Office 365 OneDrive Spam
Es hat einige Jahre gedauert aber im Nov 2020 hat es dann tatsächlich eine Mail durch NoSpamProxy in mein Postfach geschafft, die auf eine OneDrive for Business Freigabe verwiesen hat:
Eshita Bella shared...
Die Mails sieht nicht nur aus, wie eine OneDrive vor Business Mail. Sie ist auch eine authentische Mail aber schon der Titel der Datei sollten jeden Anwender davon abhalten, diese Datei als legitime Kommunikation einzuordnen. Insofern macht der Absender hier schon einen Fehler.
Ob es sich um das Dokument wirklich "nur" um eine laut Absender "Horny Woman" handeln soll, habe ich nicht weiter überprüft. Vielleicht ist es wirklich nur eine Anbahnung aber realistischer würde eine Office Anlage sein, die den ein oder anderen Schadcode enthalten dürfte.
Würde ich so einen Angriff planen, dann würde ich aber definitiv einen anderen Dateinamen wählen, der mehr Anwender dazu bringt die Anlage anzuschauen.
Update: Am 1.12.2020 kam noch mal eine Mail
Header-Analyse
Nur weil eine Mail so aussieht, wie eine "OneDrive"-Mail, kann sie dennoch gefälscht sein. Es könnte ja sein, dass die Mail gar nicht von Microsoft gekommen ist. Im Header ist aber zu sehen, dass es eine lückenlose Kette.
Authentication-Results: spf=fail (sender IP is 193.37.132.101) smtp.mailfrom=sharepointonline.com; Netatwork.de; dkim=fail (body hash did not verify) header.d=spoapaceop.onmicrosoft.com;Netatwork.de; dmarc=fail action=oreject header.from=sharepointonline.com;compauth=none reason=451 Received-SPF: Fail (protection.outlook.com: domain of sharepointonline.com does not designate 193.37.132.101 as permitted sender) receiver=protection.outlook.com; client-ip=193.37.132.101; helo=cloudmx.netatwork.de; Received: from cloudmx.netatwork.de (193.37.132.101) by DB5EUR03FT015.mail.protection.outlook.com (10.152.20.145) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3564.22 via Frontend Transport; Sat, 14 Nov 2020 11:08:08 +0000 Received: from 52.100.183.207 by cloudmx.netatwork.de via connector NSP Cloud-Connector (Tls12, Aes256, Sha384, DiffieHellmanEllipticKey384); Sat, 14 Nov 2020 11:08:06 GMT ARC-Authentication-Results: i=1; mx.microsoft.com 1; spf=fail (sender ip is 13.75.93.237) smtp.rcpttodomain=fastmail.ca smtp.mailfrom=sharepointonline.com; dmarc=fail (p=reject sp=reject pct=100) action=oreject header.from=sharepointonline.com; dkim=none (message not signed); arc=none DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=spoapaceop.onmicrosoft.com; s=selector1-spoapaceop-onmicrosoft-com; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=pxppxhI/Fobft+VCTvHOO1NQzGDyNNbtzuvti83L6yc=; b=xxxxxx== DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sharepointonline.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=pxppxhI/Fobft+VCTvHOO1NQzGDyNNbtzuvti83L6yc=; b=xxxxxx== Received: from SG2PR02CA0027.apcprd02.prod.outlook.com (2603:1096:3:18::15) by PU1PR03MB2860.apcprd03.prod.outlook.com (2603:1096:803:23::11) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3589.15; Sat, 14 Nov 2020 11:07:57 +0000 Received: from SG2APC01FT062.eop-APC01.prod.protection.outlook.com (2603:1096:3:18:cafe::34) by SG2PR02CA0027.outlook.office365.com (2603:1096:3:18::15) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3564.25 via Frontend Transport; Sat, 14 Nov 2020 11:07:56 +0000 X-MS-Exchange-Authentication-Results: spf=fail (sender IP is 13.75.93.237) smtp.mailfrom=sharepointonline.com; fastmail.ca; dkim=none (message not signed) header.d=none;fastmail.ca; dmarc=fail action=oreject header.from=sharepointonline.com; Received-SPF: Fail (protection.outlook.com: domain of sharepointonline.com does not designate 13.75.93.237 as permitted sender) receiver=protection.outlook.com; client-ip=13.75.93.237; helo=[10.218.0.8]; Received: from [10.218.0.8] (13.75.93.237) by SG2APC01FT062.mail.protection.outlook.com (10.152.251.161) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3564.22 via Frontend Transport; Sat, 14 Nov 2020 11:07:56 +0000 Date: Sat, 14 Nov 2020 11:07:55 +0000 Subject: Eshita Bella shared "I Feel Always Horny" with you. Message-Id: <odspmicro-ReceivedShareActivity-d5898d9f-d002-0000-57f6-xxxxxx> Sender: Eshita Bella <no-reply@sharepointonline.com>
Es wird lesbarer, wenn Sie den Microsoft Header Analyzer (https://mha.azurewebsites.net/) nutzen.
Erst aber der Position 4 kann ich sicher sagen, dass die nachfolgenden Header korrekt sind und nicht mehr durch den Absender gefälscht werden können. Aber der "cloudmx.netatwork.de" hat die Mails von der IP-Adresse "52.10.183.207" erhalten, die auch zu Microsoft gehört. und letztlich ist die Kette komplett. Die Mail wurde nicht von jemand versendet, der nur vorgibt eine "OneDrive-"Message zu senden sondern wurde tatsächlich über OneDrive ausgelöst.
Wer ist camstudfan?
Wenn Sie sich den Link genau anschaue, dann können Sie damit direkt auf den Namen des Tenant schliessen:
Der Tenant wurde demnach "camsstudfan.onmicrosoft.com" bekannt und damit kann ich natürlich weitere Informationen ermitteln. Mein Skript "Get-O365Tenantinfo" mit den Informationen auf Wer nutzt Office 365 und wie? hilft mir da immer weiter:
PS C:\Get-O365Tenantinfo> .\get-o365tenantinfo.ps1 camstudfan.onmicrosoft.com testdomain : camstudfan.onmicrosoft.com tenantdomain : camstudfan.onmicrosoft.com tenantname : camstudfan UserRealmDomain : camstudfan.onmicrosoft.com Cloudinstance : O365Public MultiGeo : False TenantID : 7f1fefc6-af40-4db8-9115-9a98bb45e592 NameSpaceType : Managed IsViral : FederationBrandName : camstudfan19.com AzureADSSO : Skip DesktopSSO : Skip Region : AS domains : {camstudfan.onmicrosoft.com, sonia2night.studentport99.com, enia2study.studentport99.com} authinfo : NoValidDomain Authendpoint : NoValidAuthEndpoint PrefCredential : Skip Enterpriseregistration : NotFound Autodiscover : CNAME: autodiscover.outlook.com MX : ExchangeOnlineProtection SPF : NoO365SPF DMARC : NotDNSRecord DKIMDOMAIN : ParseError DKIMTENANT : Skip DKIMEXO : ParseError ExchangeHybrid : Skip Lyncdiscover : Office365 sipfederationtls : Office365 siptls : NotFound sip : Skip SharePointOnline : 241-ipv4e.clump.dprodmgd106.aa-rt.sharepoint.com
Es ist offensichtlich ein Office 365 Public Tenant, der mit einer vermutlich gefälschten Adresse in "AS" (Asien) angelegt wurde. Leider kann ich nicht das "Alter" des Tenants ermitteln. Allerdings hat sich der Besitzer schon die Mühe gemacht, zwei weitere Domains "sonia2night.studentport99.com" und "enia2study.studentport99.com" einzutragen.
- Whois zu Studentport99.com
https://www.dnslt.com/domain/studentport99.com
Angeblich jemand aus Bangladesh, der selbst ein GMail-Adresse verwendet. Die Domain wurde am 23.8.2020 registriert, d.h. nicht einmal 3 Monate alt. Das hilft bei einer Klassifizierung aber auch nicht weiter und die Webseite ist eine minimal "Wordpress" Installation, die auf "23.227.168.122" server5.hostever.com mit ca. 130ms von mir entfernt läuft.
Der Hoster hat auch eine Adresse in Bangladesh aber mietet wohl RZ-Kapazitäten bei anderen Hostern an, u.a. in Florida, was auch im Traceroute sichtbar wird. Es geht über AMS, LON und NY, CHI in die USA
1 2 ms 1 ms 1 ms fritz.box [192.168.178.1] 2 9 ms 7 ms 5 ms 100.68.0.1 3 10 ms 10 ms 10 ms 100.127.1.13 4 16 ms 13 ms 10 ms 185.22.46.72 5 12 ms 10 ms 10 ms as6939.dus.ecix.net [194.146.118.80] 6 15 ms 14 ms 14 ms 100ge5-2.core1.ams1.he.net [184.104.194.209] 7 23 ms 37 ms 23 ms 100ge16-1.core1.lon2.he.net [72.52.92.213] 8 113 ms 100 ms 101 ms 100ge4-1.core1.nyc4.he.net [72.52.92.166] 9 107 ms 108 ms 104 ms 100ge2-1.core2.chi1.he.net [184.104.193.173] 10 121 ms 138 ms 121 ms 100ge2-2.core1.mci3.he.net [184.105.81.209] 11 128 ms 145 ms 128 ms 100ge15-2.core1.dal1.he.net [184.105.64.213] 12 132 ms 132 ms 128 ms hivelocity-ventures-corp.e0-11.switch3.dal2.he.net [216.66.79.226] 13 * * * Zeitüberschreitung der Anforderung. 14 * * * Zeitüberschreitung der Anforderung. 15 * * * Zeitüberschreitung der Anforderung. 16 * * * Zeitüberschreitung der Anforderung. 17 137 ms 139 ms 136 ms server5.hostever.com [23.227.168.122]
Natürlich verweisen auch die "onmicrosoft.com"-Einträge für Skype, Exchange, SIP etc. alles auf die Cloud und helfen damit bei einer Filterung nicht weiter. Leider gibt es von Microsoft auch kein "RIPE/NIC", bei dem man mehr Informationen über solche Tenants erhalten kann. Interessant ist aber, dass im Header noch ein weiterer Tenant erscheint:
ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=fail (sender ip is 193.37.132.101) smtp.rcpttodomain=netatwork.de smtp.mailfrom=sharepointonline.com; dmarc=fail (p=reject sp=reject pct=100) action=oreject header.from=sharepointonline.com; dkim=fail (body hash did not verify) header.d=spoapaceop.onmicrosoft.com; dkim=fail (body hash did not verify) header.d=sharepointonline.com; arc=fail (47)
Da bin ich doch mal neugierig, wer "spoapaceop.onmicrosoft.com" ist, obwohl der Name schon Hinweis genug ist:
PS C:\get-o365tenantinfo.ps1 spoapaceop.onmicrosoft.com testdomain : spoapaceop.onmicrosoft.com tenantdomain : spoapaceop.onmicrosoft.com tenantname : spoapaceop UserRealmDomain : spoapaceop.onmicrosoft.com Cloudinstance : O365Public MultiGeo : False TenantID : 3c412e91-e450-440a-8d6a-3245b726f1e3 NameSpaceType : Managed IsViral : FederationBrandName : SharePoint Online APAC EOP AzureADSSO : Skip DesktopSSO : Skip Region : AS domains : spoapaceop.onmicrosoft.com authinfo : NoValidDomain Authendpoint : NoValidAuthEndpoint PrefCredential : Skip Enterpriseregistration : NotFound Autodiscover : CNAME: autodiscover.outlook.com MX : ExchangeOnlineProtection SPF : NoO365SPF DMARC : NotDNSRecord DKIMDOMAIN : ParseError DKIMTENANT : Skip DKIMEXO : O365Tenant:spoapaceop ExchangeHybrid : Skip Lyncdiscover : NotFound sipfederationtls : NotFound siptls : NotFound sip : Skip SharePointOnline : NotFound OneDrive : NotFound
Das scheint ein reiner "SharePoint Online APAC EOP"-Tenant zu sein, der alle Mails für die OneDrive for Business Benutzer in der Cloud versendet. Das finde ich interessant, dass SharePoint Online/OneDrive Business hier einen anderen Weg geht als z.B. Teams. Microsoft Teams sendet die Mail über den Tenant des Kunden und nicht mit seinem eigenen Namen.
Der Tenant ist aber besonders, denn er dürfte wohl nicht den üblichen Exchange Online Limits unterliegen und er darf mit der Domain "sharepoint.com" senden, obwohl dieser hier registriert ist.
Bekämpfung? knifflig!
So schön die Funktion zum "Teilen" von Dateien ist, so sorgfältig sollten natürlich alle Beteiligten damit umgehen. Es gibt gleich mehrere Dinge, die hier Ursache sein könnten.
- "Gefälschter Tenant"
Es ist heute immer noch relativ einfach, einen Office 365 "Test"-Tenant zu erhalten und mit einer Testversion zu nutzen. Die einzige Verifikation ist hier eine Rufnummer und die ist kaum ein effektiver Schutz. Sowohl mit einem gestohlenen Mobiltelefon oder einer Prepaid-Karte können kriminelle Personen einen Tenant beantragen, Postfächer und OneDrives einrichten und nutzen.
Das ist "leider" das generelle Problem beim Internet, dass ein Anwender ohne solche "Test-Versionen" weniger Interessenten bekommt. Kein Hoster wartet darauf, bis die erste Rechnung bezahlt wurde und unwidersprochen bleibt.
Interessant wäre es nur, wenn ein Hoster in dem Fall zumindest für einige Zeit die Funktion beschränken würde. Grade das "Sharing" über OneDrive könnte man etwas verzögern oder an eine Strengere Überprüfung binden.
Leider ist auch der Besitz einer DNS-Domain heute kein Kriterium mehr für einen legitimen Nutzer. - Gehacktes Userkonto
Tagtäglich fallen Benutzer auf Phishing herein und verraten ihre Zugangsdaten. Über den Weg kann ein Angreifer dann das Konto des Anwender übernehmen. Neben dem Angriff des Anwender und seiner Kollegen quasi aus dem "Innenverhältnis" kann der Angreifer auch die Plattform nutzen. Es gibt mittlerweile sogar komplette Command&Control-Strukturen, die auf Dropbox, OneDrive, GoogleDrive etc. aufbauen.
Hoster können so etwas versuchen zu erkennen aber müssen dazu natürlich auch die Daten einsehen können. - Unwirksamer ausgehender Spamfilter
Microsoft hat natürlich auch ausgehende Filter etabliert, damit selbst authentifizierte Benutzer z.B. keine Viren verteilen, nur weil der lokale PC "verseucht" ist. Es gibt auch Grenzwerte, wie viele Mails ein Anwender pro Zeit senden darf, um den Schaden gering zu halten. Siehe Exchange Online Message Rate Grenzen. Normalerweise darf ein Absender nur 30 Nachrichten/Min senden. Wenn ich natürlich einen Tenant mit 25 E3-Eval-Lizenzen nutze, komme ich schon auf 750 Nachrichten/Min. Ich bin mir aber sicher, dass Microsoft auch hier solche plötzlichen Nutzungen erkennen dürfte und einschreitet. Aber das funktioniert erst nach einigen Nachrichten und damit kommen ein paar schon durch. - Eingehender Spamfilter
Für den Empfänger ist es natürlich gar nicht einfach, solche Nachrichten zu erkennen und abzulehnen. Das Risiko wäre schon sehr hoch, eine erwünschte Mail abzuweisen (Stichwort "False Positive"). Vielleicht könnte man auch hier ansetzen und solche "Initialen Mails" erst einmal unterdrücken bis man eine etablierte Kommunikation zu anderen Tenants gelernt hat. Allerdings ist das mit "onmicrosoft.com"-Adressen nicht einfach, da OneDrive for Business ja nicht im Namen des Benutzers aber auch nicht "Im Auftrag von" sendet. Es gibt nur eine "Sender"-Zeile aber keine "From:"Zeile. Auch erscheint "spoapaceop.onmicrosoft.com" als weiterer Tenant im DMARC-Header. - Zielanwender
Nehmen wir an, dass alle bisherigen Stationen versagen. Dann liegt es an der Fähigkeit des Empfängers hier eine erwartet Mail von einer Spam-Mail, möglicherweise mit Malware, zu unterscheiden und die Anlage eben nicht zu starten und auch nicht mit Office WordApp zu betrachten.
