Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Mailbox externe doorsturing gedetecteerd [RULE-1023]

Deze regel detecteert wanneer een mailbox in Exchange Online is geconfigureerd om automatisch alle e-mail door te sturen naar een extern adres via de mailbox-level forwarding instelling (ForwardingSmtpAddress). In tegenstelling tot individuele inbox rules stuurt deze instelling elke e-mail die de mailbox ontvangt door naar een externe ontvanger, wat het een zeer effectieve data exfiltration methode maakt.

Rationale

Mailbox-level forwarding verschilt van inbox rules doordat het op transport level werkt en alle e-mail onvoorwaardelijk doorstuurt. Deze techniek is gekoppeld aan MITRE ATT&CK als T1114.003 (Email Collection: Email Forwarding Rule) en T1020 (Automated Exfiltration).

Wanneer een aanvaller een mailbox compromitteert, is het instellen van de ForwardingSmtpAddress property een van de meest efficiente manieren om doorlopend toegang te behouden tot de e-mailcommunicatie van het slachtoffer. Omdat deze instelling van toepassing is op alle inkomende e-mail zonder uitzondering, ontvangt de aanvaller een volledige kopie van elke e-mail - inclusief gevoelige zakelijke communicatie, wachtwoord reset links, multi-factor authentication codes en vertrouwelijke documenten.

Deze techniek is bijzonder gevaarlijk omdat deze minder zichtbaar is dan inbox rules. Gebruikers controleren doorgaans hun mailbox forwarding instellingen niet en de doorgestuurde e-mails verschijnen niet in de map Verzonden items. De instelling blijft actief zelfs na een wachtwoordwijziging, waardoor het een betrouwbaar persistence mechanism is voor aanvallers die BEC/CEO-fraude campagnes uitvoeren. Als de persoon die de forwarding instelling heeft gewijzigd iemand anders is dan de eigenaar van de mailbox, is dit een sterke indicator van account compromise.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Verifieer wie de mailbox forwarding instelling heeft gewijzigd en of de eigenaar van de mailbox op de hoogte is dat al diens e-mail extern wordt doorgestuurd. Controleer of de persoon die de wijziging heeft aangebracht dezelfde is als de eigenaar van de mailbox.

    • Zo nee: De forwarding is niet bewust geconfigureerd en is waarschijnlijk kwaadaardig:

      1. Verwijder onmiddellijk het externe forwarding adres uit de mailbox instellingen (wis de ForwardingSmtpAddress property).
      2. Reset het wachtwoord van het betreffende account en revoke alle actieve sessies via Microsoft Entra ID.
      3. Onderzoek de sign-in logs om vast te stellen wanneer en hoe het account is gecompromitteerd. Bekijk het Unified Audit Log op andere verdachte wijzigingen door de aanvaller.
      4. Als de wijziging is aangebracht door iemand anders dan de eigenaar van de mailbox, overweeg dan om Attic in te schakelen voor een volledig incident response onderzoek.

    • Zo ja: De forwarding is bewust geconfigureerd door de eigenaar van de mailbox:

      1. Verifieer of het doorsturen van alle e-mail naar een extern adres is toegestaan binnen het beveiligingsbeleid van uw organisatie.
      2. Indien acceptabel: documenteer de uitzondering en sluit het incident af.

Meer informatie