Algemeen
Dit alarm gaat af als een nieuwe transportregel met een verdacht trefwoord wordt aangemaakt binnen de Exchange Online configuratie van de organisatie. Dergelijke regels dienen om automatisch een handeling uit te voeren op bepaalde e-mails, en in dit geval triggert de regel op woorden die potentieel duiden op misbruik of hacking.
Rationale
Wanneer een aanvaller toegang heeft verkregen tot een beheerderaccount met rechten op Exchange Online, kan deze transportregels gebruiken om onopgemerkt te blijven. Dit is een veel gebruikte tactiek in CEO-fraude of wel BEC aanvallen.
Zo kunnen e-mails met bepaalde trefwoorden, zoals security alarmen of reacties op phishing mails verwijderd worden of verplaatst naar een minder opvallende folder (zie ook: ATT&CK T1564.008).
Dus transportregels die triggeren op bepaalde trefwoorden zijn potentieel verdacht en kunnen heel goed het eerste signaal zijn dat een aanvaller toegang heeft gekregen. Dergelijke regels dienen te worden onderzocht om vast te stellen of er sprake is van misbruik of hacking.
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Neem contact op met de beheerder om te valideren of de transportregel bewust is aangemaakt.
- Zo nee: beschouw het beheerdersaccount als gecompromitteerd:
- Reset het wachtwoord van de medewerker
- Trek alle ingelogde sessies in van de medewerker (revoke sessions)
- Verwijder de mailboxregel
- Overweeg een Attic Tier2 onderzoek uit te laten voeren om meer te weten te komen over de aanval (wie, wat, wanneer, waar, waarom, hoe?). Dit wordt zeker geadviseerd aangezien de uitvoerende gebruiker beheerrechten heeft.
- Zo ja: beoordeel of het doel van de transportregel strijdig is met bedrijfsbeleid.
- Zo ja: verwijder de transportregel en geef uitleg aan medewerker(s)
- Zo nee: sluit het Attic incident af als in orde
- Zo nee: beschouw het beheerdersaccount als gecompromitteerd:
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.