随着云办公逐渐成为企业默认的工作模式,微软365作为全球主流的协作平台,其安全性备受关注。近期,安全研究机构Varonis Threat Labs揭露了一起关于微软365 Direct Send功能被恶意利用的钓鱼邮件攻击行动,引发各界对该功能潜在风险的高度重视。该攻击活动涉及七十余家企业,其中大多为美国本土企业,攻击者利用Direct Send的设计缺陷来发送伪装成内部员工的钓鱼邮件,且无需任何账户认证,威胁程度不容小觑。Direct Send是微软Exchange Online中一个相对小众但十分实用的功能,最初设计目的是允许打印机、扫描仪等内部设备无需身份认证即可通过邮件向组织内部发送通知或报告。这个机制依托于一个格式固定的智能主机地址,例如tenantname.mail.protection.outlook.com。由于免验证的特性,导致攻击者只需要掌握目标组织的域名和部分内部邮箱格式,即可利用该智能主机发送看似合法的内部邮件。
正因为邮件被视作组织内部邮件,传统的邮件防护策略往往不会对其进行严格检查,极大增加了钓鱼邮件的成功率。攻击者常利用公开渠道、社交媒体或曾经的数据泄露事件,轻松获取目标公司内部的邮箱格式和域名信息。随后通过命令行工具如PowerShell,调用Direct Send通过智能主机发送伪造的邮件。例如,一条示范命令中显示攻击者以“joe@company.com”地址发送标题为“New Missed Fax-msg”的邮件,邮件正文诱导用户点击恶意链接或附件。邮件通常伪装成内部传真消息、语音邮件通知等形式,并包含带有二维码的PDF附件,引导用户进入钓鱼网站采集微软365的登录凭据。由于攻击邮件成功“伪装”为组织内部邮件,它们通常躲避了SPF、DKIM、DMARC等邮箱认证机制的检测。
同时,微软自身以及多数第三方安全产品也对内部邮件放松了拦截策略,使得这些恶意邮件得以成功送达目标收件箱。Varonis在调查中发现,受害组织的邮件日志虽然显示这些邮件来自内部域,但背后发起邮件的IP地址却属于外部,且位于异常地理位置,例如乌克兰等非组织正常业务的区域。此外,异常行为如用户自我发送邮件、邮件客户端使用PowerShell均是重要的异常信号。识别这类攻击需要深入查看邮件头信息,尤其是“Received”字段显示的发送IP与智能主机之间的通信、SPF和DMARC认证失败的记录,以及异常的X-MS-Exchange-CrossTenant-Id字段等。除了邮件头的技术指标,行为特征分析也同样关键,如邮件发送者与接收者同为一人,邮件中带有异常或潜在恶意的附件及链接。尽管Direct Send为内部设备和应用提供了便利,但其免认证的特性也埋下了安全隐患。
企业需理清哪些Direct Send使用属于合法场景,如自动化通知、第三方系统的集成邮件推送,并与异常的邮件活动作区分,以避免误报。针对这一钓鱼攻击活动,采取防御措施刻不容缓。首要建议是启用Exchange Admin Center中的“Reject Direct Send”选项,阻止未经授权的邮件通过Direct Send入站。严格的DMARC策略(推荐实行p=reject)亦能有效减少伪造邮件的流入。此外,可以将未认证的内部邮件标记用于额外审核或隔离,从而防止恶意邮件直接触达终端用户。加强SPF记录配置,使其限定仅允许来自可信IP地址的邮件发出,也是防止滥用的重要手段。
反欺骗策略的实施辅以用户教育,尤其提醒员工警惕含有二维码附件(常被用于quishing攻击)的邮件,能够显著提升整体安全防护能力。多因素认证(MFA)和条件访问策略的推广部署可作为额外防线,当用户凭据被盗取时极大限缩攻击者横向渗透的空间。Varonis Threat Labs持续更新多个被利用的IP地址段和恶意域名作为检测指标(IOC),为安全团队提供及时的威胁情报支持。诸如185.101.38.41、139.28.36.230等IP频繁出现在攻击邮件的发送路径中。钓鱼邮件主题词汇也具有一定的规律性,如“Caller Left VM Message”或“Fax-msg mm/dd/yyyy”等,结合附件常见名称帮助提高自动化检测的准确率。面对Direct Send带来的新兴威胁,企业不仅需依赖技术手段,更应站在整体安全治理的高度,结合邮件流量的深度分析、异常行为的持续监测以及用户安全意识的全面提升。
正如Varonis所强调的,不能安于“内部邮件即安全”的传统认知,任何来自内部域的邮件都应经过严密的鉴别与检测。未来,微软及安全厂商也将在Direct Send功能的安全加固上做出更多努力,但企业自身的安全架构完善和多层防护才是抵御此类攻击的根本保障。总之,微软365 Direct Send被用于钓鱼邮件的大规模持续滥用警示了所有依赖云邮件服务的组织,安全防御时时刻刻都不能放松。通过完善配置、引入智能检测和不断加强人员培训,企业方能有效抵御此类高级钓鱼攻击,保障自身信息资产的完整与安全。
