Реагирование на скомпрометированную облачную учетную запись электронной почты

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Учетные данные пользователя контролируют доступ к учетным записям Microsoft Entra ID, которые играют центральную роль в расследованиях компрометации. Когда злоумышленник получает доступ к учетной записи, он сможет получить доступ к связанному почтовому ящику Microsoft 365, папкам SharePoint или файлам в OneDrive пользователя. Исправление и исследование скомпрометированного пользователя фокусируется на затронутой учетной записи и службах, связанных с этой учетной записью.

Злоумышленники часто используют скомпрометированный почтовый ящик пользователя для отправки получателям внутри организации и за ее пределами. Компрометация корпоративной электронной почты (BEC) — это распространённый вид атак, который рассматривается в этой статье.

В этой статье рассматриваются симптомы компрометации учетной записи (в частности, почтовый ящик) и способы восстановления контроля над скомпрометированной учетной записью.

Важно!

Следующая кнопка позволяет протестировать и выявить подозрительные действия с учетной записью. Используйте этот тест с рекомендациями, приведенными в этой статье, чтобы получить представление о потенциально скомпрометированных учетных записях и определить необходимые действия по исправлению.

Распространенные симптомы компрометации учетной записи электронной почты Microsoft 365

Одно или несколько из следующих действий могут указывать на компрометацию учетной записи, связанной с почтовым ящиком Microsoft 365:

  • Почтовый ящик заблокирован для отправки электронной почты.
  • Подозрительные действия. Например, отсутствует или удалено сообщение электронной почты.
  • Подозрительные правила папки "Входящие". Например, вы можете:
    • Правила, которые автоматически пересылают электронную почту на неизвестные адреса.
    • Правила, которые перемещают сообщения в папки Заметки, Нежелательная почта или RSS-подписки.
  • Папки "Отправленные" или "Удаленные" содержат подозрительные сообщения. Например, "Я застрял в Лондоне, отправить деньги".
  • Изменения контакта пользователя в глобальном списке адресов (GAL). Например, имя, номер телефона или почтовый индекс.
  • Частые изменения паролей или необъяснимые блокировки учетных записей.
  • Недавно добавлена внешняя пересылка электронной почты.
  • Подозрительные подписи сообщений электронной почты. Например, поддельная банковская подпись или подпись отпускаемого по рецепту лекарства.

Если в почтовом ящике наблюдается любой из этих признаков, воспользуйтесь инструкциями из Защита и восстановление функции электронной почты для скомпрометированной учетной записи Microsoft 365 с поддержкой почты, чтобы восстановить контроль над учетной записью.

Защита и восстановление функциональности электронной почты для скомпрометированной учетной записи Microsoft 365 с поддержкой электронной почты

После того как злоумышленник получит доступ к учетной записи, необходимо как можно скорее заблокировать доступ к ней.

Ниже описаны известные методы, которые могут позволить злоумышленнику сохранить сохраняемость и восстановить контроль над учетной записью позже. Обязательно выполните каждый шаг.

Шаг 1. Отключение затронутой учетной записи пользователя

Используйте следующее руководство, чтобы отключить затронутую учетную запись пользователя во время исследования.

  • Отключение скомпрометированной учетной записи является предпочтительным и настоятельно рекомендуется до завершения исследования.

    1. При необходимости установите модуль Microsoft Graph PowerShell в PowerShell, выполнив следующую команду:

      Install-Module -Name Microsoft.Graph -Scope CurrentUser
      
    2. Подключитесь к Microsoft Graph, выполнив следующую команду:

      Connect-MgGraph -Scopes "User.ReadWrite.All"
      
    3. Чтобы сохранить сведения об учетной записи пользователя в переменной с именем $user, замените <UPN> именем учетной записи пользователя (основным именем пользователя, или UPN), а затем выполните следующую команду:

      $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
      

      Например, вы можете:

      $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
      
    4. Выполните следующую команду, чтобы отключить учетную запись пользователя:

      Update-MgUser -UserId $user.Id -AccountEnabled $false
      

    Подробные сведения о синтаксисе и параметрах см. в разделе Update-MgUser.

