Реагирование на компрометацию учетной записи электронной почты

Учетные данные пользователя управляют доступом к Microsoft Entra ID учетным записям, которые являются ключевыми для компрометации расследований. Когда злоумышленник получает доступ к учетной записи, он сможет получить доступ к связанному почтовому ящику Microsoft 365, папкам SharePoint или файлам в OneDrive пользователя. Исправление и исследование скомпрометированного пользователя фокусируется на затронутой учетной записи и службах, связанных с этой учетной записью.

Злоумышленники часто используют скомпрометированный почтовый ящик пользователя для отправки получателям внутри организации и за ее пределами. Компрометация бизнес-Email (BEC) является плодовитым типом атаки, и рассматривается в этой статье.

В этой статье рассматриваются симптомы компрометации учетной записи (в частности, почтовый ящик) и способы восстановления контроля над скомпрометированной учетной записью.

Распространенные симптомы компрометации учетной записи электронной почты Microsoft 365

Одно или несколько из следующих действий могут указывать на компрометацию учетной записи, связанной с почтовым ящиком Microsoft 365:

• Почтовый ящик заблокирован для отправки электронной почты.
• Подозрительные действия. Например, отсутствует или удалено сообщение электронной почты.
• Подозрительные правила папки "Входящие". Например:
  • Правила, которые автоматически пересылают электронную почту на неизвестные адреса.
  • Правила, которые перемещают сообщения в папки Notes, Нежелательная Email или RSS Subscriptions.
• Папки "Отправленные" или "Удаленные" содержат подозрительные сообщения. Например, "Я застрял в Лондоне, отправить деньги".
• Изменения контакта пользователя в глобальном списке адресов (GAL). Например, имя, номер телефона или почтовый индекс.
• Частые изменения паролей или необъяснимые блокировки учетных записей.
• Недавно добавлена внешняя пересылка электронной почты.
• Подозрительные подписи сообщений электронной почты. Например, поддельная банковская подпись или подпись отпускаемого по рецепту лекарства.

Если почтовый ящик проявляет какие-либо из этих симптомов, выполните действия, описанные в следующем разделе, чтобы восстановить контроль над учетной записью.

Защита и восстановление функции Email в скомпрометированную учетную запись с поддержкой почты Microsoft 365

После того как злоумышленник получит доступ к учетной записи, необходимо как можно скорее заблокировать доступ к ней.

Ниже описаны известные методы, которые могут позволить злоумышленнику сохранить сохраняемость и восстановить контроль над учетной записью позже. Не забудьте решить каждый шаг.

Шаг 1. Отключение затронутой учетной записи пользователя

• Отключение скомпрометированной учетной записи является предпочтительным и настоятельно рекомендуется до завершения исследования.

  1. При необходимости установите модуль Microsoft Graph PowerShell в PowerShell, выполнив следующую команду:

     Install-Module -Name Microsoft.Graph -Scope CurrentUser
     

  2. Подключитесь к Microsoft Graph, выполнив следующую команду:

     Connect-MgGraph -Scopes "User.ReadWrite.All"
     

  3. Чтобы сохранить сведения об учетной записи пользователя в переменной с именем $user, замените <имя> участника-пользователя именем учетной записи пользователя (имя участника-пользователя или имя участника-пользователя), а затем выполните следующую команду:

     $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
     

     Например:

     $user = Get-MgUser -Search UserPrincipalName:'[email protected]' -ConsistencyLevel Eventual
     

  4. Выполните следующую команду, чтобы отключить учетную запись пользователя:

     Update-MgUser -UserId $user.Id -AccountEnabled $false
     

  Подробные сведения о синтаксисе и параметрах см. в разделе Update-MgUser.

• Если вы не можете отключить учетную запись, следующим лучшим шагом будет сброс пароля. Инструкции см . в статье Сброс паролей в Microsoft 365 для бизнеса.

