Identifiera och åtgärda Outlook regler och attacker på anpassade formulärsattacker

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Sammanfattning Lär dig hur du känner igen och åtgärdar Outlook regler och anpassade Forms-attacker i Office 365.

Vad är den Outlook och Custom Forms-attacker?

När en attackerare får åtkomst till organisationen försöker de upprätta ett fothåll för att stanna kvar eller komma tillbaka in när de har identifierats. Den här aktiviteten kallas för att fastställa en mekanism för beständighet. Det finns två sätt som en attackerare kan använda Outlook för att upprätta en mekanism för beständighet:

  • Genom att utnyttja Outlook regler.
  • Genom att mata in anpassade formulär i Outlook.

Det Outlook att installera om datorn, och inte ens ge den berörda personen någon ny dator. När den nya installationen Outlook till postlådan synkroniseras alla regler och formulär från molnet. Reglerna eller formulären är vanligtvis utformade för att köra fjärrkod och installera skadlig programvara på den lokala datorn. Skadlig programvara stjäl autentiseringsuppgifter eller utför andra aktiviteter i aktiviteten.

Den goda nyheten är: om du behåller dina Outlook-klienter korrigerat till den senaste versionen är du inte sårbar för risken eftersom Outlook-klientens standardinställningar blockerar båda mekanismerna.

Attackerna följer vanligtvis dessa mönster:

Utnyttja regler:

  1. Attackeraren stjäl en användares autentiseringsuppgifter.

  2. Attackeraren loggar in på den användarens Exchange postlåda (Exchange Online eller lokal Exchange).

  3. Attackeraren skapar en vidare vidarebefordransregel för Inkorgen i postlådan. Vidarebefordransregeln utlöses när postlådan får ett specifikt meddelande från attacker som matchar villkoren i regeln. Regelvillkoren och meddelandeformatet är anpassade efter varandra.

  4. Då skickar attackeraren e-postmeddelandet till den komprometterade postlådan, som fortfarande används som vanligt av den intet ont anande användaren.

  5. När postlådan får ett meddelande som matchar villkoren i regeln tillämpas åtgärden av regeln. Regelåtgärden är vanligtvis att starta ett program på en fjärrserver (WebDAV).

  6. Vanligtvis installerar programmet skadlig programvara på användarens dator (till exempel PowerShell Empire).

  7. Den skadliga programvaran gör att attacker kan stjäla (eller stjäla igen) användarens användarnamn och lösenord eller andra autentiseringsuppgifter från den lokala datorn och utföra andra skadliga aktiviteter.

Utnyttja formulären:

  1. Attackeraren stjäl en användares autentiseringsuppgifter.

  2. Attackeraren loggar in på den användarens Exchange postlåda (Exchange Online eller lokal Exchange).

  3. Attackeraren infogar en anpassad e-postformulärmall i användarens postlåda. Det anpassade formuläret utlöses när postlådan får ett specifikt meddelande från attacken som kräver att postlådan läser in det anpassade formuläret. Det anpassade formuläret och meddelandeformatet är anpassade efter varandra.

  4. Då skickar attackeraren e-postmeddelandet till den komprometterade postlådan, som fortfarande används som vanligt av den intet ont anande användaren.

  5. När postlådan får meddelandet läser postlådan in formuläret som krävs. Formuläret startar ett program på en fjärrserver (WebDAV).

  6. Vanligtvis installerar programmet skadlig programvara på användarens dator (till exempel PowerShell Empire).

  7. Den skadliga programvaran gör att attacker kan stjäla (eller stjäla igen) användarens användarnamn och lösenord eller andra autentiseringsuppgifter från den lokala datorn och utföra andra skadliga aktiviteter.

Hur en regel och anpassad formulärinlösningsattack kan se ut Office 365?

De här mekanismerna för beständighet är osannolikt att synas av dina användare och kan i vissa fall även vara osynliga för dem. I den här artikeln beskrivs hur du letar efter de sju tecken (indikatorer på komprometterade tecken) som anges nedan. Om du hittar något av detta måste du vidta åtgärder.

