Registros detallados de Office 365 Outlook extraídos por Magic-Unicorn-Tool : un atacante está buscando una factura de pago. La primera letra de la consulta de búsqueda se ingresó a las 10: 42: 44.548, la última a las 10: 43: 07.214. La información de la actividad se almacena en los registros durante seis meses.

Durante mucho tiempo, hubo rumores de que Office 365 tiene una herramienta secreta incorporada para registrar la actividad del usuario. En junio de 2018, estos rumores se confirmaron por completo. Todo comenzó con un video publicado por Anónimo , y luego los especialistas de CrowdSrtike subieron un informe detallado .

Microsoft introdujo la API de Actividades en el cliente de correo electrónico no con fines maliciosos, sino para las tareas de análisis forense digital, es decir, investigar incidentes relacionados con piratería de correo corporativo y otras filtraciones de datos. Para hacer esto, se mantiene un registro de actividad detallado durante seis meses, incluso si el usuario ha deshabilitado el registro .

Epidemia de piratería de cuentas de correo electrónico

La piratería de cuentas de correo electrónico corporativo en todo el mundo se ha generalizado tanto que algunos expertos llaman a esto una epidemia . Los atacantes obtienen acceso a hojas de cálculo con números de seguridad social, información detallada sobre facturas financieras y secretos comerciales. Buscan información sobre transferencias bancarias y roban dinero, aprovechando la falta de una firma digital en los documentos . Los diversos tipos de fraude a través del correo comercial comprometido se describen en el folleto CrowdStrike .

Por ejemplo, a principios de junio, el FBI realizó una operación internacional y detuvo a 74 personas en varios países que estaban involucradas en este negocio.

Cuando se conoce el hecho de la piratería, es importante comprender: a qué datos obtuvo acceso el cracker, qué vio y qué información copió. ¿Se han filtrado datos confidenciales? La investigación de incidentes se hace más difícil porque el inicio de sesión en Office 365 está desactivado de manera predeterminada. En ausencia de información real, la empresa está obligada por ley a anunciar públicamente una fuga de datos con todas las consecuencias resultantes: costos de reputación, multas, etc.

Pero ahora se sabe que hay API de Actividades con registro detallado en Office 365, y muchos de estos escándalos podrían evitarse si las empresas conocieran esta API. Quizás, el acceso a estos registros secretos fue recibido solo por algunos clientes privilegiados. Hay información que algunas empresas que se especializan en análisis forense digital conocían sobre la herramienta secreta de auditoría de Office 365 el año pasado, o incluso antes. Alguien consideró sus declaraciones como bravuconería de marketing, pero resultó ser cierto. Sorprendentemente, existe la API de Actividades, y Microsoft realmente ocultó la existencia de una herramienta tan importante y útil, llamada Magic Unicorn profesional, de ahí el nombre del programa para el autoanálisis de registros, que se menciona a continuación.



Un atacante escanea mensajes que contienen una factura de pago y el formulario W-9. Registros detallados extraídos por Magic-Unicorn-Tool

CrowdStrike Investigation

CrowdStrike describió en detalle cómo funciona el diario de Office 365 para todos los usuarios de manera predeterminada. La característica consiste en una API web que recupera información de la actividad de Office 365 Outlook a través de los Servicios web de Exchange (EWS). El acceso a la API está abierto a cualquiera que conozca el punto final y el encabezado HTTP específico.

La API de Actividades no documentadas es un subconjunto de las tres versiones de la API REST de Outlook (1.0, 2.0 y beta). Al igual que con el resto de los subconjuntos, la llamada a la API debe autenticarse utilizando OAuth 2.0 o autenticación básica.

El punto final es el siguiente:

https://outlook.office.com/api/v2.0/{user_context}/Activities 

Todas las solicitudes se envían como paquetes HTTP GET, que deben incluir el siguiente encabezado HTTP:

 Prefer: exchange.behavior="ActivityAccess" 

Las solicitudes sin este encabezado devolverán una HTTP 400 Bad Request .

El encabezado de Authorization también es Authorization :

 Authorization: Bearer <access token> 

Las solicitudes sin este encabezado devolverán una respuesta HTTP 403 Unauthorized .

Para fines de prueba, se puede generar un token de acceso OAuth 2.0 en el entorno limitado de Oauth . Es válido por 60 minutos.

La llamada más simple a la API es solicitar las últimas diez de sus actividades.