  • Обязательно используйте надежный пароль: верхние и строчные буквы, по крайней мере одну цифру и хотя бы один специальный символ.
  • Не отправляйте новый пароль пользователю по электронной почте, так как на данный момент злоумышленник может получить доступ к почтовому ящику.
  • Используйте уникальный пароль, который злоумышленник не может угадать. Даже если это разрешено в журнале паролей, не используйте ни один из последних пяти паролей.
  • Если учетная запись синхронизирована из Active Directory, сбросьте пароль в Active Directory и сбросьте его дважды, чтобы снизить риск сквозных хэш-атак . Инструкции см. в разделе Set-ADAccountPassword.
  • Если удостоверение пользователя входит в федерацию с Microsoft 365, необходимо изменить пароль учетной записи в локальной среде, а затем уведомить администратора о компрометации.
  • Не забудьте обновить пароли приложений. Пароли приложений не отзываются автоматически при сбросе пароля. Пользователь должен удалить существующие пароли приложений и создать новые. Дополнительные сведения см. в статье Управление паролями приложений для двухфакторной проверки подлинности.

• Настоятельно рекомендуется включить и принудительно применять многофакторную проверку подлинности (MFA) для учетной записи. MFA эффективно защищает от компрометации учетной записи и имеет важное значение для учетных записей с правами администратора.

  Дополнительные сведения см. в следующих статьях:

  • Настройка многофакторной проверки подлинности
  • Требовать устойчивую к фишингу MFA для администраторов

Шаг 2. Отмена доступа пользователей

Этот шаг немедленно отменяет любой активный доступ с использованием украденных учетных данных и предотвращает доступ злоумышленника к более конфиденциальным данным или несанкционированные действия с скомпрометированной учетной записью.

1. Выполните следующую команду в окне PowerShell с повышенными привилегиями (открываемое окном PowerShell, выбрав Запуск от имени администратора):

   Set-ExecutionPolicy RemoteSigned
   

2. При необходимости выполните следующие команды, чтобы установить необходимые модули для Microsoft Graph PowerShell:

   Install-Module Microsoft.Graph.Authentication
   
   Install-Module Microsoft.Graph.Users.Actions
   

3. Подключитесь к Microsoft Graph, выполнив следующую команду:

   Connect-MgGraph -Scopes User.RevokeSessions.All
   

4. Замените <имя> участника-пользователя учетной записью пользователя (имя участника-пользователя или имя участника-пользователя), а затем выполните следующую команду:

   Revoke-MgUserSignInSession -UserId <UPN>
   

   Например:

   Revoke-MgUserSignInSession -UserId [email protected]
   

Дополнительные сведения см. в статье Отмена доступа пользователей в чрезвычайных ситуациях в Microsoft Entra ID.

Шаг 3. Проверка зарегистрированных устройств MFA для затронутого пользователя

Определите и удалите все подозрительные устройства, добавленные злоумышленником. Кроме того, убедитесь, что все нераспознанные методы MFA удалены для защиты учетной записи пользователя.

Инструкции см. в разделе Удаленные методы MFA.

Шаг 4. Просмотр списка приложений с согласия пользователя

Удалите и отмените все приложения, которые не должны быть разрешены.

Инструкции см. в разделе Проверка приложений.

Шаг 5. Проверка административных ролей, назначенных пользователю

Удалите все роли, которые не должны быть разрешены.

Дополнительные сведения см. в следующих статьях:

• Перечисление назначений ролей Azure с помощью портал Azure
• Перечисление назначений ролей Microsoft Entra
• Разрешения на портале Microsoft Purview
• Microsoft Defender для Office 365 разрешения на портале Microsoft Defender

Шаг 6. Проверка пересылки почты

Удалите все подозрительные переадресации почтовых ящиков, добавленные злоумышленником.

1. Подключение к Exchange Online PowerShell.