  • Indikatorer på regelkompromettering:

    • Regelåtgärden är att starta ett program.
    • Regelreferenser för EXE, ZIP eller URL.
    • På den lokala datorn letar du efter nya processstarter som kommer från Outlook PID.
  • Indikatorer på kompromettering av anpassade formulär:

    • Anpassade formulär finns sparade som en egen meddelandeklass.
    • Meddelandeklass innehåller körbar kod.
    • Skadliga formulär lagras vanligtvis i mapparna Personligt formulärbibliotek eller Inkorgen.
    • Formuläret heter IPM. Obs! [eget namn].

Steg för att hitta tecken på den här attacken och bekräfta den

Du kan använda någon av följande metoder för att bekräfta attacken:

  • Granska regler och formulär för varje postlåda manuellt med hjälp av Outlook klient. Den här metoden är noggrann, men du kan bara kontrollera en postlåda i taget. Den här metoden kan vara mycket tidskrävande om du har många användare att kontrollera och kan även smitta datorn du använder.

  • Använd PowerShellGet-AllTenantRulesAndForms.ps1postskriptet för att automatisktdumpa alla vidarekopplingsregler och anpassade formulär för alla användare i ditt innehavare. Det här är den snabbaste och säkraste metoden med minsta möjliga overhead.

Bekräfta regelangreppet med hjälp Outlook klienten

  1. Öppna användaren Outlook klient som användaren. Användaren kan behöva hjälp med att granska reglerna för postlådan.

  2. I Hantera e-postmeddelanden med hjälp av regelartikeln finns procedurer för hur du öppnar regelgränssnittet i Outlook.

  3. Leta efter regler som användaren inte har skapat eller oväntade regler eller regler med misstänkta namn.

  4. Titta i regelbeskrivningen för regelåtgärder som startar och används, eller referera till en .EXE, .ZIP fil eller för att starta en URL.

  5. Leta efter nya processer som börjar använda Outlook process-ID. Mer information finns i Hitta process-ID.

Steg för att bekräfta Forms-attacken med hjälp Outlook klient

  1. Öppna användaren Outlook klient som användaren.

  2. Följ anvisningarna i Visa fliken Utvecklare för användarens version av Outlook.

  3. Öppna den nu synliga utvecklarfliken i Outlook klicka på Designa ett formulär.

  4. Välj Inkorgen i listan Leta i. Leta efter eventuella anpassade formulär. Anpassade formulär är tillräckligt sällsynta för att det ska vara värt att titta närmare på anpassade formulär.

  5. Undersök alla anpassade formulär, särskilt de som markerats som dolda.

  6. Öppna alla anpassade formulär och klicka på Visningskod i gruppen Formulär för att se vad som körs när formuläret läses in.

Steg för att bekräfta attacken med Regler och formulär med PowerShell

Det enklaste sättet att verifiera en regel eller ett anpassat formulär-angrepp är att köra Get-AllTenantRulesAndForms.ps1 PowerShell-skript. Med det här skriptet ansluts alla postlådor i klientorganisationen och alla regler och formulär till två .csv filer.

Förhandskrav

Du måste ha global administratörsbehörighet för att köra skriptet eftersom skriptet ansluter till varje postlåda i innehavare för att läsa regler och formulär.

  1. Logga in på den dator som du kör skriptet från med lokala administratörsrättigheter.

  2. Ladda ned eller kopiera Get-AllTenantRulesAndForms.ps1 från GitHub till en mapp som du ska köra det från. Skriptet skapar två datumstämplade filer i den här mappen, MailboxFormsExport-yyyy-mm-dd.csv och MailboxRulesExport-yyyy-mm-dd.csv.

  3. Öppna en PowerShell-instans som administratör och öppna mappen där du sparade skriptet.

