Office 365 OneDrive Spam

Inhaltsverzeichnis

Eshita Bella shared...
Header-Analyse
Wer ist camstudfan?
Bekämpfung? knifflig!
Dummer Anwender
Bewertung
Weitere Links

Es hat einige Jahre gedauert aber im Nov 2020 hat es dann tatsächlich eine Mail durch NoSpamProxy in mein Postfach geschafft, die auf eine OneDrive for Business Freigabe verwiesen hat:

Eshita Bella shared...

Die Mails sieht nicht nur aus, wie eine OneDrive vor Business Mail. Sie ist auch eine authentische Mail aber schon der Titel der Datei sollten jeden Anwender davon abhalten, diese Datei als legitime Kommunikation einzuordnen. Insofern macht der Absender hier schon einen Fehler.

Ob es sich um das Dokument wirklich "nur" um eine laut Absender "Horny Woman" handeln soll, habe ich nicht weiter überprüft. Vielleicht ist es wirklich nur eine Anbahnung aber realistischer würde eine Office Anlage sein, die den ein oder anderen Schadcode enthalten dürfte.

Würde ich so einen Angriff planen, dann würde ich aber definitiv einen anderen Dateinamen wählen, der mehr Anwender dazu bringt die Anlage anzuschauen.

Update: Am 1.12.2020 kam noch mal eine Mail

Header-Analyse

Nur weil eine Mail so aussieht, wie eine "OneDrive"-Mail, kann sie dennoch gefälscht sein. Es könnte ja sein, dass die Mail gar nicht von Microsoft gekommen ist. Im Header ist aber zu sehen, dass es eine lückenlose Kette.

Authentication-Results: spf=fail (sender IP is 193.37.132.101)
 smtp.mailfrom=sharepointonline.com; Netatwork.de; dkim=fail (body hash did
 not verify) header.d=spoapaceop.onmicrosoft.com;Netatwork.de; dmarc=fail
 action=oreject header.from=sharepointonline.com;compauth=none reason=451
Received-SPF: Fail (protection.outlook.com: domain of sharepointonline.com
 does not designate 193.37.132.101 as permitted sender)
 receiver=protection.outlook.com; client-ip=193.37.132.101;
 helo=cloudmx.netatwork.de;
Received: from cloudmx.netatwork.de (193.37.132.101) by
 DB5EUR03FT015.mail.protection.outlook.com (10.152.20.145) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
 15.20.3564.22 via Frontend Transport; Sat, 14 Nov 2020 11:08:08 +0000
Received: from 52.100.183.207 by cloudmx.netatwork.de via connector NSP
 Cloud-Connector (Tls12, Aes256, Sha384, DiffieHellmanEllipticKey384); Sat,
 14 Nov 2020 11:08:06 GMT
ARC-Authentication-Results: i=1; mx.microsoft.com 1; spf=fail (sender ip is
 13.75.93.237) smtp.rcpttodomain=fastmail.ca
 smtp.mailfrom=sharepointonline.com; dmarc=fail (p=reject sp=reject pct=100)
 action=oreject header.from=sharepointonline.com; dkim=none (message not
 signed); arc=none
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=spoapaceop.onmicrosoft.com; s=selector1-spoapaceop-onmicrosoft-com;
 h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
 bh=pxppxhI/Fobft+VCTvHOO1NQzGDyNNbtzuvti83L6yc=;
 b=xxxxxx==
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sharepointonline.com;
 s=selector1;
 h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
 bh=pxppxhI/Fobft+VCTvHOO1NQzGDyNNbtzuvti83L6yc=;
 b=xxxxxx==
Received: from SG2PR02CA0027.apcprd02.prod.outlook.com (2603:1096:3:18::15) by
 PU1PR03MB2860.apcprd03.prod.outlook.com (2603:1096:803:23::11) with Microsoft
 SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
 15.20.3589.15; Sat, 14 Nov 2020 11:07:57 +0000
Received: from SG2APC01FT062.eop-APC01.prod.protection.outlook.com
 (2603:1096:3:18:cafe::34) by SG2PR02CA0027.outlook.office365.com
 (2603:1096:3:18::15) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3564.25 via Frontend
 Transport; Sat, 14 Nov 2020 11:07:56 +0000
X-MS-Exchange-Authentication-Results: spf=fail (sender IP is 13.75.93.237)
 smtp.mailfrom=sharepointonline.com; fastmail.ca; dkim=none (message not
 signed) header.d=none;fastmail.ca; dmarc=fail action=oreject
 header.from=sharepointonline.com;
Received-SPF: Fail (protection.outlook.com: domain of sharepointonline.com
 does not designate 13.75.93.237 as permitted sender)
 receiver=protection.outlook.com; client-ip=13.75.93.237; helo=[10.218.0.8];
Received: from [10.218.0.8] (13.75.93.237) by
 SG2APC01FT062.mail.protection.outlook.com (10.152.251.161) with Microsoft
 SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
 15.20.3564.22 via Frontend Transport; Sat, 14 Nov 2020 11:07:56 +0000
Date: Sat, 14 Nov 2020 11:07:55 +0000
Subject: Eshita Bella shared "I Feel Always Horny" with you.
Message-Id: <odspmicro-ReceivedShareActivity-d5898d9f-d002-0000-57f6-xxxxxx>
Sender: Eshita Bella <no-reply@sharepointonline.com>

