الكشف عن Outlook القواعد وهجمات حقن النماذج المخصصة ومعالجتها

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

موجز تعرف على كيفية التعرف على قواعد Outlook وهجمات حقن النماذج المخصصة في Office 365 ومعالجتها.

ما هو هجوم حقن القواعد Outlook والنماذج المخصصة؟

بعد أن يحصل المهاجم على حق الوصول إلى مؤسستك، سيحاول إنشاء موطئ قدم للبقاء أو العودة بعد اكتشافه. يسمى هذا النشاط إنشاء آلية استمرار. هناك طريقتان يمكن للمهاجم استخدام Outlook لإنشاء آلية استمرار:

• عن طريق استغلال قواعد Outlook.
• عن طريق إدخال نماذج مخصصة في Outlook.

لن تساعد إعادة تثبيت Outlook، أو حتى إعطاء الشخص المتأثر كمبيوترا جديدا. عندما يتصل التثبيت الجديد Outlook بعلبة البريد، تتم مزامنة جميع القواعد والنماذج من السحابة. عادة ما يتم تصميم القواعد أو النماذج لتشغيل التعليمات البرمجية البعيدة وتثبيت البرامج الضارة على الجهاز المحلي. تسرقة البرامج الضارة بيانات الاعتماد أو تقوم بنشاط غير مشروع آخر.

والخبر السار هو: إذا حافظت على تصحيح عملاء Outlook إلى الإصدار الأخير، فأنت لست عرضة للمخاطر لأن الإعدادات الافتراضية لعميل Outlook الحالي تحظر كلتا الآليتين.

عادة ما تتبع الهجمات هذه الأنماط:

استغلال القواعد:

1. يقوم المهاجم بسرقة بيانات اعتماد المستخدم.

2. يسجل المهاجم الدخول إلى علبة بريد Exchange الخاصة بهذا المستخدم (Exchange Online أو Exchange المحلية).

3. ينشئ المتطفل قاعدة علبة وارد لإعادة التوجيه في علبة البريد. يتم تشغيل قاعدة إعادة التوجيه عندما تتلقى علبة البريد رسالة معينة من المهاجم تتطابق مع شروط القاعدة. شروط القاعدة وتنسيق الرسالة مصممة خصيصا لبعضها البعض.

4. يرسل المهاجم البريد الإلكتروني للمشغل إلى علبة البريد التي تم اختراقها، والتي لا تزال تستخدم كالمعتاد من قبل المستخدم غير المطمئن.

5. عندما تتلقى علبة البريد رسالة تطابق شروط القاعدة، يتم تطبيق إجراء القاعدة. عادة ما يكون إجراء القاعدة هو تشغيل تطبيق على خادم بعيد (WebDAV).

6. عادة ما يقوم التطبيق بتثبيت البرامج الضارة على جهاز المستخدم (على سبيل المثال، PowerShell Empire).

7. تسمح البرامج الضارة للمهاجم بسرقة (أو سرقة) اسم المستخدم وكلمة المرور الخاصة بالمستخدم أو بيانات الاعتماد الأخرى من الجهاز المحلي وتنفيذ أنشطة ضارة أخرى.

استغلال النماذج:

1. يقوم المهاجم بسرقة بيانات اعتماد المستخدم.

2. يسجل المهاجم الدخول إلى علبة بريد Exchange الخاصة بهذا المستخدم (Exchange Online أو Exchange المحلية).

3. يقوم المهاجم بإدراج قالب نموذج بريد مخصص في علبة بريد المستخدم. يتم تشغيل النموذج المخصص عندما تتلقى علبة البريد رسالة معينة من المهاجم تتطلب من علبة البريد تحميل النموذج المخصص. تم تصميم النموذج المخصص وتنسيق الرسالة بشكل مخصص لبعضهم البعض.

4. يرسل المهاجم البريد الإلكتروني للمشغل إلى علبة البريد التي تم اختراقها، والتي لا تزال تستخدم كالمعتاد من قبل المستخدم غير المطمئن.

5. عندما تتلقى علبة البريد الرسالة، تقوم علبة البريد بتحميل النموذج المطلوب. يقوم النموذج بتشغيل تطبيق على خادم بعيد (WebDAV).

