最近我们遇到了一个安全问题。一个基于 MS Exchange 365 的电子邮件帐户被黑客入侵,黑客根据规则将所有电子邮件转发到一个 Gmail 帐户。
我检查了所有相关的电脑,没有发现任何病毒。我更改了密码。但是在这种情况下,更改密码并没有改变任何东西,因为在我更改密码后,转发所有电子邮件的规则也起作用了。一旦我发现设置了这样的规则,然后我删除了该规则,转发才停止。
这种黑客行为有多普遍?我以前从未听说过或读过它。攻击者如何访问电子邮件帐户对我来说仍然是个谜。可能他在某个地方偷了密码,但我不知道怎么做。
以我的专业经验,这不是“黑客”的常见步骤。然而,我没有任何确凿的数字来支持这一点,所以我不会把这个陈述当作轶事证据。
然而,值得一提的是黑客为什么这样做。真正归结为攻击者有效地将其用作隐藏的后门,即使在最初发现之后也能继续保持访问权限。事实上,事情就是这样发生的,因为即使在您重置电子邮件帐户的密码后,攻击者仍会继续获取所有电子邮件的副本。假设这种攻击场景不太常见,这表明这可能是一种更有针对性的攻击,值得进一步研究。
黑客采取这一额外步骤的事实意味着他们不仅对完全访问该帐户感兴趣,而且对对传入电子邮件的只读访问感兴趣。对于用户电子邮件的只读访问,我可以想到三种主要用途:
只要他们收到所有电子邮件的副本,他们就可以为受影响的电子邮件地址注册的任何第三方帐户重置密码。毕竟,它通常只需要“重置”链接来重置密码,如果他们触发密码重置,他们也会得到链接的副本。他们将不再能够删除原始收件箱中的重置电子邮件,这可能会引起怀疑,但这不会阻止他们重置帐户访问权限——这可能意味着他们会更快地被抓到。
如果您发现黑客攻击是因为攻击者使用他们的访问权限闯入其他帐户,那么此转发规则可能只是试图扩展他们的访问权限并允许进一步的“损害”,即使在最初发现之后也是如此。这可能是最不痛苦的场景(对你来说)。
我听说过的一个骗局是攻击者通过访问计费团队的内部信息来拦截合法的商业交易,通常用于较大的交易。举一个随机的例子,假设您是一家屋顶公司,拥有此电子邮件地址的人在计费团队中。他们通过电子邮件向客户发送 15,245.36 美元的发票,并指示他们将支票发送到您的办公室。黑客看到了同一封电子邮件,并在几个小时后向客户发送了一封来自同一电子邮件地址的欺骗性电子邮件(但回复不同),上面写着:“哦,等等,我的上一封电子邮件出错了。请将 15,245.36 美元寄给此使用这种其他付款方式的地址”。这可能是一个非常有效的骗局。通过欺骗相同的电子邮件地址并在完全了解交易细节的情况下将自己注入对话中,很容易说服对方结束只是按照指示做,甚至不发出任何危险信号。
如果电子邮件地址属于您的会计团队中的某个人,我可能会担心这种情况——这种攻击肯定会发生。
可能是该人想要访问其他特权信息。例如,如果被盗帐户属于高层管理人员,则可能会出现这种情况。一个例子是一个较低级别的员工,他简要地在不受监督的情况下访问了经理的计算机。如果机器处于解锁状态,他们可以轻松启动 Outlook 并在(可能)30 秒内设置转发规则。
我提到一名员工只是因为他们可能更有可能对某人的电子邮件“普遍”感兴趣,而不必有特定的目标。虽然这种攻击通常在办公环境中很容易执行,但它显然也有点冒险,所以它不在我的可能性列表中。
综上所述:我个人认为这种情况不太常见,所以我担心攻击者对此特定帐户有特定的目标。不过,我可能过于偏执。这意味着值得仔细考虑攻击者通过继续对该特定用户的帐户具有只读访问权限可能会获得什么。如果他们是可以访问有关您公司的敏感信息的人,我会更加担心。
如果攻击者能够在您的环境中执行 PowerShell,他或她可以使用Set-Mailbox cmdlet来执行此操作。它可以为任何用户设置转发,并在原始邮箱中保留副本,因此非常透明。
您更担心的是:有人能够在您的环境中使用您的 Exchange 管理员权限运行 PowerShell,而您尚未找到他们。
这是一个非常常见的攻击向量!它广泛用于商业电子邮件泄露 (BEC) 攻击以执行财务欺诈。
BEC 攻击链通常看起来像:
这是一个使用邮件规则的故事:https ://pushsecurity.com/s?c=ss-bec-attack-nearly-cost-us-millions
如果有兴趣,这里是对一般 BEC 攻击的更详细的描述:https ://pushsecurity.com/s?c=ss-how-hackers-use-mail-rules
(完全披露:这些文章来自我公司的网站)