Algemeen
Dit alarm gaat af als een nieuwe mailboxregel met een verdacht trefwoord wordt aangemaakt binnen de organisatie. Dergelijke regels dienen om automatisch een handeling uit te voeren op bepaalde e-mails, en in dit geval triggert de regel op woorden die potentieel duiden op misbruik of hacking.
Rationale
Wanneer een aanvaller toegang heeft verkregen tot een mailbox, kan deze e-mailregels gebruiken om onopgemerkt te blijven. Dit is een veel gebruikte tactiek in CEO-fraude of wel BEC aanvallen.
Zo kunnen e-mails met bepaalde trefwoorden, zoals security alarmen of reacties op phishing mails verwijderd worden of verplaatst naar een minder opvallende folder (zie ook: ATT&CK T1564.008).
Dus mailboxregels die triggeren op bepaalde trefwoorden zijn potentieel verdacht en kunnen heel goed het eerste signaal zijn dat een aanvaller toegang heeft gekregen. Dergelijke regels dienen te worden onderzocht om vast te stellen of er sprake is van misbruik of hacking.
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Neem contact op met de medewerker om te valideren of de mailboxregel bewust is aangemaakt.
-
Zo nee: beschouw het medewerkersaccount als gecompromitteerd:
- Reset het wachtwoord van de medewerker
- Trek alle ingelogde sessies in van de medewerker (revoke sessions)
- Verwijder de mailboxregel
- Overweeg een Attic Tier2 onderzoek uit te laten voeren om meer te weten te komen over de aanval (wie, wat, wanneer, waar, waarom, hoe?)
-
Zo ja: beoordeel of het doel van de mailboxregel strijdig is met bedrijfsbeleid.
- Zo ja: verwijder de doorstuurregel en geef uitleg aan medewerker(s)
- Zo nee: sluit het Attic incident af als in orde
-
Zo nee: beschouw het medewerkersaccount als gecompromitteerd:
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.