6. عادة ما يقوم التطبيق بتثبيت البرامج الضارة على جهاز المستخدم (على سبيل المثال، PowerShell Empire).

7. تسمح البرامج الضارة للمهاجم بسرقة (أو سرقة) اسم المستخدم وكلمة المرور الخاصة بالمستخدم أو بيانات الاعتماد الأخرى من الجهاز المحلي وتنفيذ أنشطة ضارة أخرى.

كيف يبدو هجوم "القواعد" و"حقن النماذج المخصصة" Office 365؟

من غير المحتمل أن يلاحظ المستخدمون آليات الاستمرار هذه وقد تكون في بعض الحالات غير مرئية لهم. توضح لك هذه المقالة كيفية البحث عن أي من العلامات السبع (مؤشرات التسوية) المذكورة أدناه. إذا وجدت أيا من هذه، فستحتاج إلى اتخاذ خطوات المعالجة.

• مؤشرات التسوية للقواعد:

  • إجراء القاعدة هو بدء تشغيل تطبيق.
  • تشير القاعدة إلى EXE أو ZIP أو URL.
  • على الجهاز المحلي، ابحث عن عملية جديدة تبدأ من Outlook PID.

• مؤشرات اختراق النماذج المخصصة:

  • تم حفظ النماذج المخصصة كفئة رسائل خاصة بها.
  • تحتوي فئة الرسالة على تعليمات برمجية قابلة للتنفيذ.
  • عادة ما يتم تخزين النماذج الضارة في مجلدات "مكتبة النماذج الشخصية" أو "علبة الوارد".
  • يسمى النموذج IPM. ملاحظه. [اسم مخصص].

خطوات للعثور على علامات هذا الهجوم وتأكيده

يمكنك استخدام أي من الطرق التالية لتأكيد الهجوم:

• فحص القواعد والنماذج الخاصة بكل علبة بريد يدويا باستخدام عميل Outlook. هذا الأسلوب شامل، ولكن يمكنك التحقق من علبة بريد واحدة فقط في كل مرة. يمكن أن تستغرق هذه الطريقة وقتا طويلا جدا إذا كان لديك العديد من المستخدمين للتحقق منها، وقد تؤدي أيضا إلى إصابة الكمبيوتر الذي تستخدمه.

• استخدم البرنامج النصي Get-AllTenantRulesAndForms.ps1 PowerShell لتفريغ كافة قواعد إعادة توجيه البريد والنماذج المخصصة لجميع المستخدمين في إيجارك تلقائيا. هذا هو الأسلوب الأسرع والأمن بأقل قدر من النفقات العامة.

تأكيد هجوم القواعد باستخدام عميل Outlook

1. افتح المستخدمين Outlook العميل كمستخدم. قد يحتاج المستخدم إلى مساعدتك في فحص القواعد الموجودة في علبة بريده.

2. راجع إدارة رسائل البريد الإلكتروني باستخدام مقالة القواعد للإجراءات المتعلقة بكيفية فتح واجهة القواعد في Outlook.

3. ابحث عن القواعد التي لم ينشئها المستخدم، أو أي قواعد أو قواعد غير متوقعة بأسماء مريبة.

4. ابحث في وصف القاعدة عن إجراءات القاعدة التي تبدأ وتطبيق أو تشير إلى ملف .EXE أو .ZIP أو لبدء تشغيل عنوان URL.

5. ابحث عن أي عمليات جديدة تبدأ باستخدام معرف عملية Outlook. راجع البحث عن معرف العملية.

خطوات لتأكيد هجوم النماذج باستخدام عميل Outlook

1. افتح عميل Outlook المستخدم كمستخدم.

2. اتبع الخطوات الواردة في علامة التبويب "إظهار المطور" لإصدار المستخدم من Outlook.

3. افتح علامة تبويب المطور المرئية الآن في Outlook وانقر فوق تصميم نموذج.

4. حدد علبة الوارد من القائمة "بحث في ". ابحث عن أي نماذج مخصصة. النماذج المخصصة نادرة بما يكفي بحيث إذا كان لديك أي نماذج مخصصة على الإطلاق، فإنه يستحق نظرة أعمق.

5. تحقق من أي نماذج مخصصة، خاصة تلك التي تم وضع علامة عليها على أنها مخفية.

