Detekce a náprava Outlook pravidel a útoků prostřednictvím injektáže vlastních formulářů

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotní Microsoft 365 Defender.

Shrnutí Zjistěte, jak rozpoznat a napravit Outlook pravidla a vlastní útoky prostřednictvím injektáže formulářů v Office 365.

Co je útok na Outlook pravidla a injektáž vlastních formulářů?

Jakmile útočník získá přístup k vaší organizaci, pokusí se vytvořit oporu, ve které zůstane nebo se vrátí po zjištění. Tato aktivita se nazývá vytvoření mechanismu trvalosti. Útočník může pomocí Outlook vytvořit mechanismus trvalosti dvěma způsoby:

  • Využitím Outlook pravidel.
  • Vložením vlastních formulářů do Outlook.

Přeinstalace Outlook nebo dokonce poskytnutí nového počítače postižené osobě nepomůže. Když se nová instalace Outlook připojí k poštovní schránce, synchronizují se všechna pravidla a formuláře z cloudu. Pravidla nebo formuláře jsou obvykle navržené tak, aby spustily vzdálený kód a nainstalovaly malware na místní počítač. Malware krade přihlašovací údaje nebo provádí jiné nedovolené aktivity.

Dobrou zprávou je, že pokud necháte klienty Outlook opravené na nejnovější verzi, nebudete ohroženi hrozbou, protože aktuální Outlook výchozí nastavení klienta blokuje oba mechanismy.

Útoky se obvykle řídí těmito vzory:

Zneužití pravidel:

  1. Útočník ukradne přihlašovací údaje uživatele.

  2. Útočník se přihlásí k poštovní schránce Exchange tohoto uživatele (Exchange Online nebo místní Exchange).

  3. Útočník v poštovní schránce vytvoří pravidlo přeposílání doručené pošty. Pravidlo přesměrování se aktivuje, když poštovní schránka obdrží od útočníka konkrétní zprávu, která odpovídá podmínkám pravidla. Podmínky pravidla a formát zprávy jsou vzájemně přizpůsobené.

  4. Útočník odešle aktivační e-mail do ohrožené poštovní schránky, kterou uživatel bez kontroly stále používá jako normální.

  5. Když poštovní schránka obdrží zprávu, která odpovídá podmínkám pravidla, použije se akce pravidla. Obvykle je akcí pravidla spuštění aplikace na vzdáleném serveru (WebDAV).

  6. Aplikace obvykle instaluje malware na počítač uživatele (například PowerShell Empire).

  7. Malware umožňuje útočníkovi ukrást (nebo znovu ukrást) uživatelské jméno a heslo uživatele nebo jiné přihlašovací údaje z místního počítače a provádět další škodlivé aktivity.

Zneužití formulářů:

  1. Útočník ukradne přihlašovací údaje uživatele.

  2. Útočník se přihlásí k poštovní schránce Exchange tohoto uživatele (Exchange Online nebo místní Exchange).

  3. Útočník vloží do poštovní schránky uživatele vlastní šablonu formuláře pošty. Vlastní formulář se aktivuje, když poštovní schránka obdrží od útočníka konkrétní zprávu, která vyžaduje, aby poštovní schránka načetla vlastní formulář. Vlastní formulář a formát zprávy jsou vzájemně přizpůsobené.

  4. Útočník odešle aktivační e-mail do ohrožené poštovní schránky, kterou uživatel bez kontroly stále používá jako normální.

  5. Když poštovní schránka obdrží zprávu, načte poštovní schránka požadovaný formulář. Formulář spustí aplikaci na vzdáleném serveru (WebDAV).

  6. Aplikace obvykle instaluje malware na počítač uživatele (například PowerShell Empire).

  7. Malware umožňuje útočníkovi ukrást (nebo znovu ukrást) uživatelské jméno a heslo uživatele nebo jiné přihlašovací údaje z místního počítače a provádět další škodlivé aktivity.

Jak může útok prostřednictvím injektáže pravidel a vlastních formulářů vypadat Office 365?

Tyto mechanismy trvalosti si uživatelé pravděpodobně nebudou moci všimnout a v některých případech dokonce mohou být pro ně neviditelné. V tomto článku se dozvíte, jak hledat některé ze sedmi znaků (indikátorů ohrožení zabezpečení) uvedených níže. Pokud najdete některý z těchto kroků, musíte provést nápravné kroky.

