Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

MS Graph-Sicherheit API V2 – Fallstudien

MDR identifizierte einen Benutzer mit acht verschiedenen IP-Adressen, zwei verschiedenen Chrome-Version-User-Agent-Strings und sowohl Windows NT als auch Macintosh als Betriebssystem in den User-Agent-Strings, alle innerhalb derselben Sitzung. Diese Art von Aktion wird häufig von einer Adversary-in-the-Middle-Plattform (AiTM) wie Evilginx, Modlishka oder Muraena verursacht, wobei die Anmeldeinformationen und Token des Benutzers erfasst und dann vom Angreifer von einer neuen IP-Adresse wiedergegeben werden, in der sich der Angreifer mit dem Token oder den Anmeldeinformationen bei M365 anmeldet.

Nach einer gründlichen Analyse ermittelte MDR sechs weitere Benutzer bei demselben Kunden, die kompromittiert worden waren, darunter mehrere Benutzer mit Posteingangsregeln mit den folgenden Attributen:

  • MarkAsRead: Wenn dieser Parameter auf „true“ gesetzt ist, wird die E-Mail als gelesen markiert. Angreifer nutzen diese Taktik, um Kompromittierungen zu verbergen.
  • Name: Der Name der Posteingangsregel. In diesem Fall wählte der Angreifer den Namen „s“. Angreifer verwenden in der Regel kurze Namen, um weniger Aufmerksamkeit auf die Posteingangsregel zu lenken.
  • SubjectOrBodyContainsWords: Angreifer können das Attribut SubjectOrBodyContainsWords verwenden, um E-Mails nach Schlüsselwörtern zu filtern. In diesem Fall hat der Angreifer nach Schlüsselwörtern gefiltert und dann die übereinstimmenden E-Mails verschoben.
  • DeleteMessage: Wenn DeleteMessage „true“ ist, wird die E-Mail gelöscht, und der Endbenutzer weiß nicht, dass die E-Mail vorhanden ist.

Wenn wir alle Attribute zusammenfassen, sehen wir, dass der Benutzer eine E-Mail erhält, in der der Betreff oder der Text „gehackt“, „Phishing“, „bösartig“, „verdächtig“, „Betrug“, „MFA“ oder „Spoof“ enthält, die E-Mail wird als gelesen markiert und dann gelöscht. So sieht der Endbenutzer nicht, dass er gefährdet sein könnte.