6. افتح أي نماذج مخصصة، وفي مجموعة النماذج ، انقر فوق "عرض التعليمات البرمجية " لمعرفة ما يتم تشغيله عند تحميل النموذج.

خطوات لتأكيد هجوم القواعد والنماذج باستخدام PowerShell

أبسط طريقة للتحقق من القواعد أو هجوم النماذج المخصصة هي تشغيل البرنامج النصي Get-AllTenantRulesAndForms.ps1 PowerShell. يتصل هذا البرنامج النصي بكل علبة بريد في المستأجر الخاص بك ويفرغ جميع القواعد والنماذج في ملفين .csv.

المتطلبات الأساسية

ستحتاج إلى حقوق المسؤول العام لتشغيل البرنامج النصي لأن البرنامج النصي يتصل بكل علبة بريد في الإيجار لقراءة القواعد والنماذج.

1. سجل الدخول إلى الجهاز الذي ستقوم بتشغيل البرنامج النصي منه مع حقوق المسؤول المحلي.

2. قم بتنزيل البرنامج النصي Get-AllTenantRulesAndForms.ps1 أو نسخه من GitHub إلى مجلد ستقوم بتشغيله منه. سيقوم البرنامج النصي بإنشاء ملفين تم وضع طابع تاريخ على هذا المجلد، MailboxFormsExport-yyyy-mm-dd.csv، MailboxRulesExport-yyyy-mm-dd.csv.

3. افتح مثيل PowerShell كمسؤول وافتح المجلد الذي حفظت البرنامج النصي فيه.

4. تشغيل سطر أوامر PowerShell هذا كما يلي .\Get-AllTenantRulesAndForms.ps1.\Get-AllTenantRulesAndForms.ps1

تفسير الإخراج

• MailboxRulesExport-yyyy-mm-dd.csv: افحص القواعد (واحد في الصف) للاطلاع على شروط الإجراء التي تتضمن التطبيقات أو الملفات التنفيذية:

  • ActionType (العمود A): إذا رأيت القيمة "ID_ACTION_CUSTOM"، فمن المحتمل أن تكون القاعدة ضارة.

  • IsPotentiallyMalicious (العمود D): إذا كانت هذه القيمة "TRUE"، فمن المحتمل أن تكون القاعدة ضارة.

  • ActionCommand (العمود G): إذا كان هذا العمود يسرد تطبيقا أو أي ملف يحتوي على ملحقات .exe أو .zip، أو إدخال غير معروف يشير إلى عنوان URL، فمن المحتمل أن تكون القاعدة ضارة.

• MailboxFormsExport-yyyy-mm-dd.csv: بشكل عام، يعد استخدام النماذج المخصصة نادرا. إذا عثرت على أي شيء في هذا المصنف، يمكنك فتح علبة بريد هذا المستخدم وفحص النموذج نفسه. إذا لم تضعها مؤسستك هناك عن قصد، فمن المحتمل أن تكون ضارة.

كيفية إيقاف ومعالجة هجوم Outlook Rules and Forms

إذا وجدت أي دليل على أي من هذه الهجمات، فإن المعالجة بسيطة، فما عليك سوى حذف القاعدة أو النموذج من علبة البريد. يمكنك القيام بذلك باستخدام عميل Outlook أو باستخدام PowerShell البعيد لإزالة القواعد.

استخدام Outlook

1. تحديد جميع الأجهزة التي استخدمها المستخدم مع Outlook. ستحتاج جميعها إلى تنظيف البرامج الضارة المحتملة. لا تسمح للمستخدم بتسجيل الدخول واستخدام البريد الإلكتروني حتى يتم تنظيف جميع الأجهزة.

2. اتبع الخطوات الواردة في حذف قاعدة لكل جهاز.

3. إذا لم تكن متأكدا من وجود برامج ضارة أخرى، يمكنك تنسيق جميع البرامج وإعادة تثبيتها على الجهاز. بالنسبة للأجهزة المحمولة، يمكنك اتباع خطوات الشركات المصنعة لإعادة تعيين الجهاز إلى صورة المصنع.

4. تثبيت الإصدارات الأحدث من Outlook. تذكر أن الإصدار الحالي من Outlook يحظر كلا النوعين من هذا الهجوم بشكل افتراضي.