  • Indikátory ohrožení pravidel:

    • Akce pravidla je spuštění aplikace.
    • Pravidlo odkazuje na exe, ZIP nebo adresu URL.
    • Na místním počítači vyhledejte spuštění nového procesu, který pochází z Outlook PID.
  • Indikátory ohrožení vlastních formulářů:

    • Vlastní formuláře, které jsou uložené jako vlastní třída zprávy.
    • Třída zprávy obsahuje spustitelný kód.
    • Škodlivé formuláře jsou obvykle uložené v knihovně osobních formulářů nebo ve složkách doručené pošty.
    • Formulář má název IPM. Poznámka. [vlastní název].

Postup vyhledání známek tohoto útoku a jeho potvrzení

K potvrzení útoku můžete použít některou z následujících metod:

  • Ručně zkontrolujte pravidla a formuláře pro každou poštovní schránku pomocí klienta Outlook. Tato metoda je důkladná, ale můžete kontrolovat pouze jednu poštovní schránku najednou. Tato metoda může být velmi časově náročná, pokud máte mnoho uživatelů ke kontrole a může také infikovat počítač, který používáte.

  • Pomocí skriptuGet-AllTenantRulesAndForms.ps1 PowerShellu můžete automaticky vypsat všechna pravidla předávání e-mailů a vlastní formuláře pro všechny uživatele v tenantovi. Jedná se o nejrychlejší a nejbezpečnější metodu s nejmenší režií.

Potvrzení útoku na pravidla pomocí klienta Outlook

  1. Otevřete uživatele Outlook klienta jako uživatele. Uživatel může potřebovat vaši pomoc při zkoumání pravidel ve své poštovní schránce.

  2. Postupy otevření rozhraní pravidel v Outlook najdete v článku o správě e-mailových zpráv pomocí pravidel.

  3. Vyhledejte pravidla, která uživatel nevytvořil, nebo jakákoli neočekávaná pravidla nebo pravidla s podezřelými názvy.

  4. Vyhledejte v popisu pravidla akce pravidla, které se spouštějí a aplikace nebo odkazují na .EXE, .ZIP souboru nebo na spuštění adresy URL.

  5. Vyhledejte všechny nové procesy, které začínají používat ID procesu Outlook. Přečtěte si informace o vyhledání ID procesu.

Postup potvrzení útoku Pomocí klienta Outlook Forms

  1. Otevřete uživatele Outlook klienta jako uživatele.

  2. Postupujte podle pokynů v části Zobrazení karty Vývojář pro uživatelskou verzi Outlook.

  3. Otevřete nyní zobrazenou kartu vývojář v Outlook a klikněte na návrh formuláře.

  4. Ze seznamu Oblast hledání vyberte doručenou poštu. Vyhledejte všechny vlastní formuláře. Vlastní formuláře jsou dost vzácné, že pokud máte nějaké vlastní formuláře vůbec, stojí za to podívat se podrobněji.

  5. Prozkoumejte všechny vlastní formuláře, zejména ty, které jsou označené jako skryté.

  6. Otevřete všechny vlastní formuláře a ve skupině Formulář klikněte na Zobrazit kód a podívejte se, co se spustí při načtení formuláře.

Postup potvrzení útoku na pravidla a formuláře pomocí PowerShellu

Nejjednodušším způsobem, jak ověřit pravidla nebo útok na vlastní formuláře, je spuštění skriptuGet-AllTenantRulesAndForms.ps1 PowerShellu. Tento skript se připojí ke každé poštovní schránce ve vašem tenantovi a vypíše všechna pravidla a formuláře do dvou .csv souborů.

Požadavky

Ke spuštění skriptu budete muset mít oprávnění globálního správce, protože se skript připojí ke každé poštovní schránce v tenantovi, aby mohl číst pravidla a formuláře.

  1. Přihlaste se k počítači, ze kterého skript spustíte, s oprávněními místního správce.

  2. Stáhněte nebo zkopírujte skript Get-AllTenantRulesAndForms.ps1 z GitHub do složky, ze které ho spustíte. Skript vytvoří do této složky dva soubory s datovým razítkem, MailboxFormsExport-yyyy-mm-dd.csv a MailboxRulesExport-yyyy-mm-dd.csv.

  3. Otevřete instanci PowerShellu jako správce a otevřete složku, do které jste skript uložili.

  4. Spusťte tento příkazový řádek PowerShellu .\Get-AllTenantRulesAndForms.ps1následujícím způsobem: .\Get-AllTenantRulesAndForms.ps1

Interpretace výstupu

  • MailboxRulesExport-yyyy-mm-dd.csv: Prozkoumejte pravidla (jeden na řádek) pro podmínky akce, které zahrnují aplikace nebo spustitelné soubory:

    • ActionType (sloupec A): Pokud se zobrazí hodnota "ID_ACTION_CUSTOM", pravidlo je pravděpodobně škodlivé.

