Nadużycia reguł skrzynki w Microsoft 365: cichy etap po przejęciu konta - Security Bez Tabu

Nadużycia reguł skrzynki w Microsoft 365: cichy etap po przejęciu konta

Cybersecurity news

Wprowadzenie do problemu / definicja

Nadużywanie reguł skrzynki pocztowej to technika post-kompromitacyjna, w której napastnik po uzyskaniu dostępu do konta e-mail wykorzystuje natywne mechanizmy automatyzacji do ukrywania swojej aktywności, przekierowywania wiadomości i utrzymywania dostępu do informacji. W środowisku Microsoft 365 taki scenariusz jest szczególnie niebezpieczny, ponieważ reguły działają automatycznie i mogą przez długi czas pozostawać niezauważone.

W praktyce oznacza to, że samo przejęcie konta nie jest końcem incydentu, lecz początkiem cichej fazy operacyjnej. Atakujący może manipulować obiegiem korespondencji bez instalowania dodatkowego złośliwego oprogramowania, opierając się wyłącznie na legalnych funkcjach platformy.

W skrócie

Eksperci bezpieczeństwa wskazują, że złośliwe reguły skrzynki coraz częściej pojawiają się niemal natychmiast po przejęciu konta Microsoft 365. Służą one do ukrywania alertów bezpieczeństwa, przechwytywania poufnej korespondencji, maskowania odpowiedzi od ofiar phishingu oraz wspierania oszustw typu BEC.

To istotny problem operacyjny dla organizacji, ponieważ reset hasła lub odzyskanie dostępu przez użytkownika nie zawsze oznacza zakończenie incydentu. Jeśli nie zostaną usunięte pozostawione reguły, przekierowania i inne artefakty, atakujący może nadal wpływać na przepływ wiadomości lub utrzymywać wgląd w komunikację.

Kontekst / historia

Reguły skrzynki odbiorczej od lat są znanym elementem działań po przejęciu kont pocztowych, jednak ich zastosowanie wyraźnie ewoluowało. W przeszłości kojarzono je głównie z prostym przekazywaniem wiadomości na zewnętrzne adresy, dziś natomiast są wykorzystywane znacznie szerzej: do ukrywania alertów logowania, powiadomień o resetach haseł, odpowiedzi od odbiorców kampanii phishingowych czy komunikacji dotyczącej płatności i faktur.

Najnowsze obserwacje pokazują, że nie jest to już technika niszowa. Złośliwe reguły stały się standardowym elementem działań po skutecznym przełamaniu tożsamości, a ich szybkie tworzenie po pierwszym dostępie do skrzynki sugeruje wysoki poziom automatyzacji po stronie napastników.

Analiza techniczna

Technicznie reguły skrzynki są mechanizmem automatyzacji opartym na warunkach i akcjach. W legalnym użyciu pomagają użytkownikom porządkować pocztę, lecz po kompromitacji mogą zostać przekształcone w narzędzie ukrytego sterowania ruchem wiadomości.

  • przekierowywanie lub przesyłanie dalej wiadomości zawierających słowa kluczowe związane z płatnościami, bezpieczeństwem, resetem hasła lub poufnością;
  • przenoszenie wiadomości do rzadko monitorowanych folderów, takich jak Archive, RSS Subscriptions, Junk Email lub Deleted Items;
  • automatyczne usuwanie ostrzeżeń bezpieczeństwa, zgłoszeń phishingu oraz odpowiedzi od odbiorców kampanii prowadzonych z przejętej skrzynki;
  • ukrywanie odpowiedzi na wiadomości wysyłane przez napastnika z legalnego konta wewnętrznego;
  • utrzymywanie dostępu do informacji nawet po zmianie hasła, jeśli organizacja nie przeprowadzi pełnej remediacji incydentu.

Kluczowym elementem tej techniki jest model „living off the land”, czyli wykorzystywanie legalnych funkcji platformy zamiast klasycznego malware. Takie działanie utrudnia detekcję, ponieważ wiele narzędzi bezpieczeństwa koncentruje się na plikach, załącznikach i sygnaturach złośliwego kodu, a nie na zmianach w konfiguracji skrzynki.