5. بمجرد إزالة كافة النسخ غير المتصلة من علبة البريد، قم بإعادة تعيين كلمة مرور المستخدم (استخدم كلمة مرور عالية الجودة) واتبع الخطوات الواردة في إعداد المصادقة متعددة العوامل للمستخدمين إذا لم تكن المصادقة متعددة العوامل ممكنة بالفعل. وهذا يضمن عدم كشف بيانات اعتماد المستخدم عبر وسائل أخرى (مثل التصيد الاحتيالي أو إعادة استخدام كلمة المرور).

استخدام PowerShell

هناك اثنان من أوامر Cmdlets PowerShell البعيدة التي يمكنك استخدامها لإزالة القواعد الخطرة أو تعطيلها. ما عليك سوى اتباع الخطوات.

خطوات علب البريد الموجودة على خادم Exchange

1. الاتصال بخادم Exchange باستخدام PowerShell البعيد. اتبع الخطوات في الاتصال بخوادم Exchange باستخدام PowerShell البعيد.

2. إذا كنت تريد إزالة قاعدة واحدة أو قواعد متعددة أو كل القواعد بالكامل من علبة بريد، فاستخدم الأمر Remove-InboxRule cmdlet.

3. إذا كنت ترغب في الاحتفاظ بالقاعدة ومحتوياتها لمزيد من التحقيق، فاستخدم Disable-InboxRule cmdlet.

خطوات لعلب البريد في Exchange Online

1. اتبع الخطوات الواردة في الاتصال ب Exchange Online باستخدام PowerShell.

2. إذا كنت تريد إزالة قاعدة واحدة أو قواعد متعددة أو كل القواعد بالكامل من علبة بريد، فاستخدم الأمر cmdlet لقاعدة إزالة علبة الوارد .

3. إذا كنت ترغب في الاحتفاظ بالقاعدة ومحتوياتها لمزيد من التحقيق، فاستخدم Disable-InboxRule cmdlet.

كيفية تقليل الهجمات المستقبلية

أولا: حماية حساباتك

يتم استخدام مهاجمات القواعد والنماذج فقط من قبل المهاجم بعد سرقتها أو اختراق أحد حسابات المستخدمين. لذا، فإن خطوتك الأولى لمنع استخدام هذه المهاجمات ضد مؤسستك هي حماية حسابات المستخدمين بقوة. بعض الطرق الأكثر شيوعا التي يتم بها اختراق الحسابات هي من خلال التصيد الاحتيالي أو هجمات نشر كلمة المرور.

أفضل طريقة لحماية حسابات المستخدمين، وخاصة حسابات المسؤول، هي إعداد المصادقة متعددة العوامل للمستخدمين. يجب عليك أيضا:

• مراقبة كيفية الوصول إلى حسابات المستخدمين واستخدامها. قد لا تمنع الخرق الأولي، ولكنك ستقصر المدة وتأثير الخرق عن طريق الكشف عنه في وقت أقرب. يمكنك استخدام نهج Office 365 Cloud App Security هذه لمراقبة حساباتك والتنبيه بشأن النشاط غير المعتاد:

  • محاولات تسجيل الدخول الفاشلة المتعددة: يقوم هذا النهج بملفات تعريف البيئة الخاصة بك ويشغل التنبيهات عندما يقوم المستخدمون بتنفيذ أنشطة تسجيل دخول فاشلة متعددة في جلسة واحدة فيما يتعلق الأساس المتعلم، والذي قد يشير إلى محاولة خرق.

  • السفر المستحيل: يوضح هذا النهج بيئتك ويشغل التنبيهات عند اكتشاف الأنشطة من نفس المستخدم في مواقع مختلفة خلال فترة زمنية أقصر من وقت السفر المتوقع بين الموقعين. قد يشير هذا إلى أن مستخدما مختلفا يستخدم نفس بيانات الاعتماد. يتطلب الكشف عن هذا السلوك الشاذ فترة تعلم أولية مدتها سبعة أيام يتعلم خلالها نمط نشاط مستخدم جديد.

  • نشاط انتحال غير عادي (من قبل المستخدم): يقوم هذا النهج بملفات تعريف البيئة الخاصة بك ويشغل التنبيهات عندما يقوم المستخدمون بأنشطة منتحلة متعددة في جلسة عمل واحدة فيما يتعلق بالأساس الذي تم تعلمه، والذي قد يشير إلى محاولة خرق.