    • IsPotentiallyMalicious (sloupec D): Pokud je tato hodnota TRUE, pravidlo je pravděpodobně škodlivé.

    • ActionCommand (sloupec G): Pokud tento sloupec obsahuje aplikaci nebo libovolný soubor s .exe nebo .zip příponami nebo neznámou položku, která odkazuje na adresu URL, je pravidlo pravděpodobně škodlivé.

  • MailboxFormsExport-yyyy-mm-dd.csv: Obecně platí, že použití vlastních formulářů je vzácné. Pokud nějaké najdete v tomto sešitu, otevřete poštovní schránku tohoto uživatele a prozkoumejte samotný formulář. Pokud ji tam vaše organizace záměrně neuložila, je pravděpodobně škodlivá.

Jak zastavit a napravit útok na Outlook pravidla a formuláře

Pokud najdete nějaké důkazy o některém z těchto útoků, náprava je jednoduchá, stačí pravidlo nebo formulář odstranit z poštovní schránky. Můžete to provést pomocí klienta Outlook nebo pomocí vzdáleného PowerShellu k odebrání pravidel.

Použití Outlook

  1. Identifikujte všechna zařízení, která uživatel použil s Outlook. Všechny budou muset být vyčištěny od potenciálního malwaru. Nepovolujte uživateli, aby se přihlašoval a používal e-mail, dokud se nevyčistí všechna zařízení.

  2. Postupujte podle kroků v části Odstranění pravidla pro každé zařízení.

  3. Pokud si nejste jisti přítomností dalšího malwaru, můžete naformátovat a přeinstalovat veškerý software na zařízení. U mobilních zařízení můžete podle pokynů výrobců obnovit zařízení na image továrního nastavení.

  4. Nainstalujte nejaktuálnější verze Outlook. Mějte na paměti, že aktuální verze Outlook ve výchozím nastavení blokuje oba typy tohoto útoku.

  5. Po odebrání všech offline kopií poštovní schránky resetujte heslo uživatele (použijte vysoce kvalitní) a postupujte podle pokynů v tématu Nastavení vícefaktorového ověřování pro uživatele , pokud ještě není povolené vícefaktorové ověřování. Tím se zajistí, že přihlašovací údaje uživatele nebudou zpřístupněny jiným způsobem (jako je útok phishing nebo opakované použití hesla).

Použití PowerShellu

Existují dvě vzdálené rutiny PowerShellu, které můžete použít k odebrání nebo zakázání nebezpečných pravidel. Stačí postupovat podle pokynů.

Postup pro poštovní schránky, které jsou na Exchange serveru

  1. Připojení na Exchange server pomocí vzdáleného PowerShellu. Postupujte podle kroků v Připojení k Exchange serverů pomocí vzdáleného PowerShellu.

  2. Pokud chcete z poštovní schránky zcela odebrat jedno pravidlo, více pravidel nebo všechna pravidla, použijte rutinu Remove-InboxRule .

  3. Pokud chcete zachovat pravidlo a jeho obsah pro další šetření, použijte rutinu Disable-InboxRule .

Postup pro poštovní schránky v Exchange Online

  1. Postupujte podle kroků v Připojení a Exchange Online pomocí PowerShellu.

  2. Pokud chcete z poštovní schránky úplně odebrat jedno pravidlo, více pravidel nebo všechna pravidla, použijte rutinu Odebrat pravidlo doručené pošty .

  3. Pokud chcete zachovat pravidlo a jeho obsah pro další šetření, použijte rutinu Disable-InboxRule .

Minimalizace budoucích útoků

Za prvé: ochrana vašich účtů

Zneužití pravidel a formulářů útočník používá až po odcizení nebo porušení některého z uživatelských účtů. Takže vaším prvním krokem, jak zabránit použití těchto zneužití ve vaší organizaci, je agresivně chránit vaše uživatelské účty. Mezi nejběžnější způsoby porušení zabezpečení účtů patří útoky phishing nebo útoky password spray.