  • Если вы не можете отключить учетную запись, следующим лучшим шагом будет сброс пароля. Инструкции см. в статье «Сброс паролей в Microsoft 365 для бизнеса».

    • Обязательно используйте надежный пароль: верхние и строчные буквы, по крайней мере одну цифру и хотя бы один специальный символ.
    • Не отправляйте новый пароль пользователю по электронной почте, так как на данный момент злоумышленник может получить доступ к почтовому ящику.
    • Используйте уникальный пароль, который злоумышленник не может угадать. Даже если это разрешено в журнале паролей, не используйте ни один из последних пяти паролей.
    • Если учетная запись синхронизирована из Active Directory, сбросьте пароль в Active Directory и сбросьте его дважды, чтобы снизить риск сквозных хэш-атак . Инструкции см. в разделе Set-ADAccountPassword.
    • Если учетная запись пользователя является федеративной в Microsoft 365, необходимо изменить пароль учетной записи в локальной среде, а затем уведомить администратора о компрометации учетной записи.
    • Не забудьте обновить пароли приложений. Пароли приложений не отзываются автоматически при сбросе пароля. Пользователь должен удалить существующие пароли приложений и создать новые. Дополнительные сведения см. в статье Управление паролями приложений для двухфакторной проверки подлинности.
  • Настоятельно рекомендуется включить и принудительно применять многофакторную проверку подлинности (MFA) для учетной записи. MFA эффективно защищает от компрометации учетной записи и имеет важное значение для учетных записей с правами администратора.

    Дополнительные сведения см. в следующих статьях:

Шаг 2. Отмена доступа пользователей

Отмена активных сеансов немедленно отменяет любой активный доступ с помощью украденных учетных данных и запрещает злоумышленнику получать доступ к более конфиденциальным данным или выполнять несанкционированные действия в скомпрометированной учетной записи.

  1. Если среда блокирует выполнение локального скрипта, задайте политику RemoteSigned выполнения PowerShell, чтобы можно было установить и запустить необходимые модули Microsoft Graph. Выполните следующую команду в окне PowerShell с повышенными привилегиями (открываемое окном PowerShell, выбрав Запуск от имени администратора):

    Set-ExecutionPolicy RemoteSigned
    
  2. При необходимости установите модули PowerShell Microsoft Graph, необходимые для проверки подлинности и отзыва активных сеансов пользователей:

    Install-Module Microsoft.Graph.Authentication
    
    Install-Module Microsoft.Graph.Users.Actions
    
  3. Подключитесь к Microsoft Graph с областью разрешений User.RevokeSessions.All, чтобы можно было аннулировать активные сеансы входа пользователя:

    Connect-MgGraph -Scopes User.RevokeSessions.All
    
  4. Чтобы отозвать все активные сеансы входа и сделать недействительными существующие токены обновления для соответствующего пользователя, замените <UPN> учетной записью пользователя (имя участника-пользователя или UPN), а затем выполните следующую команду:

    Revoke-MgUserSignInSession -UserId <UPN>
    

    Например, следующая команда отменяет все активные сеансы для пользователя jason@contoso.onmicrosoft.com:

    Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
    

Дополнительные сведения см. в статье Отмена доступа пользователей в чрезвычайных ситуациях в Microsoft Entra ID.

Шаг 3. Проверка зарегистрированных устройств MFA для затронутого пользователя

Определите и удалите все подозрительные устройства, добавленные злоумышленником. Кроме того, убедитесь, что все нераспознанные методы MFA удалены для защиты учетной записи пользователя.

Инструкции см. в разделе "Управление параметрами проверки подлинности пользователей".

Удалите и отмените все приложения, которые не должны быть разрешены.

Инструкции см. в разделе Проверка приложений.

Шаг 5. Проверка административных ролей, назначенных пользователю

Удалите все роли, которые не должны быть разрешены.

