Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Transportregel met verdachte zoekwoorden [RULE-1026]

Deze regel detecteert wanneer een nieuwe e-mail transportregel (mail flow rule) wordt aangemaakt in Exchange Online die e-mail filtert op basis van verdachte zoektermen. Aanvallers met beheertoegang kunnen transportregels aanmaken die e-mails die overeenkomen met specifieke trefwoorden onderscheppen, redirecten, verwijderen of manipuleren, waardoor ze de informatiestroom in de gehele organisatie kunnen beheersen.

Rationale

Transportregels met keyword-based filtering zijn een geavanceerde techniek die aanvallers gebruiken na het compromitteren van een Exchange administrator account. Deze techniek is gekoppeld aan MITRE ATT&CK als T1114 (Email Collection) en T1564.008 (Hide Artifacts: Email Hiding Rules).

Na het verkrijgen van beheertoegang kan een aanvaller transportregels aanmaken die zoeken naar specifieke termen in het onderwerp of de inhoud van e-mails en vervolgens acties uitvoeren zoals verwijderen, redirecten of stilzwijgend kopieren van die berichten. Een aanvaller kan bijvoorbeeld een regel aanmaken die alle e-mails onderschept die woorden bevatten zoals "security alert", "suspicious activity" of "password reset" en deze verwijdert of redirect. Dit maakt de security monitoring van de organisatie effectief blind doordat waarschuwings-e-mails niet bij beheerders aankomen.

Een ander veelvoorkomend misbruikscenario betreft het onderscheppen van financiele communicatie. Een aanvaller kan een transportregel aanmaken die alle e-mails met termen als "factuur", "overboeking" of "bankrekening" kopieert naar een extern adres, waardoor deze informatie kan worden verzameld voor BEC/CEO-fraude aanvallen. Omdat transportregels op organisatieniveau werken, kan een enkele regel de e-mail van elke gebruiker beïnvloeden, wat dit tot een bijzonder impactvolle bedreiging maakt. Het feit dat transportregels administrator rechten vereisen, betekent dat het ongeautoriseerd aanmaken ervan duidt op een ernstige compromittering van een privileged account.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Bekijk de aangemaakte transportregel en let daarbij op welke trefwoorden er wordt gezocht en welke acties de regel uitvoert (verwijderen, redirecten, kopieren, quarantaine). Verifieer met de beheerder die de regel heeft aangemaakt of dit een geautoriseerde wijziging was. Houd er rekening mee dat transportregels van toepassing zijn op de gehele organisatie.

    • Zo nee: De transportregel is niet bewust aangemaakt en is waarschijnlijk kwaadaardig:

      1. Schakel de verdachte transportregel onmiddellijk uit of verwijder deze uit Exchange Online.
      2. Reset het wachtwoord van het administrator account dat de regel heeft aangemaakt en revoke alle actieve sessies via Microsoft Entra ID.
      3. Bekijk het Unified Audit Log op andere administratieve wijzigingen door dit account. Controleer of er andere transportregels of configuratiewijzigingen zijn aangebracht.
      4. Overweeg om Attic in te schakelen voor een volledig incident response onderzoek, aangezien een gecompromitteerd admin account met de mogelijkheid om transportregels aan te maken een ernstig beveiligingsincident vertegenwoordigt.

    • Zo ja: De transportregel is bewust aangemaakt door een geautoriseerde beheerder:

      1. Verifieer of de keyword filtering en acties van de regel passend zijn en geen beveiligingsrisico vormen.
      2. Indien acceptabel: documenteer de zakelijke rechtvaardiging en sluit het incident af.

Meer informatie