miércoles, 7 de septiembre de 2022

O365: Qué hacer después de detectar un ataque de Phishing en nuestra organización. Sin licencias premium...

Estimados amigos de Inseguros !!!

Con el paso de los días escuchamos más sobre phishing que viendo los documentales de la pesca del cangrejo en Alaska :-)

Estudiamos como simular ataques, como pararlos, como detectarlos, pero es inevitable que en algún momento algún usuario sea pescado y tengamos que lidiar con el "restablecimiento" o acciones posteriores.

Vamos a intentar crear en todos una lista de acciones a realizar en un incidente de Phishing, os parece?

En este lista he intentado no usar productos o licencias "premium" para hacerlo más accesible.

Estoy preparando otro post dándole un enfoque distinto, con TODAS las opciones de ciberseguridad que existen, ya veremos. Vamos a por la lista !!!

  • Resetear la cuenta de la víctima. Hay que tener en cuenta que si dispone de sincronización de Password hash en el AD Connect, tardará unos 5 minutos en replicarse en el AzureAd, aunque la ventana de tiempo de sincronización de todos los elementos es de 30 minutos. Podemos usar los comandos de este artículo para fozar la sincronización.
  • Aunque se fuerce un cambio de contraseña, el token hay que revocarlo tambien. Empleamos el comando que nos indica Microsoft.
  • Habilitar el MFA a la cuenta afectada, mejor a todas. Ahora está incluido en TODOS los planes... 
  • Comprobar si se ha habilitado alguna regla de Forwarding.



  • Mirar en el seguimiento de mensajes, qué mensajes ha enviado la cuenta de correo. Lo podemos ver desde aquí.
  • Comprobar los inicios de sesión de riesgo desde Azure Ad p1 aquí.
  • Revisar los roles del usuario en: O365 y Azure AD.
  • Compureba y habilita la auditoria de todos los buzones con un :

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true
  • Si encontramos un mensaje con la URL que ha iniciado el Phishing, bloquearla.
  • Si encontramos un mensaje enviado a nuestros usuarios, y aún no lo han abierto, podemos hacer lo siguiente. Podemos hacer una búsqueda entre todos los buzones, indicando un nombre a la búsqueda, y con las condiciones que queremos, por ejemplo el sender o el subject.

Por ejemplo vamos a probar con un Subject "cambio de factura"


Ahora nos conectamos al centro de cumplimiento, buscamos por el nombre de la búsqueda...y le decimos que para todos los elementos encontrados, borre el correo

Get-ComplianceSearch -Identity “Cambio de factura”
New-ComplianceSearchAction -SearchName “Cambio de factura” -Purge -PurgeType HardDelete

Para conectar al centro de cumplimiento deberas hacer lo siguiente:

$SecureCreds = Get-Credential -Message 'Introduce el usuario del rey del castillo'
$URI = 'https://ps.compliance.protection.outlook.com/powershell-liveid/'
$ComplianceSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri $URI -Credential $SecureCreds -Authentication Basic –AllowRedirection
Import-PSSession $ComplianceSession

Microsoft tiene una guía de respuesta en formato playbook con todos los comandos, pero en algún momento hacen uso a funciones que necesitas tener Defender, por lo que he intentado no usar esta guía.

Como siempre, espero que os guste, que os sirva, y gracias por leerme !!!


Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.