Nejlepší způsob, jak chránit uživatelské účty, a zejména účty správce, je nastavit vícefaktorové ověřování pro uživatele. Měli byste také:

  • Sledujte, jak se k vašim uživatelským účtům přistupuje a jak se používají. Počátečnímu porušení zabezpečení nemusíte bránit, ale zkrátíte dobu trvání a dopad porušení zabezpečení tím, že ho zjistíte dříve. Pomocí těchto zásad Office 365 Cloud App Security můžete monitorovat účty a upozorňovat na neobvyklou aktivitu:

    • Několik neúspěšných pokusů o přihlášení: Tato zásada profiluje vaše prostředí a aktivuje upozornění, když uživatelé v jedné relaci provádějí několik neúspěšných aktivit přihlášení s ohledem na naučený směrný plán, což může znamenat pokus o porušení zabezpečení.

    • Nemožná cesta: Tato zásada profiluje vaše prostředí a aktivuje upozornění, když se aktivity zjistí od stejného uživatele v různých umístěních během časového období kratšího, než je očekávaná doba cesty mezi těmito dvěma místy. To může znamenat, že jiný uživatel používá stejné přihlašovací údaje. Zjištění tohoto neobvyklého chování vyžaduje počáteční studium sedmi dnů, během kterého se naučí model aktivity nového uživatele.

    • Neobvyklá zosobněná aktivita (podle uživatele): Tato zásada profiluje vaše prostředí a aktivuje upozornění, když uživatelé v jedné relaci provádějí více zosobněných aktivit s ohledem na získané základní hodnoty, což by mohlo znamenat pokus o porušení zabezpečení.

  • Ke správě konfigurací a chování zabezpečení účtů použijte nástroj, jako je Office 365 Zabezpečené skóre.

Za druhé: Udržujte své klienty Outlook aktuální

Plně aktualizované a opravené verze Outlook 2013 a 2016 ve výchozím nastavení zakazují akci pravidla nebo formuláře Spustit aplikaci. Tím se zajistí, že i v případě, že útočník poruší účet, budou akce pravidla a formuláře blokovány. Nejnovější aktualizace a opravy zabezpečení můžete nainstalovat podle pokynů v části Instalace aktualizací Office.

Tady jsou verze oprav pro klienty Outlook 2013 a 2016:

  • Outlook 2016: 16.0.4534.1001 nebo vyšší.

  • Outlook 2013: 15.0.4937.1000 nebo vyšší.

Další informace o jednotlivých opravách zabezpečení najdete tady:

Třetí: Monitorování klientů Outlook

Všimněte si, že i s nainstalovanými opravami a aktualizacemi může útočník změnit konfiguraci místního počítače tak, aby znovu povolil chování "Spustit aplikaci". Pomocí rozšířené správy Zásady skupiny můžete monitorovat a vynucovat zásady místního počítače na vašich klientech.

Pomocí informací v tématu Postup zobrazení systémového registru pomocí 64bitových verzí Windows můžete zjistit, jestli byla možnost Spustit aplikaci znovu povolena prostřednictvím přepsání v registru. Zkontrolujte tyto podklíče:

  • Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\

  • Outlook 2013:HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Vyhledejte klíč EnableUnsafeClientMailRules. Pokud je tam a je nastavená na hodnotu 1, oprava zabezpečení Outlook byla přepsána a počítač je zranitelný vůči útoku na formulář nebo pravidla. Pokud je hodnota 0, akce Spustit aplikaci je zakázaná. Pokud je nainstalovaná aktualizovaná a opravená verze Outlook a tento klíč registru není k dispozici, systém není vůči těmto útokům zranitelný.

Zákazníci s místními instalacemi Exchange by měli zvážit blokování starších verzí Outlook, které nemají k dispozici opravy. Podrobnosti o tomto procesu najdete v článku Konfigurace blokování klienta Outlook.

Zabezpečení Microsoft 365 jako profesionál pro kybernetickou bezpečnost

Vaše předplatné Microsoft 365 obsahuje výkonnou sadu funkcí zabezpečení, které můžete použít k ochraně dat a uživatelů. Využijte plán zabezpečení Microsoft 365 – hlavní priority za prvních 30, 90 dnů a déle k implementaci doporučených osvědčených postupů Microsoftu pro zabezpečení vašeho tenanta Microsoft 365.

  • Úkoly, které se mají provést v prvních 30 dnech Ty mají okamžitý účinek a mají malý dopad na vaše uživatele.

  • Úkoly, které se mají provést za 90 dnů. Jejich plánování a implementace trvá o něco déle, ale výrazně zlepšují stav zabezpečení.

  • Víc než 90 dní. Tato vylepšení se vytvářejí v prvních 90 dnech práce.

Viz také: