Các đối tượng tấn công mạng đã phát triển một phương thức tinh vi để duy trì hiện diện trong tài khoản email doanh nghiệp. Chúng âm thầm đọc mọi thư đi và đến mà chủ tài khoản không hề hay biết. Kỹ thuật này lạm dụng một tính năng sẵn có của Microsoft 365, đó là quy tắc hộp thư.
Phương thức này cho phép kẻ tấn công chặn đứng email kinh doanh, chuyển hướng các giao dịch tài chính, và triệt tiêu các thông báo bảo mật. Tất cả hoạt động này diễn ra hoàn toàn vô hình đối với nạn nhân.
Lợi dụng Quy tắc Hộp thư để Xâm nhập Mạng
Quy tắc hộp thư (mailbox rules) là một tính năng năng suất tiêu chuẩn trong Microsoft 365 và Outlook. Chúng giúp người dùng tự động sắp xếp, chuyển tiếp hoặc xóa các tin nhắn đến.
Tuy nhiên, khi kẻ tấn công có được quyền truy cập trái phép vào một tài khoản, chúng biến các quy tắc này thành một công cụ giám sát dai dẳng.
Một khi được kích hoạt, quy tắc độc hại sẽ chạy ngầm và hành động trên mọi email đến. Hoạt động này dựa trên các điều kiện mà kẻ tấn công đã thiết lập.
Các hành vi này bao gồm chuyển tiếp tin nhắn nhạy cảm đến các địa chỉ email bên ngoài, ẩn các thông báo đặt lại mật khẩu, hoặc chôn vùi các cảnh báo bảo mật vào các thư mục mà nạn nhân không bao giờ kiểm tra.
Phân tích Chuyên sâu về Kỹ thuật Xâm nhập Tài khoản
Các nhà nghiên cứu Anna Akselevich, Pavel Asinovsky, và Yaniv Miron từ Proofpoint đã xác định kỹ thuật này. Họ coi đây là một trong những hành vi hậu xâm nhập mạng nhất quán nhất được quan sát thấy trong các vụ chiếm đoạt tài khoản dựa trên đám mây.
Phân tích của họ cho thấy khoảng 40% tài khoản Microsoft 365 bị xâm nhập có ít nhất một quy tắc hộp thư độc hại được tạo ngay sau sự cố ban đầu.
Thời gian ngắn nhất được ghi nhận giữa việc tài khoản bị xâm nhập và việc tạo quy tắc chỉ là tám giây. Điều này rõ ràng cho thấy mức độ cố ý và tự động hóa cao của chiến thuật này.
Kỹ thuật Tiếp cận Ban đầu và Duy trì Quyền truy cập Bền vững
Trong môi trường Microsoft 365, các đối tượng tấn công mạng thường đạt được quyền truy cập ban đầu qua các phương thức. Chúng bao gồm phishing thông tin xác thực, tấn công password spraying, hoặc lạm dụng ủy quyền OAuth.
Thay vì triển khai mã độc hoặc thiết lập cơ sở hạ tầng bên ngoài, chúng dựa vào các tính năng gốc của nền tảng. Điều này giúp chúng duy trì quyền truy cập và ẩn mình.
Kỹ thuật này làm cho việc phát hiện trở nên khó khăn hơn đáng kể. Toàn bộ hoạt động độc hại diễn ra hoàn toàn trong môi trường của Microsoft, sử dụng chức năng hợp pháp thay vì các công cụ bên ngoài đáng ngờ.
Tác động Hệ thống và Phương pháp Che giấu
Tác động của các cuộc tấn công mạng này vượt xa các tài khoản cá nhân. Từ lừa đảo Business Email Compromise (BEC) cho đến các hoạt động spam quy mô lớn nhắm vào mạng lưới trường đại học, kẻ tấn công sử dụng các quy tắc hộp thư ẩn để hoạt động không bị phát hiện trong các tổ chức suốt hàng tuần hoặc thậm chí hàng tháng.
Kỹ thuật này hoạt động hiệu quả trên mọi lĩnh vực. Nó lợi dụng thực tế đơn giản là hầu hết người dùng không bao giờ xem lại cài đặt quy tắc hộp thư của họ. Chi tiết về kỹ thuật này có thể được tìm thấy trong báo cáo của Proofpoint: Mailbox Rules: An O365 Post-Exploitation Tactic for Cloud ATO.
Một khi đã có mặt trong tài khoản bị xâm nhập, kẻ tấn công tuân theo một quy trình lặp đi lặp lại và có phương pháp. Chúng tạo các quy tắc hộp thư bằng những tên ngắn gọn, chung chung hoặc vô nghĩa. Đây không phải là những tên mà người dùng thực sẽ đặt, giúp các quy tắc này không bị phát hiện khi kiểm tra ngẫu nhiên.
Các quy tắc này đồng thời đạt được nhiều mục tiêu. Chúng âm thầm chuyển tiếp các email chứa các từ khóa tài chính như “invoice,” “wire,” hoặc “contract” đến các địa chỉ bên ngoài do kẻ tấn công kiểm soát.
Chúng cũng ẩn các cảnh báo MFA, email đặt lại mật khẩu và cảnh báo đăng nhập đáng ngờ. Điều này đảm bảo nạn nhân không bao giờ nhận ra tài khoản của họ đã bị xâm nhập. Hơn nữa, vì các quy tắc này tồn tại ngay cả sau khi mật khẩu được đặt lại, chúng duy trì quyền truy cập liên tục trong thời gian dài sau khi thông tin xác thực đã thay đổi. Đọc thêm về tấn công BEC tại Business Email Compromise Attacks: How to Detect Them Early.
Minh họa Thực tế: Lừa đảo Thanh toán qua Quy tắc Hộp thư
Trong một kịch bản lừa đảo thanh toán được ghi nhận, một kẻ tấn công mạng đã xâm nhập một tài khoản. Sau đó, chúng ngay lập tức tạo một quy tắc để lưu trữ bất kỳ email nào chứa “Payment List” trong dòng tiêu đề.
Kẻ tấn công sau đó sử dụng một nền tảng email bên thứ ba như Zoho để đăng ký một tên miền giả mạo. Tên miền này được xây dựng bằng các ký tự đồng âm (homoglyph characters), những chữ cái được thiết kế để trông gần giống với các ký tự trong tên miền hợp pháp của công ty.
Vì quy tắc hộp thư đã được kích hoạt, mọi email xác minh từ Zoho đều tự động được chuyển vào một thư mục ẩn. Điều này cho phép kẻ tấn công hoàn tất đăng ký mà nạn nhân không hề hay biết.
Từ tài khoản bên ngoài này, các tin nhắn gian lận được chèn vào các chuỗi email hiện có. Mục đích là để thao túng các hành động thanh toán. Đây là một ví dụ rõ ràng về rủi ro bảo mật mà kỹ thuật này gây ra.
Chiến lược Phòng thủ: Giảm thiểu Rủi ro Bảo mật và Phát hiện Tấn công
Các nhóm bảo mật và tổ chức nên thực hiện nhiều bước để hạn chế phơi nhiễm. Điều này là tối quan trọng để bảo vệ an ninh mạng.
Vô hiệu hóa tính năng chuyển tiếp tự động ra bên ngoài trong Exchange Online loại bỏ một trong những con đường duy trì quyền truy cập bị lạm dụng nhiều nhất. Hành động này trực tiếp ngăn chặn một phương thức tấn công mạng phổ biến.
Thực thi xác thực đa yếu tố (MFA) với các chính sách truy cập có điều kiện (conditional access policies) làm giảm đáng kể nguy cơ xâm nhập tài khoản ban đầu. Điều này củng cố lớp bảo vệ đầu tiên chống lại các cuộc tấn công mạng.
Các biện pháp quan trọng khác bao gồm:
- Giám sát ủy quyền OAuth (OAuth consent grants) để tìm các quyền ứng dụng đáng ngờ. Tham khảo Microsoft Entra ID for Persistence để biết thêm chi tiết.
- Kiểm tra (auditing) các quy tắc hộp thư theo lịch trình đều đặn.
- Thu hồi các phiên hoạt động khi phát hiện vi phạm.
- Xem xét nhật ký đăng nhập Entra ID (trước đây là Azure AD) để tìm các vị trí bất thường hoặc sự kiện xác thực rủi ro.
Đây đều là những hành động then chốt để phát hiện và ngăn chặn sớm các mối đe dọa dựa trên quy tắc. Việc triển khai các biện pháp này sẽ tăng cường tổng thể an ninh mạng của tổ chức, giảm thiểu rủi ro bảo mật từ các cuộc tấn công mạng tinh vi.