• استخدم أداة مثل Office 365 Secure Score لإدارة تكوينات أمان الحساب وسلوكياته.

ثانيا: إبقاء عملاء Outlook محدثين

تقوم الإصدارات المحدثة والمصححة بالكامل من Outlook 2013 و2016 بتعطيل إجراء القاعدة/النموذج "بدء التطبيق" بشكل افتراضي. وهذا سيضمن أنه حتى إذا قام المهاجم بخرق الحساب، فسيتم حظر إجراءات القاعدة والنموذج. يمكنك تثبيت التحديثات الأخيرة وتصحيحات الأمان باتباع الخطوات الواردة في تثبيت تحديثات Office.

فيما يلي إصدارات التصحيح لعملاء Outlook 2013 و2016:

• Outlook 2016: 16.0.4534.1001 أو إصدار أحدث.

• Outlook 2013: 15.0.4937.1000 أو إصدار أحدث.

لمزيد من المعلومات حول تصحيحات الأمان الفردية، راجع:

• تصحيح أمان Outlook 2016

• تصحيح أمان Outlook 2013

ثالثا: مراقبة عملاء Outlook

لاحظ أنه حتى مع تثبيت التصحيحات والتحديثات، من الممكن للمهاجم تغيير تكوين الجهاز المحلي لإعادة تمكين سلوك "بدء التطبيق". يمكنك استخدام Advanced Group Policy Management لمراقبة نهج الجهاز المحلي وفرضها على عملائك.

يمكنك معرفة ما إذا تم إعادة تمكين "بدء التطبيق" من خلال تجاوز في السجل باستخدام المعلومات في كيفية عرض سجل النظام باستخدام إصدارات 64 بت من Windows. تحقق من هذه الأحرف الفرعية:

• Outlook 2016: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\

• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

ابحث عن المفتاح EnableUnsafeClientMailRules. إذا كان موجودا وتم تعيينه إلى 1، فقد تم تجاوز تصحيح أمان Outlook ويكون الكمبيوتر عرضة لهجوم النموذج/القواعد. إذا كانت القيمة 0، يتم تعطيل الإجراء "بدء التطبيق". إذا تم تثبيت الإصدار المحدث والمصحح من Outlook ولم يكن مفتاح التسجيل هذا موجودا، فلن يكون النظام عرضة لهذه الهجمات.

يجب على العملاء الذين لديهم عمليات تثبيت Exchange المحلية مراعاة حظر الإصدارات القديمة من Outlook التي لا تتوفر بها تصحيحات. يمكن العثور على تفاصيل حول هذه العملية في المقالة تكوين حظر عميل Outlook.

تأمين Microsoft 365 مثل محترف الأمان عبر الإنترنت

يأتي اشتراكك في Microsoft 365 مزودا بمجموعة قوية من قدرات الأمان التي يمكنك استخدامها لحماية بياناتك والمستخدمين. استخدم مخطط أمان Microsoft 365 - أهم الأولويات لأول 30 يوما و90 يوما وما بعدها لتنفيذ أفضل الممارسات الموصى بها من Microsoft لتأمين مستأجر Microsoft 365.

• المهام المطلوب إنجازها في أول 30 يوما. لها تأثير فوري ولها تأثير منخفض على المستخدمين.

• المهام المطلوب إنجازها في غضون 90 يوما. يستغرق ذلك وقتا أطول قليلا للتخطيط والتنفيذ ولكن تحسين وضعك الأمني بشكل كبير.

• بعد 90 يوما. يتم إنشاء هذه التحسينات في أول 90 يوما من عملك.

راجع أيضا:

• توفر "قواعد Outlook الضارة" بواسطة منشور أمان SilentBreak حول "متجه القواعد" مراجعة مفصلة لكيفية استخدام "قواعد Outlook".

• تناقش MAPI عبر HTTP وMilrule Pwnage في مدونة Sensepost حول Mailrule Pwnage أداة تسمى "المسطرة" تتيح لك استغلال علب البريد من خلال قواعد Outlook.

• نماذج Outlook وواجهاته على مدونة Sensepost حول Forms Threat Vector.

• قاعدة رموز المسطرة

• مؤشرات المسطرة للاختراق