  4. Kör den här PowerShell-kommandoraden enligt .\Get-AllTenantRulesAndForms.ps1 .\Get-AllTenantRulesAndForms.ps1

Tolka utdata

  • MailboxRulesExport-yyyy-mm-dd.csv: Undersök reglerna (en per rad) för åtgärdsvillkor som innehåller program eller körbara filer:

    • ActionType (kolumn A): Om värdet "ID_ACTION_CUSTOM" visas är regeln sannolikt skadlig.

    • IsViliallyMalicious (kolumn D): Om det här värdet är "SANT" är regeln sannolikt skadlig.

    • ActionCommand (kolumn G): Om den här kolumnen visar ett program eller en fil med .exe- eller .zip-tillägg eller en okänd post som refererar till en URL är regeln sannolikt skadlig.

  • MailboxFormsExport-yyyy-mm-dd.csv: I allmänhet är användningen av anpassade formulär sällsynta. Om det finns några i arbetsboken öppnar du den användarens postlåda och undersöker själva formuläret. Om organisationen inte lagt upp den där avsiktligt är den sannolikt skadlig.

Hur du stoppar och åtgärdar attacken Outlook regler och formulär

Om du hittar bevis för någon av dessa attacker är det enkelt att åtgärda, bara ta bort regeln eller formuläret från postlådan. Du kan göra detta med Outlook klienten eller med fjärr-PowerShell för att ta bort regler.

Använda Outlook

  1. Identifiera alla enheter som användaren har använt med Outlook. Alla dessa måste rensas för eventuell skadlig programvara. Tillåt inte användaren att logga in och använda e-post förrän alla enheter har rensats.

  2. Följ anvisningarna i Ta bort en regel för varje enhet.

  3. Om du är osäker på om det finns annan skadlig programvara kan du formatera och installera om all programvara på enheten. För mobila enheter kan du följa tillverkarens anvisningar för att återställa enheten till fabriksbilden.

  4. Installera de senaste versionerna av Outlook. Kom ihåg att den aktuella versionen Outlook blockerar båda typerna av den här attacken som standard.

  5. När alla offlinekopior av postlådan har tagits bort återställer du användarens lösenord (använd ett lösenord av hög kvalitet) och följer stegen i Konfigurera multifaktorautentisering för användare om MFA inte redan har aktiverats. Detta garanterar att användarens autentiseringsuppgifter inte exponeras på annat sätt (t.ex. nätfiske eller lösenordsanvändning).

Använda PowerShell

Det finns två PowerShell-fjärr cmdlets som du kan använda för att ta bort eller inaktivera skadliga regler. Följ bara anvisningarna.

Steg för postlådor som finns på en Exchange server

  1. Anslut till Exchange server med fjärr-PowerShell. Följ anvisningarna i Anslut för Exchange fjärr-PowerShell.

  2. Om du helt vill ta bort en enda regel, flera regler eller alla regler från en postlåda använder du cmdleten Remove-InboxRule.

  3. Om du vill behålla regeln och dess innehåll för vidare undersökning använder du cmdleten Disable-InboxRule.

Steg för postlådor i Exchange Online

  1. Följ anvisningarna i Anslut för Exchange Online med PowerShell.

  2. Om du helt vill ta bort en enda regel, flera regler eller alla regler från en postlåda använder du cmdleten Ta bort inkorgsregel.

  3. Om du vill behålla regeln och dess innehåll för vidare undersökning använder du cmdleten Disable-InboxRule.

Hur du minimerar framtida attacker

Först: skydda dina konton

Sårbarheterna i Regler och Formulär används bara av en attackerare efter att de har stulit eller brutit mot ett av dina användares konton. Därför är ditt första steg för att förhindra användningen av dessa sårbarheter mot din organisation att aggressivt skydda dina användarkonton. Några av de vanligaste sätten som konton bryter mot är nätfiske- eller lösenordsattacker.