 GET https://outlook.office.com/api/v2.0/me/Activities 

Un ejemplo de respuesta de la API en formato JSON muestra propiedades de actividad estándar:

 { "value": [ { "Id":"WOGVSAiPKrfJ4apAPcBksT2en7whzDz4NIbUs3==", "ActivityCreationTime":"2010-04-01T12:34:56.789Z", "ActivityIdType":"ReadingPaneDisplayStart", "AppIdType":"Outlook", "ClientVersion":"15.00.0000.000", "ClientSessionId":"679126f3-02de-3513-e336-0eac1294b120", "ActivityItemId":"NjKG5m6OmaCjGKq6WlbjIzvp94czUDg30qGopD==", "TimeStamp":"2010-04-01T12:34:56.789Z", "TenantId":"679126f3-02de-3513-e336-0eac1294b120", } ] } 

A través de la API, puede solicitar actividad no solo para usted, sino también para otros usuarios, si se obtiene el permiso a través de Buzón compartido o Permiso de aplicación:

 GET https://outlook.office.com/api/v2.0/Users('victim@contoso.com')/Activities 

La API de actividades admite varios parámetros de consulta:

• $orderby : ordena los resultados por la expresión dada
• $filter : filtra los resultados por fecha y / o tipo de actividad
• $select : selecciona propiedades de devolución
• $top : número máximo de actividades devueltas
• $skip : número de actividades omitidas en los resultados

Por el momento, CrowdStrike ha identificado 30 tipos de actividades, pero en realidad puede haber más. Aquí están los más útiles:

• Delete : eliminar una carta
• Forward : reenvío de correo electrónico
• LinkClicked : haciendo clic en un enlace en un correo electrónico
• MarkAsRead : mensaje marcado como leído
• MarkAsUnread : mensaje marcado como no leído
• MessageDelivered entregado: carta entregada al buzón
• MessageSent : correo electrónico enviado desde el buzón
• Move : el correo electrónico ha sido reprogramado
• OpenedAnAttachment : aplicación abierta
• ReadingPaneDisplayEnd : ReadingPaneDisplayEnd letra en el panel de vista
• ReadingPaneDisplayStart : seleccione un resaltado para escribir en el panel de vista.
• Reply : responder a la carta
• SearchResult : generar resultados de búsqueda
• ServerLogon : evento de autorización

Hay otros tipos interesantes de actividades útiles para investigar incidentes: SenderSmtpAddress , Recipients , Subject , SentTime , InternetMessageId , ClientIP , UserAgent , etc.

Los especialistas de CrowdStrike han publicado un módulo de Python que extrae información de la API de Actividades de Outlook de Office 365 y escribe los datos recibidos en un archivo CSV.

Herramienta mágica de unicornio

El programa Magic-Unicorn-Tool analiza los registros de la API de Actividades obtenidos por el módulo Python mencionado anteriormente. Por el momento, puede analizar y mostrar la siguiente información:

• Buscar consultas en el buzón, tiempo para ver mensajes y / o sesiones autorizadas.
• Eventos de autorización (Logon y ServerLogon), fecha, hora, dirección IP y tipo de navegador.
• Toda la actividad de correo en entregado y marcado como cartas leídas.
• Buscar eventos grabados desde la ID de sesión con referencia al último evento de autorización.
• Leyendo el panel.
• Ver archivos adjuntos.

Inicie sesión en su cuenta desde diferentes direcciones IP

Magic-Unicorn-Tool se distribuye sin firma de código , pero con código abierto.

La implementación de herramientas como la API de Actividades sin el conocimiento de los usuarios plantea una serie de problemas prácticos y éticos para toda la industria forense digital. De forma predeterminada, el registro en diario está deshabilitado en las cuentas de Office 365. No forma parte de los planes ProPlus y E1 estándar. Las compañías tienen que pagar dinero extra por la auditoría de cuentas, y debido a la falta de registros (como pensaban), muchas compañías sufrieron pérdidas. Al mismo tiempo, la granularidad del registro de la API de actividad supera con creces la granularidad de los métodos de registro documentados, como el Registro de auditoría unificado .

Los expertos forenses digitales de LMG Security están pidiendo la adopción de estándares para el registro de actividades y colocarlo como una carga obligatoria para los proveedores de la nube, ya que el sistema de alarma contra incendios en los centros de datos ahora es una carga obligatoria.

Se requiere la adopción de estándares para que los proveedores no solo mantengan registros, sino que también los proporcionen en forma estándar para clientes y compañías de auditoría, y no guarden secretos para clientes seleccionados como parte de un plan tarifario más costoso o como un servicio pagado por separado.

---

GMO GlobalSign Russia ACTION para suscriptores de Habr


Puede obtener información adicional comunicándose con el gerente de GlobalSign por teléfono: +7 (499) 678 2210, o complete el formulario en el sitio web, indicando el código de promoción CS002HBFR.