Es wird aber sicher Anwender geben, die genau hier dann die falsche Entscheidung treffen. Das ist der Moment, wo dann doch ihre lokalen Virenscanner oder Ausführungsrichtlinien zuschalten sollten, um weiteren Schaden abzuwenden.
Dummer Anwender
Für die Analyse solcher Links habe ich natürlich eine Sandbox. Ich treibe sogar den Aufwand, dazu eine virtuelle Umgebung mit einem älteren Windows 7 Client in einem eigenen Subnetz zu betreiben, welches auch nur per HTTPs nach extern darf. Jeglicher Schadcode
Der Link geht vom Namen her auf eine entsprechende Seite:
Hier habe ich dann abgebrochen, denn selbst wenn Sie den Inhaber der Seite ermitteln könnten, der sowieso im Ausland sitzt, hilft das nichts. Nur ein Link auf eine andere Domain ist kein Beweis der Urheberschaft. Hier könnte maximal Microsoft vielleicht ermitteln, von welcher IP-Adresse die Datei hochgeladen und freigegeben wurde. Aber selbst dann kann dies eine TOR oder VPN-Adresse sein. Die genutzten Anmeldedaten im Tenant dürften auch gefälscht sein.
Bewertung
Es bleibt spannend, wie Microsoft solchen Missbrauch bekämpft und einschränkt. Vielleicht wäre ein direkter Link in diesem Mails mit einem "Report as Spam" schon hilfreich. Ich habe auf die Schnelle zwar viele Wege gefunden, eine Information zu Spam etc. an Microsoft zu senden aber letztlich habe ich nicht einfach den "richtigen Weg" ermitteln können. Ein Office 365 Ticket kann nur ein Admin öffnen. Diverse andere Wege beziehen sich aber auf Beschwerden zu Outlook.com, MSN und OneDrive (Personal).
Wir werden, genauso wie Dropbox, GoogleDrive und andere Cloud-Anbieter immer damit leben müssen, dass die "Bösen" immer neue Weg ausprobieren, um Anwender zu überlisten und unerwünschte Inhalte anzuzeigen oder Schadcode unterzujubeln.
Bleiben wir also wachsam und informieren wie als Administratoren und Consultants unsere Anwender offen und aktiv. Vor allem sollten Sie immer einen offenen Kommunikationsstiel pflegen, damit Anwender, die sich "verklickt" haben, spätestens dann aktiv auf sie zu kommen. Vorwürfe, Bloßstellungen oder gar Abmahnungen helfen hier nicht sondern sorgen eher dafür, dass Sie nicht mehr informiert werden und Gegenmaßnahmen ergreifen können.
Weitere Links
- Office 365 Erste Spam-Mail
- SharePoint Sharing Spam
- Exchange Online Message Rate Grenzen
- Wer nutzt Office 365 und wie?
- Phishing mit Consent-Anforderung
- OneDrive - Dateiserver neu gedacht
- https://studentport99-my.sharepoint.com/:b:/g/personal/s248...
https://www.hybrid-analysis.com/sample/07c64c514d62ecd738edd27cdeb7216877ff56dc62dce9f4ed08a2aad9672572/5f907024ab664672794cccc5
Am 21. Okt konnte angeblich kein Thread gefunden werden. Es verwundert nicht dass die Office 365 Dienste unbedenklich sind. Der Inhalt der Datei ist es natürlich nicht, der hier als Screen-Captures vorgestellt wird.