Техника на mitre.org

T1070.008: Удаление данных, связанных с эл. почтой

Злоумышленники могут изменить данные электронной почты и почтовых приложений, чтобы удалить следы своей активности. Почтовые приложения позволяют пользователям и другим программам экспортировать и удалять данные, связанные с электронной почтой, с помощью инструментов командной строки или через API. К таким данным относятся, в частности, электронные письма, их метаданные и журналы, созданные приложением или операционной системой, например журналы запросов на экспорт.

Злоумышленники могут манипулировать электронными письмами и данными, связанными с электронной почтой, чтобы удалить журналы, артефакты и метаданные, в частности признаки фишинга/внутреннего целевого фишинга, сбора эл. почты, использования протоколов эл. почты для взаимодействия с командным сервером или эксфильтрации данных через электронную почту, в частности эксфильтрации по альтернативному протоколу. Например, для удаления признаков вредоносной активности с серверов Exchange злоумышленники использовали модуль PowerShell ExchangePowerShell — в частности, командлет Remove-MailboxExportRequest для удаления следов экспорта данных электронной почты. В Linux и macOS злоумышленники могут удалить электронные письма с помощью утилиты командной строки mail или использовать AppleScript для взаимодействия с API в macOS.

Злоумышленники могут также удалять электронные письма и метаданные или заголовки, указывающие на спам или подозрительную активность (например, с помощью общекорпоративных правил обработки потоков почты), чтобы снизить вероятность обнаружения вредоносных писем защитными решениями.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

microsoft_exchange: PT-CR-494: Exchange_PST_upload_via_Administrator: Попытка выгрузить PST-файлы при помощи консоли Exchange и удалить данные об этом

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Удаление файла	Описание	Отслеживайте случаи удаления артефактов, созданных на узле, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В Windows 10 данные электронной почты хранятся в каталоге `C:\Users\Username\AppData\Local\Comms\Unistore\data`. В Linux они хранятся в каталоге `/var/spool/mail` или `/var/mail`. В macOS они хранятся в каталоге `~/Library/Mail`.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в артефактах, созданных на узле, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В Windows 10 данные электронной почты хранятся в каталоге `C:\Users\Username\AppData\Local\Comms\Unistore\data`. В Linux они хранятся в каталоге `/var/spool/mail` или `/var/mail`. В macOS они хранятся в каталоге `~/Library/Mail`.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение параметров обработки почты, например правил транспорта.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут удалять или изменять созданные на узле артефакты, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В средах Exchange отслеживайте использование командлетов PowerShell, которые могут создавать или менять правила обработки потоков почты, такие как `New-TransportRule` и `Set-TransportRule`.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов с аргументами, которые могут удалять или изменять созданные на узле артефакты, включая журналы и изолированные файлы, например помещенные в карантин электронные письма.

ID	Источник и компонент данных	Описание
DS0022	Файл: Удаление файла	Отслеживайте случаи удаления артефактов, созданных на узле, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В Windows 10 данные электронной почты хранятся в каталоге `C:\Users\Username\AppData\Local\Comms\Unistore\data`. В Linux они хранятся в каталоге `/var/spool/mail` или `/var/mail`. В macOS они хранятся в каталоге `~/Library/Mail`.
DS0022	Файл: Изменение файла	Отслеживайте изменения в артефактах, созданных на узле, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В Windows 10 данные электронной почты хранятся в каталоге `C:\Users\Username\AppData\Local\Comms\Unistore\data`. В Linux они хранятся в каталоге `/var/spool/mail` или `/var/mail`. В macOS они хранятся в каталоге `~/Library/Mail`.
DS0015	Журналы приложений: Содержимое журналов приложений	В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение параметров обработки почты, например правил транспорта.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут удалять или изменять созданные на узле артефакты, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В средах Exchange отслеживайте использование командлетов PowerShell, которые могут создавать или менять правила обработки потоков почты, такие как `New-TransportRule` и `Set-TransportRule`.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов с аргументами, которые могут удалять или изменять созданные на узле артефакты, включая журналы и изолированные файлы, например помещенные в карантин электронные письма.

Меры противодействия

ID	M1029	Название	Удаленное хранение данных	Описание	Автоматическая пересылка почтовых данных и событий на сервер журналов или в хранилище данных для предотвращения ситуаций, в которых злоумышленник может обнаружить данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.

ID	M1047	Название	Аудит	Описание	В среде Exchange администраторы могут использовать `Get-TransportRule` и `Remove-TransportRule` для обнаружения и удаления потенциально вредоносных транспортных правил.

ID	Название	Описание
M1029	Удаленное хранение данных	Автоматическая пересылка почтовых данных и событий на сервер журналов или в хранилище данных для предотвращения ситуаций, в которых злоумышленник может обнаружить данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.
M1022	Ограничение разрешений для файлов и каталогов	Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.
M1047	Аудит	В среде Exchange администраторы могут использовать `Get-TransportRule` и `Remove-TransportRule` для обнаружения и удаления потенциально вредоносных транспортных правил.