Дополнительные сведения см. в следующих статьях:

Шаг 6: Проверка пересылателей почты

Удалите все подозрительные переадресации почтовых ящиков, добавленные злоумышленником.

  1. Подключение к Exchange Online PowerShell.

  2. Чтобы проверить, имеет ли почтовый ящик параметры пересылки сообщений, которые перенаправляют сообщения другому получателю (также известному как пересылка SMTP), замените <удостоверение> именем, адресом электронной почты или именем учетной записи почтового ящика, а затем выполните следующую команду:

    Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
    

    Например, следующая команда проверяет параметры пересылки в почтовом ящике Джейсона:

    Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
    

    Просмотрите значения следующих свойств:

    • ForwardingAddress: непустое значение означает, что адрес электронной почты пересылается указанному внутреннему получателю.
    • ForwardingSmtpAddress: непустое значение означает, что сообщение электронной почты пересылается указанному внешнему получателю. Если настроены оба параметра: ForwardingAddress и ForwardingSmtpAddress, электронная почта пересылается только внутреннему получателю ForwardingAddress.
    • DeliverToMailboxAndForward: управляет доставкой и пересылкой сообщений получателям, указанным в параметре ForwardingAddress или ForwardingSmtpAddress:
      • True: сообщения доставляются в этот почтовый ящик и пересылаются указанному получателю.
      • False: сообщения перенаправляются указанному получателю. Сообщения только перенаправляются на заданный электронный адрес, но не доставляются в этот почтовый ящик.
  3. Чтобы просмотреть все правила для папки «Входящие» (включая скрытые) и найти правила, которые перенаправляют или пересылают сообщения без ведома пользователя, замените <Identity> именем, адресом электронной почты или именем учетной записи почтового ящика, а затем выполните следующую команду:

    Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
    

    Например, следующая команда проверяет правила для папки «Входящие» в почтовом ящике Джейсона на наличие подозрительной переадресации:

    Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
    

    Просмотрите значения следующих свойств:

    • Включено: включено ли правило (True) или отключено (False).

    • RedirectTo: непустое значение означает, что адрес электронной почты перенаправляется указанным получателям. Сообщения только перенаправляются на заданный электронный адрес, но не доставляются в этот почтовый ящик.

    • ForwardTo: непустое значение означает, что сообщение электронной почты пересылается указанным получателям.

    • ForwardAsAttachmentTo: непустое значение означает, что сообщение электронной почты пересылается указанным получателям в виде вложения электронной почты.

    • Идентификатор: глобально уникальное значение правила. Чтобы просмотреть полные сведения о правиле, замените <Identity> значением Identity и выполните следующую команду:

      Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
      

      Например, вы можете:

      Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
      

Дополнительные сведения см. в разделе Управление автоматической пересылкой внешней электронной почты.

Изучение скомпрометированных учетных записей

Когда пользователь сообщает о необычных симптомах, очень важно провести тщательное исследование. Центр администрирования Microsoft Entra и портал Microsoft Defender предоставляют несколько средств для изучения подозрительных действий в учетных записях пользователей. Обязательно просмотрите журналы аудита с начала подозрительного действия, пока не завершите действия по исправлению.

Анализируя предоставленные журналы, можно точно определить конкретный период времени, требующий дополнительного внимания. После определения проверьте сообщения, отправленные пользователем в течение этого периода, чтобы получить дополнительные сведения.

После завершения исследования

Выполните следующие задачи после завершения исследования:

  1. Если вы отключили учетную запись во время расследования, сбросьте пароль и включите учетную запись, как описано на шаге 1. Отключите затронутую учетную запись пользователя.

  2. Если учетная запись использовалась для отправки спама или большого объема электронной почты, скорее всего, почтовый ящик заблокирован для отправки почты. Удалите пользователя со страницы Ограниченные сущности, как описано в статье Удаление заблокированных пользователей на странице Ограниченные сущности.

Дополнительные сведения см. в следующих ресурсах: