停止自导自演的钓鱼攻击:自动转发与Exchange联系人如何背后捅刀
钓鱼攻击始终是严峻威胁,但近来用户教育和垃圾邮件过滤器已帮助缓解部分风险。然而,当钓鱼邮件突破用户收件箱、深入内部环境时会发生什么?用户能否保持同等警惕?
本文事件源自笔者在为SOC客户分析O365日志时的真实发现。为清晰起见,全文将Microsoft 365称为O365(因日志字段标签如此),并对客户域名进行匿名化处理(以"customer.com"代称)。
初始发现:被标记但放行的钓鱼邮件
最初搜索时,笔者关注的是O365标记为钓鱼但仍被投递(而非阻止或隔离)的邮件。可能原因包括事后钓鱼判定或特定邮箱例外。使用查询条件:
|
|
结果发现大量与营销相关的垃圾邮件。O365因邮件营销服务伪造发件人地址而将数万封邮件标记为钓鱼,这很常见——发件方希望收件人看到自家域名而非服务商域名。
关键日志分析
通过排除字段值缩小搜索结果后,发现以下关键信息(见日志截图):
- P1Sender字段为营销邮件服务域名
- P2Sender字段实为客户地址accounting@customer.com
- 所有邮件均被标记为钓鱼、阻止并隔离
- O365策略判定这些邮件为"IntraOrgPhish"(内部组织钓鱼)
需理解P1Sender与P2Sender的区别:
- P1Sender是"MAIL FROM"地址(通常为真实发件人)
- P2Sender是"From"地址(邮件客户端显示的发件人)
本例中客户会计邮箱被伪造为发件人地址,这可能是"IntraOrgPhish"标记的原因。
转折点:未被阻止的钓鱼邮件
然而深入调查后发现,部分邮件发送至与Jira项目关联的Atlassian邮箱时,虽被分类为钓鱼却未被阻止或隔离,而是标记为出站垃圾邮件。发件人地址未变(P1Sender仍为营销域名,P2Sender仍为客户会计邮箱),为何O365响应不同?
根本原因是:该会计邮箱实为公司的邮件分发列表,其中一名成员是用于转发邮件至Jira的"Exchange联系人"。此联系人机制将钓鱼邮件转发至Jira,而邮件方向变为出站(非入站),导致O365将其归类为出站垃圾邮件并放行。
风险升级:工单系统中的恶意附件
这些邮件(含恶意附件)被转发至Jira项目,创建了带附件的工单。用户可能对随机邮件的附件犹豫,但会同样警惕Jira分配工单中的附件吗?
幸运的是,团队当日及时发现该问题:删除Jira工单并创建Elastic检测规则,警报钓鱼附件转发至Atlassian的行为。日志未显示任何人打开附件或访问链接。
防护建议与解决方案
- 审查邮件转发机制:仔细检查如何将邮件转发至工单系统,避免"自我钓鱼"用户。
- 改用服务账户拉取邮件:BHIS系统团队为邮件分发列表创建服务账户,直接从收件箱拉取邮件(而非通过联系人转发),从根本上解决问题。
- Jira配置参考:详情可参阅Atlassian官方文档:添加邮箱账户。
恶意文件示例
作为补充,恶意.html文件实为伪造登录页面(凭证收集器)。虽凭证收集器在Jira内未必能欺骗用户,但如果是启用宏的Excel工作簿呢?最好避免试探这种命运。
延伸学习:
通过Antisyphon的平价课程提升技能!支持"量力付费"培训,提供实时/虚拟点播服务。