一名办公室工作人员收到了一封看似来自供应商的电子邮件，但该邮件被隔离了，用户请求将其释放。这封邮件看起来没什么问题，因此管理员释放了这封邮件。用户点击邮件查看内容，其中包括一张附加发票。

问题就从这里开始：点击附件会打开一个网站，要求员工输入用户名和密码，员工必须输入。不幸的是，这封电子邮件没有任何合法性，它就是为这样的机会而设的钓鱼邮件。

但情况变得更糟——用户在不知情的情况下让攻击者能够更进一步，发起中间人(AiTM) 攻击，这是终极的商业电子邮件入侵，旨在获取银行或其他金融交易的权限。这些攻击不仅可以获取凭证，还可以获取令牌以绕过多因素身份验证。

AiTM 攻击十分阴险，可能造成严重后果

多个级别的安全措施均已失效，攻击者现在可以秘密渗透到网络，冒充目标并访问云端的电子邮件对话和文档。

微软在其有关该主题的博客中指出：“在被盗会话 cookie 重放攻击中，攻击者使用有效的被盗 cookie 冒充用户，从而绕过密码和 MFA 的身份验证机制。”

“在这次活动中，我们观察到攻击者在几个小时后从位于美国的 IP 地址使用被盗的 cookie 登录……此外，攻击者还生成了一个新的访问令牌，使他们能够在环境中停留更长时间。”

一旦进入系统，攻击者就可以添加新的身份验证方法来绕过已经存在的身份验证方法，通常目的是建立规则来转移某些邮件，以便邮箱用户或所有者看不到该邮件被发送。

预防 AiTM 攻击需要多种技术结合

为了防止 AiTM 攻击，Microsoft 建议使用安全默认值作为一组基准策略来改善身份安全状况。为了实现更精细的控制，您需要启用条件访问策略；实施基于风险的访问策略特别有用。

微软表示：“条件访问策略使用额外的身份驱动信号（如用户或群组成员身份、IP 位置信息和设备状态等）来评估登录请求，并对可疑登录进行强制执行。”

“组织可以通过启用合规设备、受信任的 IP 地址要求或具有适当访问控制的基于风险的策略来保护自己免受利用被盗凭证的攻击。”

投资先进的反网络钓鱼解决方案作为前线防御，特别是监控和扫描传入电子邮件和访问过的网站的解决方案。确保使用 SmartScreen 和其他阻止恶意网站的技术。

调查可疑恶意活动，寻找具有可疑特征的登录尝试，并启用规则集来寻找异常活动或其他更明显的攻击过程，以识别危险位置、恶意 ISP、异常用户代理和匿名服务的使用。

AiTM 袭击后的调查和清理

虽然微软的 AiTM 博客讨论了如何防止商业电子邮件受到攻击，但它对于如何在潜在攻击后进行调查和清理的具体说明却有些薄弱。

您希望确保将 Microsoft 365 的日志文件卸​​载到安全事件和事件管理 (SEIM) 平台，并使用交互式和非交互式登录检查 Entra 或 Azure 登录日志，并检查任何不“正常”的位置。

请注意，如果用户使用的是蜂窝连接，则可能很难正常确定位置，并且可能与您习惯的 IP 地址在地理上有所不同。可能需要一些时间才能将用户当时所做的事情与他们登录的设备联系起来。确保您采访并将日期、时间和事件与用户当时所做的事情联系起来，并进行相应记录。

然后在http://compliance.microsoft.com下载统一审计日志。从这里你可以调查攻击者做了什么，特别是如果你订阅了包含 OneDrive 和 Teams 的完整 Microsoft 365 套件。

您需要查看 Outlook、Teams、SharePoint、OneDrive、Power Automate 以及用户有权访问的任何其他公司资产中的活动。确保您获取日志并将其保存在您的 SEIM 或其他设备中，以供受感染的用户使用。

确定攻击的深度和严重程度

根据攻击的影响，启动清理过程。首先强制更改用户帐户的密码，确保已撤销所有令牌以阻止攻击者的虚假凭据。

如果攻击的后果很严重，请考虑禁用用户的主要帐户并设置新的临时帐户，同时调查入侵的程度。如果您不确定入侵的原始来源，您甚至可以考虑隔离用户的设备，并可能对工作站进行取证级备份，以便进行最佳调查。

接下来，检查所有应用程序注册、服务主体的更改、企业应用程序以及自发现入侵以来用户可能更改或影响的任何其他内容。您需要深入调查邮箱的访问和权限。Mandiant 有一个基于 PowerShell 的脚本，可以帮助您调查入侵的影响。

Mandiant 指出： “该存储库包含一个 PowerShell 模块，用于检测可能表明UNC2452和其他威胁行为者活动的工件。一些指标是‘高保真’的入侵指标，而其他工件则是所谓的‘双重用途’工件。”

“双重用途工件可能与威胁行为者的活动有关，但也可能与合法功能有关。这些都需要进行分析和验证。”

Mandiant 确实警告说，该工具“不会 100% 识别出妥协，也不会告诉您某个工件是合法的管理活动还是威胁行为者的活动。”

OneDrive 用户应该接受额外的审查

如果您的用户正在访问 Microsoft 的 OneDrive，您需要检查云存储上文件的文件日期，以查看是否有任何内容被篡改或受到恶意软件的影响。检查 Power Automate 和 Power Apps 以确定是否为相关用户设置了后漏洞利用命令和控制或自定义命令和控制。

接下来，确保用户的单点登录影响已得到限制，并且您在http://myapps.microsoft.com上查看了影响。然后，与上述消费设备一样，同样验证用户在http://admin.microsoft.com和http://entra.microsoft.com上注册或加入的所有设备是否合法。

强烈建议您根据所拥有的许可证实施Internet 安全中心设置。其中一些推荐设置无法使用最便宜的 Microsoft 365 许可证完成，并且至少需要 Microsoft 365 商业高级版订阅。