Det bästa sättet att skydda användarkonton, och särskilt administratörskonton, är att konfigurera multifaktorautentisering för användare. Du bör också:

  • Övervaka hur användarkonton används och används. Du kan inte förhindra den första intrånget, men du förkortar varaktigheten och påverkan på intrånget genom att upptäcka det snabbare. Du kan använda dessa Office 365 Cloud App Security för att övervaka dina konton och avisering om ovanlig aktivitet:

    • Flera misslyckade inloggningsförsök: Den här principen profilerar din miljö och utlöser aviseringar när användare utför flera misslyckade inloggningsaktiviteter i en enskild session med avseende på den inlärda baslinjen, vilket kan indikera ett försök till intrång.

    • Omöjligt att resa: De här principprofilerna din miljö och utlöser aviseringar när aktiviteter identifieras från samma användare på olika platser inom en tidsperiod som är kortare än den förväntade restiden mellan de två platserna. Det kan ange att en annan användare använder samma autentiseringsuppgifter. Om den upptäcker detta avvikande beteende krävs en inledande utbildningsperiod på sju dagar då användaren lär sig en ny användares aktivitetsmönster.

    • Ovanliga imiterade aktiviteter (efter användare): Den här principen profilerar din miljö och utlöser aviseringar när användare utför flera imiterade aktiviteter i en enskild session med avseende på den grundläggande läran, vilket kan indikera ett försök till intrång.

  • Använd ett verktyg som Office 365 Secure Score för att hantera kontosäkerhetskonfigurationer och -beteenden.

För det andra: Håll Outlook klienter aktuella

Helt uppdaterade och korrigerade versioner Outlook 2013 och 2016 inaktiverar som standard åtgärden "Starta program"-regel/-formulär. Detta säkerställer att även om en attack bryter mot kontot blockeras åtgärderna för regler och formulär. Du kan installera de senaste uppdateringarna och säkerhetskorrigeringarna genom att följa stegen i Installera Office uppdateringar.

Här är korrigeringsversionerna för dina Outlook 2013- och 2016-klienter:

  • Outlook 2016: 16.0.4534.1001 eller större.

  • Outlook 2013: 15.0.4937.1000 eller större.

Mer information om de enskilda säkerhetskorrigeringarna finns i:

Tredje: Övervaka dina Outlook klienter

Observera att även med korrigeringar och uppdateringar installerade är det möjligt för en attackerare att ändra den lokala datorkonfigurationen och återaktivera beteendet "Starta program". Du kan använda Avancerad grupprinciphantering för att övervaka och tillämpa lokala datorprinciper på dina klienter.

Du kan se om "Start-programmet" har aktiverats på nytt via en åsidosättning i registret genom att använda informationen i Så här visar du systemregistret med hjälp av 64-bitarsversioner av Windows. Kontrollera följande undernycklar:

  • Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\

  • Outlook 2013:HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Leta efter nyckeln EnableUnsafeClientMailRules. Om den finns där och är inställd på 1 har Outlook säkerhetskorrigeringen åsidosättts och datorn är sårbar för attacken formulär/regler. Om värdet är 0 inaktiveras åtgärden "Starta program". Om den uppdaterade och korrigerade versionen Outlook installerats och den här registernyckeln inte finns, är ett system inte sårbart för dessa attacker.

Kunder med lokala installationer Exchange kanske blockerar äldre versioner av Outlook som inte har några korrigeringar. Mer information om den här processen finns i artikeln Konfigurera Outlook klientblockering.

Skydda Microsoft 365 som en expert på cybersäkerhet

Din Microsoft 365-prenumeration innehåller kraftfulla säkerhetsfunktioner som du kan använda för att skydda dina data och dina användare. Använd Säkerhetsöversikt för Microsoft 365 – de vanligaste prioriteringarna för de första 30 dagarna, 90 dagarna och bortom för att implementera Microsofts metodtips för att skydda din Microsoft 365-klientorganisation.

  • Uppgifter som ska utföras under de första 30 dagarna. De har omedelbar effekt och är små påverkan på användarna.

  • Uppgifter som ska utföras inom 90 dagar. De tar lite längre tid att planera och implementera men förbättrar din säkerhet avsevärt.

  • Mer än 90 dagar. De här förbättringarna uppnås under de första 90 dagarna.

Se även: