值 ID_ACTION_CUSTOM，則規則可能是惡意的。
  • IsPotentiallyMalicious (資料行 D) ：如果此資料行包含值 TRUE，則規則可能是惡意的。
  • ActionCommand (資料行 G) ：如果此資料行包含下列任何值，則規則可能是惡意的：
    • 一個應用程式。
    • .exe 或 .zip 檔案。
    • 參照 URL 的未知項目。
• MailboxFormsExport-yyyy-MM-dd.csv：一般來說，使用自訂表單的情況很少見。 如果您在此活頁簿中找到任何活頁簿，請開啟該使用者的信箱，並檢查表單本身。 如果您的組織不是故意將其放在那裡，則可能是惡意的。

如何停止和補救 Outlook 規則和 Forms 攻擊

如果您發現這些攻擊的任何證據，補救很簡單：只需刪除信箱中的規則或表單即可。 您可以使用 Outlook 用戶端或 Exchange PowerShell 刪除規則或表單。

使用 Outlook

1. 識別使用者使用 Outlook 的所有裝置。 它們都需要清除潛在的惡意軟體。 在清除所有裝置之前，不允許使用者登入並使用電子郵件。

2. 在每部裝置上，請遵循 刪除規則中的步驟。

3. 如果您不確定是否存在其他惡意軟體，您可以格式化並重新安裝裝置上的所有軟體。 對於行動裝置，您可以按照製造商的步驟將裝置重設為出廠映像。

4. 安裝最新版本的 Outlook。 請記住，目前版本的 Outlook 預設會封鎖這兩種類型的攻擊。

5. 移除信箱的所有離線複本之後，請執行下列步驟：

   • 使用長度和複雜度) (高品質值重設使用者的密碼。
   • 如果未為使用者開啟多重要素驗證 (MFA) ，請遵循為使用者設定多重要素驗證中的步驟

   這些步驟可確保使用者的認證不會透過其他方式公開，例如網路釣魚或密碼重複使用) (。

使用 PowerShell

連線到必要的 Exchange PowerShell 環境：

• 內部部署 Exchange 伺服器上的信箱： 使用遠端 PowerShell 連線到 Exchange 伺服器 ，或 開啟 Exchange 管理命令介面。

• Exchange Online 中的信箱：連線到 Exchange Online PowerShell。

連線到必要的 Exchange PowerShell 環境之後，您可以對使用者信箱中的收件匣規則採取下列動作：

• 檢視信箱中的收件匣規則：

  • 檢視所有規則的摘要清單

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • 檢視特定規則的詳細資訊：

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  如需詳細的語法和參數資訊，請參閱 Get-InboxRule。

• 從信箱中移除收件匣規則：

  • 移除特定規則：

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • 移除所有規則：

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  如需詳細的語法和參數資訊，請參閱 Remove-InboxRule。

• 關閉收件匣規則以進行進一步調查：

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  如需詳細的語法和參數資訊，請參閱 Disable-InboxRule。

如何將未來的攻擊降到最低

第一：保護賬號

Rules 和 Forms 漏洞只有在竊取或破壞使用者帳戶後才會被攻擊者使用。 因此，防止對組織使用這些漏洞的第一步是積極保護使用者帳戶。 帳戶被破壞的一些最常見方式是通過網絡釣魚或 密碼噴灑攻擊。

保護使用者帳戶 (尤其是管理員帳戶) 的最佳方式是 為使用者設定 MFA。 您還應該：

• 監控使用者帳戶 的存取和使用方式。 您可能無法防止初始違規行為，但您可以透過更早地偵測到違規行為來縮短違規行為的持續時間和影響。 您可以使用這些 Office 365 雲端 App 安全性原則來監視帳戶，並提醒您異常活動：

  • 多次失敗的登入嘗試：當使用者在單一工作階段中執行多個失敗的登入活動時，會觸發警示，這可能表示嘗試違規。

  • 不可能的旅行：當在時間段內偵測到不同位置的相同使用者的活動時，觸發警示，該活動的時間段短於兩個位置之間的預期旅行時間。 此活動可能表示不同的使用者正在使用相同的認證。 偵測這種異常行為需要 7 天的初始學習期來了解新使用者的活動模式。

  • 使用者) (的異常模擬活動 ：當使用者在單一工作階段中執行多個模擬活動時，會觸發警示，相對於所學習的基準，這可能表示嘗試違規。

• 使用 Office 365 安全分數等工具來管理帳戶安全性設定和行為。

第二：讓 Outlook 用戶端保持最新狀態

Outlook 2013 和 2016 的完全更新和修補版本預設會停用「啟動應用程式」規則/表單動作。 即使攻擊者入侵帳戶，規則和表單動作也會遭到封鎖。 您可以遵循 安裝 Office 更新中的步驟來安裝最新的更新和安全性修補程式。

以下是 Outlook 2013 和 2016 用戶端的修補程式版本：

• Outlook 2016：16.0.4534.1001 或更高版本。
• Outlook 2013：15.0.4937.1000 或更高版本。

如需個別安全性修補程式的詳細資訊，請參閱：

• Outlook 2016 安全性修補程式
• Outlook 2013 安全性修補程式

第三：監控 Outlook 用戶端

即使安裝了修補程式和更新，攻擊者仍有可能變更本機電腦設定以重新啟用「啟動應用程式」行為。 您可以使用進階群組原則管理來監控和強制執行用戶端裝置上的本機電腦原則。

您可以使用 如何使用 64 位版本的 Windows 檢視系統登錄中的資訊，查看是否已透過登錄中的覆寫重新啟用「啟動應用程式」。 檢查以下子機碼：

• Outlook 2016：HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• 2013年展望： HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

尋找鑰匙 EnableUnsafeClientMailRules：

• 如果值為 1，則 Outlook 安全性修補程式已被覆寫，而且電腦容易受到表單/規則攻擊。
• 如果值為 0，則停用「啟動應用程式」動作。
• 如果登錄機碼不存在，且已安裝更新和修補的 Outlook 版本，則系統不會受到這些攻擊。

具有內部部署 Exchange 安裝的客戶應該考慮封鎖沒有可用修補程式的舊版 Outlook。 如需此程式的詳細數據，請參閱 設定 Outlook 用戶端封鎖一文。

另請參閱

• SilentBreak 的惡意 Outlook 規則 安全性 關於規則向量的貼文 提供 Outlook 規則如何的詳細檢閱。
• 關於 Mailrule Pwnage 的 Sensepost 部落格上的 MAPI over HTTP 和 Mailrule Pwnage 討論了一種名為 Ruler 的工具，可讓您透過 Outlook 規則惡意探索信箱。
• Sensepost 部落格上有關 Forms 威脅向量的 Outlook 表單和殼層。
• 標尺程式碼庫
• 妥協的標尺指標