Forense en O365

Marzo 18, 2022 - 14:00

Tiempo de lectura estimado: 10 minutos

Esta conferencia magistral pertenece al Módulo 10 “Análisis forense. Malware y técnicas de ocultación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer cómo afrontar un análisis forense de Office 365.

Office 365

Es una oferta de Microsoft de Software as a Service que incluye correo, office, almacenamiento... Existen varios planes:

PYME: Básico, estándar y premium
Empresa: E3, E5 y F3 (antiguamente F1)

Muchas empresas tienen E3 ya que es más barato, pero muchas de las opciones interesantes de seguridad están en E5. No es necesario tener a todas las cuentas en un mismo plan, se pueden poner las de usuarios críticos (CEOs, IT) en un plan superior con más opciones de seguridad.

Problemas de O365

Cuenta con acceso a los datos y al correo desde Internet
Por defecto viene sin 2FA
Roles con permisos excesivos usados por defecto
Nadie mira los logs de actividad
Mentalidad de “está en la nube, se ocupan ellos”

Los logs en O365 solo se guardan durante 90 días, a no ser que sea una licencia E5, que es de 1 año. Es imprescindible en cuanto detectemos un problema de seguridad recuperar los logs inmediatamente para no perder información fundamental.

Fuentes de información de O365

UAL (Unified Audit Logs)
La más importante de todas, si sólo puedes escoger una, coge esta. Aquí se guardan los inicios de sesión, las actividades de los administradores y acciones relevantes de los usuarios. Es accesible por GUI o Powershell y es el que hemos dicho que solo se guardo 90 días (o un año con E5).

Son informes muy detallados y nos da usuarios, acciones, objetos, direcciones IP… además se pueden buscar y exportar. Su formato es poco amigable, una mezcla de CSV+JSON) así que es recomendable utilizar Excel con PowerQuery o un script de Python para trabajar con ellos.

AAL (Audit Advanced Loggins)
Un herramienta muy poderosa para DFIR O365 que nos entrega resultados vía GUI o Powershell, solo disponible en E5. Es muy recomendable en cuentas críticas para tener acceso a esta información.

Cuando lo tenemos activado contamos con MailItemAccessed (correos accedidos por los usuarios o atacantes), Send (correos enviados), SearchQuery (consultas realizadas sobre Exchange o Sharepoint). AAL en conjunto con UAL nos proporciona una visión completa del panorama de O365.
MAL (Mailbox Audit Logging)
Nos da mucha información sobre el correo como Send, SendAs, FolderPermissions… es accesible desde la GUI/Powershell y está por defecto en E5 aunque también se puede acceder en E3.
MessageTrace
Tenemos acceso a metadatos como From, To, Date, Subject e IP. Si ha sido hace menos de 10 días es mejor utilizar Get-MessageTrace, si es entre 10 y 90 días Start-HistoricalSearch, ya que la GUI falla mucho para consultas largas.
Buzones del usuario
Nos permite tener un visión completa y exportar a .PST los elementos recuperables. Los correos eliminados de la papelera del usuario, no desaparecen sino que van al Exchange Online. Lo importante para recuperarlos es pedir permiso al usuario por privacidad. Si solo necesitamos un mensaje podemos pedir que lo guarde como .msg y coger las cabeceras.

Permisos específicos O365

Para recopilar todos estos elementos necesitamos algunos permisos:

Global Admin: Está bien pero no siempre nos lo darán (y no deberían)
UAL/AAL: Global Reader (permisos de solo lectura)
MAL/MessageTrace: Custom role with “User Options | View Audit Log | View.Only Configuration | View-Only Recipients”

Una vez contamos con estos dos permisos al menos ya podemos hacer la adquisición por medio de interfaz gráfica o con Powershell. Con Powershell es más rápido y automatizable, ya que puede llamar con script a las siguientes herramientas y ahorrarnos trabajo:

HawK: recoge logs, comprueba reglas, permisos, apps y mucha más información.
DFIR-O365RC: otra herramienta interesante.
UAL: SearchAuditLogs.ps1
MAL: Get.MessageTrace & Start-HistoricalSearch

Investigando O365

Lo primero que debemos hacer es recopilar tanta información como podamos. Esclarecer qué ha pasado, qué usuarios han sido infectados, qué usuarios tienen privilegios especiales, cuando se ha detectado el incidente, cuando creen que empezó y qué acciones se han tomado.

La forma más fácil de empezar es con UAL. Debemos hacernos con las IPs y geolocalizarlas. Después, buscar anomalías cómo inicios de sesión en días y horas fuera de trabajo, inicios fallidos múltiples, correlacionar IPs con usuarios (una IP con múltiples usuarios), pivotar sobre IPs, usuarios y fechas, y prestar especial atención a las actividades de los administradores.

Una manera útil de visualizar todo es en una línea temporal. Mete los datos de UAL en Excel y ordena por fechas y colorea. Añade luego eventos de otras fuentes. Si está bien hecho un timeline cuenta casi toda la historia del incidente.

Cuando tengamos una idea de qué han hecho los atacantes, profundizamos en ello. Es común ver reglas de entrada o de reenvío y permisos de impersonación. Revisa los permisos de las app de OAuth.

Con O365 también se guarda información útil en AzureAD, como nuevos usuarios añadidos, usuarios/grupos modificados o nuevos administradores.

Contención del incidente

Lo más sencillo y lógico de hacer es cambiar las contraseñas. También deshabilitaremos cuentas y desplegamos MFA. Eliminaremos usuarios/roles/permisos y los permisos de OAuth.