Es wird lesbarer, wenn Sie den Microsoft Header Analyzer (https://mha.azurewebsites.net/) nutzen.

Erst aber der Position 4 kann ich sicher sagen, dass die nachfolgenden Header korrekt sind und nicht mehr durch den Absender gefälscht werden können. Aber der "cloudmx.netatwork.de" hat die Mails von der IP-Adresse "52.10.183.207" erhalten, die auch zu Microsoft gehört. und letztlich ist die Kette komplett. Die Mail wurde nicht von jemand versendet, der nur vorgibt eine "OneDrive-"Message zu senden sondern wurde tatsächlich über OneDrive ausgelöst.

Wer ist camstudfan?

Wenn Sie sich den Link genau anschaue, dann können Sie damit direkt auf den Namen des Tenant schliessen:

Der Tenant wurde demnach "camsstudfan.onmicrosoft.com" bekannt und damit kann ich natürlich weitere Informationen ermitteln. Mein Skript "Get-O365Tenantinfo" mit den Informationen auf Wer nutzt Office 365 und wie? hilft mir da immer weiter:

PS C:\Get-O365Tenantinfo> .\get-o365tenantinfo.ps1 camstudfan.onmicrosoft.com

testdomain             : camstudfan.onmicrosoft.com
tenantdomain           : camstudfan.onmicrosoft.com
tenantname             : camstudfan
UserRealmDomain        : camstudfan.onmicrosoft.com
Cloudinstance          : O365Public
MultiGeo               : False
TenantID               : 7f1fefc6-af40-4db8-9115-9a98bb45e592
NameSpaceType          : Managed
IsViral                :
FederationBrandName    : camstudfan19.com
AzureADSSO             : Skip
DesktopSSO             : Skip
Region                 : AS
domains                : {camstudfan.onmicrosoft.com, sonia2night.studentport99.com, enia2study.studentport99.com}
authinfo               : NoValidDomain
Authendpoint           : NoValidAuthEndpoint
PrefCredential         : Skip
Enterpriseregistration : NotFound
Autodiscover           : CNAME: autodiscover.outlook.com
MX                     : ExchangeOnlineProtection
SPF                    : NoO365SPF
DMARC                  : NotDNSRecord
DKIMDOMAIN             : ParseError
DKIMTENANT             : Skip
DKIMEXO                : ParseError
ExchangeHybrid         : Skip
Lyncdiscover           : Office365
sipfederationtls       : Office365
siptls                 : NotFound
sip                    : Skip
SharePointOnline       : 241-ipv4e.clump.dprodmgd106.aa-rt.sharepoint.com

Es ist offensichtlich ein Office 365 Public Tenant, der mit einer vermutlich gefälschten Adresse in "AS" (Asien) angelegt wurde. Leider kann ich nicht das "Alter" des Tenants ermitteln. Allerdings hat sich der Besitzer schon die Mühe gemacht, zwei weitere Domains "sonia2night.studentport99.com" und "enia2study.studentport99.com" einzutragen.

Whois zu Studentport99.com
https://www.dnslt.com/domain/studentport99.com
Angeblich jemand aus Bangladesh, der selbst ein GMail-Adresse verwendet. Die Domain wurde am 23.8.2020 registriert, d.h. nicht einmal 3 Monate alt. Das hilft bei einer Klassifizierung aber auch nicht weiter und die Webseite ist eine minimal "Wordpress" Installation, die auf "23.227.168.122" server5.hostever.com mit ca. 130ms von mir entfernt läuft.

Der Hoster hat auch eine Adresse in Bangladesh aber mietet wohl RZ-Kapazitäten bei anderen Hostern an, u.a. in Florida, was auch im Traceroute sichtbar wird. Es geht über AMS, LON und NY, CHI in die USA

  1     2 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2     9 ms     7 ms     5 ms  100.68.0.1
  3    10 ms    10 ms    10 ms  100.127.1.13
  4    16 ms    13 ms    10 ms  185.22.46.72
  5    12 ms    10 ms    10 ms  as6939.dus.ecix.net [194.146.118.80]
  6    15 ms    14 ms    14 ms  100ge5-2.core1.ams1.he.net [184.104.194.209]
  7    23 ms    37 ms    23 ms  100ge16-1.core1.lon2.he.net [72.52.92.213]
  8   113 ms   100 ms   101 ms  100ge4-1.core1.nyc4.he.net [72.52.92.166]
  9   107 ms   108 ms   104 ms  100ge2-1.core2.chi1.he.net [184.104.193.173]
 10   121 ms   138 ms   121 ms  100ge2-2.core1.mci3.he.net [184.105.81.209]
 11   128 ms   145 ms   128 ms  100ge15-2.core1.dal1.he.net [184.105.64.213]
 12   132 ms   132 ms   128 ms  hivelocity-ventures-corp.e0-11.switch3.dal2.he.net [216.66.79.226]
 13     *        *        *     Zeitüberschreitung der Anforderung.
 14     *        *        *     Zeitüberschreitung der Anforderung.
 15     *        *        *     Zeitüberschreitung der Anforderung.
 16     *        *        *     Zeitüberschreitung der Anforderung.
 17   137 ms   139 ms   136 ms  server5.hostever.com [23.227.168.122]

Natürlich verweisen auch die "onmicrosoft.com"-Einträge für Skype, Exchange, SIP etc. alles auf die Cloud und helfen damit bei einer Filterung nicht weiter. Leider gibt es von Microsoft auch kein "RIPE/NIC", bei dem man mehr Informationen über solche Tenants erhalten kann. Interessant ist aber, dass im Header noch ein weiterer Tenant erscheint:

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=fail (sender ip is
 193.37.132.101) smtp.rcpttodomain=netatwork.de
 smtp.mailfrom=sharepointonline.com; dmarc=fail (p=reject sp=reject pct=100)
 action=oreject header.from=sharepointonline.com; dkim=fail (body hash did not
 verify) header.d=spoapaceop.onmicrosoft.com; dkim=fail (body hash did not
 verify) header.d=sharepointonline.com; arc=fail (47)

Da bin ich doch mal neugierig, wer "spoapaceop.onmicrosoft.com" ist, obwohl der Name schon Hinweis genug ist:

PS C:\get-o365tenantinfo.ps1 spoapaceop.onmicrosoft.com

testdomain             : spoapaceop.onmicrosoft.com
tenantdomain           : spoapaceop.onmicrosoft.com
tenantname             : spoapaceop
UserRealmDomain        : spoapaceop.onmicrosoft.com
Cloudinstance          : O365Public
MultiGeo               : False
TenantID               : 3c412e91-e450-440a-8d6a-3245b726f1e3
NameSpaceType          : Managed
IsViral                :
FederationBrandName    : SharePoint Online APAC EOP
AzureADSSO             : Skip
DesktopSSO             : Skip
Region                 : AS
domains                : spoapaceop.onmicrosoft.com
authinfo               : NoValidDomain
Authendpoint           : NoValidAuthEndpoint
PrefCredential         : Skip
Enterpriseregistration : NotFound
Autodiscover           : CNAME: autodiscover.outlook.com
MX                     : ExchangeOnlineProtection
SPF                    : NoO365SPF
DMARC                  : NotDNSRecord
DKIMDOMAIN             : ParseError
DKIMTENANT             : Skip
DKIMEXO                : O365Tenant:spoapaceop
ExchangeHybrid         : Skip
Lyncdiscover           : NotFound
sipfederationtls       : NotFound
siptls                 : NotFound
sip                    : Skip
SharePointOnline       : NotFound
OneDrive               : NotFound

Das scheint ein reiner "SharePoint Online APAC EOP"-Tenant zu sein, der alle Mails für die OneDrive for Business Benutzer in der Cloud versendet. Das finde ich interessant, dass SharePoint Online/OneDrive Business hier einen anderen Weg geht als z.B. Teams. Microsoft Teams sendet die Mail über den Tenant des Kunden und nicht mit seinem eigenen Namen.

Der Tenant ist aber besonders, denn er dürfte wohl nicht den üblichen Exchange Online Limits unterliegen und er darf mit der Domain "sharepoint.com" senden, obwohl dieser hier registriert ist.

Bekämpfung? knifflig!

So schön die Funktion zum "Teilen" von Dateien ist, so sorgfältig sollten natürlich alle Beteiligten damit umgehen. Es gibt gleich mehrere Dinge, die hier Ursache sein könnten.

"Gefälschter Tenant"
Es ist heute immer noch relativ einfach, einen Office 365 "Test"-Tenant zu erhalten und mit einer Testversion zu nutzen. Die einzige Verifikation ist hier eine Rufnummer und die ist kaum ein effektiver Schutz. Sowohl mit einem gestohlenen Mobiltelefon oder einer Prepaid-Karte können kriminelle Personen einen Tenant beantragen, Postfächer und OneDrives einrichten und nutzen.
Das ist "leider" das generelle Problem beim Internet, dass ein Anwender ohne solche "Test-Versionen" weniger Interessenten bekommt. Kein Hoster wartet darauf, bis die erste Rechnung bezahlt wurde und unwidersprochen bleibt.
Interessant wäre es nur, wenn ein Hoster in dem Fall zumindest für einige Zeit die Funktion beschränken würde. Grade das "Sharing" über OneDrive könnte man etwas verzögern oder an eine Strengere Überprüfung binden.
Leider ist auch der Besitz einer DNS-Domain heute kein Kriterium mehr für einen legitimen Nutzer.
Gehacktes Userkonto
Tagtäglich fallen Benutzer auf Phishing herein und verraten ihre Zugangsdaten. Über den Weg kann ein Angreifer dann das Konto des Anwender übernehmen. Neben dem Angriff des Anwender und seiner Kollegen quasi aus dem "Innenverhältnis" kann der Angreifer auch die Plattform nutzen. Es gibt mittlerweile sogar komplette Command&Control-Strukturen, die auf Dropbox, OneDrive, GoogleDrive etc. aufbauen.
Hoster können so etwas versuchen zu erkennen aber müssen dazu natürlich auch die Daten einsehen können.
Unwirksamer ausgehender Spamfilter
Microsoft hat natürlich auch ausgehende Filter etabliert, damit selbst authentifizierte Benutzer z.B. keine Viren verteilen, nur weil der lokale PC "verseucht" ist. Es gibt auch Grenzwerte, wie viele Mails ein Anwender pro Zeit senden darf, um den Schaden gering zu halten. Siehe Exchange Online Message Rate Grenzen. Normalerweise darf ein Absender nur 30 Nachrichten/Min senden. Wenn ich natürlich einen Tenant mit 25 E3-Eval-Lizenzen nutze, komme ich schon auf 750 Nachrichten/Min. Ich bin mir aber sicher, dass Microsoft auch hier solche plötzlichen Nutzungen erkennen dürfte und einschreitet. Aber das funktioniert erst nach einigen Nachrichten und damit kommen ein paar schon durch.
Eingehender Spamfilter
Für den Empfänger ist es natürlich gar nicht einfach, solche Nachrichten zu erkennen und abzulehnen. Das Risiko wäre schon sehr hoch, eine erwünschte Mail abzuweisen (Stichwort "False Positive"). Vielleicht könnte man auch hier ansetzen und solche "Initialen Mails" erst einmal unterdrücken bis man eine etablierte Kommunikation zu anderen Tenants gelernt hat. Allerdings ist das mit "onmicrosoft.com"-Adressen nicht einfach, da OneDrive for Business ja nicht im Namen des Benutzers aber auch nicht "Im Auftrag von" sendet. Es gibt nur eine "Sender"-Zeile aber keine "From:"Zeile. Auch erscheint "spoapaceop.onmicrosoft.com" als weiterer Tenant im DMARC-Header.
Zielanwender
Nehmen wir an, dass alle bisherigen Stationen versagen. Dann liegt es an der Fähigkeit des Empfängers hier eine erwartet Mail von einer Spam-Mail, möglicherweise mit Malware, zu unterscheiden und die Anlage eben nicht zu starten und auch nicht mit Office WordApp zu betrachten.
Es wird aber sicher Anwender geben, die genau hier dann die falsche Entscheidung treffen. Das ist der Moment, wo dann doch ihre lokalen Virenscanner oder Ausführungsrichtlinien zuschalten sollten, um weiteren Schaden abzuwenden.

