سجلات Office 365 Outlook التفصيلية المستخرجة بواسطة أداة Magic-Unicorn-Tool : يبحث المهاجم عن فاتورة دفع. تم إدخال الحرف الأول من استعلام البحث في 10: 42: 44.548 ، والأخير في 10: 43: 07.214. يتم تخزين معلومات النشاط في السجلات لمدة ستة أشهر.

لفترة طويلة ، كانت هناك شائعات بأن Office 365 يحتوي على أداة سرية مدمجة لتسجيل نشاط المستخدم. في يونيو 2018 ، تم تأكيد هذه الشائعات بالكامل. بدأ كل شيء بفيديو نشره Anonymous ، ثم قام المتخصصون في CrowdSrtike بتحميل تقرير مفصل .

أدخلت Microsoft واجهة برمجة تطبيقات الأنشطة في برنامج البريد الإلكتروني ليس لأي أغراض ضارة ، ولكن لمهام الطب الشرعي الرقمي ، أي التحقيق في الحوادث التي تنطوي على اختراق بريد الشركات وتسريبات البيانات الأخرى. للقيام بذلك ، يتم الاحتفاظ بسجل مفصل للأنشطة لمدة ستة أشهر ، حتى إذا قام المستخدم بتعطيل التسجيل .

البريد الإلكتروني اختراق القرصنة وباء

القرصنة من شركات البريد الإلكتروني حسابات في جميع أنحاء العالم اكتسبت ضخمة لدرجة أن بعض الخبراء يطلق عليه هذا الوباء . يتمكن المهاجمون من الوصول إلى جداول البيانات التي تحتوي على أرقام الضمان الاجتماعي ، ومعلومات تفصيلية عن الفواتير المالية والأسرار التجارية. يبحثون عن معلومات حول التحويلات المصرفية ويسرقون الأموال ، مستفيدين من عدم وجود توقيع رقمي على المستندات . يتم وصف الأنواع المختلفة من الاحتيال من خلال اختراق بريد الأعمال في كتيب CrowdStrike .

على سبيل المثال ، في أوائل يونيو / حزيران ، أجرى مكتب التحقيقات الفدرالي عملية دولية واحتجز 74 شخصًا في العديد من البلدان التي شاركت في هذا العمل.

عندما تصبح حقيقة القرصنة معروفة ، من المهم أن نفهم: ما هي البيانات التي حصل عليها التكسير ، وما شاهده وما هي المعلومات التي نسخها. هل تسربت البيانات السرية؟ يصبح التحقيق في الحوادث أكثر صعوبة لأنه يتم إيقاف تسجيل الدخول إلى Office 365 افتراضيًا. في حالة عدم وجود أي معلومات حقيقية ، فإن الشركة ملزمة بموجب القانون بالإعلان علنًا عن تسرب البيانات مع جميع العواقب المترتبة عليه - تكاليف السمعة والغرامات وما إلى ذلك.

ولكن أصبح من المعروف الآن أن هناك واجهة برمجة تطبيقات للأنشطة مع تسجيل مفصل في Office 365 ، ويمكن تجنب العديد من هذه الفضائح إذا علمت الشركات بواجهة برمجة التطبيقات هذه. ربما ، تم تلقي الوصول إلى هذه السجلات السرية فقط من قبل بعض العملاء المميزين. هناك معلومات عرفتها بعض الشركات المتخصصة في الطب الشرعي الرقمي عن أداة تدقيق Office 365 السرية العام الماضي ، أو حتى قبل ذلك. شخص ما اعتبر أقواله بمثابة تبجح في التسويق ، ولكن تبين أن ذلك صحيح. من المثير للدهشة أن واجهة برمجة التطبيقات للأنشطة موجودة ، وقد أخفت Microsoft حقًا وجود مثل هذه الأداة المهمة والمفيدة ، التي تسمى Magic Unicorn المحترفة ، ومن هنا جاء اسم برنامج التحليل الذاتي للسجلات ، المذكور أدناه.



يقوم المهاجم بمسح الرسائل التي تحتوي على فاتورة دفع واستمارة W-9. السجلات التفصيلية المستخرجة بواسطة Magic-Unicorn-Tool

تحقيق CrowdStrike

وصف CrowdStrike بالتفصيل كيفية عمل تسجيل يوميات Office 365 لجميع المستخدمين بشكل افتراضي. تتكون الميزة من واجهة برمجة تطبيقات ويب تسترد معلومات نشاط Office 365 Outlook من خلال خدمات Exchange عبر الويب (EWS). الوصول إلى واجهة برمجة التطبيقات مفتوح لأي شخص يعرف نقطة النهاية ورأس HTTP المحدد.

واجهة برمجة تطبيقات الأنشطة غير الموثقة هي مجموعة فرعية من جميع الإصدارات الثلاثة من Outlook REST API (1.0 و 2.0 وبيتا). كما هو الحال مع بقية المجموعات الفرعية ، يجب مصادقة مكالمة API باستخدام OAuth 2.0 أو المصادقة الأساسية.

نقطة النهاية هي كما يلي:

https://outlook.office.com/api/v2.0/{user_context}/Activities 

يتم إرسال جميع الطلبات كحزم HTTP GET ، والتي يجب أن تتضمن رأس HTTP التالي:

 Prefer: exchange.behavior="ActivityAccess" 

ستعرض الطلبات التي لا تحتوي على هذا العنوان طلب HTTP 400 Bad Request .

رأس Authorization أيضًا:

 Authorization: Bearer <access token> 

ستعرض الطلبات التي لا تحتوي على هذا العنوان استجابة HTTP 403 Unauthorized .

لأغراض الاختبار ، يمكن إنشاء رمز دخول OAuth 2.0 مميز في وضع الحماية Oauth . صالح لمدة 60 دقيقة.

أبسط مكالمة إلى API هي طلب آخر عشرة من أنشطتها.

 GET https://outlook.office.com/api/v2.0/me/Activities 

يعرض مثال الاستجابة من واجهة برمجة التطبيقات بتنسيق JSON خصائص النشاط القياسية:

 { "value": [ { "Id":"WOGVSAiPKrfJ4apAPcBksT2en7whzDz4NIbUs3==", "ActivityCreationTime":"2010-04-01T12:34:56.789Z", "ActivityIdType":"ReadingPaneDisplayStart", "AppIdType":"Outlook", "ClientVersion":"15.00.0000.000", "ClientSessionId":"679126f3-02de-3513-e336-0eac1294b120", "ActivityItemId":"NjKG5m6OmaCjGKq6WlbjIzvp94czUDg30qGopD==", "TimeStamp":"2010-04-01T12:34:56.789Z", "TenantId":"679126f3-02de-3513-e336-0eac1294b120", } ] } 

من خلال واجهة برمجة التطبيقات ، يمكنك طلب النشاط ليس فقط لنفسك ، ولكن أيضًا للمستخدمين الآخرين ، إذا تم الحصول على إذن من خلال صندوق البريد المشترك أو إذن التطبيق:

 GET https://outlook.office.com/api/v2.0/Users('victim@contoso.com')/Activities 

يدعم API API العديد من معلمات الاستعلام:

• $orderby : فرز النتائج حسب تعبير معين
• $filter : تصفية النتائج حسب التاريخ و / أو نوع النشاط
• $select : حدد خصائص الإرجاع
• $top : الحد الأقصى لعدد الأنشطة المرتجعة
• $skip : تخطي عدد من الأنشطة في النتائج

في الوقت الحالي ، حدد CrowdStrike 30 نوعًا من الأنشطة ، ولكن في الواقع قد يكون هناك المزيد. فيما يلي أكثرها فائدة:

• Delete : حذف حرف
• Forward : إعادة توجيه البريد الإلكتروني
• LinkClicked : النقر فوق ارتباط في بريد إلكتروني
• MarkAsRead : تم وضع علامة على الرسالة كمقروءة
• MarkAsUnread : تم وضع علامة "غير مقروءة" على الرسالة
• MessageDelivered تسليم الرسالة: تم تسليم الرسالة إلى صندوق البريد
• MessageSent : البريد الإلكتروني المرسل من صندوق البريد
• Move : نقل البريد الإلكتروني
• OpenedAnAttachment : تطبيق مفتوح
• ReadingPaneDisplayEnd الكتابة إلغاء تحديد في جزء المعاينة:
• ReadingPaneDisplayStart : حدد ReadingPaneDisplayStart للكتابة في جزء العرض.
• Reply : الرد على الرسالة
• SearchResult : توليد نتائج البحث
• ServerLogon : حدث التفويض

هناك أنواع أخرى من الأنشطة المفيدة المفيدة في التحقيق في الحوادث: SenderSmtpAddress ، SenderSmtpAddress ، Subject ، و SentTime ، و InternetMessageId ، و ClientIP ، و UserAgent ، وما إلى ذلك.

قام متخصصو CrowdStrike بنشر وحدة Python النمطية التي تستخرج المعلومات من واجهة برمجة تطبيقات أنشطة Office 365 Outlook وتكتب البيانات المستلمة في ملف CSV.

أداة ماجيك يونيكورن

يوزع برنامج Magic-Unicorn-Tool سجلات واجهة برمجة التطبيقات للأنشطة التي تم الحصول عليها بواسطة وحدة Python المذكورة أعلاه. في الوقت الحالي ، يمكنه تحليل وعرض المعلومات التالية:

• استعلامات البحث في صندوق البريد ووقت عرض الرسائل و / أو الجلسات المعتمدة.
• أحداث التفويض (تسجيل الدخول و ServerLogon) والتاريخ والوقت وعنوان IP ونوع المستعرض.
• تم تسليم جميع أنشطة البريد على أنها رسائل مقروءة.
• أحداث البحث المسجلة من معرف الجلسة بالرجوع إلى حدث التفويض الأخير.
• قراءة اللوحة.
• عرض المرفقات.

قم بتسجيل الدخول إلى حسابك من عناوين IP مختلفة

يتم توزيع أداة Magic-Unicorn-Tool بدون توقيع الرمز ، ولكن بمصدر مفتوح.

إن تنفيذ أدوات مثل واجهة برمجة التطبيقات للأنشطة دون معرفة المستخدمين تثير عددًا من المشكلات العملية والأخلاقية في صناعة الطب الشرعي الرقمي بالكامل. افتراضيًا ، يتم تعطيل تسجيل دفتر اليومية على حسابات Office 365. وهو ليس جزءًا من خطط ProPlus و E1 القياسية. يتعين على الشركات دفع أموال إضافية لتدقيق الحسابات ، وبسبب عدم وجود سجلات (كما كانوا يعتقدون) ، تكبدت العديد من الشركات خسائر. وفي الوقت نفسه ، تتجاوز دقة سجل نشاط واجهة برمجة التطبيقات (API) للنظم تفصيل طرق التسجيل الموثقة مثل سجل التدقيق الموحد .

يطالب خبراء الطب الشرعي الرقمي من LMG Security باعتماد معايير لتسجيل الأنشطة ووضعها كعبء إلزامي على مقدمي الخدمات السحابية ، حيث أن الحمل الإلزامي الآن هو نظام إنذار الحريق في مراكز البيانات.

مطلوب اعتماد المعايير بحيث لا يحتفظ مقدمو الخدمة بالسجلات فحسب ، بل يوفرونها أيضًا في شكل قياسي للعملاء وشركات المراجعة ، ولا يحتفظوا بسرية للعملاء المحددين كجزء من خطة تعريفة أكثر تكلفة أو كخدمة مدفوعة منفصلة.

---

إجراء GMO GlobalSign روسيا لمشتركي هبر


يمكنك الحصول على معلومات إضافية عن طريق الاتصال بمدير GlobalSign عبر الهاتف: +7 (499) 678 2210 ، أو ملء النموذج على الموقع الإلكتروني ، مع الإشارة إلى الرمز الترويجي CS002HBFR.