2. Чтобы узнать, настроена ли пересылка почтовых ящиков (также известная как перенаправление SMTP) в почтовом ящике, замените <Identity> именем, адресом электронной почты или именем учетной записи почтового ящика, а затем выполните следующую команду:

   Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
   

   Например:

   Get-Mailbox -Identity [email protected] | Format-List Forwarding*Address,DeliverTo*
   

   Просмотрите значения следующих свойств:

   • ForwardingAddress: непустое значение означает, что адрес электронной почты пересылается указанному внутреннему получателю.
   • ForwardingSmtpAddress: непустое значение означает, что сообщение электронной почты пересылается указанному внешнему получателю. Если настроены пересылкаAddress и ForwardingSmtpAddress , электронная почта пересылается только внутреннему получателю ForwardingAddress .
   • DeliverToMailboxAndForward: управляет доставкой и пересылкой сообщений получателям, указанным в параметре ForwardingAddress или ForwardingSmtpAddress:
     • True: сообщения доставляются в этот почтовый ящик и пересылаются указанному получателю.
     • False: сообщения перенаправляются указанному получателю. Сообщения только перенаправляются на заданный электронный адрес, но не доставляются в этот почтовый ящик.

3. Чтобы узнать, перенаправляют ли какие-либо правила папки "Входящие" электронную почту из почтового ящика, замените <Identity> именем, адресом электронной почты или именем учетной записи почтового ящика, а затем выполните следующую команду:

   Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   Например:

   Get-InboxRule -Mailbox [email protected] -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   Просмотрите значения следующих свойств:

   • Включено: включено ли правило (True) или отключено (False).

   • RedirectTo: непустое значение означает, что адрес электронной почты перенаправляется указанным получателям. Сообщения только перенаправляются на заданный электронный адрес, но не доставляются в этот почтовый ящик.

   • ForwardTo: непустое значение означает, что сообщение электронной почты пересылается указанным получателям.

   • ForwardAsAttachmentTo: непустое значение означает, что сообщение электронной почты пересылается указанным получателям в виде вложения электронной почты.

   • Идентификатор: глобально уникальное значение правила. Чтобы просмотреть полные сведения о правиле, замените <Identity> значением Identity и выполните следующую команду:

     Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
     

     Например:

     Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
     

Дополнительные сведения см. в статье Настройка и управление внешней пересылкой электронной почты в Microsoft 365.

Выполнение исследования

Когда пользователь сообщает о необычных симптомах, очень важно провести тщательное исследование. Центр администрирования Microsoft Entra и портал Microsoft Defender предоставляют несколько средств для изучения подозрительных действий в учетных записях пользователей. Обязательно просмотрите журналы аудита с начала подозрительного действия, пока не завершите действия по исправлению.

• Microsoft Entra журналы входа и другие отчеты о рисках в Центр администрирования Microsoft Entra: изучите значения в следующих столбцах:

  • IP-адрес
  • Расположения для входа
  • Время входа
  • Успешное или неудачное выполнение входа

  Дополнительные сведения см. в следующих статьях:

  • Что такое журналы аудита Microsoft Entra?
  • Что такое журналы входа Microsoft Entra?

• Журналы аудита Azure. Дополнительные сведения см. в статье Ведение журнала и аудит безопасности Azure.

• Журналы аудита на портале Defender. Отфильтруйте журналы действий, используя диапазон дат, который начинается непосредственно перед подозрительным действием. Не фильтруйте определенные действия во время первоначального поиска.

  Дополнительные сведения см. в разделе Поиск в журнале аудита.

Анализируя предоставленные журналы, можно точно определить конкретный период времени, требующий дополнительного внимания. После определения проверьте сообщения, отправленные пользователем в течение этого периода, чтобы получить дополнительные сведения.

• Трассировка сообщений на портале Defender. Проверьте содержимое папки Отправленные учетной записи в Outlook или Outlook в Интернете.

  Дополнительные сведения см. в статье Трассировка сообщений на портале Microsoft Defender.

После завершения исследования

1. Если вы отключили учетную запись во время исследования, сбросьте пароль, а затем включите учетную запись, как описано выше в этой статье.

2. Если учетная запись использовалась для отправки спама или большого объема электронной почты, скорее всего, почтовый ящик заблокирован для отправки почты. Удалите пользователя со страницы Ограниченные сущности, как описано в статье Удаление заблокированных пользователей на странице Ограниченные сущности.

Дополнительные ресурсы

Обнаружение атак с внедрением правил и пользовательских форм Outlook и устранение их последствий в Microsoft 365

Обнаружение и устранение незаконных разрешений на предоставление согласия

Сообщить о спаме, nonspam, фишинге, подозрительной электронной почте и файлах в Корпорацию Майкрософт