Dummer Anwender

Für die Analyse solcher Links habe ich natürlich eine Sandbox. Ich treibe sogar den Aufwand, dazu eine virtuelle Umgebung mit einem älteren Windows 7 Client in einem eigenen Subnetz zu betreiben, welches auch nur per HTTPs nach extern darf. Jeglicher Schadcode

Der Link geht vom Namen her auf eine entsprechende Seite:

Hier habe ich dann abgebrochen, denn selbst wenn Sie den Inhaber der Seite ermitteln könnten, der sowieso im Ausland sitzt, hilft das nichts. Nur ein Link auf eine andere Domain ist kein Beweis der Urheberschaft. Hier könnte maximal Microsoft vielleicht ermitteln, von welcher IP-Adresse die Datei hochgeladen und freigegeben wurde. Aber selbst dann kann dies eine TOR oder VPN-Adresse sein. Die genutzten Anmeldedaten im Tenant dürften auch gefälscht sein.

Bewertung

Es bleibt spannend, wie Microsoft solchen Missbrauch bekämpft und einschränkt. Vielleicht wäre ein direkter Link in diesem Mails mit einem "Report as Spam" schon hilfreich. Ich habe auf die Schnelle zwar viele Wege gefunden, eine Information zu Spam etc. an Microsoft zu senden aber letztlich habe ich nicht einfach den "richtigen Weg" ermitteln können. Ein Office 365 Ticket kann nur ein Admin öffnen. Diverse andere Wege beziehen sich aber auf Beschwerden zu Outlook.com, MSN und OneDrive (Personal).

Wir werden, genauso wie Dropbox, GoogleDrive und andere Cloud-Anbieter immer damit leben müssen, dass die "Bösen" immer neue Weg ausprobieren, um Anwender zu überlisten und unerwünschte Inhalte anzuzeigen oder Schadcode unterzujubeln.

Bleiben wir also wachsam und informieren wie als Administratoren und Consultants unsere Anwender offen und aktiv. Vor allem sollten Sie immer einen offenen Kommunikationsstiel pflegen, damit Anwender, die sich "verklickt" haben, spätestens dann aktiv auf sie zu kommen. Vorwürfe, Bloßstellungen oder gar Abmahnungen helfen hier nicht sondern sorgen eher dafür, dass Sie nicht mehr informiert werden und Gegenmaßnahmen ergreifen können.

Weitere Links

Office 365 Erste Spam-Mail
SharePoint Sharing Spam
Exchange Online Message Rate Grenzen
Wer nutzt Office 365 und wie?
Phishing mit Consent-Anforderung
OneDrive - Dateiserver neu gedacht
https://studentport99-my.sharepoint.com/:b:/g/personal/s248...
https://www.hybrid-analysis.com/sample/07c64c514d62ecd738edd27cdeb7216877ff56dc62dce9f4ed08a2aad9672572/5f907024ab664672794cccc5
Am 21. Okt konnte angeblich kein Thread gefunden werden. Es verwundert nicht dass die Office 365 Dienste unbedenklich sind. Der Inhalt der Datei ist es natürlich nicht, der hier als Screen-Captures vorgestellt wird.