Złośliwe reguły często mają krótkie, nieczytelne lub pozornie losowe nazwy, co dodatkowo utrudnia ich identyfikację. W praktyce ich wykrycie wymaga korelacji logów z Microsoft 365, Exchange Online, Entra ID oraz danych dotyczących sesji, aplikacji i zachowań użytkownika.

Konsekwencje / ryzyko

Nadużycie reguł skrzynki niesie za sobą kilka równoległych zagrożeń. Po pierwsze, wspiera długotrwałą niewidoczność atakującego, ponieważ użytkownik może nie zobaczyć wiadomości ostrzegawczych ani odpowiedzi od kontrahentów. Po drugie, umożliwia cichą eksfiltrację danych bez użycia klasycznych kanałów wycieku.

Ryzyko jest szczególnie wysokie w kontekście oszustw BEC. Jeśli przejęte zostanie konto pracownika działu finansów, HR lub zakupów, napastnik może ukrywać odpowiedzi i ostrzeżenia, a następnie prowadzić wiarygodną korespondencję w sprawie faktur, zmian rachunków bankowych czy danych kadrowych.

Dodatkowym problemem jest fałszywe przekonanie, że sam reset hasła zamyka incydent. Bez sprawdzenia reguł skrzynki, delegacji, aktywnych sesji, forwardingu i aplikacji OAuth organizacja może pozostawić napastnikowi możliwość dalszego działania lub szybkiego odtworzenia dostępu.

Rekomendacje

Organizacje korzystające z Microsoft 365 powinny traktować reguły skrzynki jako pełnoprawny wskaźnik kompromitacji tożsamości. Ochrona przed tym scenariuszem wymaga zarówno monitoringu, jak i odpowiednio zaprojektowanych procedur reagowania.

  • monitorowanie tworzenia, modyfikacji i usuwania reguł pocztowych, zwłaszcza bezpośrednio po logowaniach z nowych lokalizacji, urządzeń lub adresów IP;
  • regularny audyt reguł przekierowujących wiadomości poza organizację oraz reguł ukrywających pocztę w niestandardowych folderach;
  • wykrywanie reguł zawierających słowa kluczowe związane z bezpieczeństwem, płatnościami, fakturami, resetami haseł i zgłoszeniami phishingu;
  • korelację zdarzeń z Exchange Online, Entra ID i telemetryki aplikacyjnej w celu identyfikacji sekwencji: logowanie, utworzenie reguły, nietypowa aktywność pocztowa;
  • wdrożenie MFA odpornego na phishing oraz ograniczenie ryzykownych metod uwierzytelniania;
  • przegląd uprawnień aplikacji i procesów zgody administracyjnej, które mogą wspierać utrzymanie dostępu;
  • włączenie alertów dla automatycznego forwardingu, zmian konfiguracji skrzynki oraz nietypowych działań użytkownika;
  • stosowanie procedur IR obejmujących unieważnienie sesji, usunięcie reguł, analizę logów, przegląd delegacji i kontrolę integracji aplikacyjnych.

W środowiskach o podwyższonym ryzyku warto dodatkowo wdrożyć detekcje behawioralne dla anomalii w nazewnictwie reguł, masowym ich tworzeniu oraz użyciu interfejsów administracyjnych i API poza typowym profilem danego użytkownika.

Podsumowanie

Nadużycia reguł skrzynki pocztowej w Microsoft 365 pokazują, że współczesne ataki na pocztę coraz częściej opierają się na legalnych funkcjach platformy, a nie na klasycznym złośliwym oprogramowaniu. To technika cicha, tania operacyjnie i skuteczna, zwłaszcza w scenariuszach przejęcia kont i oszustw biznesowych.

Dla zespołów bezpieczeństwa oznacza to konieczność rozszerzenia monitoringu o warstwę post-kompromitacyjną i traktowania zmian w konfiguracji skrzynki jako sygnału wysokiego ryzyka. Organizacja, która nie kontroluje reguł pocztowych, może nie zauważyć aktywnego intruza nawet wtedy, gdy posiada poprawnie działające zabezpieczenia na styku infrastruktury.

Źródła